wslabi - mises aux enchères des bugs sécurité
WSlabi - mises aux enchères des bugs sécurité
site officiel : http://www.wslabi.com/
source : blogs.techrepublic.com.com
Présentation
A mon stage, je suis tombé sur une news assez intéressante de TechRepublic : A site to auction off vulnerabilities. Comme indiqué sur http://blogs.techrepublic.com.com/tech-news/?p=773&tag=nl.e118, l'idée est de permettre aux chercheurs/experts sécurité de mettre en vente des listes de vulnérabilités qu'ils ont découvertes, le but étant de pouvoir en tirer profit.
Il faut en effet savoir que ce n'est pas le cas actuellement et que c'est donc généralement "gentillement" que les bugs sont envoyés aux sociétés responsables des projets.
Avec WabiSabiLabi, l'idée est de pouvoir mettre ces découvertes sous formes d'enchères ... controlées.
http://www.wslabi.com/
http://www.wslabi.com/wabisabilabi/initPublishedBid.do?
A première vue, cela peut choquer. Pour dire la vérité, en voyant ça, ma tête à faire un tour !
Mais bon, après cette pause de quelques secondes à mon stage (!), je me suis dit "oui mais ...", ils ont des raisons qui justifient la mise en place de ce site.
Ce que wslabi.com va / peut changer
Bien sûr, cela peut poser plusieurs problèmes, mais je pense que le premier est que cela va changer pas mal la donne dans ce domaine de la découverte des bugs !
A mon avis, je pense que cela est une bonne chose si l'on regarde du coté des chercheurs/experts qui se faisaient proprement exploiter sur l'affaire :
- trouvent des bugs
- les donnent gratuitement à l'éditeur
- celui en fait un pack et prétend aux clients de fournir un SAV important, sans forcément citer les personnes externes à la boîte et pourtant participant à ce service !
Enfin, il ne faut pas oublier le cycle de diffusion que doit / devait respecter la personne ayant découvert le bug :
1) PoC - annonce de la découverte d'un bug (sans donner le PoC, bien sûr !)
2) envoi à la boîte qui la plupart du temps ne réponds pas / ne dit pas merci voir pire
3) attendre un bon mois que le bug soit corrigé (qui a dit plus :D)
4) ouf ... il peut mettre le PoC en ligne, faire des explications
Bref, lourd à gérer et bénévole ...
Mais bon, maintenant, est-ce que ce principe de mise aux enchères est une bonne solution ?
Contrairement à mon attente, il y a peu de réponses sur le blog de techerpublic, espérons que cela va changer !
Quelques liens utiles décrivant le site wslabi
http://www.zone-h.org/content/view/14793/31/
http://www.vnunet.com/vnunet/news/2193550/security-exchange-trades-zero
Publicité