AccueilSécuritéGouvernement fédéral : le BSI signale aux fabricants toutes les failles de...

Gouvernement fédéral : le BSI signale aux fabricants toutes les failles de sécurité découvertes

Les services allemands, y compris la police et les services secrets, ne laissent apparemment pas les failles de sécurité informatique ouvertes de manière ciblée, afin d’introduire des chevaux de Troie d’État sur les terminaux et d’intercepter des communications cryptées. C’est du moins ce que suggère le gouvernement fédéral dans une réponse publiée récemment à une question du groupe parlementaire de gauche au Bundestag.

L’Office fédéral de la sécurité des technologies de l’information (BSI) compétent « n’a connaissance d’aucune faille de sécurité découverte par une autorité fédérale qui n’ait pas été communiquée au fabricant », écrit le ministère fédéral de l’Intérieur (BMI), responsable du dossier, dans la réponse. Les autorités fédérales ont en principe « établi des mesures de sécurité informatique et des procédures de notification » afin de « réagir aux vulnérabilités et de les signaler au BSI ». Celui-ci s’efforce alors, conformément à sa mission légale, de « combler immédiatement toutes les failles de sécurité dans le cadre d’un échange de confiance avec les fabricants ».

Sommaire

Les autorités fédérales fournissent des statistiques mensuelles dans le cadre de ce processus, indique la réponse. En outre, elles font immédiatement des « déclarations immédiates » en cas d’incidents ou d’informations, sans intervalles ou délais fixes. Dans ce dernier cas, les services publics décrivent généralement les mesures prises, telles qu’une « concertation avec les fabricants et l’application de correctifs ».

Dans le domaine des produits autorisés, le BSI vérifie également de manière stricte si et quand les fabricants ont comblé la faille et si les « porteurs de besoins » ont appliqué les correctifs logiciels correspondants, assure le gouvernement. Dans certains cas, des informateurs ont également signalé les failles aux autorités fédérales concernées et au fabricant, un formulaire en ligne anonyme étant également disponible à cet effet. Le BSI tient un aperçu des signalements, mais pas de véritables statistiques.

Le Kraftfahrt-Bundesamt « a découvert de lui-même six failles de sécurité », indique le BMI à titre d’exemple. « Toutes ont été signalées au BSI, dont trois sous forme de notification immédiate ». Le Bundesfinanzhof aurait en outre découvert une faille en 2017 et une autre en 2018 et les aurait signalées au BSI.

Au sein de l’Office fédéral de protection de la Constitution, de l’autorité des hackers Zitis, de la police fédérale, de l’Office fédéral de la police judiciaire (BKA), du Service de contre-espionnage militaire (MAD) et du Service fédéral de renseignement (BND), « le traitement des vulnérabilités se fait conformément aux dispositions légales en vigueur », laisse encore entendre l’exécutif. Il souligne que « les mécanismes généraux de surveillance technique et de contrôle parlementaire ainsi que les possibilités de recours prévues par la loi s’appliquent ».

Le gouvernement ne donne toutefois aucune information sur la manière dont ces autorités de sécurité gèrent concrètement la découverte de points faibles et sur le nombre de ceux qu’elles ont trouvés et signalés. Cette question relative à leurs capacités de renseignement touche « dans une mesure particulièrement importante au bien de l’État » et ne peut donc pas être résolue même sous « forme classifiée ». Le droit à l’information des députés doit ici céder le pas à l’intérêt du gouvernement fédéral à garder le secret.

Selon les informations fournies, le BSI travaille actuellement sur les bases de la mise en œuvre de l’objectif de recherche et de comblement des failles de sécurité dans le cadre d’un processus de « Coordinated Vulnerability Disclosure » au sens de la stratégie de cybersécurité pour l’Allemagne révisée l’année dernière. Outre les préparatifs relatifs aux processus et au contenu, il s’agit également de « conditions de mise en œuvre organisationnelles, personnelles et financières exigées par le contrôle de gestion ».

Plus d'articles