Discussion :

[Gordon Fowler]

Vupen content que des chercheurs de failles ne les livrent pas à des éditeurs « multi-milliardaires »
Et vend les 0-days de Windows 8 à ses clients sans les communiquer à Microsoft

Fin octobre, Vupen avait affirmé par la voix de son PDG - Chaouki BEKRAR - avoir découvert plusieurs failles dans Internet Explorer 10 qui permettaient de corrompre Windows 8. Et ce malgré les avancés du système de sécurité du nouvel OS.

La société basée à Montpellier n’a donné depuis aucune information sur son exploit (au sens informatique du terme). Elle a, en revanche, immédiatement fait savoir que les détails de l’attaque étaient à vendre.

Une décision – traditionnelle pour Vupen – que certains ont qualifié de « Grey Hat ». Autrement dit, entre les White Hat, qui œuvrent pour la sécurité du plus grand nombre, et les Black Hat, qui cherchent à tirer profit des systèmes en les piratant. C’est ce que regrette par exemple Jani Kallio, expert chez Luottokunta, le premier fournisseur de services de paiements finlandais.

D’après le dossier de L’Expansion de cette semaine qui fait un point sur la stratégie numérique française, la revente de ce type de découvertes peut dépasser les 150.000 €. C’est le prix qu’auraient payé des services de l'Etat français pour acquérir les détails d'un autre exploit qui s'appuie lui aussi sur des failles 0-days.

Rappelons qu’une faille 0-day n’est pas une « faille méconnue », comme l’écrit le magazine, mais une faille jusqu’ici inconnue et non patchée. Un 0-Day est par définition connu (ne serait-ce que par son découvreur) et documenté (ce qui fait sa dangerosité) mais pas encore divulgué (ou à un petit nombre) ni corrigé.

De son côté, Microsoft invite les hackers à participer à son programme maison (Coordinated Vulnerability Disclosure) et regrette donc en termes diplomatiques que Vupen œuvre de son côté, en monétisant ses découvertes, sans communiquer avec lui pour améliorer la sécurité de ses outils.

Un appel qui ne semble pas émouvoir Chaouki BEKRAR.

Chaouki BEKRAR, PDG de Vupen

Au contraire. Le hacker vient de féliciter sur Tweeter un de ses confrères qui a décidé d'adopter la même stratégie. « Content de voir qu’une start-up spécialisée dans la recherche trouve des 0-Days et refuse de livrer leur travail gratuitement à des fournisseurs multimilliardaires. Bienvenu au club », écrit-il.

Plusieurs analystes commencent néanmoins à poser la question de la légalité d'un tel commerce.

En attendant, les failles de Vupen - dont on ne sait rien - sur Windows 8 et son navigateur Internet Explorer 10 sont bel et bien à vendre au plus offrant. Tant pis pour ceux qui n'ont pas les moyens ?

Et vous ?

Pensez-vous que Vupen ait raison de ne pas communiquer ses travaux aux éditeurs ?
Ou considérez-vous que cela fait de ces chercheurs des « Grey Hat » ?

[alex_vino]

Pas beaucoup d'intéret cet article qui parle de "truant", mais je vais quand meme le commenter parce qu'il a le mérite de m'hérisser les poils.
J'utilise le mot "truant" car soit ils n'ont rien trouvé et font cela pour se faire de la publicité gratuitement, soit ils préferent travailler de l'autre coté de la frontiere et vendre leur trouvaille a des hackers sans scrupules.
Que Microsoft n'accepte pas leur "tarif de vente" est une chose et est leur droit de demander davantage, mais alors qu'ils gardent leur faille pour eux.
Imaginez des failles non-connues entre les mains des créateurs de Stuxnet par exemple, compromettant des systemes de sécurité des Etats mais aussi des domaines clés (nucléaire, défense, médecine, concurrence...) a des fins d'attaque/espionnage.
Bien triste pour notre pays de parler de nos start-up qui agissent de cette facon.

[epsilowne]

+1 Linux

[kolodz]

@alex_vino : On parle ici principalement de la rémunération des entreprises travaillant dans la sécurité informatique.

Pour rappel un fail 0-days, ne se trouve pas tout les jours et nécessite des ressources pour être trouver et documenté.

Que Microsoft n'accepte pas leur "tarif de vente" est une chose et est leur droit de demander davantage, mais alors qu'ils gardent leur faille pour eux.

