Discussion :

[DelphiManiac]

T'es propriétaire du terrain....

Microsoft n'est pas propriétaire de ta machine...dont tu as le choix d'utiliser ou pas Windows...

Imagine 2 secondes qu'un mec te dit que ta bagnole est pas sécurisé et que t'es en danger...il te dit pas ce qu'il y a bien sur mais si tu veux savoir tu dois payer...tu serais vraiment prêt à payer très cher pour savoir où est le problème alors que tout est peut être que du flan ???

Tu dis vraiment n'importe quoi ^^

Ici on parle d'une faille 0-Day de Windows, pas de linux ou OSX, donc, oui, je parle de Windows aussi et je ne vois vraiment pas le rapport avec le fait que je sois propriétaire de mon PC.

Ta voiture est en panne, tu n'y connais rien, tu payes un garagiste, tu connais, tu te débrouilles tout seul.

Est ce que Microsoft est obligé de faire appel au garagiste du coin pour trouver les problèmes de ces produits ? Peut être à tu la réponse ?

Enfin la problématique est tout de même simpliste : Ils n'ont pas envie de payer ou trouve cela trop cher, pas de soucis, ils trouvent la faille, ne paye rien et tout est réglé. Si de plus Microsoft est sûr que l'annonce est du flanc, il n'ont qu'a publié un démenti indiquant que leurs logiciels sont garantis et exempt de toutes failles de sécurité. Il pourraient même ester en justice pour diffamation.

[Gugelhupf]

T'es propriétaire du terrain....
Microsoft n'est pas propriétaire de ta machine...

Microsoft est propriétaire de ses logiciels.

C'est un peu comme si tu craquais ta PS3/Xbox360 et tu te retrouvais avec une console morte après connexion au PSN/xBox Live (tu pourrais à la limite te faire éjecter mais non ça ne suffit pas)... pourtant la console t'appartiens.

[Tryph]

Si on applique le débroussaillage à Microsoft...alors Vuspen corrige la faille et Microsoft paie...ce qui n'est pas ce que veut Vuspen...

va falloir que Microsoft publie les sources de Windows pour ça...
bonne idée


après, Microsoft n'est pas propriétaire de ta machine, mais tu n'es pas propriétaire de ton Windows. Tu n'es propriétaire que d'une licence qui t'autorise à l'utiliser et que tu as payé.
Si Microsoft n'est pas responsable de la sécurité de l'OS qu'il vend pour lequel il vend des licences, je ne vois pas qui peut être responsable.


pour y aller moi aussi de ma petite analogie: quand je-sais-plus-quelle-boite vend des cartes bancaires à une banque, elle garantie la sécurité du système. et en cas de fraude, il me semble bien que c'est la société qui vend les cartes bancaires qui doit mettre la main à la poche pour indemniser, bien que personne ne soit obligé de posséder une CB.

et qu'on n'aie pas tous une pelouse à tondre...

[alex_vino]

Hors, comme on dit chez nous: "tout travail mérite salaire".

C'est peut-etre une des raison pour lesquelles aujourd'hui en France on n'a pas d'entreprise internationale dans les technologies grand public. Faut peut-etre arreter de raisonner de la sorte, si je bosse tous les soirs et que mon employeur ne me rémunere alors que ma productivité est largement améliorée, je ne m'en plaind pas card'une mon employeur ne m'a rien demandé et de deux je fais cela comme un investissement sur ma carriere. Eh oui, l'investissement rapporte bien plus que vivre au jour J.

et faut pas prendre Microsoft pour une pauvre boite sans ressource aussi, ils ont largement de quoi rémunérer les découvertes de failles.

Contrairement a Vupen, apres tout ils ne veulent pas vendre a Microsoft alors pourquoi parles tu des ressources de Microsoft dans le cas présent.

