Tuesday, April 7, 2009

Vulnerability Disclosure en 2009

Il semblerait que personne n'apprenne quoi que ce soit. Jamais. Ca serait con de tirer des lecons des erreurs des autres hein?

Curieusement, le seul editeur a avoir regulierement progresse dans le domaine du "on-va-eviter-de-tenter-de-cacher-des-trucs-et-se-faire-refaire-le-trou-du-cul-deux-jours-plus-tard" est Microsoft. Bravo a eux. Ils ont appris ca en 2004, et depuis ils ne le refont plus. Quelques hoquets ici et la, mais globalement OK.

Nous voici en 2009. Certaines compagnies que je vais eviter de citer (en fait j'en ai une seule en tete), pensent toujours en 2009 que ce genre de comportement est non seulement acceptable, mais va leur eviter d'avoir a annoncer que leur produit (certifie EAL 4 machin-truc) n'est pas si solide que ca (comprenez "a-chier-EL-OH-EL").

Sur ce coup la, je me suis fait avoir mechamment, et je suis furieux. Non seulement ce bug n'aurait jamais du etre "disclosed". Mais la gestion qui en est faite en ce moment est pitoyable. C'est ridicule. Je ne peux malheureusement pas controler ce que les "hautes autorites" decident. Et je n'ai qu'a executer. Super. Maintenant on me demande de la fermer. Ce n'est plus ce que c'etait.

Edit: Quelques lignes de Burn After Reading

CIA Superior: What did we learn, Palmer?
CIA Officer: I don't know, sir.
CIA Superior: I don't fuckin' know either. I guess we learned not to do it again.
CIA Officer: Yes, sir.
CIA Superior: I'm fucked if I know what we did.
CIA Officer: Yes, sir, it's, uh, hard to say
CIA Superior: Jesus Fucking Christ.

4 comments:

  1. Pour chaque 0DayZ qui leak, dieu tue un chaton.

    Bastards.

    ReplyDelete
  2. Serais-tu en train de sous-entendre que les agences gouvernementales ont des politiques relativement similaires dans tous les pays occidentaux ?

    Dans ce cas tu peux revenir :)

    ReplyDelete
  3. Surtout qu'on a des failles plus typiques chez nous.

    ReplyDelete
  4. De toute façon la certification EAL4+ c'est très surfait de nos jours: même ISA Server 2006 l'a obtenue !

    ReplyDelete