Documentation

Inscrivez-vous

Miller sur la Valeur des failles

Edition du 10/03/2006 - par Marc Olanié"

>« Lorsqu'un éditeur est mis au courant de l'existence d'une faille, il y a de fortes chances pour que cette information ne soit pas de toute première fraîcheur... et ce n'est pas franchement rassurant » dit en substance Jason Miller du Security Focus. Son éditorial, « The value of vulnerabilities », reprend les principaux arguments en faveur d'une divulgation responsable, dénonçant la politique du silence autant que la communication non concertée. Miller aborde également, tout comme Danchev, l'épineux problème soulevé par TippingPoint ou iDefense, les principaux « acheteurs officiels de failles ». « Avec de telles pratiques, des chasseurs de failles peuvent envisager vivre avec le montant des primes et ne limiter son activité qu'à cette seule pratique... c'est particulièrement inquiétant » estime l'auteur.

Tant Danchev que Miller sous-entendent plus qu'ils ne dénoncent un nouvel aspect du problème de la divulgation : l'influence directe du secret de l'information sur le développement du « crime business » : le silence de certains éditeurs est en passe de friser la complicité criminelle : en ne prévenant pas les usagers d'un risque potentiel connu, et même en l'absence de correctifs achevés, un vendeur de logiciels contribue au masquage de l'activité de pirates ou de « grey hats » exploitant ladite faille. C'est de la complicité passive. Du temps de Windows 95, le discours « moins on en parle, plus on a le temps de développer une rustine solide » pouvait se justifier. Après tout, les pirates n'étaient pas si nombreux et se montraient particulièrement peu discrets. Mais à notre époque, nul concepteur de programme ne peut jurer que la collection de trous qu'il possède n'est pas déjà utilisée par des polluposteurs ou des pratiquants du keylogging et du Cheval de Troie... voire pire. Lesquels pirates, à leur tour, utilisent ces trous avec une subtilité de plus en plus achevée. En prenant de la valeur sur le marché noir, le trou de sécurité subit également les contraintes du R.O.I. : un bon trou est un trou qui dure et qui doit être amorti.

Pour l'heure, ceux qui profitent de cette situation sont les vendeurs d'IPS et autres outils et services de détection et de blocage. « Comment se protéger d'une faille connue, divulguée et non colmatée ? Mais grâce à nous bien sur »... encore faudrait-il que ceux qui tiennent ce discours, industriels du firewall ou spécialistes des « managed services », ne soient pas précisément les mêmes qui, par des primes à la découverte de faille, provoquent et accélèrent la disparition de l'éthique du milieu.

Rejoignez reseaux-telecoms.net, commentez cet article
Nombre de commentaires postés (0) - Lire tous les commentaires

L'ACTUALITÉ DU JOUR

Un salarié licencié pour avoir envoyé des emails personnels

On peut être licencié pour avoir envoyé des emails personnels depuis sa messagerie (...)

iOS 6 a son jailbreak

Le jailbreak publié sur le site evasiOn fonctionne sur tous les modèles d'iPhone, (...)

T-Mobile authentifie de manière forte 15000 employés via leur mobile

L'opérateur mobile T-Mobile authentifie 15 000 collaborateurs via leurs téléphones (...)

La cybercriminalité va faire l'objet d'un énième rapport du ministère de l'intérieur

Le ministère de l'intérieur entend mieux piloter la lutte contre la cybercriminalité. (...)

Mega déjà mis en cause pour violation de propriété intellectuelle

Le site de stockage et de partage de fichiers Mega a supprimé du contenu violant (...)

Virus Gozi : trois accusés devant la justice américaine

Aux Etats-Unis, trois personnes accusés d'avoir créé et diffuser le virus Gozi qui (...)

Débat sur la sécurité sur Mega

Mega, le service de stockage et de partage de fichiers de Kim Dotcom, fait l'objet (...)

Articles récents

Documentation

La cybersécurité vue par les gendarmes

(18/01/2) - En attendant l'ouverture du Cinquième Forum International de la Cybersécuri (...)

Coût de la sécurité : 38 euros par employé dans une PME, contre 110 euros dans une grande entreprise

(03/01/2) - L'éditeur de solutions de sécurité Kaspersky Lab, a fait réalisé une enquête internationale (...)

Qosmos accusé de vente d'outils DPI à la Syrie

(26/07/2) - Deux associations ont déposé plainte contre la société Qosmos, pour avoir fourni (...)

CDSE : prévenir et réagir face aux pertes de données

(07/01/2) - Le Club des Directeurs de Sécurité des Entreprises édite une revue quadrimestrielle (...)

Magazine

. Téléchargez le sommaire du magazine

. S'abonner au magazine

. Contactez la Rédaction

Alertes

Toutes les alertes

Toujours des failles béantes dans Java 7 u11

(21/01/2) - Selon les chercheurs de Security Explorations, la dernière mise à jour de Java, la (...)

