|
|
|
Publicité ' | ||||||||||||||||||||||||
26/11/2012, 14h42
|
#41 | |
|
Membre émérite
   Erwan BiduleDéveloppeur .NET Inscription : février 2009 Messages : 629  |
Citation:
Vuspen c'est un peu genre achète ma jolie maison mais t'auras peut etre une cabane en bois........achète mon magazine mais t'auras peut être une feuille blanche... Et surtout c'est Vuspen te propose pas une jolie maison et un beau magazine mais les éventuels défauts d'un fabriquant tiers....c'est quoi Vuspen...une assurance OS ???? |
|
|
010
|
|
26/11/2012, 14h46
|
#42 | |
|
Membre émérite
Erwan BiduleDéveloppeur .NET Inscription : février 2009 Messages : 629 |
Citation:
Faut espérer que ce genre de boites n'aillent pas mettre son nez dans d'autres domaines... Je savais que sa roue allait lacher...mais son constructeur a pas voulu me payer pour une information dont il connaissait pas le contenu...alors la roue a laché...c'est pas ma faute m'sieur, faut voir avec le fabricant... |
|
|
|
29
|
|
26/11/2012, 14h49
|
#43 | |
|
Membre émérite
Erwan BiduleDéveloppeur .NET Inscription : février 2009 Messages : 629 |
Citation:
|
|
|
|
18
|
!
|
26/11/2012, 15h58
|
#44 | ||
|
Membre chevronné
 Développeur informatique Inscription : janvier 2010 Messages : 112 |
Citation:
Citation:
en gros quand t'achètes Windows et que tu utilises IE10, tu "sais" que tu seras protégé... t'as l'air d'oublier un truc essentiel: personne n'oblige Microsoft à payer... ni 3 milliards (pas l'impression d'exagérer là?), ni 2€... MS est libre dans cette histoire. s'ils veulent découvrir la faille eux-même pour ensuite la corriger, il peuvent. s'ils veulent s'en foutre et faire comme si de rien n'était, il peuvent. |
||
|
|
33
|
|
26/11/2012, 15h59
|
#45 | ||
|
Membre Expert
    
Patrick KolodziejczykDéveloppeur informatique Inscription : avril 2008 Messages : 643  |
Citation:
Citation:
__________________
N'oubliez pas de marquer vos discussions  Si une réponse vous a été utile pensez à voter Pour  Pensez à la javadoc 
|
||
|
22
|
|
26/11/2012, 16h15
|
#46 | |
|
Membre émérite
Erwan BiduleDéveloppeur .NET Inscription : février 2009 Messages : 629 |
Citation:
 Et quel rapport entre vanté la sécurité et une société tierce qui trouve une faille ? |
|
|
|
08
|
|
26/11/2012, 16h17
|
#47 | |
|
Membre émérite
Erwan BiduleDéveloppeur .NET Inscription : février 2009 Messages : 629 |
Citation:
On en vient au fait que vupen fait ça pour le fric en faisant du chantage à MS et ses utilisateurs... |
|
|
|
18
|
|
26/11/2012, 16h32
|
#48 |
|
Membre Expert
Patrick KolodziejczykDéveloppeur informatique Inscription : avril 2008 Messages : 643 |
Je te rappel que nous somme dans le monde de l'entreprise. Une entreprise, ça a deux vocations :
1. Crée de la richesse (Produit / information) 2. Faire de l'argent Vupen, tout comme Microsoft, crée de la richesse et tente d'en faire de l'argent. On appel cela le monde capitaliste. Bienvenu sur Terre !
__________________
N'oubliez pas de marquer vos discussions Si une réponse vous a été utile pensez à voter Pour Pensez à la javadoc
|
|
|
53
|
|
26/11/2012, 16h38
|
#49 |
|
Membre Expert
  Gilles VinoSoftware Developer Inscription : mars 2008 Messages : 1 305 |
Je me rapelle de certains qui avaient penetrer au sein du reseau d'entreprises pour recuperer des documents, et ensuite ces personnes avaient gentillement renvoyer les documents "emprunter" en leur disant comment ils avaient fait pour s'introduire. Ils n'ont rien voler ni meme rien vendu mais ils ont ete juges coupables avec de lourdes peines.
