Danchev sur l'Achat de failles
Dancho Danchev aborde, dans son blog, l'épineux problème de l'achat de failles et dresse une sorte de taxinomie des acheteurs et clients agissant sur le marché du ZDE. Pour que cette classification soit complète, il aurait fallu ajouter, coté « acheteurs », les « bug hunt » assorties de récompenses, ces chasses aux inconsistances organisées par quelques éditeurs avant le lancement final d'un logiciel. Ce qui nous fait immédiatement poser la question suivante : peut-on imaginer qu'un groupe de beta-testeurs puisse profiter de son statu pour approfondir certaines recherches de vulnérabilités et en taire la teneur ? Coté clients, en revanche, Dancho Danchev ouvre largement la porte aux hypothèses plausibles, y comprises celles que l'on ne mentionne que très rarement : « third party, end users, private detectives, military, intelligence personnel »...et bien entendu « vendors, either through informediary, or directly themselves, which hasn't actually happened so far » officiellement du moins, devrait ajouter notre chasseur de failles. Il faut remarquer qu'en général, les éditeurs sont prévenus en priorité par les chasseurs de failles, et leur empressement à colmater les brèches est parfois directement proportionnel à la notoriété de l'inventeur du « trou », et dépendant également de la complexité et de l'efficacité de l'exploit utilisé. Jamais, au grand jamais, nous n'oserions sous-entendre que ces mêmes éditeurs puissent penser à faire commerce de leurs failles auprès des « military, intelligence personnel » susmentionnés.
