wslabi - mises aux enchères des bugs sécurité

Publié le par AiSpirit


WSlabi - mises aux enchères des bugs sécurité
site officiel : http://www.wslabi.com/
source : blogs.techrepublic.com.com


Présentation

A mon stage, je suis tombé sur une news assez intéressante de TechRepublic : A site to auction off vulnerabilities. Comme indiqué sur http://blogs.techrepublic.com.com/tech-news/?p=773&tag=nl.e118, l'idée est de permettre aux chercheurs/experts sécurité de mettre en vente des listes de vulnérabilités qu'ils ont découvertes, le but étant de pouvoir en tirer profit.

Il faut en effet savoir que ce n'est pas le cas actuellement et que c'est donc généralement "gentillement" que les bugs sont envoyés aux sociétés responsables des projets.

Avec WabiSabiLabi, l'idée est de pouvoir mettre ces découvertes sous formes d'enchères ... controlées.

http://www.wslabi.com/

http://www.wslabi.com/wabisabilabi/initPublishedBid.do?

A première vue, cela peut choquer. Pour dire la vérité, en voyant ça, ma tête à faire un tour !
Mais bon, après cette pause de quelques secondes à mon stage (!), je me suis dit "oui mais ...", ils ont des raisons qui justifient la mise en place de ce site.

Ce que wslabi.com va / peut changer

Bien sûr, cela peut poser plusieurs problèmes, mais je pense que le premier est que cela va changer pas mal la donne dans ce domaine de la découverte des bugs !

A mon avis, je pense que cela est une bonne chose si l'on regarde du coté des chercheurs/experts qui se faisaient proprement exploiter sur l'affaire :
- trouvent  des bugs
- les donnent gratuitement à l'éditeur
- celui en fait un pack et prétend aux clients de fournir un SAV important, sans forcément citer les personnes externes à la boîte et pourtant participant à ce service !

Enfin, il ne faut pas oublier le cycle de diffusion que doit / devait respecter la personne ayant découvert le bug :
1) PoC - annonce de la découverte d'un bug (sans donner le PoC, bien sûr !)
2) envoi à la boîte qui la plupart du temps ne réponds pas / ne dit  pas merci  voir pire
3) attendre un bon mois que le bug soit corrigé (qui a dit plus :D)
4) ouf ... il peut mettre le PoC en ligne, faire des explications

Bref, lourd à gérer et bénévole ...

Mais bon, maintenant, est-ce que ce principe de mise aux enchères est une bonne solution ?

Contrairement à mon attente, il y a peu de réponses sur le blog de techerpublic, espérons que cela va changer !

Quelques liens utiles décrivant le site wslabi

http://www.zone-h.org/content/view/14793/31/
http://www.vnunet.com/vnunet/news/2193550/security-exchange-trades-zero
Publicité
Pour être informé des derniers articles, inscrivez vous :
Commenter cet article