La semaine dernière, nous avons écrit sur la façon dont Rapid7, une société de sécurité, a pris à partie JetBrains, l’entreprise derrière la populaire plateforme CI/CD TeamCity, en raison d’allégations de correction silencieuse. Maintenant, JetBrains est passée à l’offensive. Le développeur de logiciels a publié son côté de l’histoire à l’époque, mais a ressenti le besoin d’aller plus loin avec un autre article de blog cette semaine, insistant sur le fait qu’il a agi de manière responsable et conforme aux normes de divulgation de vulnérabilités. En outre, il a qualifié l’approche de Rapid7, qui consistait à publier tous les détails des deux vulnérabilités de TeamCity ainsi que suffisamment d’informations pour permettre aux attaquants peu qualifiés de créer un code d’exploitation seulement cinq heures après la diffusion des correctifs, de « totalement anti-éthique et préjudiciable » pour ses clients. « Nous soutenons pleinement la divulgation rapide des détails des vulnérabilités lorsqu’un correctif est publié », écrit Daniel Gallo, ingénieur solutions chez TeamCity de JetBrains. « Cependant, nous ne fournissons que les détails nécessaires pour que les clients comprennent l’ampleur et la gravité de la vulnérabilité, leur permettant de prendre les mesures appropriées, mais sans divulguer suffisamment d’informations pour faciliter une exploitation simple. Nous nous engageons également pleinement à divulguer les détails complets des vulnérabilités (et les étapes d’exploitation) pour bénéficier aux chercheurs en sécurité, mais seulement après avoir constaté qu’un nombre significatif de clients ont réellement mis à niveau leurs systèmes vers des versions sûres ou ont installé des correctifs. »
« La Croisade acharnée d’un couple pour arrêter un tueur génétique »
En y repensant, cela aurait pu être un indice. Mais au début de l’année 2010, lorsque Kamni Vallabh a commencé
