Vulnérabilité à la criée : enchères et en os
Elle en a provoqué, des réactions, cette petite création de site helvétique : Wabisabilabi est le premier site officiel légal de vente aux enchères de failles de vulnérabilité. Chez Matasano, l'on commente le peu d'intérêt de ce qui y est vendu, Dark Reading en fait un papier mi-alarmiste, mi-informatif, BBC Online pond un poulet à la limite de la complaisance et de la recopie de communiqué tandis que Dancho Danchev en critique le principe sans aucune équivoque, en faisant remarquer à juste titre qu'il y a eu des précédents, dans la vente « au plus offrant » de failles particulièrement dangereuses. Et que lesdites failles se sont un jour ou l'autre retrouvée dans les moteurs de nombreux spywares à finalité « marketing ». Il n'est pas certain que Wabisabilabi fasse fortune ... les tarifs les plus intéressants ne sont pas ceux qui sont pratiqués sur les étals publics de la grande boucherie du bug, mais plutot ceux qui sont offerts sur le marché noir. Il est en revanche relativement déplorable qu'une entreprise européenne, avec cette initiative, fasse du commerce de vulnérabilité une institution. En « officialisant » le business des trous logiciels, ces commissaires-priseurs d'un genre particulier ne font jamais que normaliser le fait de s'enrichir sur les défauts des outils de travail. Wabisabilabi légitimise donc l'activité des marchés parallèles des Exploits, les « officiels » comme le leur ou ceux de businessmen de la sécurité tels que TippingPoint ou iDefense, et les nettement moins officiels qui alimentent les filières moscovites et pékinoises. Cette légitimation ne peut qu'entrainer à son tour une spéculation inflationniste sur le prix de la faille, et par là même une disparition à moyen terme des informations provenant des sources « gratuites » que sont les chercheurs indépendants. Pourquoi, effectivement, prévenir un éditeur et publier un avis sur le Bugtraq ou le Full Disclosure, si un « noble chevalier d'industrie » spécialisé dans le viagra de contrebande et les images pornographique en offre 1000 à 4000 dollars ? Voilà de quoi faire réfléchir le plus honnête spécialiste du fuzzing.
