Un petit blog sans prétention (enfin j'espère) sur ce qui retient mon attention en matière de sécurité informatique....mais pas que.
Il y a pléthore de discussions sur le full disclosure VS le responsible disclosure. Globalement le débat est souvent assez stérile, les arguments des un et des autres étant valables selon votre sensibilité.
L'article ci-dessous aborde le sujet de manière un peu différente. En effet, on commence ici à aborder la fourniture de vulnérabilités moyennant finances sonnantes et trébuchantes. La vente d'"exploits" n'est pas à considérer à la légère. Elle alimente très clairement la guerre numérique et peut mettre en (cyber)danger des personnes isolées, des sociétés, des pays entier. Et là, on n'est plus dans la comparaison du geek irresponsable qui balance les failles à la face du monde et du chercheur studieux qui aide une société à s'améliorer, mais dans la nuance un peu plus subtile du chercheur qui doit vendre ses exploits pour vivre. Une espèce de bourse aux vulnérabilités s'instaure alors. Mais qui gère cette bourse ? Personne !! Pas de régulateur !! Et c'est là où cela devient intéressant, les enjeux ayants des impacts forts.
Bref, un bon article à lire qui change un peu la façon dont le débat est abordé je trouve. Je vous en conseille la lecture.
Cyberwar’s Gray Market
Should the secretive hacker zero-day exploit market be regulated?
Bonne lecture.
Tristan