• # Embargo sur les failles de sécurité et OpenBSD

    Posté par (site web personnel) . En réponse à la dépêche Faille Lazy FPU state restore. Évalué à 7.

    Pour cette faille, je vois que l'embargo était prévu après le 13 juin 2018, et Theo de Raadt a donné une conférence sur la faille le 9 juin. C'est moi ou bien Theo ne respecte pas les embargos, puis il râle qu'on ne le mette pas dans le secret ?

    Pour les failles Meltdown et Spectre, le projet OpenBSD avait râlé qu'ils n'avaient pas été inclus dans l'embargo.
    https://marc.info/?l=openbsd-tech&m=151521435721902&w=2

    Autre exemple au pif trouvé sur l'Internet : "OpenBSD has a reputation for not respecting embargoes, even as recently as the KRACK wifi thing last year".
    https://news.ycombinator.com/item?id=16440948

    Info à la source : "What happened is that he told me on July 15, and gave a 6 weeks embargo until end of August. We already complained back then that this was way too long and leaving people exposed."
    https://lobste.rs/s/dwzplh/krack_attacks_breaking_wpa2#c_pbhnfz

    Je comprends : "Nous, OpenBSD, décidons de la date de l'embargo."

    Ensuite, faut pas venir pleurer et faire sa victime après...

    Je trouve le comportement d'OpenBSD et de GRsecurity assez similaire. Leur seul argument de vente est la sécurité et ils ont du mal à collaborer.

    Après j'suis pas un grand fan des embargos, et je trouve le projet Zero de Google assez courageux sur le très court délai avant publication des détails d'une vulnérabilité (genre 7 jours pour les failles les plus graves, 90 jours au pire).
    https://en.wikipedia.org/wiki/Project_Zero