Comme quoi Vurspen a encore beaucoup a apprendre, alors que eux ne menacent pas la securite d'une entreprises mais de potentiels milliards d'utilisateurs (85%). PS: J'ai trouver un effet secondaire mortel qui peux surgir n'importe quand pour tous les consommateurs d'aspirine. Vais-je vendre la formule pour corriger le remede et sauver des centaines de millions de personnes ou vais-je le vendre a une organisation/gouvernement qui va s'en servir comme arme? Quand je parle de banque certains ne comprennent pas, peut-etre qu'en parlant de choses vitales on arrivera enfin a comparer ce qui se passe dans les technologies avec le "monde reel". Et oui, exploiter une faille dans un OS sur une tres grande quantite d'utilisateurs crees aussi de grandes consequences a toute echelle (utilisateur qui perd toutes ses donnees et se fait derober toutes ses informations confidentielles, un couple qui se cacherait des choses, une entreprise qui se fait voler ses travaux et strategies, un pays...). Et oui, comme tu le dis si bien Bienvenue sur Terre. |
|
|
16
|
|
26/11/2012, 16h55
|
#50 | |
|
Membre Expert
Patrick KolodziejczykDéveloppeur informatique Inscription : avril 2008 Messages : 643 |
Citation:
La même chose, c'est produite dans la boite où j'étais en prestation. Sauf que celle-ci avait été demander par la boite pour tester la sécurité de leur infrastructure. Si Vupen a découverts leur faille en travaillant sur un ordinateur leur appartenant et avec un licence acheté, c'est totalement légal. D'ailleurs, le cas que tu cite a été condamné pour avoir pénétré un système informatique ne leur appartenant pas. Pas de savoir pénétré un système informatique.
__________________
N'oubliez pas de marquer vos discussions Si une réponse vous a été utile pensez à voter Pour Pensez à la javadoc
|
|
|
|
51
|
|
26/11/2012, 17h02
|
#51 | |
|
Membre émérite
Erwan BiduleDéveloppeur .NET Inscription : février 2009 Messages : 629 |
Citation:
|
|
|
|
28
|
|
26/11/2012, 17h05
|
#52 | |
|
Membre émérite
Erwan BiduleDéveloppeur .NET Inscription : février 2009 Messages : 629 |
Citation:
|
|
|
|
25
|
|
26/11/2012, 17h12
|
#53 | |
|
Membre chevronné
Développeur informatique Inscription : janvier 2010 Messages : 112 |
Citation:
 les entreprises pharmaceutiques devraient distribuer gratuitement les médicaments qu'ils fabriquent au personnes malades qui ne peuvent se payer de traitement. Monsanto (entre autres) devrait offrir des tonnes de ses semences de céréales aux pays qui souffrent de mal/sous-nutrition. ces gens sont dans le besoin, il est de notre devoir à tous de faire quelque chose pour eux sans demander de contrepartie. mais en l’occurrence, le fait d'offrir gracieusement la découverte de cette faille à MS ne sauvera personne. et puis MS n'est pas dans le besoin... et puis au pire du pire il se passera quoi? des gens qui étalent leur vie sur facebook se feront "voler" les données qu'ils affichent partout. des pubs apparaitront intempestivement sur nos chers écrans. l'ordinateur ne voudra plus démarrer et je devrais le formater ou (horreur) l'emmener chez le réparateur !!! non vraiment, je crois qu'il faut arrêter de s'enflammer sur les exemples et les analogies qui deviennent de plus en plus ridicules. si vous voulez vous offusquer, vous indigner ou crier à l'injustice ou à l'immoralité, je suis persuadé que vous pouvez trouver des causes bien plus nobles que la défense d'une boite qui n'a pas tout à fait bien travaillé. et puis en l'occurrence, je crois pas que Vupen aie mis une annonce sur leboncoindesterroristes.com pour vendre sa découverte à un "barbu kamikaze qui veut exterminer ces infidèles d'occidentaux". moi j'ai compris qu'il vend juste la faille à ses clients pour qu'ils puissent agir de leur coté pour se protéger. |
|
|
|
81
|
|
26/11/2012, 17h22
|
#54 | |
|
Membre Expert
Gilles VinoSoftware Developer Inscription : mars 2008 Messages : 1 305 |
Citation:
|
|
|
|
16
|
|
26/11/2012, 17h43
|
#55 | |
|
Membre chevronné
Développeur informatique Inscription : janvier 2010 Messages : 112 |
Citation:
