La garantie de sécurité que D. J. Bernstein offre pour djbdns et qmail consiste à offrir une somme d'argent à toute personne publiant un trou de sécurité sur l'un de ces deux logiciels. Et de se vanter bien fort que le prix ne soit jamais tombé. Un peu comme la page d'accueil d'OpenBSD qui a longtemps annoncé fièrement l'absence de vulnérabilité. Et puis c'est devenu l'absence de remote, puis celle de remote dans l'installation par défaut, puis un seul, et maintenant deux. Moins sexy tout de suite...

S'agissant de qmail, l'offre tient depuis 1997. Ça fait longtemps, et même très longtemps. Un peu trop longtemps en fait. D'ailleurs, en cherchant pas forcément très loin, on s'apercevra que le logiciel fait l'objet de quelques advisories. C'est que pour gagner le prix, il faut que l'auteur reconnaisse, selon ses propres critères, que le bug publié est effectivement une faille de sécurité imputable au logiciel. Ce qui n'a été pour aucune de ces publications, en particulier celles de Georgi Guninski par exemple. On pourrait discuter de la chose pendant des heures, mais toujours est-il que d'aucuns pensent que M. Bernstein ferait parfois preuve d'un poil de mauvaise foi.

Mauvaises langues qu'il voudra faire mentir en se montrant beau joueur face à un bug publié la semaine dernière par Matt Dempsky et qui va donc lui coûter 1000 dollars US. Il faut dire que l'exploitation de la faille aboutit à une sympathique corruption de cache DNS. Elle ne concerne certes que des configurations assez rares, voire extrêmement rares, mais côté impact, c'est de l'ordre de ce que l'autre Dan a publié l'été dernier.

On notera également la récente publication d'un papier qui avance une technique de corruption de cache spécifique à djbdns qui aboutirait en dix-huit minutes. La discussion qui s'en est suivie sur la liste de diffusion djbdns ne manque pas de... piquant...

Tout ça pour dire que le fait de promettre une somme d'argent à quiconque trouve un bug, ou lancer des challenges qui ne sont jamais gagnés, n'est en rien une preuve de sécurité. Ça peut être une preuve que le logiciel qui en fait l'objet n'intéresse personne. Ou encore que le défi proposé n'a aucun intérêt. Souvent, ça se solde par une preuve de mauvaise foi de la part des personnes qui les lancent quand le résultat n'est pas celui attendu...


Sinon, en parlant de challenge, l'ESIEA a lancé un concours d'algorithmique qui sera clos le 30 avril prochain, WinGineer. C'est ouvert à tous, mais si vous êtes en classe de terminale, vous pourrez prétendre à un prix, lequel couvre tout ou partie des frais de scolarité d'un cursus de l'école. À condition cependant que vous y soyez admis, bien évidemment[1]...

Les férus de sécurité n'y trouveront probablement pas leur compte[2] : rien à voir avec le regretté Challenge SecuriTech. Cependant, le principe est drôle et on peut vite se prendre au jeu. Ne serait-ce que parce que ça fait une façon de plus de perdre son temps :)

Les déçus pourront toujours ronger leur frein en attendant le CTF de la prochaine Defcon, dont quelques soumissions ont été mises en ligne avant la sélection finale la semaine prochaine. Et si c'est vraiment trop loin dans le temps, quelque chose me dit qu'un petit challenge devrait pointer le bout de son nez au SSTIC. Enfin... Si vous arrivez à passer la fameuse épreuve des inscriptions... :)

Notes

[1] Si vous sentez l'âme d'un trolleur, je vous suggère des endroits plus adaptés que mon blog pour vous lâcher...

[2] Encore que...