[Tryph]

C'est peut-etre une des raison pour lesquelles aujourd'hui en France on n'a pas d'entreprise internationale dans les technologies grand public. Faut peut-etre arreter de raisonner de la sorte, si je bosse tous les soirs et que mon employeur ne me rémunere alors que ma productivité est largement améliorée, je ne m'en plaind pas card'une mon employeur ne m'a rien demandé et de deux je fais cela comme un investissement sur ma carriere. Eh oui, l'investissement rapporte bien plus que vivre au jour J.

c'est bien, je te souhaite bien de la réussite.
sache malgré tout qu'il est possible que tu sois viré comme un mal-popre au prochain plan social malgré ton aimable et altruiste investissement.

j'ai fait ça aussi au début... et puis vu les résultats en terme de reconnaissance, je me suis dit que j'allais arrêter de bosser gratuitement.

en tout cas je te remercie bien chaleureusement, au nom de la France entière, pour ton investissement personnel pour le bien de la communauté

Contrairement a Vupen, apres tout ils ne veulent pas vendre a Microsoft alors pourquoi parles tu des ressources de Microsoft dans le cas présent.

il est écrit nulle part que Vupen refuse de vendre à Microsoft. il est juste écrit qu'ils ne prennent pas part au "programme maison" de Microsoft...
mais si t'as des infos plus précises à nous communiquer au sujet du refus de Vupen de traiter avec Microsoft, je veux bien les sources.

[stardeath]

il est écrit nulle part que Vupen refuse de vendre à Microsoft. il est juste écrit qu'ils ne prennent pas part au "programme maison" de Microsoft...
mais si t'as des infos plus précises à nous communiquer au sujet du refus de Vupen de traiter avec Microsoft, je veux bien les sources.

bah techniquement, ils refusent de traiter avec microsoft, si demain j'ouvrai un service perso de vente de bugs sur chrome, firefox ou autre, concurrent des services que propose les éditeurs, faudra pas que je m'étonne qu'on vienne me souffler dans les bronches ...

après on sait pas ce qu'il se passe quand on accepte de suivre le canal de microsoft dans ce cas précis.

je reste mitigé.

[erwanlb]

Tu dis vraiment n'importe quoi ^^

Ici on parle d'une faille 0-Day de Windows, pas de linux ou OSX, donc, oui, je parle de Windows aussi et je ne vois vraiment pas le rapport avec le fait que je sois propriétaire de mon PC.

Ta voiture est en panne, tu n'y connais rien, tu payes un garagiste, tu connais, tu te débrouilles tout seul.

Est ce que Microsoft est obligé de faire appel au garagiste du coin pour trouver les problèmes de ces produits ? Peut être à tu la réponse ?

Enfin la problématique est tout de même simpliste : Ils n'ont pas envie de payer ou trouve cela trop cher, pas de soucis, ils trouvent la faille, ne paye rien et tout est réglé. Si de plus Microsoft est sûr que l'annonce est du flanc, il n'ont qu'a publié un démenti indiquant que leurs logiciels sont garantis et exempt de toutes failles de sécurité. Il pourraient même ester en justice pour diffamation.

Un concessionnaire de la marque remonte les problèmes....

Un garagiste lambda qui trouve un problème, personne ne l'oblige à remonter un problème et un constructeur ne le paiera pas pour ça...

Il n'y a qu'en informatique qu'on voit ça !

Et si tu ne vois pas la différence entre être propriétaire d'un terrain et avoir des responsabilités vis à vis de celui ci et juste acheter et utiliser un OS...remet les pieds sur terre, tu planes à 100 000.....

Mais je suis sur que tu serais ravi que quelqu'un donne les failles d'un programme de ton cru à d'autres qu'à toi

[erwanlb]

Microsoft est propriétaire de ses logiciels.

C'est un peu comme si tu craquais ta PS3/Xbox360 et tu te retrouvais avec une console morte après connexion au PSN/xBox Live (tu pourrais à la limite te faire éjecter mais non ça ne suffit pas)... pourtant la console t'appartiens.

