Name: Bromure
Availability: InStock

J'ai passé un très bon moment à répondre à l'interview de Mehul Revankar sur Bromure, Nessus et bien plus. Mehul était mon collègue chez Tenable et est aujourd'hui co-fondateur de Quantro Security.

Ce dont nous parlons

L'interview dure environ une heure. Quelques temps forts :

Les débuts de Nessus. Le lancement du projet en 1998, l'écriture d'un scanner parallèle qui devait tenir dans 56 Mo de RAM, la livraison quotidienne de mises à jour de plugins en 2003 (du CI/CD avant l'invention du terme), et pourquoi j'ai finalement abandonné Perl pour un langage dédié, NASL.
« L'AppSec est morte. » Comment une infrastructure auto-réparante et générée par IA rend discrètement obsolète une grande partie de la sécurité applicative traditionnelle — et pourquoi les fondateurs profondément techniques ont aujourd'hui un avantage déloyal, parce qu'ils savent dire précisément à un agent IA ce qu'il doit faire au lieu d'espérer qu'il devine.
La naissance de Bromure. La version courte implique un honeypot financier, beaucoup de liens d'arnaques que je ne voulais pas ouvrir sur ma vraie machine, et le constat que personne ne livrait de navigateur conçu en partant du principe qu'il serait compromis. La version longue est dans le podcast.
Overbearer. Un proxy qui masque les vrais jetons porteurs et clés d'API utilisés par l'automatisation interne, pour qu'un runner CI ou un portable de développeur compromis ne donne pas instantanément à l'attaquant les clés de la production.
Le financement et le paysage VC. Les tours d'amorçage à 200 M$, la perte de contrôle de sa propre sortie, et pourquoi livrer deux outils open source en deux semaines semble bien plus sain que courir après une valorisation de licorne.

Nous terminons par une petite visite du « panthéon des vulnérabilités » — WannaCry, Heartbleed, Log4Shell — et ce que chacune a appris (ou non) à l'industrie.