Spécial sécurité : Luigi Auriemma, meilleur chasseur de bug de tous les temps

Sommaire
1 - Luigi Auriemma, meilleur chasseur de bug de tous les temps
2 - Histoire d’enfoncer le Cloud…
3 - Après le Casino Twitter, le viagra LinkedIn

1 - Luigi Auriemma, meilleur chasseur de bug de tous les temps
Le blog de la X-Force ISS vient de publier le « top ten » des chasseurs de failles les plus prolifiques. Ce ne sera une surprise pour personne, c’est Luigi Auriemma (28 ans déjà) qui remporte haut la main la première place. Ce Milanais discret, presque asocial dans sa prime jeunesse, caracole en tête du classement depuis plus de dix ans. A ce jour, nous apprend le classement ISS, Auriemma aligne 612 découvertes de failles à son actif, suivi de près par r0t (18 ans, 544 vulnérabilités, avoue avoir tagué son premier site web à 10 ans..). RetroGod, hélas disparu depuis d’une maladie de la moelle osseuse, revendiquait 357 « victoires » .

Sur le classement annuel de 2008, Auriemma conserve la première place -162 découvertes-, suivi de ZoRLu (137) et S@BUN (126).

Ne sont prises en compte que les découvertes rendues publiques par le biais d’alertes publiées –liste Full Disclosure, Milw0rm, Bugtraq et autres vecteurs de diffusion reconnus-. Les chercheurs anonymes travaillant sous le couvert d’une entreprise spécialisée ou via un entremetteur tel que le ZDI ne sont pas nécessairement comptabilisés. Les « statisticiens » de la X-Force insistent sur le fait que ce hit-parade ne considère que le « volume » des découvertes, et non leur dangerosité. Reste que bon nombre de découvertes signées Auriemma valent bien certaines des communications d’un Litchfield sur une injection SQL ou d’un Liu Die Yu lorsqu’il égratigne un navigateur Web.

2 - Histoire d’enfoncer le Cloud…
Depuis quelques temps, le « cloud computing » -ou externalisation du traitement- grignote le monde de la sécurité en général, et plus particulièrement celui de la protection périmétrique. Plus de licence « locale », mais un « abonnement » à une architecture mondiale et répartie. Pour l’usager, la différence est assez subtile, voir inexistante. Pour l’heure, les éditeurs ayant la tête dans le nuage arguent du fait que les temps de réaction des antivirus seront accélérés de manière considérable, éliminant les temps de « mise à jour des bases de signatures », et que la détection de nouvelles menaces, de par la nature même d’un outil « intégré à la Toile », s’en trouvera améliorée.

L’un des plus prosélytes en la matière s’appelle Trend Micro. La firme de la sémillante Eva Chen publie sur le sujet étude sur rapport, dossier après enquête. Cela a débuté plus ou moins en juin dernier avec une étude IDC suivie en juillet d’une analyse laudative du cabinet Frost & Sullivan vantant l’heureuse association d’une meilleure sécurité et d’un business model prometteur.

BitDefender,cette semaine, diffuse la première « préversion » de son Quickscan, antivirus « dans les nuages », sans moteur, sans base, sans rien en local… si ce n’est une petite amorce et une connexion Internet. A l’heure des Confickers qui se propagent par clef USB et qui bloquent les adresses IP des éditeurs de programmes de sécurité, un examen attentif de ce genre de programme s’impose.

Rappelons la sortie cette semaine d’une autre pré-version, celle de Exploit Shield 0.6 de F-Secure, logiciel (ou service… la différence est ténue) lui aussi cloudifié à grand renfort de technologie deepguard.

Idem du côté de Websense, où l’on intensifie la cloudification des services. Une stratégie longuement détaillée par Michael Osterman d’Osterman Research, et concrétisée par l’ouverture de deux branches « presque nouvelles » : Websense Hosted Email Security –ex SurfControl/Blackspider MailControl- et Websense Hosted Web Security, anciennement SurfControl On-Demand Services. Un couple de services d’externalisation des messageries d’entreprise et des services Web.

Rappelons que, quelque soit le nom donné à ces formes de sous-traitance, tout contrat passé avec de tels prestataires doit être entouré d’un certain nombre de clauses préventives. Notamment pour ce qui concerne la continuité d’activité en cas de changement de prestataire, le choix d’un tribunal compétent en cas de conflit –si possible dans le pays du client-, et la permanence/rémanence de la protection ou de l’information locale en cas de rupture des liens de communication. Ces quelques petits détails juridiques ont déjà coûté la peau des « ASP » (Applications Services Providers) il y a quelques années, et le changement d’appellation ne doit pas faire oublier que les mêmes causes produisent généralement les mêmes effets.

3 - Après le Casino Twitter, le viagra LinkedIn
L’information tient en moins de 5 phrases : des polluposteurs sont parvenus à exploiter le réseau LinkedIn pour répandre leurs publicités pharmaceutiques. Une révélation signée Dancho Danchev qui, hélas, en surprendra très peu. Depuis quelques mois, les outils « Web 2.0 » sont la proie des diffuseurs de spywares et de spam. Les Twitter, les Facebook, les Digg.com et maintenant LinkedIn succombent les uns après les autres. Mais plus que les 5 lignes que représentent cette information, les presque 5 pages-écran que constitue la liste des noms de domaines « linkedinisés » est édifiante. Danchev, tout comme Dan Hubbard, CTO de Websense, voient en ces floraisons de conversions au Web 2.0 un moyen simple et efficace d’accroître le référencement desdits sites pharmaceutiques. Le « spam » ne rapporte rien de manière directe, mais la présence des sites en question en tête des moteurs de recherche est plus efficace qu’un envoie de plusieurs millions d’emails.