Décembre, Oracle au désespoir *
Nous avons frémi durant le « Month of Browser's bugs ». Nous palpitons encore sous le coup du « Month of Kernel's bugs », nous friserons probablement l'infarctus à l'occasion de la prochaine « Semaine des bugs du SGBD Oracle ». Manifestement, la méthode H.D. Moore semble faire des émules, car voici que Cesar Cerrudo, patron d'Argeniss et personnage connu et respecté de la liste Full Disclosure décide à son tour de se lancer dans les « bug hunt party ». Cette fois, connaissant la promptitude d'Oracle à dégainer ses avocats, y compris contre ses alliés objectifs -ainsi l'équipe Lietchfield-, il faudra probablement s'attendre à un échange d'amabilités relativement musclées.
Les éditeurs, confrontés à ce genre de « publication sauvage », reprennent inlassablement l'argument de la « divulgation responsable » effectuée en étroite collaboration avec l'inventeur de la faille. La position des hackers, quand à elle, insiste sur le fait qu'en l'absence de règles précises, les éditeurs n'agissent pas avec la célérité souhaitée. Ce qui est en revanche absolument certain, c'est qu'une proportion certaine des failles publiées par ces « chasseurs totalement irresponsables » sont parfois déjà exploitées par d'autres chasseurs, nettement plus discrets et agressifs. La situation est certes paradoxale, mais en insistant sur une « obligation de réserve » du coté des chercheurs en sécurité, les éditeurs partisans de l'omerta du bug travaillent en faveur des pirates de tous bords.
* NdlC : Il doit certainement exister quelque chose dans le Code du Travail pour condamner des jeux de mots aussi affligeants