Depuis quand j'ai des responsabilités comparables avec un OS qu'avec un terrain ????

[erwanlb]

c'est bien, je te souhaite bien de la réussite.
sache malgré tout qu'il est possible que tu sois viré comme un mal-popre au prochain plan social malgré ton aimable et altruiste investissement.

j'ai fait ça aussi au début... et puis vu les résultats en terme de reconnaissance, je me suis dit que j'allais arrêter de bosser gratuitement.

en tout cas je te remercie bien chaleureusement, au nom de la France entière, pour ton investissement personnel pour le bien de la communauté




il est écrit nulle part que Vupen refuse de vendre à Microsoft. il est juste écrit qu'ils ne prennent pas part au "programme maison" de Microsoft...
mais si t'as des infos plus précises à nous communiquer au sujet du refus de Vupen de traiter avec Microsoft, je veux bien les sources.

Encore faudrait il savoir quel est le fruit de ce travail....et à part payer tu peux pas le voir....il y en a beaucoup ici qui paie un travail méritant salaire mais sans avoir vu le résultat de ce travail ?

[alex_vino]

c'est bien, je te souhaite bien de la réussite.
sache malgré tout qu'il est possible que tu sois viré comme un mal-popre au prochain plan social malgré ton aimable et altruiste investissement.

j'ai fait ça aussi au début... et puis vu les résultats en terme de reconnaissance, je me suis dit que j'allais arrêter de bosser gratuitement.

en tout cas je te remercie bien chaleureusement, au nom de la France entière, pour ton investissement personnel pour le bien de la communauté

Meme si je suis viré et alors? Toutes les connaissances que j'ai pu acquérir au travail comme sur mon temps perso je les conserve, je pourrais récolter demain tout ce que j'ai semé aujourd'hui.
Apprendre de nouvelles choses le week-end et prendre des cours tous les soirs ca aide grandement a avoir de biens meilleures opportunités et salaire.
D'ailleurs ne me remercie pas au non de la France car je n'y travaille plus. Je ne suis pas payé proportionnellement a mon diplome mais plutot par rapport a ce que je produit et a mes compétences techniques que j'apporte. Que je sois demain virer m'apportera un nouveau boulot mieux payer apres-demain. Mon expérience professionelle m'amene a cette déduction, et c'était aussi valable lorsque je travaillais en France mais a moindre mesure.

Pour en revenir a l'article il n'y a qu'a lire le titre de la discussion pour remarquer que c'est une "actualité" sponsorisée et donc dont l'auteur a et fait donner un partie pris. J'aurais préféré que Microsoft soit au centre du sujet ou bien alors c'est éditeurs en sécurité et leur tendance générale.

[Dhafer1]

Je viens de jeter un coup d'œil au site de Vupen et on dirait bien que cette petite société privée Française, soit plus du genre société privée subventionnée par les services de sécurité et de renseignement, qu'une petite start up quelconque.

N'empêche quelques infos sur leur site fond froid dans le dos:

"VUPEN Public Zero-Day Monitor is a comprehensive resource for up-to-date information on the latest
public zero-day threats, risks and vulnerabilities. Please send your comments to : team@vupen.com

Oracle Database TNS Listener Remote Poison Attack Vulnerability:
A vulnerability has been identified in Oracle Database, which could be exploited by remote unauthenticated attackers to bypass restrictions and gain unauthorized access.

Rated as : Critical
Disclosure Date : 2012-04-30 -> 210 Days of Exposure"

Le pire dans tout cela, c'est que certains géants de l'informatique semblent se contre foutre de leurs clients.
Pour le prix des licences de base de données Oracle (qu'utilisent toutes les banques), je sais plus trop c'est qui les truands du coup, les Hackers ou bien Oracle.

[transgohan]

Mais quelle loi s'applique à une faille dans Windows ? Surtout quand la société qui découvre cette faille n'a peut être que du flan à vendre...