ce qui m'insupporte, c'est votre façon à toi et erwanlb de faire dans le melodrame "fin du monde". - l'un qui fantasme sur les soit disant "miliards" que Vupen demanderait à MS (vous avez vu ça ou sérieusement?). - l'autre qui compare l'offre gracieuse d'une procédure pour exploiter une faille à une multinationale multimilliardaire au fait de sauver des centaines de millions de vies. ça me fait penser à ces gens qui se disent "pris en otage" à la moindre grève, j'ai presque envie de les enfermer dans une cave avec un flingue sur la tempe pendant quelques mois pour leur apprendre a être plus mesurés et leur passer l'envie de s'auto-victimiser. moi c'est ce genre de comportement que j'arrive pas à comprendre... sinon... bah non, je ne développe pas d'OS 0-faille tous les jours. mais quand un collègue vient me voir en me disant que ce que j'ai fait ne marche pas, je demande pas à ce qu'on vienne tout m'expliquer gratuitement. et si par bonheur un collègue me dépatouille sur un sujet sur lequel je suis largué, je lui rend à un moment ou un autre, d'une façon ou d'une autre. je me contente pas de croire que tout m'est du parce que mon travail sera utilisé par d'autres. oui, faire une erreur peut arriver à tout le monde. non, ce n'est pas une raison pour prétendre à une aide gratuite. EDIT pour le commentaire du dessous: - le paragraphe sur les grèves est juste là pour illustrer ce comportement de plus en plus répandu qui consiste à faire d'un gravier une montagne. ce trait qui consiste à grossir des évènements insignifiants en les comparant à des désastres ou des scandales pour leur associer une connotation horrible alors qu'ils ne sont des évènements banales et à la gravité toute relative. - j'habite près du centre de Lyon, je prends le métro 2 fois par jours sur une distance de 8km pour aller au boulot et en revenir et quand il y a une grève, je me sens pas pris en otage. quand ça arrive, je peux encore sortir de chez moi, je suis libre de prendre mon vélo, de prendre un taxi, d'arriver en retard et de repartir plus tard le soir, de poser un jour de congé selon mon humeur... les gens qui font grève le font en général pour de bonnes raison et pas par simple plaisir. des travailleurs qui défendent leurs conditions de travail, ça ne me gène pas du tout. bref, une grève n'a rien à voir avec une prise d'otage. pour rappel, les otages sont des gens qui sont privés de leur liberté, qui craignent bien souvent pour leur vie, et cela pendant des semaines, des mois et parfois des années. certains même en meurent... quel rapport avec une grève? - Vuspen ne fait aucun chantage, il refuse juste d'offrir son travail gratuitement. encore une façon de réinterpréter (malhonnêtement) les faits pour les faire paraitre scandaleux (voir ci-dessus). |
|
|
|
81
|
|
26/11/2012, 17h53
|
#56 |
|
Membre Expert
Gilles VinoSoftware Developer Inscription : mars 2008 Messages : 1 305 |
C'est bien ce que je pensais, tu reste figé sur tes positions.
Je ne comprend pas trop ton exemple sur les greves, mais bon tant qu'a parler de Vurspen qui est une société basée en France et le fonctionnement francais je dirais ca fonctionne toujours aussi mal. Tu dois vivre en dehors des grandes ville et ne jamais bouger de chez toi pour n'avoir jamais été emmerdé par toutes ses greves en France qui nous "emmerde" et nuisent a l'image de notre pays. Je ne vais pas m'étendre sur le sujet car on va s'éloigner du topic. Tu parles d'aider gratuiement, mais qui a dit que Microsoft ne paierais pas pour qu'il puisse colmater la faille? Quand mon client trouve une faille dans mon travail il ne va pas me faire du chantage mais plutot tout mettre en place pour corriger cette derniere. Et mon client ne me blamera pas non plus car il est humain et sait que rien n'est jamais parfait. |
|
|
17
|
|
26/11/2012, 20h11
|
#57 |
|
Candidat au titre de Membre du Club
 jean-francois DUFLOTResponsable des études Inscription : janvier 2011 Messages : 3 |
Légalité et éthique
La raison pour laquelle nous nous faisons régulièrement rouler par les anglo-saxons est que nous respectons non seulement la loi mais également l'éthique, alors que pour eux, "tout ce qui n'est pas interdit est autorisé". Les spécialistes de la cyberdéfense de la DGSE alertent régulièrement les entreprises française sur ce point.
C'est par exemple en utilisant des méthodes à la limite de la légalité mais pas du tout éthiques que les américains ont pris le contrôle de Gemplus et des méthodes de cryptage de la carte à puces, malgré les avertissements de la DGSE. VUPEN respecte certainement la légalité, sans doute pas l'éthique. D'ailleurs ils vont sans doute devoir surveiller leurs arrières dans les semaines qui viennent... Personnellement leur dangereuse tactique me plait assez, pour une fois que l'on s'attaque aux américains. |
|
|
52
|
|
26/11/2012, 20h40
|
#58 |
|
Expert Confirmé Sénior
 
 Développeur d'applications Inscription : novembre 2005 Messages : 2 562 |
J'ai lu il y a quelques années que google avait aussi un programme de reward pour les vulnérabilités, mais on parlait de montants de 500$ à 3000$ suivant la gravité. Pas pu trouver d'info sur celui de microsoft.
