Trous et bouchons : Qui joue à l'oeuf, qui joue à la poule, qui joue au ... ? - Actualités CSO Alerte

Trous et bouchons : Qui joue à l'oeuf, qui joue à la poule, qui joue au ... ?

le 02/02/2007, par Marc Olanié, Alerte, 578 mots

Matt Blaze marque un point en précisant quelques rectifications dialectiques. On dit, à tord, qu'un chercheur « hacke » un mauvais dispositif de sécurité ou qu'un crypto-analyste « casse » un algorithme de chiffrement. Ce qui, immanquablement, associe le travail du chercheur à celui d'un pirate. C'est oublier, insiste Blaze, que le trou existait avant que le chercheur ne le découvre. C'est ajouter à la confusion que de faire porter à ce même chercheur la responsabilité du défaut en question. Cessons de condamner le messager pour le message qu'il transmet, conclut notre gourou es-crypto qui se lasse de passer pour Cassandre. Le défaut est consubstantiel, inhérent au programme. Les éditeurs et équipementiers directement responsables de cet état de fait feraient bien de ne pas oublier ce genre de détail avant que de tomber à bras raccourcis sur un « irresponsable qui n'a pas su tenir sa langue ». C'est là une réaction infantile caractéristique des structures dictatoriales que cette tentative systématique visant à rejeter sa propre faute -ou incompétence- sur un tiers. Il suffit pourtant de déculpabiliser l'acte, de remplacer cette stigmatisation stérile par une action volontaire qui rectifiera le faux pas. Personne ne s'émeut des bugs -oh combiens nombreux- de la sphère Open Source, car la moindre faille non seulement est l'affaire de tous, mais également dénuée de toute culpabilité. On découvre, on admet, on corrige, bien souvent dans l'indifférence générale, la plupart du temps avec une attention et une rapidité remarquable. D'accord, il faut admettre que parfois, certains poussent le bouchon un peu loin. Par réaction face à l'inertie et la mauvaise foi de certains ? Par provocation ? La divulgation libre et entière est probablement la meilleur arme contre la « sécurité par l'obscurantisme », mais de là à en faire du business, tel que le propose Argenis... Ceci dit, quelle est la différence entre ce fameux « 0day Exploits Pack » d'Argenis et un autre outil de pentesting commercialisé par quelque concurrent ? L'emploi choquant du terme Zero day ? Le mot est-il moins choquant lorsque ce qu'il désigne n'est plus payant et qu'il se nomme Metasploit ? Allons un peu plus avant dans la logique de ce raisonnement. Pour quelle raison la publication d'une rustine ne pourrait-elle dépendre que du bon vouloir de l'éditeur par qui le scandale arrive ? Ah, oui, la fameuse histoire du « risque de la source incontrôlée », de la « backdoor cachée dans ce que l'on croyait être un correctif »... Admettons. Il faut un minimum de discernement de la part de l'utilisateur pour distinguer un patch transitoire et conçu par des spécialistes -ainsi la fameuse et relativement discrète organisation Zert - Zero Day Response Team - et un groupuscule inconnu prétendant combler le « gouffre de LSAss dont parle la presse ». Mais en partant du principe que l'homo vulgaris informaticus est totalement incapable de faire la moindre différence entre un bouchon battant pavillon noir et un calfat doté d'une Lettre de Course, les éditeurs et équipementiers parviennent à faire considérer la moindre correction non-officielle comme encore plus dangereuse que le véritable trou découvert dans leurs propres productions. Ne serait-ce pas là ce que l'on appelle un paradoxe ? D'ailleurs, cette idée des « Zorros de la rectification de code » frappe soudainement le monde Apple. Après une série de révélations urticantes faites par le Month of Apple Bug, le MoAb, voici que des gourous du monde Mac décident de monter leur Zert à eux, qu'ils surnomment The Month of Apple Fix, alias le Moaf... Que la chose devienne régulière, et l'on parlera de la Brotherhood of Apple Fix. M'enfin, Boaf...

Toujours des failles béantes dans Java 7 u11

Selon les chercheurs de Security Explorations, la dernière mise à jour de Java, la 7 Update 11, est également vu

le 21/01/2013, par Jean Elyan avec IDG News Service, 440 mots

Une faille Java 0 day en vente 5 000 dollars

Quelques jours après avoir publié un correctif pour une faille zéro day dans les extensions Java découverte la sem

le 18/01/2013, par Jacques Cheminat avec IDG News Service, 241 mots

Attention à la fausse mise à jour Java corrompue

L'éditeur Trend Micro a repéré un morceau de logiciel malveillant qui se fait passer pour le dernier patch pour Java 

le 18/01/2013, par Serge Leblal avec IDG News Service, 430 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Joël Mollo

VP Europe du sud de SkyHigh

« Nous créons un nouveau marché autour de la sécurité du cloud »