Truste échoue à ses propres tests
Truste est une entreprise spécialisée dans la certification des serveurs Web, de messagerie et autres services du genre. Un sceau portant le logo « TRUSTe » indique -l'audit coûte assez cher pour que l'on puisse l'affirmer- un haut degré de fiabilité, presque un certificat d'invulnérabilité et d'imperméabilité aux hackers de toute couleur. Mais au début de ce mois, un chercheur en sécurité, camouflé sous le pseudonyme de Antani Tapioco serait parvenu, affirme Netcraft, à faire s'exécuter un JavaScript sur la page même du site Web du « certificateur ». « Verified by Haxors, LOL », jette, goguenard, le popup du « PoC ». Selon les rédacteurs du journal de Netcraft, la faille, corrigée depuis, était considérée comme « sérieuse ». Il y a tout de même derrière cette histoire, quelque chose de plus important qu'une inconsistance de page Web. Le métier de Truste est de vendre de la « confiance ». Pas un service permanent, pas de l'électronique en boite, pas même de la matière grise sous forme de fichiers EXE, mais de la confiance. Après un tel coup de Jarnac, la confiance de Truste prend eau de toute part. Cela fait partie des risques du métier. D'une manière plus générale, et le récent concours Pwn2Own le prouve une fois de plus avec un exploit java qui est venu à bout d'un Vista à jour, c'est que toute quête d'invulnérabilité absolue est vaine, et que tout « business model » affirmant le contraire frise l'escroquerie. Tout au plus un prestataire peut-il assurer à ses clients qu'il respecte une politique de bonnes pratique, que les normes ISO adaptées à la taille de l'entreprise sont appliquées « au mieux disant ». Mais modestie et marketing n'appartiennent pas au même monde.
