Le « bug business » est en train de pourrir la recherche

• Imprimer

Vendre des failles ? c'est la fin de la recherche, c'est le début du business occulte et gris de la vulnérabitilié à usage « semi mafieux » ou du défaut « réservé aux barbouzes » ! Le cri d'alarme avait été lancé il y a près de deux ans par David Del Vecchio, dans les colonnes de CSO, alors que Tipping Point venait à peine de lancer l'idée d'une « prime au bug découvert ». Puis le temps a passé, usant à la fois les souvenirs et les émois... le ZDI (Zero Day Initiative) est devenu une institution acceptée. Et voilà qu'un des premiers « vendeurs de faille », Charles Miller, un ancien de la NSA, dévoile comment il a pu se faire proposer 10 à 80 000 dollars pour un défaut Linux dans les années 2005. Sommes proposées bien entendu par des organismes gouvernementaux qui n'ont absolument aucun intérêt à ce que la faille en question soit comblée. Et Miller de continuer, en estimant qu'une belle inconsistance Powerpoint pourrait aller chercher dans les 20 000 dollars. On imagine mal comment un véritable mouvement de recherche, objectif et efficace, pourrait voir le jour dans ces conditions. On imagine mal également comment un éditeur comme Microsoft, qui s'enorgueilli d'avoir fait « contrôler » la validité du noyau de Vista par la « No Such Agency » au cours d'un long processus de validation et de tests, peut avoir confiance dans le jugement de ces experts : soit le « board » de Corp est constitué de grands naïfs, soit il est formé par la plus formidable équipe de cyniques jamais réunie depuis la fondation de l'école d'Antisthène. Propos soutenus par un autre article publié dans Network World, intitulé « L'importance de la recherche de vulnérabilités ». L'on y peut lire une « petite phrase » de Chris Wysopal l'ex du L0pht Heavy Industries, devenu AtStake, devenu gourou en chef chez Vericode : « Si vous ne trouvez pas le problème, quelqu'un d'autre le fera. Si vous laissez des miettes sur le sol, çà fera sortir les fourmis... C'est une sacrée responsabilité... pour votre compagnie ». Mais la recherche de failles, que ce soit par le biais de processus de validation ou par le canal « dur » du pentesting et du fuzzing, coûte énormément d'argent. Toute la question est de déterminer la juste limite à ne pas dépasser. « Vous devez appliquer le niveau de test en corrélation avec le risque encouru par votre application » continue Wysopal. Et ce niveau n'est pas toujours simple à situer, y compris par des gens dont c'est le métier, les Risk Manager. Alors, lorsque la question se pose au sein d'une entreprise possédant à peine une DSI structurée...