Zert, un club de « patcheurs » de ZDE
Les francs-tireurs de la rustine, les justiciers qui protègent le RSSI veuf et l'ordinateur orphelin viennent de se regrouper dans le cadre d'une organisation parallèle nommée le Zert, pour Zeroday, Emergency Response Team. Encore un club de hackers fournisseurs de « rustines non-officielles » ? Pas tout à fait. Les membres du Zert sont loin d'être des boy-scouts. On trouve des noms tels que Gadi Evron (qui n'a jamais lu ses alertes sur la M.L. « Full Disclosure » ?) Nick FitzGerald, un ex du Virus Bulletin, Dan Hubbard (Websense), qui en dit plus en réunion technique qu'en face d'un journaliste, Ilfak Guilfanov, l'auteur, avec Pierre Vandevenne, d'IDA Pro le désassembleur le plus utilisé dans le domaine du reverse engineering de sécurité... Il faut aussi ajouter Matt Murphy, un autre contributeur respecté du Full Disclosure, Thor Larholm, ex pourfendeur de trous non-corrigés chez Microsoft et auteur de PivX, Michael Lynn, l'ancien d'ISS et inventeur de l'attaque Cisco « IOS level »... Du beau linge, et du linge de confiance, qui n'a mis que 3 jours pour publier un correctif à la faille VML de la semaine passée. « Ce Zorro de la sécurité provoquera une belle pagaille et une confusion totale dans l'esprit des usagers » entend-on déjà du coté des éditeurs. Pure spéculation diffamatoire. Car le Zert n'a qu'une seule et unique fonction : offrir une solution d'urgence lorsque l'alerte est qualifiée de critique (et uniquement dans ce cas précis) et que l'éditeur ne semble pas réagir -ou est connu pour ne réagir qu'après un délai sénatorial. Le Zert s'engage également à encourager l'usage des rustines proposées par l'éditeur dès que celles-ci sont disponibles, et propose même une procédure de désinstallation de ses propres bouchons (un « withdrawn patch ») afin de ne pas interférer avec les outils de déploiements d'un Microsoft, d'un Cisco, d'un Oracle... en bref, le Zert fournira le plus vite possible une trousse de première urgence utilisable « en attendant mieux », en précisant que le correctif fourni ne peut prétendre avoir subit tous les tests de régression possibles. Ce que changera probablement le Zert, c'est la mentalité des entreprises susnommées. Le correctif anticipé n'était jusqu'à présent qu'une option laissée à l'appréciation régalienne d'un quarteron de décideurs à la fois juges et parties. Désormais, l'aiguillon de cette sorte de Force Onusienne des NTIC -qui ne fera usage de ses armes qu'en cas d'attaque caractérisée- incitera probablement les éditeurs à se montrer plus réactifs.
