« Si j’avais émis une alerte en suivant les canaux traditionnels, personne ne m’aurait écouté » avait déclaré en substance Tavis Ormandy lors de la divulgation de la faille help center protocol . Faille depuis « contournée » mais pas corrigée. D’ailleurs, comme pour donner raison à Ormandy, les équipe sécurité ont tout d’abord minimisé la dangerosité de la découverte, expliquant à qui voulait bien l’entendre que l’accès physique à la machine cible était nécessaire pour que l’attaque fonctionne.
Depuis, des exploitations distantes de ladite faille sont apparues, et seraient même en nette progression, particulièrement en Espagne et en Russie nous apprend Holly Stewart du MMPC. Il semblerait en effet qu’un exploit se soit rapidement répandu à partir du 21 du mois dernier. Du coup, la faille d’Ormandy passe du statut de « broutille insignifiante découverte par un pinailleur technoïde » au rang envié de « catastrophe catastrophique divulguée par un dangereux irresponsable ».
En réaction à ces propos, un groupe d’habitués de la liste Full Disclosure réplique en fondant le Microsoft-Spurned Researcher Collective (dont les initiales, MSRC, rappellent celles du Microsoft Security Response Team). Le but de ce MSRC là (l’autre !)est de publier, par mesure de rétorsion, toute faille que découvrirait un de ses membres. Les hostilités sont ouvertes le 30 juin et semblent indiquer qu’il se prépare un été relativement chaud dans le plus pur style du Month of Microsoft Bug .
Les tords sont partagés. Les réactions épidermiques de ces deux MSRC ne sont que le reflet de frustrations humaines, relativement éloignées des efforts respectifs que prodiguent à la fois les développeurs de Microsoft pour intégrer à Windows SDL et chasse au bugs, et d’autre part les chercheurs indépendants qui, à de très rares exceptions, respectent une certaine politique morale de divulgation (même si ce n’est pas toujours celle souhaitée par Microsoft). Il est sur le marché des éditeurs considérablement plus amoureux du secret et du non-dit qui mériteraient 1000 fois plus les foudres d’un tel response team.
2 commentaires