Pour le moment, très peu de personne accepte d'acheter ce type d'information. En effet, on considère que ces informations doivent être donner à titre gracieux pour la sécurité des utilisateurs.
Ce qu'on oublie c'est que cette sécurité est la responsabilité du producteur / distributeur. C'est à eux de faire l'investissement pour protéger leur produit pour leur client.
D'ailleurs certains sociétés et fondations propose déjà une rémunération pour ce genre d'information :

http://www.mozilla.org/security/bug-bounty.html
http://www.google.com/about/appsecurity/reward-program/
http://www.facebook.com/whitehat/bounty/

Pour rappel, Microsoft comme d'autre compagnie vends des licences où il assure le support et la sécurité. Si il y a un problème de sécurité (ou autre), alors leur clients exigent un dédommagement...

Donc considérer qu'une faille découverte sur un logiciel Microsoft ne peut-être acheter que par Microsoft, qui ne veux pas les acheter n'est une bonne approche.

Dès banques et des états qui utilisent des logiciels Microsoft sont potentiellement de très bon client pour ce genre d'information. Eux accepteront de payer. Et demanderont poliment à Microsoft de les rembourser, lors de leur prochain achat de licence.

Pensez-vous que Vupen a raison a de ne pas communiquer ses travaux aux éditeurs ?

Vupen pense à l'avenir de sa boite, la vente de cette faille peut assurer la survie de sa boite pour plusieurs années.

Ou considérez-vous que fait de ses chercheurs des « Grey Hat » ?

Non, c'est certes demander quelque chose que peu de personnes demande.

Pour rappel, le coût de développement de windows 8 est inférieur au budget marketing. Vous pensez sérieusement que Microsoft ne devrait pas dédommager les personnes qui s'occupent de la sécurité de leurs logiciel ?

Surtout qu'aujourd'hui en France un défaut de sécurité de sa connexion internet est un délit... (Si troll que ça ?)

Plusieurs analystes commencent néanmoins à poser la question de la légalité d'un tel commerce.

Si on demande demande aux mêmes que pour SOPA/PIPA et HADOPI. Cela le deviendra pour une certains catégorie de la population/société.

Cordialement,
Patrick Kolodziejczyk.

[alex_vino]

@kolodz: Je te donne un exemple concret pour te faire oublier le monde virtuel.
Tu trouves le moyen de braquer une banque. Va-t'us livrer la stratégie du braquage au plus offrant des bandits (en passant le message au journal de 20h de TF1) tout en faisant tout que la banque ne puisse pas acheter?
Certains croient que l'informatique permet toutes les dérives, heuresement que toutes les entreprises et les utilisateurs ne fonctionnent pas tous de cette facon. Il n'y a qu'a regarder l'attitude des Kasperky et Cie et ce "Vupen" pour comprendre.

Surtout qu'aujourd'hui en France un défaut de sécurité de sa connexion internet est un délit...

Il n'y a pas qu'en France, et le délit n'est pas le défaut de sécurité mais plutot son utilisation par une personne tierce. D'un point de vue juridique c'est a l'accusé de prouver son innocence. Si tu estimes avoir fait tout ton possiblealors ensuite tu peux toujours mener une action contre ton fournisseur internet ou qui tu veux.

[Totony]

@kolodz: Je te donne un exemple concret pour te faire oublier le monde virtuel.
Tu trouves le moyen de braquer une banque. Va-t'us livrer la stratégie du braquage au plus offrant des bandits (en passant le message au journal de 20h de TF1) tout en faisant tout que la banque ne puisse pas acheter?
Certains croient que l'informatique permet toutes les dérives, heuresement que toutes les entreprises et les utilisateurs ne fonctionnent pas tous de cette facon. Il n'y a qu'a regarder l'attitude des Kasperky et Cie et ce "Vupen" pour comprendre.

Premièrement, un ordinateur n'es pas une BANQUE... Quand même... Et ne sortez pas la comparaison avec les trucs super-top-secret ou les trucs qui doivent être le moins compromis possible, on parle de Windows 8 et d'Internet Explorer.
Aussi, je crois que la banque a la responsabilité d'être la plus sécuritaire possible et, si jamais elle se fait vendre des informations quant à cette sécurité, elle a la responsabilité de faire tout en son pouvoir pour l'obtenir.

[erwanlb]

Pour rappel un fail 0-days, ne se trouve pas tout les jours et nécessite des ressources pour être trouver et documenté.

