Je rejette ton analogie, je suis contre les armes à feu, et pour la publication des failles.
Je préfère me faire attaquer par un script kiddies qui au pire va me péter quelques fichiers, que par un criminel ou une mafia qui va vider mon compte en banque ou utiliser mes comptes ou mon IP pour des attaques plus graves encore.
Or les mecs qui piratent, les vrais criminels, pas les Kévins dans leurs piaules, ces mecs là n'ont pas besoin de lire les rapports de sécurité pour trouver des failles, ils les trouvent eux-mêmes, et c'est eux qu'on empêche de nuire quand des failles non-patchées son publiées pour forcer la main aux éditeurs, ou permettre aux admins réseaux d'agir en conséquence.
Ce genre d'affirmation, qui pour le sens commun semble tout a fait cohérente, et à mon sens et visiblement pour la plupart des experts en sécurité une erreur, tout simplement.Poutant le calcul est simple :
Plus il y a de monde qui sait comment exploiter une faille, plus il y a de monde qui va l'exploiter. A mon avis beaucoup plus.
Et plus le nombre de victimes sera important.
Moi ça me fait flipper. Parce que quand je sais qu'il y a une faille, dans le pire des cas, je désinstalle l'application concernée. Il est très rare de ne rien pouvoir faire manuellement contre une faille.Plus une faille est discrète, moins les attaquants sont nombreux, perso je suis beaucoup plus rassuré de savoir qu'une faille concernant mes machines est confidentielle plutôt que connue de tous.
Alors que de savoir qu'il existe des failles mais secrètes, et que donc ces failles sont potentiellement connues des criminels mais que moi je ne sais même quelles appli ça concerne, ça m'emm...
Notez que pour un analphabète du clavier l'un ou l'autre cas n'a aucune importance.
Donc vraiment je pense que vous êtes bien perchés sur cette question. Limite un peu obscurantistes. Désolé, je vous aime bien mébon...
Partager