News
Le Commentaire de Bob Huber, Tenable sur l’affaire JetBrains et Rapid 7
mars 2024 par Bob Huber, directeur de la sécurité et responsable de la recherche chez Tenable
Suite à la querelle entre JetBrains et Rapid 7 - en résumé, Rapid7 a signalé à JetBrains deux vulnérabilités dans son serveur TeamCity CI/CD. JetBrains a ensuite voulu patcher silencieusement les vulnérabilités, ce qui, selon Rapid7, allait à l’encontre de sa politique de divulgation responsable, une pratique que la communauté de la sécurité (y compris Tenable) décourage également et qui favorise plutôt une transparence totale.
L’affaire fait parler d’elle aux États-Unis le Commentaire de Bob Huber, directeur de la sécurité et responsable de la recherche chez Tenable :
"En partageant des détails limités sur les vulnérabilités et en rejetant les efforts de coordination avec les chercheurs, JetBrains a créé plus de travail pour ses clients, les envoyant à la chasse aux oies sauvages en essayant de comprendre où ils sont vulnérables. JetBrains n’en est pas à son premier exercice de divulgation de vulnérabilités. Les chercheurs en sécurité et les adversaires procéderont de toute façon à une rétro-ingénierie de la vulnérabilité, de sorte que leurs actions ne font que retarder l’inévitable.
Tenable soutient la divulgation responsable et coordonnée des failles de sécurité et s’engage à collaborer avec les chercheurs pour bien comprendre et résoudre ces failles dans nos propres solutions et lorsque nos chercheurs divulguent des failles à d’autres fournisseurs. Lorsque Tenable Research divulgue une vulnérabilité à un fournisseur, nous partageons notre politique de divulgation des vulnérabilités, nous l’informons si nécessaire, nous travaillons avec lui pour remédier au problème et nous coordonnons la divulgation publique en temps opportun. Une transparence totale permet aux défenseurs de la cybersécurité d’enquêter rapidement et de résoudre le problème avant que les cyber attaquants ne puissent frapper.
Je suis fermement convaincu que pour gérer efficacement les risques et communiquer leur position, les responsables de la gestion des risques, comme moi, doivent avoir une vue d’ensemble de la situation. Lorsqu’un fournisseur publie silencieusement des correctifs, les responsables de la sécurité sont laissés dans l’ignorance de leur exposition au risque, ce qui peut conduire à des violations et à des vols de données. Il est également naïf de penser que les vulnérabilités étaient inconnues jusqu’à présent et que personne ne les avait exploitées auparavant. Les chercheurs en cybersécurité recherchent les vulnérabilités de JetBrains parce que les adversaires cherchent à exploiter les vulnérabilités des logiciels JetBrains."
Références de Tenable Research en matière de divulgation responsable :
– Tenable Research divulgue des centaines de vulnérabilités par an
– En 2023, les découvertes comprenaient des vulnérabilités ayant un impact sur Ivanti Avalanche, NETGEAR, LG, Rockwell Automation, Microsoft et Schneider Electric.
