IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Vupen content que des chercheurs de failles ne les livrent pas à des éditeurs « multi-milliardaires »


Sujet :

Sécurité

  1. #41
    Inactif  
    Homme Profil pro
    Développeur .NET
    Inscrit en
    Février 2009
    Messages
    1 083
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Développeur .NET
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Février 2009
    Messages : 1 083
    Points : 1 222
    Points
    1 222
    Par défaut
    Citation Envoyé par Tryph Voir le message
    quand t'achètes une maison sur plan par exemple, tu commences à payer avant de pouvoir en bénéficier et sans savoir si ce sera bien fait.
    quand tu t'abonnes à un magazine, tu paies pour des revues que tu ne recevras que dans plusieurs mois...

    c'est plutôt risqué mais on a inventé le contrat pour limiter les risques: on défini les termes de l'échange et on s'assure que l'échange en question vérifie tous les termes préalablement définis une fois qu'il est fait. et si c'est pas le cas, le parti lésé peut obtenir gain de cause devant la justice (en théorie)...
    je pense que Microsoft sait tout ça.
    Quand tu paies pour une maison tu sais comment elle va être....tu paies un magazine dont tu connais relativement la teneur du contenu...

    Vuspen c'est un peu genre achète ma jolie maison mais t'auras peut etre une cabane en bois........achète mon magazine mais t'auras peut être une feuille blanche...

    Et surtout c'est Vuspen te propose pas une jolie maison et un beau magazine mais les éventuels défauts d'un fabriquant tiers....c'est quoi Vuspen...une assurance OS ????

  2. #42
    Inactif  
    Homme Profil pro
    Développeur .NET
    Inscrit en
    Février 2009
    Messages
    1 083
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Développeur .NET
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Février 2009
    Messages : 1 083
    Points : 1 222
    Points
    1 222
    Par défaut
    Citation Envoyé par camus3 Voir le message
    Microsoft est propriétaire du software , c'est du software dont il s'agit pas du hardware.

    Je ne vois aucun problème "moral" dans la démarche Vupen. On ne parle pas de produits open source mais de produits propriétaires sur lesquels MS se fait des millions. Si il veulent garder la confiance de leur consommateurs, il feront ce qu'il faut dans leur intérêt, c'est à dire passer à la caisse.
    Donc si Vupen vend ça 3 milliards...allez hop vas y paie ? A ce tarif la les dév de MS devraient se mettre à leur compte de suite pour exiger bien plus d'argent...

    Faut espérer que ce genre de boites n'aillent pas mettre son nez dans d'autres domaines...

    Je savais que sa roue allait lacher...mais son constructeur a pas voulu me payer pour une information dont il connaissait pas le contenu...alors la roue a laché...c'est pas ma faute m'sieur, faut voir avec le fabricant...

  3. #43
    Inactif  
    Homme Profil pro
    Développeur .NET
    Inscrit en
    Février 2009
    Messages
    1 083
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Développeur .NET
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Février 2009
    Messages : 1 083
    Points : 1 222
    Points
    1 222
    Par défaut
    Citation Envoyé par messinese Voir le message
    Oui enfin bon, des 0-days critiques, des vers , des toyens et j'en passe sont découvert a quelque chose prés toutes les semaines (et encore) c'est pas pour autant que Mme Michu est au courant, ça passe pas sur TF1 !

    Parcontre en allant chercher l'info c'est autre choses...encore faut-il faire l'effort ..

    Rien n'empeche en effet d'utiliser un autre OS c'est sur mais rien n'empeches M$ de ne plus prendre les gens pour des c*** en leurs vendant tout et n'importe quoi .

    Aprés on dis M$ car il est question d'eux ici mais il ne font pas que de mauvaises choses bien au contraire alors il ne faut pas non plus tirer dessus a boulets rouge, juste que comme tu le dis a juste titre : " ça ne change pas la vie de Microsoft" et c'est bien dommage...
    Heureusement que ça ne change rien chez MS...sinon il va falloir un service spécial d'écoute de ragots et rumeurs informatiques....

  4. #44
    Membre émérite
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Janvier 2010
    Messages
    553
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 43
    Localisation : France

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : Industrie

    Informations forums :
    Inscription : Janvier 2010
    Messages : 553
    Points : 2 740
    Points
    2 740
    Par défaut
    Citation Envoyé par erwanlb Voir le message
    Quand tu paies pour une maison tu sais comment elle va être....tu paies un magazine dont tu connais relativement la teneur du contenu...

