Trous et bouchons : Qui joue à l'oeuf, qui joue à la poule, qui joue au ... ?
Matt Blaze marque un point en précisant quelques rectifications dialectiques. On dit, à tord, qu'un chercheur « hacke » un mauvais dispositif de sécurité ou qu'un crypto-analyste « casse » un algorithme de chiffrement. Ce qui, immanquablement, associe le travail du chercheur à celui d'un pirate. C'est oublier, insiste Blaze, que le trou existait avant que le chercheur ne le découvre. C'est ajouter à la confusion que de faire porter à ce même chercheur la responsabilité du défaut en question. Cessons de condamner le messager pour le message qu'il transmet, conclut notre gourou es-crypto qui se lasse de passer pour Cassandre. Le défaut est consubstantiel, inhérent au programme. Les éditeurs et équipementiers directement responsables de cet état de fait feraient bien de ne pas oublier ce genre de détail avant que de tomber à bras raccourcis sur un « irresponsable qui n'a pas su tenir sa langue ». C'est là une réaction infantile caractéristique des structures dictatoriales que cette tentative systématique visant à rejeter sa propre faute -ou incompétence- sur un tiers. Il suffit pourtant de déculpabiliser l'acte, de remplacer cette stigmatisation stérile par une action volontaire qui rectifiera le faux pas. Personne ne s'émeut des bugs -oh combiens nombreux- de la sphère Open Source, car la moindre faille non seulement est l'affaire de tous, mais également dénuée de toute culpabilité. On découvre, on admet, on corrige, bien souvent dans l'indifférence générale, la plupart du temps avec une attention et une rapidité remarquable. D'accord, il faut admettre que parfois, certains poussent le bouchon un peu loin. Par réaction face à l'inertie et la mauvaise foi de certains ? Par provocation ? La divulgation libre et entière est probablement la meilleur arme contre la « sécurité par l'obscurantisme », mais de là à en faire du business, tel que le propose Argenis... Ceci dit, quelle est la différence entre ce fameux « 0day Exploits Pack » d'Argenis et un autre outil de pentesting commercialisé par quelque concurrent ? L'emploi choquant du terme Zero day ? Le mot est-il moins choquant lorsque ce qu'il désigne n'est plus payant et qu'il se nomme Metasploit ? Allons un peu plus avant dans la logique de ce raisonnement. Pour quelle raison la publication d'une rustine ne pourrait-elle dépendre que du bon vouloir de l'éditeur par qui le scandale arrive ? Ah, oui, la fameuse histoire du « risque de la source incontrôlée », de la « backdoor cachée dans ce que l'on croyait être un correctif »... Admettons. Il faut un minimum de discernement de la part de l'utilisateur pour distinguer un patch transitoire et conçu par des spécialistes -ainsi la fameuse et relativement discrète organisation Zert - Zero Day Response Team - et un groupuscule inconnu prétendant combler le « gouffre de LSAss dont parle la presse ». Mais en partant du principe que l'homo vulgaris informaticus est totalement incapable de faire la moindre différence entre un bouchon battant pavillon noir et un calfat doté d'une Lettre de Course, les éditeurs et équipementiers parviennent à faire considérer la moindre correction non-officielle comme encore plus dangereuse que le véritable trou découvert dans leurs propres productions. Ne serait-ce pas là ce que l'on appelle un paradoxe ? D'ailleurs, cette idée des « Zorros de la rectification de code » frappe soudainement le monde Apple. Après une série de révélations urticantes faites par le Month of Apple Bug, le MoAb, voici que des gourous du monde Mac décident de monter leur Zert à eux, qu'ils surnomment The Month of Apple Fix, alias le Moaf... Que la chose devienne régulière, et l'on parlera de la Brotherhood of Apple Fix. M'enfin, Boaf...
