Le modérateur de la célèbre mailing list veut prendre du temps. Il donne les clefs de la liste à un successeur.
La majorité des hackers postent leurs découvertes dans Bugtraq. C’est une forme de reconnaissance. Lorsqu’une vulnérabilité est " approuvée " par Aleph 1 (de son vrai nom Elias Levy), elle est diffusée via cette mailing-list à toute la communauté des hackers et, plus largement, à celle du monde de la sécurité informatique. L’explosion d’Internet a donné un coup d’accélérateur à cette liste de discussion qui a, elle-même, engendré un site incontournable dans ce domaine : Securityfocus.com. Aleph 1, outre son rôle de modérateur est également devenu une personnalité. Cette semaine, après environ six ans, jour après jour, dans ce rôle, Elias Levy a envoyé un mail pour dire au revoir. Il prend du recul. " David Ahmad est le nouveau modérateur. Je vous laisse en de bonnes mains ", précise-t-il.
Consensus controversé
La liste Bugtraq diffuse des alertes de sécurité dans la mesure où les éditeurs de logiciels et autres constructeurs de matériel ont eu le temps de régler le problème. Sauf si l’entreprise contactée ne fait délibérément rien. Les données techniques pour exploiter les défauts sont donc, dès lors, publiques. Certains diffusent même, via cette liste, des bouts de code permettant de pirater les serveurs. Au nom du " tout le monde a le droit de tout savoir " (full disclosure), Bugtraq a irrité quelques administrateurs réseau. En effet, le nombre d’attaques augmente (assez logiquement) fortement après chaque publication d’un bug important dans Bugtraq...
Par ailleurs, les meilleurs hackers actuels ont lancé une opération de démontage du concept de full disclosure. En expliquant simplement que certains bugs graves ne devraient pas être communiqués aux gamins immatures qui détruisent ou attaquent des serveurs sans discernement " pour le fun ".
Bugtraq continuera de créer le consensus... Mais presque, dans la communauté de la sécurité informatique, avec David Ahmad aux commandes. Et pendant ce temps -là, Aleph 1 fera des opérations marketing autour d’alertes comme Code Red.
http://www.securityfocus.com
Security Focus