La semaine dernière, nous avons écrit sur la façon dont la société de sécurité Rapid7 a mis en difficulté JetBrains, l’entreprise derrière la plateforme CI/CD populaire TeamCity, à propos d’allégations de corrections silencieuses. Maintenant, JetBrains est passé à l’offensive. Le développeur de logiciels a publié son point de vue à l’époque, mais a estimé nécessaire d’aller plus loin avec un autre billet de blog cette semaine, martelant son argument selon lequel il a agi de manière responsable et conforme aux normes de divulgation de vulnérabilités. En outre, il a qualifié l’approche de Rapid7, qui consistait à publier tous les détails des deux vulnérabilités de TeamCity ainsi que suffisamment d’informations pour que des attaquants peu qualifiés puissent développer du code d’exploitation seulement cinq heures après la diffusion des correctifs, de « totalement non éthique et nuisible » pour ses clients. « Nous soutenons pleinement la divulgation opportune des détails des vulnérabilités lorsqu’un correctif est publié », écrit Daniel Gallo, ingénieur en solutions TeamCity chez JetBrains. « Cependant, nous ne fournissons que les détails nécessaires pour que les clients comprennent l’étendue et la gravité de la vulnérabilité, leur permettant de prendre les mesures appropriées, sans pour autant divulguer suffisamment d’informations pour faciliter une exploitation directe. « Nous sommes également pleinement engagés à divulguer les détails complets des vulnérabilités (et les étapes d’exploitation) pour profiter aux chercheurs en sécurité, mais seulement après avoir constaté qu’un nombre significatif de clients ont effectivement mis à jour leurs systèmes vers des versions sécurisées ou installé des correctifs ».
« Opération de surveillance massive à l’intérieur de la Chine »
La femme se souvient de la première fois qu’elle a eu un smartphone. C’était en 2011, alors qu’elle vivait à
