Les failles zero-day dans Tails ne sont pas à vendre, selon un courtier en vulnérabilité

Une entreprise spécialisée dans la vente d'informations sur les vulnérabilités des logiciels a relancé un débat sur le traitement de ces informations, en particulier lorsqu'il s'agit d'outils axés sur la confidentialité..

Exodus Intelligence, basé à Austin, Texas, a tweeté lundi qu'il avait trouvé plusieurs vulnérabilités dans Tails, un système d'exploitation et une suite d'applications conçues pour rendre plus difficile le suivi de l'activité d'un utilisateur en ligne.

Exodus recherche et vend des informations sur les vulnérabilités des logiciels, une activité juridique mais qui suscite des critiques pour sa nature opaque et s'inquiète de la façon dont les gouvernements ou d'autres entités pourraient utiliser les informations.

La société a depuis annoncé qu'elle fournirait un rapport contenant les informations de vulnérabilité aux développeurs de Tails d'ici la fin de cette semaine. Exodus ne partagera pas ces informations en dehors de l'entreprise avant cette date, a écrit Aaron Portnoy, vice-président, dans un échange de courriels mardi avec IDG News Service..

Lorsqu'on lui a demandé si Exodus faisait une exception spéciale pour Tails, Portnoy a écrit: «Nous évaluons chaque vulnérabilité que nous traitons au cas par cas, donc la vulnérabilité Tails n'est pas une exception car nous n'avons pas de norme de base.»

Tails est un système d'exploitation basé sur Linux qui utilise plusieurs outils améliorant la confidentialité tels que Tor pour rendre l'utilisation d'Internet plus anonyme. Il est conçu pour être utilisé en déplacement, comme dans les points d'accès Internet publics, et est considéré comme l'un des meilleurs moyens, mais non infaillible, de réduire le fait de laisser une empreinte numérique sur un ordinateur..

Le tweet d'Exodus a provoqué une réaction de Tails, qui a écrit sur son blog qu'il n'avait pas été contacté avant le tweet. Mais Tails était content d'avoir la chance de voir les informations.

«On nous dit qu'ils ne divulgueront pas ces vulnérabilités publiquement avant que nous les ayons corrigées, et les utilisateurs de Tails ont eu la possibilité de mettre à niveau», a lu le billet de blog. "Nous pensons que c'est le bon processus pour divulguer de manière responsable les vulnérabilités, et nous sommes vraiment impatients de lire ce rapport."

Portnoy a déclaré qu'Exodus n'exclut pas certains types de logiciels de son analyse et que «nous nous concentrons sur des choses qui sont largement déployées».

Il n'était pas clair si la pression du public avait influencé la décision d'Exodus de divulguer les informations en privé à Tails. La façon dont le problème a été traité a généré une réaction largement négative contre Exodus sur Twitter, certains accusant la société de potentiellement mettre les utilisateurs en danger.

Portnoy a noté quelques tweets de Christopher Soghoian, qui est le principal technologue du Speech, Privacy and Technology Project à l'American Civil Liberties Union. Soghoian critique depuis longtemps le courtier de vulnérabilité.

Soghoian a balayé Portnoy en écrivant: «Je suis presque sûr que @aaronportnoy n'est pas intéressé à assurer la sécurité de quiconque. Il est intéressé à vendre de super 0 jours pour de l'argent comptant.

Portnoy a déclaré dans un e-mail qu'il comprenait pourquoi les développeurs de Tails «pouvaient avoir été irrités en raison des réactions hyperboliques de certaines des personnes les plus vocales à la périphérie de cette industrie qui avaient l'impression que nous vendions les informations à d'autres».

Se référant à Soghoian, Portnoy a écrit: "Lorsque les gens ont plus de 35 000 abonnés, les fausses idées peuvent facilement se propager sans aucune tentative de validation."

Rejoignez les communautés Network World sur Facebook et LinkedIn pour commenter des sujets qui vous tiennent à cœur.