Bulle spéculative sur les exploits - Actualités CSO Hacking

Bulle spéculative sur les exploits

le 26/01/2007, par Marc Olanié, Hacking, 419 mots

Business is business également du côté des chasseurs de failles. Le coup de tonnerre de la « prime à la faille Vista » promise par iDefense a provoqué un bouillonnement de commentaires sur les principales Mailing List traitant de sécurité. Le Security Focus fait le point et relève les propos d'Adriel Desautels de SnoSoft, qui prétend que les 8000 dollars d'iDefense ne sont rien ... en fait, tout le monde cherche à acheter de la faille vierge et inexploitée. Officines de sécurité, bien entendu, bandes mafieuses, mais également agences de renseignements privées, barbouzes gouvernementales... peu à peu, le prix du bug dépasse les 120 000 dollars. Cette hypothèse avait déjà été avancée par Davide Del Vecchio, dans une interview accordée à l'équipe de CSO France (édition papier) il y a plus d'un an, Lequel Del Vecchio prédisait l'arrivée rapide d'un véritable « marché noir » de la faille « utile ». Reste que 120 000 dollars la faille capable d'injecter un « adware » générateur de popups à viagra ou détourneur de pages web « casinos et demoiselles esseulées », c'est relativement cher payé. Surtout pour un point d'entrée que l'on saura comblé dans les 15 jours qui suivent sa première apparition publique. A ce rythme, le prix de la macro Excel va dépasser celui du steack dans le filet, et les pratiquants du fuzzing automatique intégral ne se déplaceront plus qu'en Bentley ou en Lamborghini. Ce qui est moins amusant, en revanche, c'est que le « marché », puisqu'il faut parler de marché, risque de se déliter, de s'affranchir de tout contrôle, ou pire, d'être accaparé par des personnes ayant tout intérêt à conserver par devers eux cette connaissance chèrement acquise. Et l'on commencera à parler des « bugs officiels », des « vices de forme officieux », des « défauts référencés et non publiés », des « chausse-trappes thésaurisés », des « failles supputées », des « pièges occultes »... et des « bugs authentiques, connus et rustinés ». Il restera à déterminer, pour chaque logiciel commercialisé, la proportion des instabilités corrigées, de cells qu'il reste à découvrir et des autres « gardées sous le coude ». En monétisant le défaut, les iDefense, ZDI et confrères ont sérieusement entamé la confiance des usagers envers les programmes en général. La seule parade probable consiste à battre de vitesse les accapareurs de failles, en rendant publique le plus vite possible non pas les menus détails de l'exploit, mais au moins la nature même du danger, avec assez de précision pour que chacun puisse prendre les mesures nécessaires. Paradoxalement, les principaux éditeurs seraient alors contraints de militer en faveur d'une « divulgation immédiate », de peur de voir leurs propres productions servir de vecteur d'infection ou d'espionnage.

Microsoft coutumier des add-on non fonctionnelles et bogées

Vendredi dernier, la firme de Redmond a reconnu qu'elle avait dû réécrire 4 des 13 add-on de sécurité publiées lors du dernier Patch Tuesday. D'après le retour des utilisateurs, même une fois installées, les...

le 18/09/2013, par Gregg Keizer, adaptation Oscar Barthe, 463 mots

Google ne crypte pas efficacement les mots de passe Wi-Fi

Lorsqu'un utilisateur d'Android réalise une sauvegarde de son système, notamment en vue d'une réinitialisation de l'appareil, la firme de Mountain View accède immédiatement au clé de son réseau WiFi privé....

le 18/09/2013, par Oscar Barthe, 367 mots

2 millions de comptes clients de Vodafone Allemagne piratés

Un salarié travaillant pour un prestataire de Vodafone Allemagne est soupçonné d'être à l'origine du vol de données concernant deux millions de clients. Cette affaire n'est pas sans rappeler, par sa...

le 16/09/2013, par Serge LEBLAL, 364 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Joël Mollo

VP Europe du sud de SkyHigh

« Nous créons un nouveau marché autour de la sécurité du cloud »