Si on applique le débroussaillage à Microsoft...alors Vuspen corrige la faille et Microsoft paie...ce qui n'est pas ce que veut Vuspen...

Je répondais à Nathanael Marchand, ma réponse était pour lui et l'histoire de débroussaillage de terrain, rien à voir avec Windows.

[Nathanael Marchand]

Je répondais à Nathanael Marchand, ma réponse était pour lui et l'histoire de débroussaillage de terrain, rien à voir avec Windows.

Mon "Oui mais la" concernait cette actualité
Ici rien n'oblige légalement Microsoft a chercher les failles dans ses OS et si il voulait le faire il aurait le choix du prestataire. C'est trop simple de faire le boulot d'abord et de négocier le tarif après, ca fait un peu chantage... (Surtout quand on a aucune preuve du travail effectué)

[kolodz]

@kolodz: Je te donne un exemple concret pour te faire oublier le monde virtuel.
Tu trouves le moyen de braquer une banque. Va-t'us livrer la stratégie du braquage au plus offrant des bandits (en passant le message au journal de 20h de TF1) tout en faisant tout que la banque ne puisse pas acheter?
Certains croient que l'informatique permet toutes les dérives, heuresement que toutes les entreprises et les utilisateurs ne fonctionnent pas tous de cette facon. Il n'y a qu'a regarder l'attitude des Kasperky et Cie et ce "Vupen" pour comprendre.


Il n'y a pas qu'en France, et le délit n'est pas le défaut de sécurité mais plutot son utilisation par une personne tierce. D'un point de vue juridique c'est a l'accusé de prouver son innocence. Si tu estimes avoir fait tout ton possiblealors ensuite tu peux toujours mener une action contre ton fournisseur internet ou qui tu veux.

Ton exemple, me semble trompeur. Pour moi, Microsoft est au niveau du vendeur de coffre.
Que le vendeur de coffre ne soit pas d'accords pou t'acheter le moyen d'ouvrir son coffre sans la clé est totalement, normal.
Que la banque ai le droit d’acheter cette même information, pour se prémunir de vol est tout aussi normal.
En général, on appel ça une expertise en sécurité... C'est légal et ça se vend aux personnes que ça intéressent tout aussi légalement.

Pou moi, Kasperk, a une autre attitude, car un autre modèle économique. Celui-ci est basé sur la réputation et une relation privilégié avec Microsoft. Ils en tirent un bénéfice économique indirect assez conséquent.

Si cela coûte des ressources et qu'ils veulent être dédommagés à hauteur de leur boulot, 2 choix très simples :

- Bosser pour Microsoft
- Ne pas chercher ces failles, cela ne leur coûtera rien !

Encore une fois le domaine informatique se démarque par sa relative virtualisation...imaginez qu'une société dise, j'ai trouvé une faille dans votre voiture, vous risquez d'avoir un accident si vous ne me payez pas....j'ai trouvé une faille dans votre tv, elle risque d'exploser à tout moment, payez moi....etc...

Encore une fois, Microsoft n'est pas le seul acheteur potentiel légitime. C'est certes le plus légitime. Mais beaucoup d'autres personnes en ont aussi la légitimité. Encore heureux qu'il n'y ai pas que les expertes en sécurité de Microsoft et les "black hat" dans le domaine.
Sans faire une lise complète et au pif : Les experts en sécurité des divers pays, les experts en sécurités de toutes les sociétés utilisant ou étudiant la possibilité d'utiliser Microsoft et les indépendant vendant leur expertise. Ou les laboratoires de recherche. etc...
Et toutes ces personnes peuvent légalement et de manière légitime acheter ces informations.

Pour ce qui est des exemples hors informatique :

imaginez qu'une société dise, j'ai trouvé une faille dans votre voiture, vous risquez d'avoir un accident si vous ne me payez pas....

