Salesforce a décidé de renvoyer son directeur de la sécurité offensive et un autre membre du personnel de direction après qu’ils aient fait un speech durant l’édition 2017 de la conférence de sécurité de Defcon à Las Vegas qui a eu lieu le mois dernier.
Josh Schwartz, directeur de la sécurité offensive basée à San Francisco, et John Cramb, ingénieur senior de sécurité offensif à Sydney, en Australie, ont fait partie de « l'équipe rouge » de Salesforce qui a lancé des attaques offensives contre l'entreprise pour tester ses défenses.
Cependant, les deux membres du personnel ont été congédiés « dès qu'ils ont quitté la scène » par un cadre supérieur de Salesforce, selon une des nombreuses personnes qui ont assisté au licenciement.
Le cadre supérieur, dont le nom n’a pas été dévoilé, aurait envoyé un message texte au duo une demi-heure avant qu’il ne soit attendu sur l’estrade pour lui faire savoir qu’il n’était pas autorisé à donner un speech. Mais le message n’aurait été vu qu’après le speech.
Leur intervention était centrée sur un projet développé en interne : MEATPISTOL, qui est décrit comme étant « un framework modulaire de malware pour la création d’implants, l'automatisation de l'infrastructure et l'interaction Shell, visant à réduire le temps et l'énergie dépensés pour la reconfiguration et la réécriture de logiciels malveillants ». Le fait que le nom de l’outil soit une anagramme de Metasploit n’est pas dû au hasard étant donné qu’ils proposent des fonctionnalités similaires.
Les dirigeants de Salesforce ont d'abord été informés du projet lors d'une réunion qui a eu lieu durant le mois de février et ils auraient donné leur aval, selon une personne proche de l’affaire (la réunion a eu lieu selon les règles de Chatham House, une règle utilisée pour réglementer la confidentialité des informations échangées lors d'une réunion et qui stipule que « Quand une réunion, ou l'une de ses parties se déroule sous la règle de Chatham House, les participants sont libres d'utiliser les informations collectées à cette occasion, mais ils ne doivent révéler ni l'identité ni l'affiliation des personnes à l'origine de ces informations, de même qu'ils ne doivent pas révéler l'identité des autres participants »).
L'outil devrait être publié plus tard comme un projet open source, permettant à d'autres équipes rouges d'utiliser le projet dans leurs propres entreprises.
Pourtant, dans un message texte envoyé à Schwartz et Cramb une heure avant leur conversation, le même cadre exécutif de Salesforce a déclaré aux orateurs qu'ils ne devraient pas annoncer la publication du code, malgré le fait que les ingénieurs en avaient parlé à l’avance sur les médias sociaux.
Plus tard, une fois sur scène, Schwartz a déclaré aux participants qu'il se battrait pour que l'outil soit publié.
De son côté, après son renvoi, Cramb a déclaré dans un tweet que tous les deux « tiennent vraiment à ce que MEATPISTOL soit mis en open source et travaillent activement à réaliser cet objectif ».
Schwartz et Cramb sont maintenant représentés par la Electronic Frontier Foundation.
La raison spécifique de leur renvoi n’a pas encore été communiquée.
Quoi qu’il en soit, plusieurs chercheurs en sécurité ont critiqué Salesforce après le renvoi de Khalil Sehnaoui, un chercheur en sécurité qui était à la conférence, et qui a déclaré dans un tweet que « Si vous allez commencer une rébellion avec vos red-teamers, ne le faites pas à Defcon. »
Depuis lors, la communauté a diffusé au duo un certain nombre d'offres d'emploi.
Schwartz et Cramb sont attendus à la DerbyCon et au BruCon plus tard cette année.
Source : Tweet John Cramb, DEF CON, Saleforce vs MEATPISTOL
Et vous ?
Qu'en pensez-vous ?
Salesforce se sépare de deux de ses cadres supérieurs
Après leur speech durant l'édition 2017 de la DEF CON
Salesforce se sépare de deux de ses cadres supérieurs
Après leur speech durant l'édition 2017 de la DEF CON
Le , par Stéphane le calme
Une erreur dans cette actualité ? Signalez-nous-la !