Vas-z-y Zovi, zappe avec zèle cette zizanie zonarde
Apple corrige le trou Quicktime qui fit trembler tant d'éditorialistes. Dame, un exploit publié lors d'un « concours de bug », et qui parvient à faire la hune de Secunia... c'est pas banal. Dino Dail Zovi, l'inventeur de cette faille, chercheur sécu chez Matasano, a empoché pour cet exploit la modique somme de 10 000 dollars, dans le cadre d'une opération de promotion comme seules les équipes du ZDI de TippingPoint savent en monter. Le blog de Matasano est un peu plus précis comme on pouvait s'y attendre. Mais l'histoire ne plait pas à tout le monde. Un couple d'analystes du Gartner « condamne les concours de bug » ainsi médiatisés nous apprennent nos confrères de NetworkWorld. - Est-il préférable de craindre un bug discret potentiellement logé dans la poche d'un exploitant mafieux qu'un bug public situé sur tous les disques de la planète ? - Est-il moral qu'une entreprise spécialisée dans la sécurité monétise à un tel point la découverte et l'exploitation d'un défaut logiciel dans le seul but de pouvoir publier « MachinChose IPS customers have been protected against this vulnerability since April 23» - Est-il honnête de conspuer un chercheur qui n'a, à aucun moment, publié les éléments techniques de son exploit, malgré certaines craintes liée à un éventuel hack du réseau de CanSecWest (voir les épisodes précédents ). - Est-il possible, lorsque l'on se targue du titre « d'Analyste Sécurité », de ne pas trop s'interroger et de tirer sur la cible la plus visible... celle qui ne représente que la partie émergée, soit le cinquième des questions que pose ce précédent ?