Là le bonhomme qui a trouvé cette faille 0day, s'il est à la tête d'une boîte qui fait dans ce business, il a surement l'intention de se faire plus de fric que ça parce qu'en terme de temps passé dans la recherche, c'est pas avec ce genre de montant qu'il paiera son loyer. La seule question qu'on peut se poser c'est à quel point c'est éthique ou non comme procédé? Quand on voit que des gouvernements se portent ouvertement acquéreurs de données bancaires volées soit disant pour lutter contre la fraude fiscale, on peut se dire que ce qu'il fait avec sa société n'est pas finalement ce qu'il y a de pire? Son travail ne devrait pas être gratuit, mais cependant j'ai un peu de mal avec le procédé. C'est un peu comme si une personne constatait une faille de sécurité dans un garde-meuble avec possiblement des conséquences, et qu'il essayait de vendre l'info au gérant en faisant peser le "préjudice aux clients si par malheur"... Quant à ceux sur ce forum qui développe des logiciels, vous êtes à ce point sûrs de vos talents que vous estimez que vos produits sont infaillibles? Comment réagiriez-vous si on voulait vous faire casquer pour des informations concernant votre soft en faisant un buzz sur une faille importante? Perso je trouverai pas ça super cool et je ne pense pas que j'apprécierai qu'on me dise que j'ai qu'à sortir mon produit mieux testé puis que c'est à moi de faire ce boulot sans quoi je ne suis pas légitime de proposer ce sur quoi je travaille et j'investis. Donc oui les microsoft il a qu'à tester, microsoft il a qu'à chercher lui-même des failles (ils ne le font pas vous croyez?) microsoft il a des sous, microsoft c'est des profiteurs, merci bien. N'empêche que cette société agit sans mandat et sans contrat avec MS, donc est-ce que c'est vraiment si légitime que ça de vendre des informations en prenant quelque peu en otage les utilisateurs? Bref, je sais pas, j'aime pas trop cette démarche. Je reconnais que c'est un boulot, mais un boulot intéressé que personne lui a demandé de faire. Après si les conditions de rémunération ne lui conviennent pas il a qu'à aller s'attaquer à des autres logiciels. Mais bon, pour que ça paie faut taper sur les gros qui ont plein d'utilisateurs pour faire pression, je suppose... Donc non en fait j'aime pas ça du tout. |
|
|
51
|
|
26/11/2012, 21h03
|
#59 |
|
Membre Expert
Gilles VinoSoftware Developer Inscription : mars 2008 Messages : 1 305 |
@_skip: Je sais que Google a déja donné plusieurs fois $60.000 pour Chrome.
|
|
|
10
|
|
26/11/2012, 23h16
|
#60 | ||||||||
|
Membre Expert
Patrick KolodziejczykDéveloppeur informatique Inscription : avril 2008 Messages : 643 |
Citation:
Citation:
Ce que ne fait pas Vupen. Ce n'est donc pas du chantage. Citation:
Citation:
Second point : ne pas être parfait, n'implique pas la générosité envers l'imperfection des autres. Citation:
http://www.computerworld.com/s/artic...curity_contest Hors le gagnant de ces concours épisodique, Microsoft ne rémunère pas la découverte de faille. Ton client y gagne la correction du bug. Et si ta boite a un minimum d'esprit commercial, elle lui enverra une belle boite de chocolat d'ici un mois. Et je suppose que ton client n'as pas passé sa semaine à cherche le bug qu'il ta rapport sans rien produire d'autre de la semaine. HS : Les grèves sont un droits durement acquis, qui ont permis d’acquérir de beaucoup de droit social qu'on considère comme normal en France, mais qui ne le sont pas. Et permettent encore de défendre ces mêmes droits. Même si on a tendant à stigmatiser cela... Citation:
Je vais répondre directement à tes deux questions : Citation:
Citation:
Pour le reste, je ne peux qu'apprécier ton point de vue. J'avoue ne pas avoir le même résonnent, mais j'arrive à une conclusion similaire. (J'avoue que je préférai entant que acheteur et consommateur que Microsoft dépense un peu d'argent en bug bounty.) Cordialement, Patrick Kolodziejczyk.
__________________
N'oubliez pas de marquer vos discussions Si une réponse vous a été utile pensez à voter Pour Pensez à la javadoc
|
||||||||
|
|
12
|
Copyright © 2000-2013 - www.developpez.com