BugTraq ferme… ou pas
Le 19 janvier 2021 à 13h44
2 min
Logiciel
Logiciel
Suite à son acquisition par Broadcom en 2019, puis par Accenture en 2020, l'ex-division de Symantec SecurityFocus en charge de cette liste de diffusion historique et de référence en matière de sécurité informatique, n'avait rien publié depuis février 2020.
Vendredi, elle indiquait dans un message que « les ressources pour la liste de diffusion BugTraq n'ont pas été priorisées, et ce sera le dernier message de la liste ». Samedi, un second message intitulé « À la réflexion... » annonçait finalement que « sur la base des commentaires que nous avons reçus à la fois au niveau de la communauté et en interne, nous avons décidé de maintenir la liste de Bugtraq en cours d'exécution ».
Sur Twitter, Rob Graham explique dans un thread ce pourquoi il estime que BugTraq, créée en 1993 alors que les éditeurs de logiciels et les autorités n'avaient cure des problèmes de sécurité informatique, « est probablement la réussite la plus importante dans le monde de la cybersécurité ».
Suivant le Principe de Kerckhoffs, selon lequel la sécurité d'un système ne doit reposer que sur le secret de la clef, et que « l'adversaire connaît le système », BugTraq encourageait les hackers à partager failles et exploits sur la liste et donc au sein de la communauté, contribuant au mouvement dit « full disclosure » qui a largement contribué à la prise de conscience de ces problèmes.
Nombre de hackers et de figures de la cybersécurité y firent leurs premières armes, même si, depuis, le « full disclosure » a été dépassé par le mouvement des « bug bounties » voire de l'achat d'exploits et de « 0 days ».
Le 19 janvier 2021 à 13h44
Commentaires (0)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vous