Alerte

Inscrivez-vous

Zert, un club de « patcheurs » de ZDE

Edition du 30/09/2006 - par Marc Olanié

Les francs-tireurs de la rustine, les justiciers qui protègent le RSSI veuf et l'ordinateur orphelin viennent de se regrouper dans le cadre d'une organisation parallèle nommée le Zert, pour Zeroday, Emergency Response Team. Encore un club de hackers fournisseurs de « rustines non-officielles » ? Pas tout à fait. Les membres du Zert sont loin d'être des boy-scouts. On trouve des noms tels que Gadi Evron (qui n'a jamais lu ses alertes sur la M.L. « Full Disclosure » ?) Nick FitzGerald, un ex du Virus Bulletin, Dan Hubbard (Websense), qui en dit plus en réunion technique qu'en face d'un journaliste, Ilfak Guilfanov, l'auteur, avec Pierre Vandevenne, d'IDA Pro le désassembleur le plus utilisé dans le domaine du reverse engineering de sécurité... Il faut aussi ajouter Matt Murphy, un autre contributeur respecté du Full Disclosure, Thor Larholm, ex pourfendeur de trous non-corrigés chez Microsoft et auteur de PivX, Michael Lynn, l'ancien d'ISS et inventeur de l'attaque Cisco « IOS level »... Du beau linge, et du linge de confiance, qui n'a mis que 3 jours pour publier un correctif à la faille VML de la semaine passée.

« Ce Zorro de la sécurité provoquera une belle pagaille et une confusion totale dans l'esprit des usagers » entend-on déjà du coté des éditeurs. Pure spéculation diffamatoire. Car le Zert n'a qu'une seule et unique fonction : offrir une solution d'urgence lorsque l'alerte est qualifiée de critique (et uniquement dans ce cas précis) et que l'éditeur ne semble pas réagir -ou est connu pour ne réagir qu'après un délai sénatorial. Le Zert s'engage également à encourager l'usage des rustines proposées par l'éditeur dès que celles-ci sont disponibles, et propose même une procédure de désinstallation de ses propres bouchons (un « withdrawn patch ») afin de ne pas interférer avec les outils de déploiements d'un Microsoft, d'un Cisco, d'un Oracle... en bref, le Zert fournira le plus vite possible une trousse de première urgence utilisable « en attendant mieux », en précisant que le correctif fourni ne peut prétendre avoir subit tous les tests de régression possibles.

Ce que changera probablement le Zert, c'est la mentalité des entreprises susnommées. Le correctif anticipé n'était jusqu'à présent qu'une option laissée à l'appréciation régalienne d'un quarteron de décideurs à la fois juges et parties. Désormais, l'aiguillon de cette sorte de Force Onusienne des NTIC -qui ne fera usage de ses armes qu'en cas d'attaque caractérisée- incitera probablement les éditeurs à se montrer plus réactifs.

Vos commentaires

Rejoignez reseaux-telecoms.net, commentez cet article
Nombre de commentaires postés (0) - Lire tous les commentaires

L'ACTUALITÉ DU JOUR

La fronde enfle contre le fichier Edvige

De nombreuses critiques ciblent le fichier Edvige, un mois après la publication au (...)

Le FBI avertit de nouvelles attaques du vers Storm

Une vague de plaintes incite le FBI à émettre un avertissement sur un nouveau cycle (...)

Un hacker britannique menacé d'extradition aux Etats Unis va faire appel devant la cour des droits de l'homme à Strasbourg

Le hacker britannique Gary M (...)

Pékin filtre internet pour les journalistes présents aux Jeux Olympiques, avec l'accord du CIO

A quelques jours de l'ouverture des Jeux Olympiques, les autorités chinoises concrétisent (...)

Les archives multimédia de la Nasa rassemblées en ligne

La Nasa lance un site Web de contenu multimédia, mis au point avec Internet Archive, (...)

Les correctifs DNS posent des problèmes, les développeurs l'admettent

Les correctifs émis au début de ce mois de Juillet 2008 afin d'annuler une faille (...)

La majorité des données sensibles sur les portables des organismes gouvernementaux américains n'est pas chiffrée

Aux Etats Unis, seulement 30% des données sensibles sont chiffrées lorsqu'elles (...)