Réponse : La preuve de l’existence de ce problème est suffisant pour faire retirer l'ensemble des voiture ayant potentiellement ce problème.
Vendre la cause exacte de la défaillance n'est pas illégal et encore moins immorale. Tu as déjà averti du problème le constructeur et les utilisateurs.

j'ai trouvé une faille dans votre tv, elle risque d'exploser à tout moment, payez moi

Réponse : La preuve de l’existence de ce problème est suffisant pour faire retirer l'ensemble des TV ayant potentiellement ce problème.
Vendre la cause exacte de la défaillance n'est pas illégal et encore moins immorale. Tu as déjà averti du problème le constructeur et les utilisateurs.

A un mot près, je te donne exactement la même réponse, la raison est que le devoir d'information ne t'oblige en aucun cas toutes les informations dont tu dispose. D'ailleurs, ce devoir est plus un devoir morale dans notre cas.

Faudrait p'tet voir à lire l'article aussi:

Je sais lire. Et j'ai bien lu cette partie. Mais Coordinated Vulnerability Disclosure n'implique à aucun moment la rémunération des personnes rapportant un faille de sécurité. C'est certes un outil permettant aux personnes ayant découvert une faille à transmettre ce faille aux personnes compétentes.
https://www.youtube.com/watch?v=q_MDOsOg-fA

Microsoft indique seulement, qu'il regrette que cette société n'utilise pas son canal non rémunérant.
Je parlais bien des canaux des autres entreprises et fondations qui eux propose un canal rémunérant.
Ce qui me semble différent. Mais, corrige moi, si je me trompe...

[Tryph]

Encore faudrait il savoir quel est le fruit de ce travail....et à part payer tu peux pas le voir....il y en a beaucoup ici qui paie un travail méritant salaire mais sans avoir vu le résultat de ce travail ?

quand t'achètes une maison sur plan par exemple, tu commences à payer avant de pouvoir en bénéficier et sans savoir si ce sera bien fait.
quand tu t'abonnes à un magazine, tu paies pour des revues que tu ne recevras que dans plusieurs mois...

c'est plutôt risqué mais on a inventé le contrat pour limiter les risques: on défini les termes de l'échange et on s'assure que l'échange en question vérifie tous les termes préalablement définis une fois qu'il est fait. et si c'est pas le cas, le parti lésé peut obtenir gain de cause devant la justice (en théorie)...
je pense que Microsoft sait tout ça.

[messinese]

De toute façon il n'y aurait pas ce débat si un travail de recherche et de suivit était assuré par M$.

Qu'on leur demande du fric me parait tout a fait normal:

Tu balance un produit que tu fait payer au grand public en le placant comme leader du marché et qui plus est (ou pas) sécurisé alors qu'un / des chercheur(s) le mette(nt) à mal et demande du fric en échange d'un proof of concept par exemple c'est NORMAL, ça marche comme ça partout, pour tout les éditeurs de logiciels payants qui font de la me*** !!

Perso ça ne me choque pas, ça les poussera peut etre un jour à auditer leurs sources eux meme avant d'en tirer profit parfois honteusement , rappellez vous ce magnifique fisco sorti vite , vite pour cause de profit et la sécurité, la stabilité etc..on s'en tape: vista) et c'est aussi grace a ce genre de politique de recherche de vulnérabilité et de mise a mal des systemes que le SSL, les protection dans nos navigateurs web et autres se sont démocratisés .

[camus3]

Microsoft n'est pas propriétaire de ta machine...dont tu as le choix d'utiliser ou pas Windows...

Microsoft est propriétaire du software , c'est du software dont il s'agit pas du hardware.

Je ne vois aucun problème "moral" dans la démarche Vupen. On ne parle pas de produits open source mais de produits propriétaires sur lesquels MS se fait des millions. Si il veulent garder la confiance de leur consommateurs, il feront ce qu'il faut dans leur intérêt, c'est à dire passer à la caisse.

