Autre point de réflexion : ça ne concerne plus les backdoors mais les bugs exploitables. La recherche de bugs, c'est comme la chasse au trésor : c'est le premier arrivé qui en profite. Dans la philosophie du Libre, en profiter ça revient à publier le bug, et c'est un moyen de rentrer dans la communauté. Pour d'autres moins scrupuleux, ils gardent le bug par devers eux, écrivent un exploit si c'est possible, et s'en servent éventuellement. Pour trouver un bug, c'est comme un trésor, il faut savoir où chercher (et surtout comment). Bilan des courses, le premier gus qui pense à chercher dans telle direction se retrouve confronté au dilemme sus-nommé (et comme ils disent outre-manche : "With great power comes great responsibility"). Il y a d'ailleurs un article intéressant qui parle de cette approche dans le MISC de cet été (fuzzing wireshark). Le gars, parce qu'il a apporté une nouvelle méthode de recherche de bugs, en a trouvé quarante, alors qu'auparavant la communauté en rapportait une dizaine par an... http://www.unixgarden.com/index.php/misc/misc-n68-marsavril-2013-en-kiosque (contrairement à l'url marsavril, c'est bien juillet / août). Adrien.
Attachment:
signature.asc
Description: OpenPGP digital signature