« L’explication technique » m’a semblé relativement claire.
Ils ont grosso modo fait :
prod# rm -f profiles/
prod# scp -r test:profiles/* profiles/
Le fait est que des profils « merdiques » de tests se sont alors retrouvés en prod (et certains qui étaient en prod, et pas en test (tiens donc ? ils auraient donc bypassé les tests avant la mise en prod ?) ont été perdus au passage, ce qui leur a mis la puce à l’oreille quand qqch s’est cassé).
Après, cela signifie-t-il que ce sont des branquignoles et que la certification ETSI ne vaut rien ?
Les faits ont eu lieu avant la certification, selon leurs dires, donc c’est difficile de l’affirmer, même si ce serait très tentant de confirmer au moins la première hypothèse ; comme le montre Stéphane, dans un tout autre registre (quoique ?), ils ont l’air aussi très doués en DNS : ►https://gist.github.com/4463799).
Pour la seconde hypothèse, c’est comme avec toutes les certifications et tous les audits : cela dépend du temps consacré par l’auditeur, de sa compétence, du fait que l’auditeur ait les yeux en face des trous au moment de l’audit ou de son survol de la ligne frauduleuse, .... et de son indépendance.
Les certificateurs autant que les AC, ou que nous autres, tous, sont des humains, et ils font des fautes.
Est-ce à dire que les audits et les certifications sont inutiles ?
À mon sens, clairement, non : on est mieux avec que sans.
Et s’ils n’offrent pas une garantie absolue de compétence et de sécurité, au moins apportent-ils l’avis d’un tiers.
À nous de savoir la foi que l’on porte en ce tiers. Ce dernier peut d’ailleurs lui même être accrédité par un autre organisme, en lequel on a meilleure foi : une chaine de confiance, encore une fois.
C’est le cas de l’ANSSI qui accrédite LSTI par exemple : ►http://www.ssi.gouv.fr/fr/produits-et-prestataires/prestataires-de-services-de-confiance-qualifies.