En souhaitant établir de nouveaux standards de cybersécurité, l’Europe met la barre haute. Très haute. Trop haute ? Dans une lettre ouverte adressée à Thierry Breton, Carme Artigas Brugal et Nicola Danti, qui ont travaillé sur le Cyber Resilience Act (CRA), plus d’une cinquantaine de responsables en cybersécurité leur demandent d’amender le texte. Parmi eux, des experts de Google et de plusieurs éditeurs comme Eset ou Tenable. Mais aussi l’ancien coordinateur cyber de la Défense américaine et le CEO du CyberPeace Institute. Dans leur collimateur ? L’obligation pour les éditeurs d’informer les administrations en charge de la cybersécurité des vulnérabilités repérées dans leurs logiciels. Et ce sous 24 heures.
Une base de données des cibles à attaquer
Rendre publiques les vulnérabilités des logiciels laisse craindre à ces experts que certaines entreprises ne deviennent des proies faciles. « C’est une façon de dire ‘vous pouvez m’attaquer à cet endroit' », regrette Christine Bejerasco, responsable de la cybersécurité de WithSecure et signataire de la lettre ouverte. « Aujourd’hui, les pirates n’ont pas connaissance des vulnérabilités. C’est une bonne chose parce qu’ils sont obligés de fouiller pour les trouver. Les dévoiler revient à fournir aux attaquants la carte des accès les plus faciles aux systèmes de l’entreprise. »
Les signataires de la lettre soulignent que le Cyber Resilience Act créera « une base de données des vulnérabilités non résolues accessible en temps réel ». « Une cible tentante pour les attaquants », préviennent-ils. Surtout qu’ils redoutent que la sécurité des agences gouvernementales ne se montre pas forcément à la hauteur.
Un timing imparfait
De nombreux éditeurs ne souhaitent pas dévoiler les vulnérabilités tant qu’ils n’ont pas mis sur pied de patch pour les résoudre. Et cela demande du temps. Bien plus que les 24 heures édictées dans le Cyber Resilience Act. Sans compter que, même si un patch est disponible, encore faut-il que les entreprises qui utilisent le logiciel l’aient installé… « Si ces vulnérabilités sont rendues publiques alors que toutes les organisations ne sont pas encore sécurisées, c’est une menace pour la sécurité publique », alerte Christine Bejerasco.
Les entreprises l’ont appris à leurs dépens, notamment avec EternalBlue. Cette vulnérabilité a été dévoilée par un groupe de hackers en avril 2017, quelques semaines après la publication d’un patch par Microsoft. Mais beaucoup d’entreprises clientes n’avaient pas eu le temps ou n’avaient alors pas pris la peine de l’installer. Les résultats ont été dramatiques : le ransomware WannaCry et le malware NotPetya ont tous deux utilisé la faille et ont coûté des milliards aux entreprises victimes.
Un texte évolutif ?
Les signataires demandent donc à la Commission européenne de « prendre du recul et de sécuriser les organisations sans faire peser sur elles de nouvelles menaces », résume Christine Bejerasco. Pour cela, ils exigent que le texte soit amendé, selon les 3 principales recommandations suivantes :
- « bannir explicitement l’usage et le partage des vulnérabilités à des fins de renseignement, de surveillance ou d’attaque »
- « informer les agences gouvernementales des vulnérabilités résolues dans les 72 heures après leur résolution effective »
- « ne pas exiger que les vulnérabilités exploitées pour des objectifs de sécurité [par des hackers éthiques, NDLR] soient divulguées ».
Reste à savoir si la Commission européenne se montrera conciliante sur le sujet. Christine Bejerasco espère « des discussions » pour que les nouveaux standards imaginés puissent « élever la sécurité de l’espace numérique de manière sûre pour tous les acteurs ».