Le framework Java Spring victime d'une faille majeure

(18/01/2) - L'entreprise de sécurité Aspect Security a identifié une faille majeure dans le framework (...)

Le routeur Linksys WRT54G de Cisco intègre bien une faille de sécurité

(18/01/2) - L'équipementier américain a confirmé la découverte d'une faille dans un routeur de (...)

Actualités RT

Microsoft Azure, champion des pannes

(20/06/2) - Un groupe de travail international sur la résilience du cloud computing (IWGCR), (...)

Téléphoner tout en partageant du multimédia

(20/06/2) - Joyn est pour le moment accessible via l'application « Joyn by Orange » (qui remplace (...)

Huawei fait tout en finesse avec l'Ascend P6

(20/06/2) - Avec seulement 6,18 mm d'épaisseur, l'Ascend P6 de Huawei revendique le titre de (...)

LIVRES BLANCS

	> 21 juin 2013 - Pourquoi les DSI doivent prendre le contrôle des données clients En Utilisant la gestion des données de référence pour créer des vues précises et fiables des clients, la DSI optimise les performances et la réussite de son entreprise. Ce livre blanc montre les conséquences de l'utilisation de données clients non intégrées pour les entreprises et met en évidence la position privilégiée des DSI et autres hauts responsables informatiques dans le cadre du contrôle des données clients grâce aux technologies de gestion de données. Par des exemples concrets d'entreprises qui utilisent ces technologies à des fins de centricité client, vous verrez comment vous pouvez accroître votre chiffre d'affaires, augmenter votre rentabilité et améliorer votre efficacité opérationnelle tout en réduisant vos coûts tant coté métier qu'informatique.

	> 18 juin 2013 - Les Objectifs des entreprises et leur impact sur l'informatique. Les technologies utilisées aujourd'hui en entreprise sont de plus en plus complexes. Dans ce nouveau contexte, les données des entreprises doivent pouvoir être consultées, partagées et utilisées plus rapidement et par une plus grande diversité d'employés, de fournisseurs et de clients. Sur le plan de la sécurité informatique, cela signifie que les méthodes et outils de protection développés il y a seulement quelques années sont finalement inadaptés. Si la plupart des professionnels de l'informatique en sont bien conscients, force est de constater que peu d' entreprises acceptent de réaliser les investissements nécessaires pour mettre en place une solution adaptée et évolutive. Le présent guide tient compte de ces difficultés et passe en revue les arguments en faveur de l'évolution et de l'amélioration de la sécurité informatique. Ce guide présente des faits qui vous aideront à constituer un argumentaire convaincant, à répondre aux exigences de votre entreprise et à vous protéger des menaces actuelles et futures.

	> 18 juin 2013 - Aller au-delà du BYOD et passer au mobile avant tout : une approche stratégique en trois étapes pour les directeurs informatiques La Mobilité change complétement les manières de travailler. Mais il faut un politique "mobile avant tout" visant à exploiter tout son pouvoir. Ce livre blanc réponds à la question pourquoi une infrastructure mobile mérite une priorité absolue et donne ainsi à la DSI, les trois étapes gagnantes pour réussir à mettre "mobile avant Tout" et de récolter les fruits.

	> 18 juin 2013 - BYOD Data-Centric : Donner à tout le monde ce qu'ils veulent (en toute sécurité) Dans le monde du travail, aujourd'hui, on est tous accros aux appareils mobiles. Pour faire face à cela, les entreprises recherchent des programmes BYOD économique et simple permettant d'avoir les applications d'entreprise et les accès au réseau à partir des appareils appartenant aux employés. Mais en soutenant les dispositifs des salariés, l'entreprise ont tendance à exercer, soit très peu de contrôle, soit un contrôle quasi étouffant. Ce document de 7 pages répond à cette problématique et montre que l'on peut satisfaire à la fois les employés et les services informatiques.

Tous les Livres Blancs | Par Date | Par Thèmes | Par Sponsors

PARTENAIRES

. Web-profils.com, la place de marché du conseil et de l'ingénierie

Signaler une erreur | Contactez-nous | Infos légales | Recevez les Newsletters | Abonnez-vous aux Flux RSS

Reseaux-Telecoms.net est un site
du groupe IT News Info,
certifié par l'OJD

Actualité du monde IT - Management des systèmes d'information - Actualité des grossistes informatiques - Actualité high tech et usage du numérique - Magazine pour homme

Copyright © Reseaux-Telecoms.net 2003-2013
Toute reproduction ou représentation intégrale ou partielle, par quelque procédé que ce soit, des pages publiées sur ce site,
faite sans l'autorisation de l'éditeur ou du webmaster du site Reseaux-Telecoms.net est illicite et constitue une contrefaçon.
IT News Info s'est engagé à respecter la confidentialité des données personnelles régies par la loi 78-17 du 6 janvier 1978.