MoBB : Le mois du bug des bugs
Dancho Danchev rebondit sur un « poisson d'avril » assez amusant lancé par l'équipe de recherche Symantec, et proposant de lancer le « Month of Bug's Bug ». Une opération visant à dénoncer ces « virus qui ne parviennent pas à se propager, ces chevaux de Troie voleurs de mot de passe incapables de quitter leur écurie, ces vecteurs d'attaque qui crashent, ces opérations de phishing qui coulent, ces dénis de service qui se dénient eux-mêmes ». C'est vrai, quoi... si des instabilités frappent les programmes chargés d'exploiter des instabilités, c'est toute l'organisation et l'architecture du monde de la sécurité qui s'écroule... une alerte surgit ? Et aussitôt les crédits attribués par la Direction Générale sont suspendus, « histoire de voir si le dernier virus Sasser ne devrait pas attendre son SP2 ou son « patch Tuesday » pour devenir franchement méchant. » Mais au-delà du canular, il faut y voir également la possibilité d'exploiter ce genre de faiblesse. Si les auteurs de malwares sont des prodiges d'ingéniosité en matière d'exploitation, ce sont rarement des amoureux du code structuré et maintenable ou des fanatiques du « secure by design ». Et c'est peut-être grâce à leurs propres failles que l'on peut soit « récupérer » un botnet à des fins d'analyse ou de combat, soit découvrir une parade ou une méthode de détection contre une attaque virale particulière. Et Danchev de ressortir un autre papier d'origine Symantec, très sérieux celui-ci, signé John Canavan et décortiquant les erreurs commises précisément par les Black Hats : « Moi écrire bon, ou l'3xpérienZ l33t des auteurs de virus ». On ne peut manquer de faire la relation avec cette initiative du Sans Institute relatée dans les colonnes de CSO France en mars dernier, et qui visait à sanctionner par une certification Gssp les développeurs maitrisant les « bonnes pratiques » du code pensé et écrit pour éviter les failles les plus communes.
