Moab contre iDefense : un sujet du bac

• Imprimer

Le mois du Bug Apple continue son train-train quotidien, à raison d'une faille commentée par jour, failles tantôt très élitistes et éloignées du noyau, tantôt considérées comme relativement préoccupantes. Inutile de préciser que ce genre d'initiative provoque quelques « réaction » épidermiques, voir extrémistes. Mais n'est-ce pas là également une « réaction » aux initiatives de mercantilisme de la recherche de failles ? Quelle est la plus malsaine: celle consistant à divulguer une information avant toute possibilité de réaction de la part de l'éditeur concerné, ou celle visant à décrédibiliser « gratuitement » la sortie d'un noyau à peine né tel que semble le souhaiter iDefense? Manifestement, l'intensification des divulgations systématiques et l'accroissement des fuzzing automatisés sont concomitants à l'apparition des « primes au bug » instituées par certaines entreprises. ... Enfin, « prime au bug », faut voir ... Car si l'on s'en rapporte aux conditions du concours, le montant de la prime varie selon certains critères bien spécifiques. Dito : « The minimum award for a working exploit is $2,000. In addition to the base award, additional amounts up to $4,000 may be awarded based upon: Reliability of the exploit, Quality of the exploit code, Readability of the exploit code, Documentation of the exploit code ». En d'autres termes, la notion de dangerosité intrinsèque s'efface devant l'esthétique du code servant à tirer parti de la faille. Voilà une vision très personnelle du bug hunting, qui remet en question l'idée même de « catégorie de faille». En marge de cette histoire d'oeuf, de poule et de déterminisme de pacotille, l'on peut également se demander si cette « focalisation » actuelle sur les failles d'un I.E. 7 ou d'un Vista encore plus virtuel que réel n'est pas en train de faire le jeu de ceux qui cherchent à exploiter des trous plus discrets... mais considérablement plus « payants ». Les roulements de tambours médiatiques autour du tout dernier système Microsoft font un peu oublier les problèmes de santé de l'actuel XP.