David Litchfield

David Litchfield est un expert britannique en sécurité de l'information né en 1975, reconnu pour avoir découvert des centaines de vulnérabilités dans des produits de Microsoft, Oracle et IBM. Il a cofondé Next Generation Security Software et est l'auteur de plusieurs ouvrages de sécurité influents. Il occupe actuellement le poste de Director of Information Security Assurance chez Apple.

Premiers pas de carrière et Cerberus Information Security

David Litchfield est un chercheur en sécurité britannique né en 1975 qui s'est très tôt imposé comme l'un des chasseurs de vulnérabilités les plus prolifiques de l'industrie. Il a fondé Cerberus Information Security, racheté par @stake en juillet 2000. À la suite de cette acquisition, il a cofondé Next Generation Security Software (NGS) environ un an et demi plus tard, aux côtés de trois collègues, de son frère Mark Litchfield et de son père.

Recherche de vulnérabilités

Litchfield a découvert des centaines de vulnérabilités dans des logiciels largement déployés, avec des trouvailles particulièrement notables dans des produits de Microsoft, Oracle et IBM. Aux Black Hat Security Briefings de juillet 2002, il a présenté un code d'exploit démontrant une vulnérabilité de buffer overflow qu'il avait identifiée dans Microsoft SQL Server 2000. Six mois plus tard, le 25 janvier 2003, des acteurs inconnus ont utilisé ce code comme base du ver SQL Slammer, l'un des malwares à la propagation la plus rapide jamais enregistrée à l'époque.

Après plusieurs années centrées sur la recherche de vulnérabilités au sens large, Litchfield s'est tourné vers la criminalistique Oracle. Il a documenté des méthodologies pour effectuer l'analyse forensique de serveurs de base de données compromis dans une série de white papers intitulés Oracle Forensics Parts 1 to 6. Il a également entrepris la recherche et le développement d'un outil open source appelé Forensic Examiner's Database Scalpel (F.E.D.S.).

Publications

Litchfield est l'auteur unique de l'Oracle Hacker's Handbook et coauteur de plusieurs autres ouvrages de sécurité largement cités, dont le Database Hacker's Handbook, le Shellcoder's Handbook et SQL Server Security. Il a également contribué à Special Ops. Au-delà des livres, il a écrit de nombreux white papers techniques et publié plusieurs paquets logiciels sur des sujets de sécurité.

Reconnaissance et récompenses

En décembre 2003, Anne Saita, dans le magazine Information Security, a désigné David Litchfield et son frère Mark Litchfield comme les « World's Best Bug Hunters ». Sous sa direction, NGS Software a remporté un éventail de distinctions commerciales et techniques. Parmi celles-ci, le Queen's Award for Enterprise en 2007, remis à Buckingham Palace, l'International Trade Award for Innovation en 2008 décerné à la House of Lords, et le SC Award for Best Security Company in Europe en 2008, avec une seconde place en 2007. À titre individuel, Litchfield a reçu en 2007 le prix Entrepreneur of South London.

Carrière ultérieure

Litchfield occupe actuellement le poste de Director of Information Security Assurance chez Apple, mettant son vaste passif en recherche de vulnérabilités et en sécurité des bases de données au service de l'une des plus grandes sociétés technologiques au monde.