• « Normalement, les gens qui découvrent une faille de sécurité dans un logiciel préviennent les mainteneurs du logiciel et ne publient qu’après avoir laissé du temps à ceux-ci de corriger la faille. C’est ce qu’on nomme le « responsible disclosure » (publication responsable). Évidemment, tout le monde n’est pas un être humain civilisé, il y a aussi des agents secrets qui gardent l’information pour que leur État puisse attaquer les autres, et il y a des pourris qui vendent ce genre d’informations à quiconque paiera. Question intéressante : avant d’acheter, comment on sait que la vulnérabilité est réelle ? »

    http://www.bortzmeyer.org/ventes-vuln.html

    #sécurité_informatique #malware #bogues

    • Et en même temps, tout travail mérite salaire, et en l’absence de bug bounty (et même de reconnaissance de la part des vendeurs), sans cautionner, je comprends la vente de vulnérabilités.

    • @X_cli Quand il s’agit de logiciel libre, en général, il y a reconnaissance de la part des mainteneurs (sauf si c’est Theo de Raadt). Bon, ça ne vaut pas le fric, mais c’est déjà ça. Quand c’est du logiciel privateur, il n’y a en effet souvent ni reconnaissance ni fric. Mais trouver une belle bogue permet au chercheur en sécurité d’avoir son papier à NoSuchCon accepté.

    • Crois moi, dans le logiciel libre comme ailleurs, il n’y a pas toujours de reconnaissance. J’ai quelques exemples personnels en tête.

      J’en profite pour souligner que les gens d’OpenDNSSEC au moins, sont reconnaissants et ça fait plaisir à voir et ça donne envie de travailler avec eux.