Traduit de : http://www.zdnet.com/article/trump-administration-releases-secret-rules-on-disclosing-security-flaws/
L'administration Trump publie des règles sur la divulgation des failles de sécurité. Le coordinateur de la cybersécurité de la Maison Blanche a déclaré que les règles sont «vitales» pour assurer un équilibre entre la divulgation publique et la conservation des failles des opérations de renseignement. L'administration Trump a publié un ensemble de règles non classifiées pour décider si une faille de sécurité doit être partagée ou gardée privée. Rob Joyce, coordinateur de la cybersécurité de la Maison Blanche, a déclaré mercredi à Washington que les règles mettraient fin aux années de secret sur le soi-disant processus d'équité des vulnérabilités (VEP) et calmeraient les rumeurs selon lesquelles le gouvernement aurait un "vaste stock" des vulnérabilités qu'il peut utiliser pour des attaques offensives. Le mouvement est considéré comme un acte de transparence rare par le gouvernement, qui a gardé les règles secrètes depuis leur création sous l'administration Obama. Les règles ont été affichées sur le site Web de la Maison Blanche une heure après le discours de Joyce. Une fiche d'information a également été publiée. Sous l'administration Obama, le gouvernement a créé le comité d'examen multi-agences pour déterminer si une faille découverte par la communauté du renseignement devait être divulguée en privé à des entreprises technologiques, ou garder un secret pour pouvoir les utiliser pour effectuer des opérations de renseignement telles que le piratage et l'exploitation du réseau. Les critiques affirment que le gouvernement peut mettre en danger la cybersécurité des individus et des entreprises en stockant des vulnérabilités, et ne pas les divulguer à des partenaires de l'industrie qui peuvent les réparer avant que les criminels trouvent et commencent à les exploiter. Mais le gouvernement soutient que le processus équilibre les besoins des organismes d'application de la loi et de renseignement tout en s'assurant que les vulnérabilités plus grandes et plus dangereuses sont divulguées et corrigées par la suite. Dans un billet de blog, Joyce a déclaré que la transparence est «critique» et que la publication des règles est «importante pour établir la confiance» dans le processus, y compris les agences impliquées. Joyce a confirmé que les agences comprennent le ministère du Commerce, de la Défense et de l'Énergie; La sécurité intérieure; le service secret; et le bureau du directeur du renseignement national, y compris la National Security Agency et la Central Intelligence Agency; le Trésor, le Département d'Etat et la Maison Blanche. Les règles nouvellement révélées montrent que si le conseil décide de garder une vulnérabilité privée, le conseil doit réévaluer sa décision chaque année. Et Joyce a déclaré que le gouvernement publiera un rapport annuel fournissant des informations sur le travail du VEP. La communauté de la sécurité, qui demande au gouvernement de divulguer les détails de ce processus depuis des années, a longtemps cru que le gouvernement tenait plus d'exploits qu'il ne le disait. La NSA n'est pas seulement chargée de trouver des vulnérabilités; Les rapports montrent que l'agence a dépensé 25 millions de dollars pour acheter des détails sur des vulnérabilités non divulguées auparavant à des tiers en une seule année. Joyce a réaffirmé à partir des commentaires précédents que plus de 90% des vulnérabilités sont divulguées aux partenaires, mais ne dirait pas s'il s'agissait d'un processus immédiat ou éventuel. "La charte comprend une déclaration claire que les vulnérabilités ne peuvent pas être stockées et que la divulgation devrait être la présomption", a déclaré Michelle Richardson au Centre pour la démocratie et la technologie, dans un courriel. "Il est extrêmement important et bénéfique que ce soit la politique publique officielle du gouvernement américain", a-t-elle déclaré. Le rapport non classifié arrive moins d'un an après le vol d'un ensemble d'outils de piratage de la NSA, et est utilisé pour lancer une attaque de ransomware mondiale à grande échelle. Les outils volés ont permis aux pirates d'infecter silencieusement les ordinateurs Windows avec une porte dérobée pour ensuite lancer le ransomware WannaCry. D'autres outils ont permis aux analystes de la NSA de pénétrer dans une gamme de systèmes, d'équipements de réseau et de pare-feu, et plus récemment, de serveurs Linux et de divers systèmes d'exploitation Windows. Les entreprises se sont efforcées de corriger les vulnérabilités après l'attaque de WannaCry. Les pirates associés à la Corée du Nord ont été blâmés pour l'attaque, en dépit des dénégations de Pyongyang. Cette décision a incité le Congrès à annoncer une législation visant à empêcher le gouvernement de stocker des vulnérabilités, des outils de piratage et des armes électroniques. --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