Articles récents

Alerte

Le FBI avertit de nouvelles attaques du vers Storm

(30/07/2) - Une vague de plaintes incite le FBI à émettre un avertissement sur un nouveau cycle (...)

Code d'attaque disponible pour la faille DNS

(24/07/2) - Des hackers ont délivré un logiciel qui exploite (...)

Attaques à venir suite à la révélation de détails sur la faille DNS

(24/07/2) - Des détails révélant les mécanismes de l'attaque des serveurs DNS ont été publiés (...)

Un spammer condamné à 30 mois de prison pour avoir inondé AOL

(17/07/2) - Adam Vitale, âgé de 27 ans, a été condamné à 30 mois de prison mardi 15 juillet pour (...)

Magazine

. Téléchargez le sommaire du magazine

. S'abonner au magazine

. Contactez la Rédaction

Documentation

Tous les articles

Les sites des banques américaines insécurisants par conception, selon l'université du Michigan

(26/07/2) - Les trois quarts des sites Web des banques américaines présentent des une conception (...)

Triplement des revenus de nombreux services de sécurité en ligne pour les entreprises d'ici 2013

(16/07/2) - Les services de sécurité disponibles en ligne ("cloud based") pour les (...)

La messagerie des grandes entreprises très mal authentifiée

(10/07/2) - Les attaques de phishing sont redoutables. Or, à peine 40% des 500 plus grosses entreprises (...)

Actualités RT

Orange se lance dans la vente de PC portables

(20/08/2) - A l'image de SFR qui avait réussi son coup en écoulant auprès des particuliers plusieurs (...)

Intel France s'allège de 18 salariés et de son patron en toute discrétion

(19/08/2) - Intel a mené en toute discrétion un plan de suppression de postes basé sur le volontariat (...)

Les smart phones ne représentent que 13% des mobiles vendus en Europe

(19/08/2) - Selon le cabinet d'études anglais Canalys, 12,6 millions de smart phones ont été (...)

LIVRES BLANCS

	> 21 juillet 2008 - Forrester Consulting : Optimizing Users And Applications In A Mobile World Cette étude réalisée par Forrester Research Inc pour la société Riverbed Technology porte sur le thème "Optimizing Users And Applications In A Mobile World". Pour en savoir plus ....

	> 23 juin 2008 - Les appliances Steelhead et Steelhead Mobile : une collaboration en temps réel pour Golder Golder Associates voulait une bonne performance WAN pour son intranet. Le boitier Steelhead de Riverbed était rapide et s'est facilement intégré au réseau Cisco. Steelhead Mobile a amélioré la performance des utilisateurs nomades.

	> 18 juin 2008 - Comment garantir la sécurité de l'entreprise étendue? Comment garantir la sécurité de l'entreprise étendue ? Ce Cahier Thématique propose un panorama des services de sécurité qui entrent en oeuvre dans le cadre de l'entreprise étendue, fondé sur les analyses des experts de Verizon Business, RSA, Fortinet ou AlgoSec.

	> 30 avril 2008 - Importance de la BI : Evaluation des avantages de la Business Intelligence Dans toute société, grande ou petite, les collaborateurs sont amenés à prendre des dizaines de décisions par jour : accorder une remise à un client, réassortir le stock, etc. ces décisions reposent parfois sur des faits concrets, mais plus souvent sur les connaissances, sur l'expérience ou sur des règles élémentaires.

Tous les Livres Blancs | Par Date | Par Thèmes | Par Sponsors

PARTENAIRES

. Web-profils.com, la place de marché du conseil et de l'ingénierie

Copyright © Réseaux et Télécoms 2003-2008
Toute reproduction ou représentation intégrale ou partielle, par quelque procédé que ce soit, des pages publiées sur ce site, faite sans l'autorisation de l'éditeur ou du webmaster de Réseaux et Télécoms est illicite et constitue une contrefaçon. IT News Info s'est engagé à respecter la confidentialité des données personnelles régies par la loi 78-17 du 6 janvier 1978.

	A propos	Contacts

Les sites d'IT News Info : Actualité du monde IT -Sécurité des systèmes d'information - Management des systèmes d'information - Actualité des grossistes informatiques - Actualité high tech et usage du numérique