Le « bon » côté du Bug Business
Security News éclaire d'un jour nouveau l'épineuse question liée à la merchandisation des failles découvertes. Dans un long article, alignant exemples et témoignages de chercheurs en sécurité, Bill Brenner parvient à un constat : l'attitude inflexible et dogmatique qu'un Microsoft ou qu'un Oracle montrait lorsqu'un David Litchfield publiait une alerte concernant un SGBD, n'est plus franchement la même aujourd'hui. La divulgation d'une « mauvaise nouvelle », telle que celle publiée par l'équipe de Dave Aitel aurait, il n'y a pas si longtemps, incité la Windows Company à dégainer ses avocats par pur reflexe reptilien. Car en monnayant le fruit de leurs recherches auprès des TippingPoints, WabiSabiLabi et autres Zero Day Initiatives, les chercheurs se sont vus accorder une véritable « valeur ». Valeur certes plus fiduciaire qu'intellectuelle, mais valeur tout de même. Est-ce que cet aspect bénéfique, que l'on peut voir comme le premier pas vers une véritable considération du métier de chercheur en sécurité, compense les aspects négatifs, les dérives provoquées par le « bug business » ? A commencer par l'occultation manifeste de certaines failles conservées par des officines mafieuses, d'éventuels cabinets noirs gouvernementaux ou plus simplement des Response Team débordées ? Sans oublier non plus la conséquence directe de ce mercantilisme, à savoir l'automatisation du fuzzing et l'exploitation des « stériles ». Les « stériles », c'est ainsi que l'on désigne la matière non-noble que l'on extrait des mines d'argent ou d'or, depuis la haute époque du cap Sounion en Grèce. Que l'argent devienne un métal rare, et les compagnies modernes viennent, 2500 ans plus tard, fouiller les poubelles antiques, des fois qu'un gramme de galène argentifère ne s'y trouverait pas. Et c'est ainsi que l'on voit ressurgir de vieux procédés, allant du fichier « com » exécutable (confondu avec l'extension TLD) au bon vieux « pif » d'autrefois, du « CR-LF » injecteur de scripts invisibles au rootkit boot sector qui inspira Joanna Rutkowska... Il est toutefois paradoxal que l'on ait dû attendre 2008 pour reconnaître la professionnalisation des chercheurs en sécurité, plus d'un an après la découverte de la professionnalisation du cybercrime organisé.