Si cela coûte des ressources et qu'ils veulent être dédommagés à hauteur de leur boulot, 2 choix très simples :

- Bosser pour Microsoft
- Ne pas chercher ces failles, cela ne leur coûtera rien !

Encore une fois le domaine informatique se démarque par sa relative virtualisation...imaginez qu'une société dise, j'ai trouvé une faille dans votre voiture, vous risquez d'avoir un accident si vous ne me payez pas....j'ai trouvé une faille dans votre tv, elle risque d'exploser à tout moment, payez moi....etc...

[fregolo52]

Si cela coûte des ressources et qu'ils veulent être dédommagés à hauteur de leur boulot, 2 choix très simples :

- Bosser pour Microsoft
- Ne pas chercher ces failles, cela ne leur coûtera rien !

Encore une fois le domaine informatique se démarque par sa relative virtualisation...imaginez qu'une société dise, j'ai trouvé une faille dans votre voiture, vous risquez d'avoir un accident si vous ne me payez pas....j'ai trouvé une faille dans votre tv, elle risque d'exploser à tout moment, payez moi....etc...

Dans ce cas, pourquoi Kapersky ne nous donne pas gratuitement une solution complètement gratuite ?

Donc, on doit payer un éditeur (antivirus & co) pour qu'on se protège, mais les éditeurs, eux, ne devraient pas payer pour mieux sécuriser leurs solutions ?

Le cas de Chaouki BEKRAR est peut-être un peu différent, vu qu'il menace de divulguer la faille s'il n'est pas payé.

+1 Linux

Rootkit est un terme à la mode aussi sous Linux.

[messinese]

+1 Linux

La je vois vraiment pas le rapport ...?

Inutile de déterrer les vieux troll qui, de plus, n'ont pas lieu d'être.

[erwanlb]

Dans ce cas, pourquoi Kapersky ne nous donne pas gratuitement une solution complètement gratuite ?

Donc, on doit payer un éditeur (antivirus & co) pour qu'on se protège, mais les éditeurs, eux, ne devraient pas payer pour mieux sécuriser leurs solutions ?

Le cas de Chaouki BEKRAR est peut-être un peu différent, vu qu'il menace de divulguer la faille s'il n'est pas payé.

Rootkit est un terme à la mode aussi sous Linux.

L'intêret de Vupen n'est pas que le produit soit sécurisé, au contraire....

[Nathanael Marchand]

Pour le moment, très peu de personne accepte d'acheter ce type d'information. En effet, on considère que ces informations doivent être donner à titre gracieux pour la sécurité des utilisateurs.
Ce qu'on oublie c'est que cette sécurité est la responsabilité du producteur / distributeur. C'est à eux de faire l'investissement pour protéger leur produit pour leur client.
D'ailleurs certains sociétés et fondations propose déjà une rémunération pour ce genre d'information :

http://www.mozilla.org/security/bug-bounty.html
http://www.google.com/about/appsecurity/reward-program/
http://www.facebook.com/whitehat/bounty/

Faudrait p'tet voir à lire l'article aussi:

De son côté, Microsoft invite les hackers à participer à son programme maison (Coordinated Vulnerability Disclosure) et regrette donc en termes diplomatiques que Vupen œuvre de son côté, en monétisant ses découvertes, sans communiquer avec lui pour améliorer la sécurité de ses outils.

[Tryph]

ce gars n'a pas complètement tort.

Microsoft fait assez d'argent avec ses différentes version de Windows, et c'est Microsoft qui devrait faire de travail de sécurisation.

Hors, comme on dit chez nous: "tout travail mérite salaire".
et faut pas prendre Microsoft pour une pauvre boite sans ressource aussi, ils ont largement de quoi rémunérer les découvertes de failles.

Alors on peut déplorer le fait que le gars envisage de vendre sa faille au plus offrant, mais on ne peut pas lui reprocher de ne pas livrer son travail gratuitement a une boite qui brasse des milliards de dollars.

[Nathanael Marchand]

ce gars n'a pas complètement tort.

Microsoft fait assez d'argent avec ses différentes version de Windows, et c'est Microsoft qui devrait faire de travail de sécurisation.

Hors, comme on dit chez nous: "tout travail mérite salaire".
et faut pas prendre Microsoft pour une pauvre boite sans ressource aussi, ils ont largement de quoi rémunérer les découvertes de failles.

