« Pétrole contre nourriture » réclament les chasseurs de bugs

Business - Stratégie - Posté on 27 mar 2009 at 8:00 par cnis-mag

Il y a longtemps, très longtemps
netman
Il y avait un bon hacker

Qui offrait ses bugs éclatants

Sans avoir…

Sans avoir…

Sans avoir l’air

Ses bugs étaient de qualité

Tous des CVE notables

Et tous ses PoC en vérité

Bien exploitables

Un éditeur vint à passer

Qui collectait ces pacotilles

Avec son avocat flanqué

D’un code si

D’un code si

D’un code civil

Et comme il était de surcroît

Pingre comme un atomiseur

Il prit les bugs et planta là

Notre chercheur

Lequel à ce moment précis

Avait le nez dedans son hard

Ce qui fait qu’il n’y prit

Pas du tout

Pas du tout

Pas du tout garde

L’éditeur obtint alors

Le prix du meilleur « response team »

Et le chasseur mourut de faim

Sans un centime

Et tout s’étant ainsi passé

Suivant la plus saine logique

Sans le concours d’aucune fée

Aux dons magiques

Les clients se crurent protégés

Et périrent tous d’une infection

C’est ainsi qu’il faut raconter

Des plus grands chercheurs les batailles

Si vous voulez éviter

Qu’ils trouvent encore des failles

(d’après Jacques Faizan)

Tout ceci pour traduire le désespoir des chasseurs de bugs. « No more free bugs » manifestaient, durant la dernière CanSecWest, un groupe de trois chasseurs de failles réputés : Dino Dail Zovi, Charlie Miller (interviewé à ce propos par le non moins célèbre Ryan Naraine pour le compte de ZD Net ) et Alexander Sotirov dont les derniers échanges avec Verisign ressemblent plus à une guerre larvée qu’à un échange entre adultes travaillant de concert sur un problème de sécurité.

No more free bug en vertu d’un raisonnement relativement logique : avec la professionnalisation de la conception et édition des « crimewares », la chasse aux bugs est devenue non seulement une nécessité vitale, mais également un signe extérieur de « valeur ajoutée » de la part des éditeurs et équipementiers. La faille possède une valeur commerciale aisément estimable… si ce n’était le cas, certaines sociétés éditrices ne verseraient pas déjà une « prime au bug », et les grands acheteurs de failles –les ZDI et iDefense- ne récompenseraient personne. Car derrière chaque trou de sécurité acheté, c’est un programme de défense périmétrique qui prend de l’avance sur ses concurrents, c’est un industriel du logiciel qui économise des heures de recherche dans le déverminage de ses productions. Et ceci sans parler des risques que prennent chaque jour les chercheurs, qui, en guise de remerciement pour leurs travaux, se font parfois traîner devant les tribunaux et traiter plus bas que criminel. Toute peine méritant salaire, conclut donc Dai Zovi, chaque vulnérabilité affectant un programme commercial sera donc elle aussi commercialisée. Ou plus exactement cédée à son « propriétaire » contre rétribution. Après tout, il existe bien un marché parallèle, légal, qui rétribue parfois grassement certaines découvertes. Les agences de renseignement gouvernementales ou non, les services de police sont les premiers intéressés. Et c’est sans parler des filières plus ou moins grises qui alimentent les spécialistes du « marketing direct » et autres flibustiers du spam.

Il ne s’agit pas, insiste ce « chef des dissidents », de se lancer dans une campagne de chantage ou de remettre en question les principes tacites de la « divulgation raisonnée ».

Des propos, des revendications qui n’ont rien de nouveau. Quelles sont les chances de succès d’une telle initiative ? Assez faibles, admettons-le. Car pour devenir effective, une telle politique devrait être supportée par un mouvement corporatiste parlant d’une seule voix et offrant des procédures d’achat et d’information quasi normées. De telles places de marché commencent à exister, mais du côté des éditeurs de malwares. Chez les White Hats, l’idée même d’une sorte de syndicat professionnel est impensable. Surtout Outre-Atlantique où l’on voit le spectre du communisme primaire se glisser derrière chaque initiative communautaire.

Mais cette action, toute symbolique qu’elle soit, va peut-être faire bouger les choses. En dissuadant notamment quelques inconditionnels de la procédure judiciaire (Adobe, Cisco, Oracle, certaines régies de transport notamment) à réfréner le zèle de leurs meutes d’avocats. En achevant de convaincre d’autres –tout le monde pense à Microsoft, naturellement- d’officialiser cet état de fait.

Laisser une réponse