Commentaires : Vulnérabilités zero-day : est-il vraiment pertinent de les rendre publiques?

Avec la récente découverte de la faille Log4Shell
, été rendue publique avant qu’un patch soit officiellement disponible, une question revient : est-il bien raisonnable de dévoiler publiquement des zero-day ?

si log4j n’avait pas fait autant de bruit, ce serait resté dans un coin, à traiter plus tard après tout le reste. Hein ? Quoi ? Du budget pour la sécurité ? Pourquoi faire ?

Je trouve qu’il faut dénoncer les vulnérabilités car si un expert l’a trouvé, un pirate peut aussi faire de même. L’expert n’exploitera pas sa découverte mais le pirate oui. C’est à celui qui a réalisé le logiciel à faire en sorte de corriger le tir le plus rapidement possible.

Je crois aussi mais peut-être que je me trompe, ça peut aussi arranger la CIA et toute la clique d’agence d’espionnage. Et si il y avait dans les compilateurs un moyen d’ajouter des codes par ci par là sans que personne ne le voit (à moins de lire du code comme Néo :stuck_out_tongue: ), c’est super intéressant pour celui qui veut espionner.

Oups, je fais mon Snowden.

Il existe aussi des cas où le découvreur d’une faille informe la société éditrice, puis aucune nouvelle pendant plusieurs semaines. Il faut que la faille soit divulguée pour qu’ils se décident de publier un correctif, qui devient alors urgent. Il est clair qu’entre temps, des organisations malveillantes peuvent les exploiter.

1 « J'aime »

Il semble que le bug existe depuis des années sans provoquer ce bordel. J’ai passé tout le mois de Décembre à expliquer à mes clients (des banques) le qui-quoi-comment de ce bug. pfff… pénible. Mais sans cet alerte, on n’aurait rien fait non plus. Faut l’avouer. La pression était tellement grand qu’on a du réagir et patcher et expliquer.

PS: c’est ce qui arrive quand vous embarquez des librairies gratuits de Apache dans vos softs.