Alors on peut déplorer le fait que le gars envisage de vendre sa faille au plus offrant, mais on ne peut pas lui reprocher de ne pas livrer son travail gratuitement a une boite qui brasse des milliards de dollars.

Ouais mais faudrait voir à pas faire le truc à l'envers ! Microsoft a rien demandé du tout. C'est comme si quand tu rentrais chez toi, quelqu'un t'avais tondu la pelouse et te reclamait des sous sans que tu lui aies rien demandé. "Ah ben oui mon bon monsieur, tout travail mérite salaire, j'ai pas bossé pour rien !"

[DelphiManiac]

Ouais mais faudrait voir à pas faire le truc à l'envers ! Microsoft a rien demandé du tout. C'est comme si quand tu rentrais chez toi, quelqu'un t'avais tondu la pelouse et te reclamait des sous sans que tu lui aies rien demandé. "Ah ben oui mon bon monsieur, tout travail mérite salaire, j'ai pas bossé pour rien !"

Quitte à faire des comparaisons à la con :

Si tu est propriétaire d'un terrain, tu as une obligation de débroussaillage, question de sécurité incendie. Si tu ne le fait pas, dans un premier temps tu peux être verbalisé et dans un 2ième temps, la mairie peut ordonné les travaux à ta place et les frais seront à ta charge.

[Nathanael Marchand]

Quitte à faire des comparaisons à la con :

Si tu est propriétaire d'un terrain, tu as une obligation de débroussaillage, question de sécurité incendie. Si tu ne le fait pas, dans un premier temps tu peux être verbalisé et dans un 2ième temps, la mairie peut ordonné les travaux à ta place et les frais seront à ta charge.

Oui mais la rien ne t'oblige et t'as le choix du prestataire

[DelphiManiac]

Oui mais la rien ne t'oblige et t'as le choix du prestataire

Si tu ne le fais pas tu seras obligé et tu n'auras pas le choix du prestataire -> Microsoft n'a pas engagé suffisamment de moyen pour sécuriser ces outils, ils en payent le prix indirectement.

Ils n'ont pas envie de payer, pas de soucis, ils trouvent la faille, ne paye rien et tout est réglé.

[transgohan]

Oui mais la rien ne t'oblige et t'as le choix du prestataire

Oh non tu es obligé. J'ai travaillé justement à un débroussaillage lors d'un emploi saisonnier à la mairie chez une personne vivant à l'étranger qui avait laissé à l'abandon son second domicile en France.
Il a été contacté pendant deux ans, comme il n’obtempérait pas le maire a donc fait intervenir le service de la commune pour venir débroussailler et lui a fait payer le prix fort. Le propriétaire a porté cet acte au tribunal mais n'a pas eu gain de cause.

[Tryph]

morale de l'histoire:
microsoft ferait bien de tondre sa pelouse avant de sortir ses Windows

[erwanlb]

Si tu ne le fais pas tu seras obligé et tu n'auras pas le choix du prestataire -> Microsoft n'a pas engagé suffisamment de moyen pour sécuriser ces outils, ils en payent le prix indirectement.

Ils n'ont pas envie de payer, pas de soucis, ils trouvent la faille, ne paye rien et tout est réglé.

T'es propriétaire du terrain....

Microsoft n'est pas propriétaire de ta machine...dont tu as le choix d'utiliser ou pas Windows...

Imagine 2 secondes qu'un mec te dit que ta bagnole est pas sécurisé et que t'es en danger...il te dit pas ce qu'il y a bien sur mais si tu veux savoir tu dois payer...tu serais vraiment prêt à payer très cher pour savoir où est le problème alors que tout est peut être que du flan ???

[erwanlb]

Oh non tu es obligé. J'ai travaillé justement à un débroussaillage lors d'un emploi saisonnier à la mairie chez une personne vivant à l'étranger qui avait laissé à l'abandon son second domicile en France.
Il a été contacté pendant deux ans, comme il n’obtempérait pas le maire a donc fait intervenir le service de la commune pour venir débroussailler et lui a fait payer le prix fort. Le propriétaire a porté cet acte au tribunal mais n'a pas eu gain de cause.

Mais quelle loi s'applique à une faille dans Windows ? Surtout quand la société qui découvre cette faille n'a peut être que du flan à vendre...

Si on applique le débroussaillage à Microsoft...alors Vuspen corrige la faille et Microsoft paie...ce qui n'est pas ce que veut Vuspen...