Le National Institute of Standards and Technology, qui planche sur les aspects de sécurité informatique pour le gouvernement américain, annonce la mise en place d’un étonnant service destiné à l’administration, mais également au secteur privé. Il s’agit de créer une énorme base de données dédiée aux vulnérabilités des systèmes informatiques. Ce service, baptisé Cassandre, sera développé avec l’aide de la Purdue University Center for Education and Research in Information Assurance. Les futurs clients pourront se connecter à Cassandre et définir le profil des systèmes informatiques et des réseaux dont ils ont la charge. Dès lors, ils recevront des alertes personnalisées lorsqu’un bug est découvert. Premier hic, ce service existe déjà (Bugtraq). Deuxième hic, il est de notoriété publique que les réseaux informatiques des universités (partout dans le monde) sont des gruyères. Avec ce beau projet, il ne resterait à un vilain pirate qu’à pirater Cassandre pour bénéficier à bon compte des profils de tous les simplets qui s’y seront enregistrés. Troisième hic non négligeable, les vulnérabilités découvertes par la communauté des experts en sécurité informatiques sont publiées sur Bugtraq entre quelques semaines et quelques mois après avoir été trouvées. Elles sont annoncées par les CERT entre un mois et 6 mois plus tard. Et sur Cassandre ? Même ses initiateurs annoncent que le temps de réaction sera plus lent que celui d’autres systèmes de veille. C’est dire...

Bugtraq:
http://www.securityfocus.com Le National Institute of Standards and Technology:
http://www.nist.gov Federal computer week:
http://www.fcw.com/fcw/articles/200... University Center for Education and Research in Information Assurance:
http://www.cert.org