juillet 1st, 2010

« Loin de moi l’idée de vouloir empoisonner l’atmosphère, mais, cher confrère, avez-vous remarqué combien votre système de certification était faisandé ? » dit en substance le communiqué public émis par Comodo à l’attention des ingénieurs de Verisign. Une vulnérabilité (dont les détails techniques n’ont pas été divulgués) mettrait en danger les usagers des certificats SSL Web de Verisign, et notamment les clients d’un « important organisme financier » (Bank of America) dont l’accès aux comptes pourrait se faire sans la moindre vérification d’authenticité. Le reste du communiqué est à l’avenant : « When we uncovered this serious security vulnerability, we knew we had to do the right thing to notify VeriSign immediately to correct the design problem … ». Charitable pensée de la part de Comodo qui, soyons en sûr, ne se transformera pas en dragon vengeur si d’aventure un chercheur en sécurité parvenait à découvrir une paille dans un de leurs services. Si le « full disclosure » est concurrencé par les communiqués de presse des concurrents, qui donc va-t-on poursuivre sous prétexte de « divulgation irresponsable » ?

Le « software group » d’IBM va s’enrichir d’une nouvelle équipe provenant de BigFix, entreprise actuellement en cours de rachat. BigFix est une entreprise spécialisée dans les logiciels de détection de « conformité sécurité » des stations de travail se connectant à un réseau (mise à niveau d’antivirus, paramètres des firewall, application des correctifs etc).