|
L'utilisation d'exploits fait partie aujourd'hui de la politique de veille en sécurité de chaque grande entreprise. La censure de codes sources n'est absolument pas un gage de sécurité, puisque leur publication ne fait que refléter et mettre en évidence « la réalité », celle des blackhats, qui créent et échangent leurs propres exploits sans attendre les "public releases".
S'opposer à la publication des exploits et des détails techniques, c'est s'opposer à la publication de vulnérabilités, et donc forcement (suite logique) s'opposer à l'idée même de recherche de vulnérabilités (suivez mon regard). Pourquoi ne pas tout simplement s'opposer aux cours de programmation informatique ? ce qui réglera à la fois le problème des exploits, mais aussi des créateurs de virus, des attaques web, et des failles de sécurité...
Au lieu de privilégier la sensibilisation et l'éducation des utilisateurs, ce CERT fait l'apologie de l'obscurantisme sécuritaire en diabolisant la publication des détails techniques, réduisant ainsi le problème de l'insécurité informatique au seul fait de publier des exploits ou des proof-of-concept [qui rappelons-le, ne sont que la conséquence d'une insécurité crée par des éditeurs].
Ces raccourcis simplistes et ces amalgames ne font que desservir la cause de la sécurité informatique.
(Le 29.09.2004)
|
