Le chasseur de failles dans PHP critiqué par ses pairs ...

Le mois de mars dernier, Stefan Esser lançait son projet nommé le mois du bug PHP... Durant cette période, ce ne sont pas moins de 45 failles de sécurité concernant le langage PHP 4 comme PHP 5 qui ont ainsi été mises à jour, ou plus précisément 41, du fait que 4 d'entre elles n'étaient pas dues au code PHP lui-même.

Si le consultant en sécurité informatique s'avoue plutôt satisfait de ce beau tableau de chasse, il a également dû essuyer les très nombreuses critiques émanant de la communauté PHP qui ont circulé sur la blogosphère. Ainsi, selon les blogueurs, le projet en question serait en quelques sortes un acte de vengeance vis-à-vis de la communauté PHP qui l'a souvent et durement critiqué durant ces derniers mois.

Stefan Esser de répondre : « J'ai fait la chasse aux bogues dans PHP pendant des années. Seulement, cette fois, j'ai rassemblé les bugs et les ai mis à jour d'une façon plus spectaculaire que je ne le fais d'habitude. Au final, j'ai prouvé qu'il y a de la matière derrière des choses que je revendique, ce qui est tout à fait rare dans la sécurité PHP où le plus important est le discours marketing. J'ai en particulier démontré que mes revendications, quant au fait que les développeurs PHP réintroduisent des bogues, ne les corrigent jamais correctement, ou introduisent de nouvelles vulnérabilités avec les correctifs de sécurités, sont valables. »

Quoi qu'il en soit, une quarantaine de failles de sécurité plus ou moins graves ont été découvertes et mises à jour. Il va maintenant falloir les corriger. Les développeurs PHP ont donc du pain sur la planche. Pour sa part, Stefan Esser entend continuer à chercher et fournir les correctifs pour le code PHP, mais en solo.