[alex_vino]

Microsoft est propriétaire du software , c'est du software dont il s'agit pas du hardware.

Je ne vois aucun problème "moral" dans la démarche Vupen. On ne parle pas de produits open source mais de produits propriétaires sur lesquels MS se fait des millions. Si il veulent garder la confiance de leur consommateurs, il feront ce qu'il faut dans leur intérêt, c'est à dire passer à la caisse.

Si tu ne te sent pas en sécurité sous Windows alors rien ne t'empeche a choisir un systeme d'exploitation concurrent. Ca fait depuis des lustres qu'il y a des failles dans Windows (comme tous les OS!) et ce n'est pas pour autant que ca a changé la vie de Microsoft. Cette faille soit disant trouvée par la société citée dans l'article n'a été "vue" de personne, alors pourquoi betement croire cette société qui peut etre ne fait qu'un coup marketing au passage. Je pense que si cette faille serait aussi critique alors on en parlerais surement dans la presse autre que Developez.com dont l'actualité semble tant bien que mal sponsorisée.

[erwanlb]

Pour ce qui est des exemples hors informatique :

Réponse : La preuve de l’existence de ce problème est suffisant pour faire retirer l'ensemble des voiture ayant potentiellement ce problème.
Vendre la cause exacte de la défaillance n'est pas illégal et encore moins immorale. Tu as déjà averti du problème le constructeur et les utilisateurs.

Réponse : La preuve de l’existence de ce problème est suffisant pour faire retirer l'ensemble des TV ayant potentiellement ce problème.
Vendre la cause exacte de la défaillance n'est pas illégal et encore moins immorale. Tu as déjà averti du problème le constructeur et les utilisateurs.

Vusten ne donne ses preuves que quand tu paies...donc comment savoir si cette preuve existe réellement sans payer ?

N'importe qui peut dire il y a un problème.......paie et je te dis ce que c'est...c'est trop facile ! On faisait ça dans les cours de récré à l'école primaire....et dans le même temps Vuspen dit ceux qui n'ont pas l'argent, allez vous faire foutre et restez avec vos problèmes....

Les exemples hors informatique n'ont pas cette problèmatique...surtout si on touche à des produits physiques...Vuspen ne joue pas avec la sécurité d'un OS mais de tous ceux qui l'utilisent...on pourrait dire que MS a l'argent...oui...mais si Vuspen décide de dire "il y a une méga faille...on vous dit tout pour 1 milliard...."...faut payer absolument alors ?

[messinese]

Si tu ne te sent pas en sécurité sous Windows alors rien ne t'empeche a choisir un systeme d'exploitation concurrent. Ca fait depuis des lustres qu'il y a des failles dans Windows (comme tous les OS!) et ce n'est pas pour autant que ca a changé la vie de Microsoft. Cette faille soit disant trouvée par la société citée dans l'article n'a été "vue" de personne, alors pourquoi betement croire cette société qui peut etre ne fait qu'un coup marketing au passage. Je pense que si cette faille serait aussi critique alors on en parlerais surement dans la presse autre que Developez.com dont l'actualité semble tant bien que mal sponsorisée.

Oui enfin bon, des 0-days critiques, des vers , des toyens et j'en passe sont découvert a quelque chose prés toutes les semaines (et encore) c'est pas pour autant que Mme Michu est au courant, ça passe pas sur TF1 !

Parcontre en allant chercher l'info c'est autre choses...encore faut-il faire l'effort ..

Rien n'empeche en effet d'utiliser un autre OS c'est sur mais rien n'empeches M$ de ne plus prendre les gens pour des c*** en leurs vendant tout et n'importe quoi .

Aprés on dis M$ car il est question d'eux ici mais il ne font pas que de mauvaises choses bien au contraire alors il ne faut pas non plus tirer dessus a boulets rouge, juste que comme tu le dis a juste titre : " ça ne change pas la vie de Microsoft" et c'est bien dommage...