IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    Mars 2013
    Messages
    9 045
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : Mars 2013
    Messages : 9 045
    Points : 208 997
    Points
    208 997
    Par défaut La correction des vulnérabilités donne un faux sentiment de sécurité aux utilisateurs, estime un ancien du NSA
    La correction des vulnérabilités donne un faux sentiment de sécurité aux utilisateurs,
    estime un ancien informaticien de la NSA

    Dans l'industrie de la sécurité, la correction des vulnérabilités est l'équivalent des pensées et des prières, a déclaré un éminent expert américain en sécurité lors d'un débat sur le sujet Patching is useless (« La correction est inutile ») à l'occasion d'une récente conférence en ligne intitulée Hack At The Harbor. Dave Aitel, 46 ans, un ancien informaticien de la NSA qui a dirigé sa propre société de sécurité, Immunity, pendant de nombreuses années, a déclaré que les remèdes proposés par les fournisseurs de sécurité et les grandes entreprises technologiques avaient servi à endormir les gens dans un faux sentiment de sécurité toutes ces années et à s'assurer que tous les vieux problèmes subsistaient.

    Il faisait référence à la phrase standard proposée par les politiciens chaque fois qu'il y a une fusillade de masse aux États-Unis et qu'il y a des appels à l'action contre les armes à feu. Le statu quo est maintenu en raison de l'influence de l'industrie de l'armement.

    Aitel a défendu la thèse du sujet (le ouide Patching is useless) tandis que son contradicteur, Phillip Wylie, un expert en sécurité offensive bien connu et un évangéliste technologique chez CyCognito, a fait valoir que le patch n'était pas totalement inutile, mais figure parmi l'un des nombreux outils de l'arsenal de défense. Les arguments de Wylie étaient quelque peu nuancés, tandis qu'Aitel utilisait des phrases claires et concises, avec une touche occasionnelle d'humour noir.

    La conférence était organisée par Point3 Security les 8 et 9 avril. Aitel a publié un clip YouTube du débat sur Twitter le 18 avril.

    Nom : patching.png
Affichages : 12223
Taille : 66,1 Ko
    Les intervenants du débat. Le modérateur peut être vu dans la vidéo

    Aitel a souligné que s'il y avait des appareils vulnérables sur un réseau, ils devraient être supprimés et remplacés par d'autres, plutôt que de recevoir des corrections en permanence.

    Pendant son séjour chez Immunity – qu'il a vendu à Cyxtera Technologies en 2019 – Aitel a déclaré que bon nombre de ses clients étaient de grandes sociétés financières et il avait indiqué que tous les contrats qu'ils signaient avec des éditeurs de logiciels contenaient également une clause qui leur permettrait de sortir de contrats si un logiciel s'avérait trop bogué.


    Il a déclaré que cela pourrait être un moyen d'empêcher les grandes entreprises d'être contraintes de continuer à utiliser des solutions de sécurité même si elles étaient une source constante de problème.

    Aitel a comparé les patchs au jus d'orange – une partie courante du petit-déjeuner aux États-Unis – soulignant que pendant de nombreuses années, les gens avaient cru que c'était la partie la plus utile du repas du matin. En fin de compte, il s'est avéré que c'était une source de consommation trop de sucrée et quelque chose qui rendait les gens obèses, a-t-il ajouté.

    Il a eu des mots durs pour Microsoft et d'autres grands éditeurs de logiciels qui, selon lui, n'avaient pas fait grand-chose pour atténuer les problèmes posés par les logiciels de mauvaise qualité. Il a également critiqué PHP pour ses nombreux problèmes de sécurité.

    Aitel n'était pas moins sévère sur Linux, notant que le plus gros contributeur au noyau était le fournisseur de télécommunications chinois Huawei Technologies, qui, selon lui, avait été inculpé par les États-Unis. Il s'est alors demandé comment l'industrie pouvait se contenter de cette décision si autant de correctifs provenaient d'une entreprise de ce genre.

    Du côté positif, il a fait l'éloge de ChromeOS, un système d'exploitation produit par Google, et a recommandé l'utilisation de Chromebooks plutôt que de machines Windows.

    Aitel a appelé à la gestion des vulnérabilités, préconisant que le gouvernement soit la meilleure entité pour gérer cela. Son argument était qu'aucune autre entité n'avait suffisamment de pouvoir pour repousser le lobby des grands éditeurs de logiciels et de l'industrie de la sécurité.

    Quoi qu'il en soit, le vote du public pour déterminer le vainqueur du débat s'est prononcé du côté de Wylie, 56 % des personnes présentes soutenant sa position.

