janvier 26th, 2011

Il s’appelle Sergey Glazunov, et a reçu jusqu’à présent près de 20 000 $ de « prime au bug » de la part de Google et de son programme 133,7 Prime. Il est surtout le premier chasseur de failles à avoir décroché la prime « El33t » du Chromium Security Award d’un montant de 3133,7 dollars, qui s’additionne à la longue liste de remerciements et de citations décrochées au fil de l’année passée. Une recherche du patronyme « Glazunov » sur le blog Google Chrome provoque une avalanche de dates et de découvertes : 8 juin, 20 août, 17 mars, 2 et 13 décembre, 2 et 15 septembre… et à chaque fois quelques billets verts qui tombent au passage. Cela rapporte plus qu’un peu de gloire et quelques prunes, et l’on se plaît à penser à la fortune qu’aurait pu amasser un Luigi Auriema ou un Thierry Zoller s’ils avaient voulu participer à cette campagne de déverminage. Un chercheur Français très connu a fait tout de même remarquer à notre rédaction que les sommes offertes par Google font presque figure d’obole comparées à ce que rapporte une vulnérabilité « weaponisée » (livrée avec un code d’exploitation fonctionnel) et vendues au Zero Day Initiative ou (dito) « mieux, à un gouvernement ».

Ce palmarès tout de même impressionnant obtenu par Glazunov prouve au moins deux choses : il est possible de vivre en ne faisant pratiquement que de la recherche en sécurité à partir du moment où celle-ci est entièrement vouée à l’amélioration d’un produit commercial ce qui laisse peu d’espoir de survie aux travailleurs du monde du Libre-et-gratuit ou aux chercheurs purs travaillant sur des projets complexes genre Honeynet. La seconde certitude, c’est qu’il existe une logique économiquement viable reposant sur une juste rétribution de l’inventeur sur les deniers de l’éditeur… et qui confirme le fait que si un Google achète 1300 $ un trou de sécurité de première catégorie et en tire de la publicité, il pourrait aussi être capable d’augmenter ladite prime. Une logique qui a encore beaucoup de mal à s’imposer en France, ou un chasseur de faille est, juridiquement parlant, passible des foudres de la LCEN.

Lecture humoristique et distrayante, que celle de Hacker Factor. Neal Krawetz y publie un billet intitulé « Open Source Sucks ». A ne surtout pas prendre au premier degré… enfin, pas complètement.

Qu’est qui est pourri dans le royaume de l’Open ?

– Les développeurs eux-mêmes qui prennent des attitudes de prima dona lorsqu’un quidam a l’impudence de leur annoncer un bug.

– Les noms des produits qui, au lieu d’annoncer clairement leur fonction (Paint, Write, Internet Explorer) tentent de confondre l’éventuel usager avec des noms de code : Lynx, Chrome, Konqueror… Là, Krawetz est assez charitable pour ne pas également épiloguer sur les numéros de version qui prennent rapidement des tournures de suite de Fibonacci : 6.04.314.42…

– Le coût réel lié à la période d’apprentissage (donc de non-productivité) des applicatifs du monde du libre, qui sont, estime l’auteur, moins bien « finis », moins bien documentés, et généralement d’une ergonomie moins travaillée.

– Le code source et la documentation dudit code, dont les noms de variables confinent parfois à l’abstrus et dont les « remarques et commentaires » dans le source rappellent le désert de gobie

– Le mode de fonctionnement de la licence GPL qui, telle un virus, contamine de son obligation d’ouverture tout programme contenant une portion de code GPL.

– La facilité d’utilisation, plus que relative car, pense Neil Krawetz, les programmes Open Source sont plus pensés en termes de performance que de simplicité d’usage. Un programmeur ne peut prétendre assumer seul les décisions concernant l’interface du programme qu’il écrit, sans le secours d’un spécialiste des « interfaces humaines et de l’intégration »

Troll ou éléments de réflexion ? Il faut admettre que Krawetz n’a pas tort sur bien des points. Il faudra attendre la semaine prochaine pour découvrir la seconde partie de l’article consacré aux « 6 points » qui font cette fois l’honneur des programmes Open Source.