{"id":15,"date":"2020-09-01T15:20:31","date_gmt":"2020-09-01T13:20:31","guid":{"rendered":"https:\/\/www.raczynski.online\/?p=15"},"modified":"2024-12-27T14:29:23","modified_gmt":"2024-12-27T13:29:23","slug":"15-ans","status":"publish","type":"post","link":"https:\/\/www.raczynski.online\/?p=15","title":{"rendered":"15 ans !"},"content":{"rendered":"
\n
\"\"<\/figure><\/div>\n\n\n

ZDI, un programme pionnier de la recherche de vuln\u00e9rabilit\u00e9s : de 3Com \u00e0 Trend Micro<\/strong><\/p>\n\n\n\n

L\u2019histoire commence en ao\u00fbt 2005, lorsque 3Com lance un programme de r\u00e9mun\u00e9ration des chercheurs pour la d\u00e9couverte et la divulgation responsable de vuln\u00e9rabilit\u00e9s zero-day. Baptis\u00e9 Zero Day Initiative (ZDI), ce dispositif offre alors la possibilit\u00e9 aux clients de tirer parti des filtres IPS (TippingPoint) pour se prot\u00e9ger en amont. \u00c0 ses d\u00e9buts, ZDI ne recense qu\u2019une seule vuln\u00e9rabilit\u00e9 la premi\u00e8re ann\u00e9e\u202f; aujourd\u2019hui, ce nombre s\u2019\u00e9l\u00e8ve \u00e0 pr\u00e8s de 7\u202f500, t\u00e9moignant du chemin parcouru.<\/p>\n\n\n\n

Des premiers succ\u00e8s aux ann\u00e9es 2010<\/h4>\n\n\n\n

Au cours de ses premi\u00e8res ann\u00e9es, le programme s\u2019est rapidement hiss\u00e9 comme une r\u00e9f\u00e9rence en mati\u00e8re de recherche de vuln\u00e9rabilit\u00e9s, notamment aupr\u00e8s d\u2019\u00e9diteurs majeurs comme Apple et Oracle (via Java), alors tr\u00e8s pr\u00e9sents dans l\u2019\u00e9cosyst\u00e8me. Dans la m\u00eame p\u00e9riode, la r\u00e9putation quasi \u00ab\u202findestructible\u202f\u00bb des Mac a pu \u00eatre challeng\u00e9e par les d\u00e9couvertes de la ZDI. L\u2019\u00e9lan technique a \u00e9galement permis de donner naissance \u00e0 Pwn2Own<\/strong>, un \u00e9v\u00e9nement d\u00e9di\u00e9 \u00e0 la d\u00e9monstration concr\u00e8te des forces d\u2019un bug bounty, o\u00f9 chercheurs et hackers \u00e9thiques mettent \u00e0 l\u2019\u00e9preuve les appareils les plus populaires.<\/p>\n\n\n\n

Une \u00e9volution continue au fil des rachats<\/h4>\n\n\n\n

Le rachat de 3Com (et donc de la ZDI) par Hewlett-Packard (HP) n\u2019a pas frein\u00e9 l\u2019essor du programme, bien au contraire. La r\u00e9duction du d\u00e9lai de r\u00e9ponse aux vuln\u00e9rabilit\u00e9s, pass\u00e9 de 180 jours \u00e0 moins de 120, a contribu\u00e9 \u00e0 faire de la divulgation responsable un nouveau \u00ab\u202fstandard\u202f\u00bb sur le march\u00e9. Microsoft et Google ont, \u00e0 leur tour, suivi cette tendance en cr\u00e9ant leurs propres programmes de recherche.<\/p>\n\n\n\n

Lors de l\u2019acquisition de ZDI par Trend Micro en 2015, l\u2019expertise s\u2019est \u00e9tendue \u00e0 l\u2019ensemble du portefeuille de solutions de l\u2019\u00e9diteur, et plus uniquement aux IPS TippingPoint. D\u00e9sormais, la recherche de vuln\u00e9rabilit\u00e9s couvre un spectre plus large<\/strong>, incluant aussi bien des applications logicielles que des \u00e9quipements mat\u00e9riels. L\u2019\u00e9dition sp\u00e9ciale de Pwn2Own consacr\u00e9e aux environnements SCADA (et plus largement ICS) illustre \u00e0 quel point les enjeux de la cybers\u00e9curit\u00e9 s\u2019\u00e9tendent d\u00e9sormais au-del\u00e0 du simple PC ou serveur.<\/p>\n\n\n

\n
\"\"
Logo Pwn2Own<\/figcaption><\/figure><\/div>\n\n\n

Une proactivit\u00e9 n\u00e9cessaire dans un environnement en constante mutation<\/h4>\n\n\n\n

Avec la progression du nombre de failles d\u00e9couvertes chaque ann\u00e9e, la proactivit\u00e9 s\u2019impose comme un levier essentiel pour prot\u00e9ger les syst\u00e8mes en amont. Ainsi, en 2019, la ZDI \u00e9tait \u00e0 l\u2019origine de la publication de plus de la moiti\u00e9 des nouvelles vuln\u00e9rabilit\u00e9s, scellant un partenariat in\u00e9dit avec Tesla pour mieux s\u00e9curiser la Model 3. De simples liseuses PDF aux p\u00e9riph\u00e9riques IoT et infrastructures ICS, toutes les technologies sont d\u00e9sormais concern\u00e9es.<\/p>\n\n\n\n

Au travers de mon exp\u00e9rience chez Trend Micro<\/strong>, j\u2019ai pu constater l\u2019apport consid\u00e9rable de la ZDI pour instaurer un climat de confiance entre les chercheurs, les \u00e9diteurs et les clients finaux. La collaboration et l\u2019approche holistique de la s\u00e9curit\u00e9 renforcent la pertinence des correctifs et acc\u00e9l\u00e8rent leur d\u00e9ploiement.<\/p>\n\n\n

\n
\"\"
Appliance Tipping Point<\/figcaption><\/figure><\/div>\n\n\n

Si le Zero Day Initiative est un mod\u00e8le en mati\u00e8re de divulgation responsable, il n\u2019existe pas de solution miracle pour autant. Les vuln\u00e9rabilit\u00e9s et l\u2019obsolescence des syst\u00e8mes sont des r\u00e9alit\u00e9s avec lesquelles toute organisation doit composer. \u00c0 vous de d\u00e9terminer comment anticiper, g\u00e9rer et att\u00e9nuer ces risques, en vous appuyant sur des partenariats forts et une vision globale de la s\u00e9curit\u00e9.<\/p>\n\n\n\n

En d\u00e9finitive, \u00eatre proactif<\/strong> et miser sur la collaboration<\/strong> entre tous les acteurs de l\u2019\u00e9cosyst\u00e8me demeurent les cl\u00e9s pour faire face aux menaces actuelles et futures. Alors\u2026 comment g\u00e9rez-vous, vous aussi, vos vuln\u00e9rabilit\u00e9s et l\u2019obsolescence de vos syst\u00e8mes\u202f?<\/p>\n","protected":false},"excerpt":{"rendered":"

ZDI, un programme pionnier de la recherche de vuln\u00e9rabilit\u00e9s : de 3Com \u00e0 Trend Micro L\u2019histoire commence en ao\u00fbt 2005, lorsque 3Com lance un programme de r\u00e9mun\u00e9ration des chercheurs pour la d\u00e9couverte et la divulgation responsable de vuln\u00e9rabilit\u00e9s zero-day. Baptis\u00e9 Zero Day Initiative (ZDI), ce dispositif offre alors la possibilit\u00e9 aux clients de tirer parti […]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-15","post","type-post","status-publish","format-standard","hentry","category-zdi"],"_links":{"self":[{"href":"https:\/\/www.raczynski.online\/index.php?rest_route=\/wp\/v2\/posts\/15","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.raczynski.online\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.raczynski.online\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.raczynski.online\/index.php?rest_route=\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.raczynski.online\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=15"}],"version-history":[{"count":5,"href":"https:\/\/www.raczynski.online\/index.php?rest_route=\/wp\/v2\/posts\/15\/revisions"}],"predecessor-version":[{"id":67,"href":"https:\/\/www.raczynski.online\/index.php?rest_route=\/wp\/v2\/posts\/15\/revisions\/67"}],"wp:attachment":[{"href":"https:\/\/www.raczynski.online\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=15"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.raczynski.online\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=15"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.raczynski.online\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=15"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}