    Source : débat (vidéo dans le texte)

    Et vous ?

    Quel est votre avis sur les correctifs de sécurité ? Utiles ou pas utiles ? Dans quelles mesures ?
    À quelle fréquence les appliquez-vous ?
    Penchez-vous plus du côté de Dave Aitel ou de Phillip Wylie ?

  2. #2
    Membre expert
    Homme Profil pro
    Étudiant
    Inscrit en
    Novembre 2021
    Messages
    1 218
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Drôme (Rhône Alpes)

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : Novembre 2021
    Messages : 1 218
    Points : 3 309
    Points
    3 309
    Par défaut
    Je n'ai pas encore vu la vidéo, donc je m’abstiens pour l'instant de remarque trop précise.

    Cependant, voila mon impression général : un ancien informaticien de la NSA

    Quant je lie ça :

    Il a eu des mots durs pour Microsoft et d'autres grands éditeurs de logiciels qui, selon lui, n'avaient pas fait grand-chose pour atténuer les problèmes posés par les logiciels de mauvaise qualité. Il a également critiqué PHP pour ses nombreux problèmes de sécurité.

    Aitel n'était pas moins sévère sur Linux, notant que le plus gros contributeur au noyau était le fournisseur de télécommunications chinois Huawei Technologies, qui, selon lui, avait été inculpé par les États-Unis. Il s'est alors demandé comment l'industrie pouvait se contenter de cette décision si autant de correctifs provenaient d'une entreprise de ce genre.

    Du côté positif, il a fait l'éloge de ChromeOS, un système d'exploitation produit par Google, et a recommandé l'utilisation de Chromebooks plutôt que de machines Windows.
    J'ai de sérieux doutes sur le sérieux de son argumentation. Comment SpywareOS ChromeOS (qui possède un noyau Linux) pourrait être plus sécurisé que les autres Linux, pourtant libre (contrairement à ChromeOS) ?!?

    J'ai comme l'impression que Aitel considère que les problèmes de sécurité vis-à-vis de l'espionnage américain ---> c'est bon, mais les problèmes de sécurité vis-à-vis de l'espionnage de puissances étrangères (ici la Chine) ---> ça ne va plus du tout.

    Quel est votre avis sur les correctifs de sécurité ? Utiles ou pas utiles ? Dans quelles mesures ?
    Ce ne sont clairement pas les mesures les plus utiles, mais ces mesures restent des mesures très importantes.

    A quelle fréquence les appliquez vous ?
    Pas très souvent. Je manque pas mal de rigueur dans ce domaine.

    Penchez vous plus du côté de Dave Aitel ou de Phillip Wylie ?
    Je n'ai pas encore vu la vidéo, mais je dirais Phillip Wylie, d'une part parce que je trouve extrémiste de dire que les correctifs ne servent à rien, d'autre part parce que les propos de Dave Aitel sur ChromeOS me font douter de son sérieux.

    Personnellement, je trouve que c'est surtout les mécanismes d'isolation (ou conteneurisation) à outrance qui s'avèrent inefficaces. Par exemple, il existe maintenant autant de menaces sous Android que sous Windows (https://forum.malekal.com/viewtopic....20f0c3808763fd), alors que les applications Android sont sandboxées, contrairement à Windows. La conteneurisation sous Android n'apporte que des performances en moins.

  3. #3
    Membre confirmé
    Profil pro
    Développeur indépendant
    Inscrit en
    Août 2004
    Messages
    374
    Détails du profil
    Informations personnelles :
    Âge : 56
    Localisation : France

    Informations professionnelles :
    Activité : Développeur indépendant
    Secteur : Transports

    Informations forums :
    Inscription : Août 2004
    Messages : 374
    Points : 527
    Points
    527
    Par défaut
    on ne quitte jamais la nsa.. c'est une régle tacite.. en voila encore l'illustration.

Discussions similaires

  1. Réponses: 0
    Dernier message: 16/02/2022, 11h11
  2. Réponses: 0
    Dernier message: 03/03/2021, 18h04
  3. Correction des problèmes de saisie de données
    Par étudiant11 dans le forum SAS Base
    Réponses: 1
    Dernier message: 05/03/2015, 21h42
  4. Réponses: 4
    Dernier message: 16/09/2010, 23h33
  5. Formater correctement des données dans un fichier texte
    Par arnaudperfect dans le forum Shell et commandes GNU
    Réponses: 6
    Dernier message: 15/08/2007, 23h44

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo