Discussion :

[Stéphane le calme]

La correction des vulnérabilités donne un faux sentiment de sécurité aux utilisateurs,
estime un ancien informaticien de la NSA

Dans l'industrie de la sécurité, la correction des vulnérabilités est l'équivalent des pensées et des prières, a déclaré un éminent expert américain en sécurité lors d'un débat sur le sujet Patching is useless (« La correction est inutile ») à l'occasion d'une récente conférence en ligne intitulée Hack At The Harbor. Dave Aitel, 46 ans, un ancien informaticien de la NSA qui a dirigé sa propre société de sécurité, Immunity, pendant de nombreuses années, a déclaré que les remèdes proposés par les fournisseurs de sécurité et les grandes entreprises technologiques avaient servi à endormir les gens dans un faux sentiment de sécurité toutes ces années et à s'assurer que tous les vieux problèmes subsistaient.

Il faisait référence à la phrase standard proposée par les politiciens chaque fois qu'il y a une fusillade de masse aux États-Unis et qu'il y a des appels à l'action contre les armes à feu. Le statu quo est maintenu en raison de l'influence de l'industrie de l'armement.

Aitel a défendu la thèse du sujet (le ouide Patching is useless) tandis que son contradicteur, Phillip Wylie, un expert en sécurité offensive bien connu et un évangéliste technologique chez CyCognito, a fait valoir que le patch n'était pas totalement inutile, mais figure parmi l'un des nombreux outils de l'arsenal de défense. Les arguments de Wylie étaient quelque peu nuancés, tandis qu'Aitel utilisait des phrases claires et concises, avec une touche occasionnelle d'humour noir.

La conférence était organisée par Point3 Security les 8 et 9 avril. Aitel a publié un clip YouTube du débat sur Twitter le 18 avril.

Les intervenants du débat. Le modérateur peut être vu dans la vidéo

Aitel a souligné que s'il y avait des appareils vulnérables sur un réseau, ils devraient être supprimés et remplacés par d'autres, plutôt que de recevoir des corrections en permanence.

Pendant son séjour chez Immunity – qu'il a vendu à Cyxtera Technologies en 2019 – Aitel a déclaré que bon nombre de ses clients étaient de grandes sociétés financières et il avait indiqué que tous les contrats qu'ils signaient avec des éditeurs de logiciels contenaient également une clause qui leur permettrait de sortir de contrats si un logiciel s'avérait trop bogué.

Il a déclaré que cela pourrait être un moyen d'empêcher les grandes entreprises d'être contraintes de continuer à utiliser des solutions de sécurité même si elles étaient une source constante de problème.

Aitel a comparé les patchs au jus d'orange – une partie courante du petit-déjeuner aux États-Unis – soulignant que pendant de nombreuses années, les gens avaient cru que c'était la partie la plus utile du repas du matin. En fin de compte, il s'est avéré que c'était une source de consommation trop de sucrée et quelque chose qui rendait les gens obèses, a-t-il ajouté.

Il a eu des mots durs pour Microsoft et d'autres grands éditeurs de logiciels qui, selon lui, n'avaient pas fait grand-chose pour atténuer les problèmes posés par les logiciels de mauvaise qualité. Il a également critiqué PHP pour ses nombreux problèmes de sécurité.

Aitel n'était pas moins sévère sur Linux, notant que le plus gros contributeur au noyau était le fournisseur de télécommunications chinois Huawei Technologies, qui, selon lui, avait été inculpé par les États-Unis. Il s'est alors demandé comment l'industrie pouvait se contenter de cette décision si autant de correctifs provenaient d'une entreprise de ce genre.

Du côté positif, il a fait l'éloge de ChromeOS, un système d'exploitation produit par Google, et a recommandé l'utilisation de Chromebooks plutôt que de machines Windows.

Aitel a appelé à la gestion des vulnérabilités, préconisant que le gouvernement soit la meilleure entité pour gérer cela. Son argument était qu'aucune autre entité n'avait suffisamment de pouvoir pour repousser le lobby des grands éditeurs de logiciels et de l'industrie de la sécurité.

Quoi qu'il en soit, le vote du public pour déterminer le vainqueur du débat s'est prononcé du côté de Wylie, 56 % des personnes présentes soutenant sa position.

Source : débat (vidéo dans le texte)

Et vous ?

Quel est votre avis sur les correctifs de sécurité ? Utiles ou pas utiles ? Dans quelles mesures ?
À quelle fréquence les appliquez-vous ?
Penchez-vous plus du côté de Dave Aitel ou de Phillip Wylie ?

[OrthodoxWindows]

Je n'ai pas encore vu la vidéo, donc je m’abstiens pour l'instant de remarque trop précise.

Cependant, voila mon impression général : un ancien informaticien de la NSA

Quant je lie ça :

Il a eu des mots durs pour Microsoft et d'autres grands éditeurs de logiciels qui, selon lui, n'avaient pas fait grand-chose pour atténuer les problèmes posés par les logiciels de mauvaise qualité. Il a également critiqué PHP pour ses nombreux problèmes de sécurité.

Aitel n'était pas moins sévère sur Linux, notant que le plus gros contributeur au noyau était le fournisseur de télécommunications chinois Huawei Technologies, qui, selon lui, avait été inculpé par les États-Unis. Il s'est alors demandé comment l'industrie pouvait se contenter de cette décision si autant de correctifs provenaient d'une entreprise de ce genre.

Du côté positif, il a fait l'éloge de ChromeOS, un système d'exploitation produit par Google, et a recommandé l'utilisation de Chromebooks plutôt que de machines Windows.

J'ai de sérieux doutes sur le sérieux de son argumentation. Comment SpywareOS ChromeOS (qui possède un noyau Linux) pourrait être plus sécurisé que les autres Linux, pourtant libre (contrairement à ChromeOS) ?!?

J'ai comme l'impression que Aitel considère que les problèmes de sécurité vis-à-vis de l'espionnage américain ---> c'est bon, mais les problèmes de sécurité vis-à-vis de l'espionnage de puissances étrangères (ici la Chine) ---> ça ne va plus du tout.

Quel est votre avis sur les correctifs de sécurité ? Utiles ou pas utiles ? Dans quelles mesures ?

Ce ne sont clairement pas les mesures les plus utiles, mais ces mesures restent des mesures très importantes.

A quelle fréquence les appliquez vous ?

Pas très souvent. Je manque pas mal de rigueur dans ce domaine.

Penchez vous plus du côté de Dave Aitel ou de Phillip Wylie ?

Je n'ai pas encore vu la vidéo, mais je dirais Phillip Wylie, d'une part parce que je trouve extrémiste de dire que les correctifs ne servent à rien, d'autre part parce que les propos de Dave Aitel sur ChromeOS me font douter de son sérieux.

Personnellement, je trouve que c'est surtout les mécanismes d'isolation (ou conteneurisation) à outrance qui s'avèrent inefficaces. Par exemple, il existe maintenant autant de menaces sous Android que sous Windows (https://forum.malekal.com/viewtopic....20f0c3808763fd), alors que les applications Android sont sandboxées, contrairement à Windows. La conteneurisation sous Android n'apporte que des performances en moins.

[eomer212]

on ne quitte jamais la nsa.. c'est une régle tacite.. en voila encore l'illustration.