Chris Wysopal

Jeunesse

Chris Wysopal est né en 1965 à New Haven, dans le Connecticut, d'une mère enseignante et d'un père ingénieur. Il a fréquenté le Rensselaer Polytechnic Institute à Troy, dans l'État de New York, où il a obtenu une licence en computer and systems engineering en 1987.

Carrière

Wysopal est devenu le septième membre à rejoindre L0pht, le think tank de hackers très en vue qui a connu une large reconnaissance à la fin des années 1990. Durant cette période, il a exercé comme chercheur en vulnérabilités, contribuant à des projets de développement comprenant Netcat et L0phtCrack pour Windows. Il a également été webmestre et graphiste pour le site web de L0pht et pour Hacker News Network, décrit comme le premier blog hacker. Ses recherches ont produit des avis de sécurité publiés couvrant des vulnérabilités dans Microsoft Windows, Lotus Domino, Microsoft IIS et ColdFusion.

En 1998, Wysopal faisait partie des sept membres de L0pht qui ont témoigné devant une commission du Sénat des États-Unis, déclarant qu'ils pourraient mettre Internet à genoux en 30 minutes. Ce témoignage a attiré une attention publique et gouvernementale considérable sur l'état de la sécurité d'Internet.

Lorsque L0pht a été racheté par @stake en 1999, Wysopal est devenu manager du Research Group d'@stake puis Vice President of Research and Development. À la suite du rachat d'@stake par Symantec en 2004, il a exercé en tant que Director of Development.

En 2006, Wysopal a cofondé Veracode aux côtés de Christien Rioux, en occupant le poste de CTO. Veracode a été rachetée par CA Technologies en 2017 pour 614 millions de dollars, puis détachée et rachetée par Thoma Bravo pour 950 millions de dollars, et plus tard acquise par TA Associates pour 2,5 milliards de dollars. Wysopal a poursuivi son rôle de CTO à travers ces transitions avant de devenir Chief Security Evangelist en 2024. En 2018, il a rejoint le conseil d'administration d'Humanyze.

Politique de divulgation des vulnérabilités

Wysopal a joué un rôle important dans la définition des standards de l'industrie pour la divulgation responsable des vulnérabilités logicielles. Il a contribué à RFPolicy, reconnue comme la première politique de divulgation de vulnérabilités. En 2002, avec Steve Christey du MITRE, il a co-proposé une RFC IETF intitulée « Responsible Vulnerability Disclosure Process ». Bien que l'IETF ait finalement rejeté la proposition comme hors de son champ, le cadre est devenu la base de l'Organization for Internet Safety, un groupement industriel réunissant éditeurs et chercheurs en sécurité, dont Wysopal a été l'un des fondateurs.

En 2001, il a fondé VulnWatch, une mailing list à but non lucratif de divulgation complète, dont il a été modérateur. En 2003, il a témoigné devant une sous-commission de la Chambre des représentants des États-Unis sur le sujet de la recherche et de la divulgation de vulnérabilités.

Travaux notables

Wysopal est titulaire de plusieurs brevets américains liés à la sécurité logicielle, dont des brevets couvrant l'évaluation et l'analyse des failles de sécurité logicielles, l'analyse automatisée comportementale et statique au moyen de bacs à sable instrumentés et d'apprentissage automatique pour la sécurité mobile, et l'évaluation de la sécurité dans les machines virtuelles.

Il a coécrit The Art of Software Security Testing (Addison-Wesley, 2006) avec Lucas Nelson, Dino Dai Zovi et Elfriede Dustin. Il a également édité Threat Modeling: Designing for Security d'Adam Shostack (Wiley, 2014). Ses publications additionnelles comprennent des articles sur la dette de sécurité, la variation de la sécurité logicielle et la détection statique de backdoors applicatives, parus dans des supports comme ;login: The USENIX Magazine et Datenschutz und Datensicherheit - DuD.

Distinctions

En 2008, Wysopal a été nommé parmi les 100 personnes les plus influentes de l'IT par eWeek et choisi comme l'un des InfoWorld CTO 25. Il a été désigné SANS Security Thought Leader en 2010 et a rejoint le Black Hat Review Board en 2012. Computer Reseller News l'a nommé parmi les Top 25 Disruptors de 2013, et SC Magazine l'a reconnu parmi cinq Security Thought Leaders en 2014. En 2023, CyberScoop l'a nommé Cybersecurity Visionary.