A bon chasseur de bug, bon client (proverbe BMC)

• Imprimer

Les « bug hunters »,chercheurs en sécurité, experts en failles et autres spécialistes du « Pen Test » travaillent généralement sur des versions de « démonstration » ou font leurs découvertes sur les machines de leurs clients. Elles ne sont pas rare, les incompatibilités transversales découvertes à l'occasion d'un déploiement de rustine, lors de l'installation d'un programme voisin... Et c'est en « tombant » -en fuzzant devrait-t-on dire - sur le BMC Performance Manager qu'un gourou du trou découvre quelque inconsistance snmp. L'inventeur de la faille, prudent -on comprendra pourquoi plus tard- divulgue sa découverte par le truchement du ZDI, le Zero Day Initiative, le bras acheteur de failles de TippingPoint. Dénégation du principal intéressé : ce n'est pas une faille de sécurité. Pourquoi pas une « feature » ? dirait l'esprit d'IBM... Argument que réfute derechef un dénommé Rashbi, dont le ton enflammé laisse clairement entendre qu'il n'est pas étranger à la découverte.. L'affaire aurait pu en rester là si Matasano ne venait à son tour divulguer un autre « statement » de BMC, qui dit en termes fleuris : « BMC has a formal customer support mechanism in place to provide solutions to security issues brought to us by those who have legally licensed our software. In cases where security issues are brought to my attention by individuals/vendors who do not have legal access to our products, we will investigate their merit; however the issues will be addressed at our own discretion and according to our understanding of their severity. » De manière lapidaire: Si toi client payant, moi fournisseur aimant. Mais si ton ramage ne me rapporte que des dommages et pas le moindre avantage, de sénateur mon train sera, sans ambages. On ne va pas en faire un fromage. Il existe donc, auprès du « response team » de BMC, des failles « officielles » et des vulnérabilités « dissidentes officieuses » en attendant la conclusion d'une enquête de moralité. Toute ressemblance avec des réactions politiques existantes ou ayant existé ne serait que pure coïncidence.