Promotion par les Failles

Actualités - Sécurité - Posté on 20 Sep 2018 at 12:46 par cnis-mag

Frédéric Poirot

2 millions d’enregistrements médicaux accessibles en ligne sur les serveurs d’un service hospitalier de Mexico… largement de quoi faire les gros titres de iBuzzNews ou Securereading. Las, aucun pirate à l’horizon… mais le fruit du travail de Volodymyr « Bob » Diachenko , Directeur de la Communication de Kromtech et passionné d’analyse du moteur de recherche Shodan. L’article originel, dans un style plutôt alarmiste, a été publié sur LinkedIn, via le compte personnel de l’auteur. Article rapidement suivi par une annonce de recherche d’emploi. Parfois, une mauvaise politique de sécurité peut profiter à une bonne stratégie d’évolution personnelle.

La publication de failles peut également contribuer à assoir une réputation. A tout hasard, celle du groupe Project Insecurity qui s’est penché sur l’un des plus célèbre logiciel open source de gestion de données médicales, OpenEMR. Et si j’appuie là, est-ce que ça vous fait mal ? Le résultat est une interminable litanie d’injections SQL, de bugs d’authentification, d’exploitations distante et autres CSRF, soit 27 pages de descriptions de trous de sécurité accompagnés d’une « preuve de faisabilité ». Une application rapide du correctif cumulatif est vivement conseillée.

Cette nouvelle forme de full responsible disclosure, plus policée, plus « marketée », savamment publiée en période de grands événements infosec, vise essentiellement des secteurs sensibles, susceptibles d’attirer l’attention des médias grand public. Tout ça coûte moins cher qu’une page de publicité ou un stand dans les allées de la BlackHat.

Laisser une réponse