Backdoor ou zero day
La lecture récente du mémoire d’un étudiant m’a fait me poser une question à laquelle je n’ai pas encore trouvé de réponse. Y a-t-il, dans la réalité, une réelle différence entre une porte dérobée (backdoor) et une faille d’exploitation immédiate (zero day) ?
Je précise.
Wiki explique qu’une porte dérobée est une fonctionnalité inconnue de l’utilisateur légitime, qui donne un accès secret au logiciel. Bien. Et une vulnérabilité zero day est une exploitation qui utilise une faille jusqu’ici méconnue du public.
Au-delà des confusions de vocabulaire vulnérabilité/faille/exploitation, est-il bien pertinent d’entretenir ainsi la différence, car dans les deux cas, nous sommes face à des failles inconnues du légitime utilisateur du logiciel. La différence peut donc être purement sémantique.
Sémantique, mais pas dénuée d’intérêt. Car si j’introduis des portes dérobées dans les produits que je vends (la confiance est une notion très relative en informatique et donc dans le cyber, comme l’explique Ken Thompson dans Reflections on Trusting Trust que vous pouvez consulter ici) j’ai tout intérêt à déclarer, lorsqu’elles sont découvertes, que ce sont des failles zero day.
Ainsi, quitte à passer pour un blaireau un court moment, l’honneur est sauf, et je peux continuer à vous infecter. Alors que si j’avoue que ce sont des portes dérobées, je quitte instantanément le côté des programmeurs étourdis ou surchargés de travail ce qui explique ma baisse d’attention, pour basculer dans le côté obscur de la force type NSA…
A ce propos, on lit dans http://www.silicon.fr/russie-code-source-logiciels-apple-sap-95927.html que pour protéger la sûreté de l’Etat ainsi que la confidentialité des données personnelles, la Russie demande à accéder au code source de certains logiciels. « De toute évidence, les entreprises qui communiquent le code source de leurs programmes n’ont rien à cacher », aurait ajouté le ministre Nikolai Nikiforov. Ce qui est amusant, car cet argument se retourne contre des entreprises dont on ne sait ce qu’elles font des données collectées.