L'email à 1000 dollars...
Par Sid,
vendredi 6 mars 2009 à 08:50 :: (In)Sécurité
:: lu 2721 fois :: #326
:: rss
:: atom
Read it in english with Google
l y a pleins de manières de justifier l'emploi d'un OS ou d'un logiciel plutôt qu'un autre quand on en vient aux considérations de sécurité. Le problème, c'est qu'il y en a plus de mauvaises raisons que de bonnes. Le décompte du nombre de failles affectant tel ou tel produit est un exemple de métrique clairement contestable. Certains essayent de lui rendre un peu de sens en la pondérant par la criticité, sans trop de succès. L'approche adoptée dans l'étude qui vient d'être publié par Secunia à propos de nos chers navigateurs est plus intéressante en ce qu'elle considère le temps de patch. Le problème de ces arguments, c'est qu'ils sont incomplets et demandent un minimum de compréhension de la part de celui qui les manipule.
Et puis à côté de ça, on a des arguments carrément vides de sens. Comme par exemple celui qui voudrait que parce qu'il est libre, un logiciel est forcément mieux écrit que son pendant propriétaire. Mais un de ceux que je préfère dans cette catégorie est la "djbdns security guarantee" que certains avancent pour justifier la sécurité de ce serveur DNS. Non pas que je considère ce logiciel comme mauvais de ce point de vue, mais que de toute les raisons de l'utiliser, cette dernière est probablement la plus mauvaise. Et bien le truc sympa, c'est qu'on devrait l'entendre un peu moins, maintenant qu'elle vient d'être mise à l'épreuve avec succès...
La garantie de sécurité que D. J. Bernstein offre pour djbdns et qmail consiste à offrir une somme d'argent à toute personne publiant un trou de sécurité sur l'un de ces deux logiciels. Et de se vanter bien fort que le prix ne soit jamais tombé. Un peu comme la page d'accueil d'OpenBSD qui a longtemps annoncé fièrement l'absence de vulnérabilité. Et puis c'est devenu l'absence de remote, puis celle de remote dans l'installation par défaut, puis un seul, et maintenant deux. Moins sexy tout de suite...
S'agissant de qmail, l'offre tient depuis 1997. Ça fait longtemps, et même très longtemps. Un peu trop longtemps en fait. D'ailleurs, en cherchant pas forcément très loin, on s'apercevra que le logiciel fait l'objet de quelques advisories. C'est que pour gagner le prix, il faut que l'auteur reconnaisse, selon ses propres critères, que le bug publié est effectivement une faille de sécurité imputable au logiciel. Ce qui n'a été pour aucune de ces publications, en particulier celles de Georgi Guninski par exemple. On pourrait discuter de la chose pendant des heures, mais toujours est-il que d'aucuns pensent que M. Bernstein ferait parfois preuve d'un poil de mauvaise foi.
Mauvaises langues qu'il voudra faire mentir en se montrant beau joueur face à un bug publié la semaine dernière par Matt Dempsky et qui va donc lui coûter 1000 dollars US. Il faut dire que l'exploitation de la faille aboutit à une sympathique corruption de cache DNS. Elle ne concerne certes que des configurations assez rares, voire extrêmement rares, mais côté impact, c'est de l'ordre de ce que l'autre Dan a publié l'été dernier.
On notera également la récente publication d'un papier qui avance une technique de corruption de cache spécifique à djbdns qui aboutirait en dix-huit minutes. La discussion qui s'en est suivie sur la liste de diffusion djbdns ne manque pas de... piquant...
Tout ça pour dire que le fait de promettre une somme d'argent à quiconque trouve un bug, ou lancer des challenges qui ne sont jamais gagnés, n'est en rien une preuve de sécurité. Ça peut être une preuve que le logiciel qui en fait l'objet n'intéresse personne. Ou encore que le défi proposé n'a aucun intérêt. Souvent, ça se solde par une preuve de mauvaise foi de la part des personnes qui les lancent quand le résultat n'est pas celui attendu...
Sinon, en parlant de challenge, l'ESIEA a lancé un concours d'algorithmique qui sera clos le 30 avril prochain, WinGineer. C'est ouvert à tous, mais si vous êtes en classe de terminale, vous pourrez prétendre à un prix, lequel couvre tout ou partie des frais de scolarité d'un cursus de l'école. À condition cependant que vous y soyez admis, bien évidemment[1]...
Les férus de sécurité n'y trouveront probablement pas leur compte[2] : rien à voir avec le regretté Challenge SecuriTech. Cependant, le principe est drôle et on peut vite se prendre au jeu. Ne serait-ce que parce que ça fait une façon de plus de perdre son temps :)
Les déçus pourront toujours ronger leur frein en attendant le CTF de la prochaine Defcon, dont quelques soumissions ont été mises en ligne avant la sélection finale la semaine prochaine. Et si c'est vraiment trop loin dans le temps, quelque chose me dit qu'un petit challenge devrait pointer le bout de son nez au SSTIC. Enfin... Si vous arrivez à passer la fameuse épreuve des inscriptions... :)
Notes
[1] Si vous sentez l'âme d'un trolleur, je vous suggère des endroits plus adaptés que mon blog pour vous lâcher...
[2] Encore que...
Commentaires
1. Le vendredi 6 mars 2009 à 10:53, par haypo
2. Le vendredi 6 mars 2009 à 11:10, par jme
Réponse de Sid
3. Le vendredi 6 mars 2009 à 22:18, par newsoft
4. Le dimanche 8 mars 2009 à 04:55, par OlivierJ
Réponse de Sid
5. Le lundi 9 mars 2009 à 08:11, par Franck
Réponse de Sid
Ajouter un commentaire
Les commentaires pour ce billet sont fermés.