Il y a maintenant plusieurs mois que ce blog n'avait plus parlé de disclosure, full ou partial, SCADA ou pas, cela ne revêt pas vraiment d'importance. Probablement parce que le sujet est traité depuis des années par d'autres confrères bien plus légitimes sur un sujet Ô combien délicat (je pense à Sid en particulier). Sûrement aussi parce que sœur Anne n'avait rien vu venir de vraiment croustillant depuis une certaine polémique au dernier TakeDown(Conference).
Pourtant, un pas peut-être historique a été franchi par Secunia, l'un des tous premiers acteurs (si ce n'est le premier) de gestion des incidents de sécurité. Qui est donc en pointe en matière de recherches de vulnérabilités (logicielles) et dont le service d'alerte (payant) intéresse de nombreuses sociétés dans des secteurs aussi divers que l'automobile, l'aéronautique, le spatial, etc. Bref, nombre d'entreprises développant des équipements pouvant embarquer du logiciel.
Secunia propose un programme d'initiative un peu particulier, le SVCRP, puisqu'il récompense (mais ne rétribue pas, petite nuance) tout découvreur de faille(s) qui l'en informerait. On a là un système intelligent, presque symbiotique, puisque le découvreur de la faille n'est plus un dangereux délinquant vautré dans l'illégalité (même et peut-être surtout si c'est un white hat !), qu'il est récompensé par des nuits d'hôtel ou des bons d'achat et peut même être cité publiquement s'il le désire. Ce qui contribue à une visibilité accrue du chercheur.
Pourtant, un pas peut-être historique a été franchi par Secunia, l'un des tous premiers acteurs (si ce n'est le premier) de gestion des incidents de sécurité. Qui est donc en pointe en matière de recherches de vulnérabilités (logicielles) et dont le service d'alerte (payant) intéresse de nombreuses sociétés dans des secteurs aussi divers que l'automobile, l'aéronautique, le spatial, etc. Bref, nombre d'entreprises développant des équipements pouvant embarquer du logiciel.
Secunia propose un programme d'initiative un peu particulier, le SVCRP, puisqu'il récompense (mais ne rétribue pas, petite nuance) tout découvreur de faille(s) qui l'en informerait. On a là un système intelligent, presque symbiotique, puisque le découvreur de la faille n'est plus un dangereux délinquant vautré dans l'illégalité (même et peut-être surtout si c'est un white hat !), qu'il est récompensé par des nuits d'hôtel ou des bons d'achat et peut même être cité publiquement s'il le désire. Ce qui contribue à une visibilité accrue du chercheur.
Cette initiative originale est particulièrement intéressante puisqu'elle "dépénalise" d'une certaine manière la découverte et l'annonce de vulnérabilités, que l'auteur en est récompensé même si la découverte n'a pas de valeur commerciale ensuite (cas du système qui était jusqu'à présent le seul existant) et qu'il y a une amélioration de l'efficacité puisque les découvertes sont laissées à la charge des chercheurs tandis que le processus aval de qualification (le "scoring") de la faille et sa mise à disposition (commerciale ou non) est du ressort de Secunia.
Aucun commentaire:
Enregistrer un commentaire