Le 1 juillet 2009 Aucun Commentaire 1 July 2009 No Comment

bien aujourd'hui est le premier jour de juillet et cela signifie que c'est aussi le premier jour du mois d'insectes de gazouillement. comme le 'mois passé de X insectes, chaque jour une vulnérabilité de sécurité se rapportant au produit/service asservi (dans ce cas-là le gazouillement) sera révélée au public. well today is the first day of july and that means it’s also the first day of the month of twitter bugs. like past ‘month of X bugs’, each day a security vulnerability relating to the subject product/service (in this case twitter) will be disclosed to the public.

pourquoi révèlent-ils ces vulnérabilités au public ? comme avec n'importe quel exercice dans la pleine divulgation l'idée est de forcer la compagnie (s) impliquée pour devenir plus sérieuse et fixer la vulnérabilité révélée. la pleine divulgation met les renseignements dans la sphère publique pour que beaucoup de personnes soient conscientes de cela et quelque chose d'aussi saisissant l'attention qu'un ‘mois de X insectes’ les captures même plus de part de l'esprit et le reçoit que beaucoup plus près au courant dominant.why are they disclosing these vulnerabilities to the public? as with any exercise in full disclosure the idea is to force the company(ies) involved to clean up their act and fix the disclosed vulnerability. full disclosure puts the information into the public sphere so that many people are aware of it and something as attention-grabbing as a ‘month of X bugs’ captures even more mind-share and gets it that much closer to the mainstream.

dans la théorie c'est bon pour le public. dans la théorie les chercheurs faisant la divulgation font une bonne action parce qu'ils se soucient de la sécurité et de la compagnie (s) ils sont pantsing sont des rustres paresseux, arrogants qui ne se soucient pas de la sécurité ou du public et qui a besoin d'être forcé dans l'action de la bonne chose. et en fixant censément les insectes individuels les chercheurs de vulnérabilité s'identifient est la bonne chose à faire.in theory this is good for the public. in theory the researchers doing the disclosure are doing a good deed because they care about security and the company(ies) they’re pantsing are lazy, arrogant boors who don’t care about security or the public and who need to be forced into doing the right thing. and supposedly fixing the individual bugs the vulnerability researchers identify is the right thing to do.

mais et si la théorie est incorrecte ? pas toutes les compagnies sont créées égales (ni sont tous les chercheurs de vulnérabilité d'ailleurs). personne ne sait ce qui continue à l'intérieur d'une compagnie sauf les gens à l'intérieur de cette compagnie. il est possible qu'une compagnie donnée puisse travailler en fait sur une mise à niveau complète à leur posture de sécurité qui obvierait aux andains d'insectes en incluant ceux qui sont identifiés par les chercheurs extérieurs. mais cela devrait être retardé et le temps de la compagnie gaspillé pour qu'ils puissent retrouver ces insectes individuels alternativement pour avoir l'air de faire quelque chose. tel est la conséquence de déplacer la notification de vulnérabilité à la sphère publique.but what if the theory is wrong? not all companies are created equal (nor are all vulnerability researchers for that matter). nobody knows what goes on inside a company except the people inside that company. it’s possible that a given company may actually be working on a comprehensive upgrade to their security posture that would obviate swaths of bugs including the ones that get identified by outside researchers. but that would have to be delayed and the company’s time wasted so that they can chase down these individual bugs one at a time in order to appear to be doing something. such is the consequence of shifting vulnerability notification to the public sphere.

maintenant, je ne vais pas être déloyal et suggérer que c'est ce qui arrive tout le temps ou même la plupart du temps, mais étant dans le développement de logiciel je me sens confiant que cela arrive un peu de temps. now, i’m not going to be disingenuous and suggest this is what happens all the time or even most of the time, but being in software development i feel confident that it is happening some of the time.

de pleins praticiens de divulgation externes n'ont aucune façon de savoir que, cependant, je n'ai non plus vu d'indication qu'ils se soucient. en dépit de l'idéologie chaude et crépue derrière la pratique, la pleine divulgation est une application de force. c'est un exercice dans la coercition, un exemple d'utiliser des relations publiques pour tourner une compagnie à la propre volonté du chercheur de vulnérabilité parce que censément le chercheur sait mieux que la compagnie ce qui est le meilleur pour les utilisateurs de la compagnie.external full disclosure practitioners have no way to know that, however, nor have i seen any indication that they care. despite the warm and fuzzy ideology behind the practice, full disclosure is an application of force. it is an exercise in coercion, an example of using public relations to bend a company to the vulnerability researcher’s own will because supposedly the researcher knows better than the company what is best for the company’s users.

je ne suis plus un fan de compagnies paresseuses, arrogantes, grossières que le gars suivant, mais les 3èmes partis belligérants quitte un mauvais goût dans ma bouche aussi. i’m no more a fan of lazy, arrogant, boorish companies than the next guy, but belligerent 3rd parties leave a bad taste in my mouth too.