La semaine dernière, nous avons écrit sur la façon dont l’entreprise de sécurité Rapid7 a critiqué JetBrains, la société derrière la populaire plateforme CI/CD TeamCity, pour des allégations de correctifs silencieux. Maintenant, JetBrains est passée à l’offensive. Le développeur de logiciels a publié son point de vue sur l’affaire à l’époque, mais a jugé nécessaire d’aller plus loin avec un autre article de blog cette semaine, soulignant son argument selon lequel il a agi de manière responsable et conforme aux normes de divulgation des vulnérabilités. En outre, JetBrains a qualifié l’approche de Rapid7, consistant à publier tous les détails des deux vulnérabilités de TeamCity ainsi que suffisamment d’informations pour permettre aux attaquants peu qualifiés de développer du code d’exploitation seulement cinq heures après la publication des correctifs, de « totalement non éthique et nuisible » pour ses clients. « Nous soutenons pleinement la divulgation rapide des détails des vulnérabilités lorsqu’un correctif est publié », écrit Daniel Gallo, ingénieur solutions de TeamCity chez JetBrains. « Cependant, nous ne fournissons que les détails nécessaires pour que les clients comprennent la portée et la gravité de la vulnérabilité, leur permettant de prendre les mesures appropriées, sans divulguer suffisamment d’informations pour faciliter une exploitation directe. « Nous nous engageons également pleinement à divulguer les détails complets des vulnérabilités (et les étapes d’exploitation) pour bénéficier aux chercheurs en sécurité, mais seulement après avoir constaté qu’un nombre significatif de clients ont effectivement mis à niveau leurs systèmes vers des versions sécurisées ou installé des correctifs. »
« La Croisade acharnée d’un couple pour arrêter un tueur génétique »
En y repensant, cela aurait pu être un indice. Mais au début de l’année 2010, lorsque Kamni Vallabh a commencé