    Vuspen c'est un peu genre achète ma jolie maison mais t'auras peut etre une cabane en bois........achète mon magazine mais t'auras peut être une feuille blanche...

    Et surtout c'est Vuspen te propose pas une jolie maison et un beau magazine mais les éventuels défauts d'un fabriquant tiers....c'est quoi Vuspen...une assurance OS ????
    genre Microsoft ne communique pas sur les qualité de son OS et de son navigateur en terme de protection et de sécurité... voyons voir...

    Citation Envoyé par la page de promotion de d'IE10
    Sécurité et confidentialité renforcées

    Renforcez la sécurité de votre PC et de vos données sur le Web grâce à la technologie de pointe SmartScreen qui vous protège contre les programmes malveillants d'ingénierie sociale. Les outils de confidentialité, par exemple le paramètre « No tracking » (aucun suivi), sont intégrés et activables en un clic.
    la page est ici: http://windows.microsoft.com/fr-FR/w...ernet-explorer

    en gros quand t'achètes Windows et que tu utilises IE10, tu "sais" que tu seras protégé...



    t'as l'air d'oublier un truc essentiel: personne n'oblige Microsoft à payer... ni 3 milliards (pas l'impression d'exagérer là?), ni 2€...
    MS est libre dans cette histoire.
    s'ils veulent découvrir la faille eux-même pour ensuite la corriger, il peuvent.
    s'ils veulent s'en foutre et faire comme si de rien n'était, il peuvent.

  5. #45
    Modérateur
    Avatar de kolodz
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Avril 2008
    Messages
    2 211
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 36
    Localisation : France, Rhône (Rhône Alpes)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : Avril 2008
    Messages : 2 211
    Points : 8 316
    Points
    8 316
    Billets dans le blog
    52
    Par défaut
    Citation Envoyé par erwanlb Voir le message
    Heureusement que ça ne change rien chez MS...sinon il va falloir un service spécial d'écoute de ragots et rumeurs informatiques....
    Existe déjà, ça se nomme "Coordinated Vulnerability Disclosure" : https://www.youtube.com/watch?v=q_MDOsOg-fA

    Citation Envoyé par erwanlb Voir le message
    Vusten ne donne ses preuves que quand tu paies...donc comment savoir si cette preuve existe réellement sans payer ?

    N'importe qui peut dire il y a un problème.......paie et je te dis ce que c'est...c'est trop facile ! On faisait ça dans les cours de récré à l'école primaire....et dans le même temps Vuspen dit ceux qui n'ont pas l'argent, allez vous faire foutre et restez avec vos problèmes....

    Les exemples hors informatique n'ont pas cette problèmatique...surtout si on touche à des produits physiques...Vuspen ne joue pas avec la sécurité d'un OS mais de tous ceux qui l'utilisent...on pourrait dire que MS a l'argent...oui...mais si Vuspen décide de dire "il y a une méga faille...on vous dit tout pour 1 milliard...."...faut payer absolument alors ?
    Vupen vend le "comment", non le POC. Je peux te montrer que tu as une faille de sécurité sans te dire comment j'ai fait. Ce sont deux chose totalement différente. Même si certaines personnes considère qu'il y a preuve seulement quand on sait comment...
    Si une réponse vous a été utile pensez à
    Si vous avez eu la réponse à votre question, marquez votre discussion
    Pensez aux FAQs et aux tutoriels et cours.

  6. #46
    Inactif  
    Homme Profil pro
    Développeur .NET
    Inscrit en
    Février 2009
    Messages
    1 083
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Développeur .NET
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Février 2009
    Messages : 1 083
    Points : 1 222
    Points
    1 222
    Par défaut
    Citation Envoyé par Tryph Voir le message
    genre Microsoft ne communique pas sur les qualité de son OS et de son navigateur en terme de protection et de sécurité... voyons voir...


    la page est ici: http://windows.microsoft.com/fr-FR/w...ernet-explorer

    en gros quand t'achètes Windows et que tu utilises IE10, tu "sais" que tu seras protégé...



    t'as l'air d'oublier un truc essentiel: personne n'oblige Microsoft à payer... ni 3 milliards (pas l'impression d'exagérer là?), ni 2€...
    MS est libre dans cette histoire.
    s'ils veulent découvrir la faille eux-même pour ensuite la corriger, il peuvent.
    s'ils veulent s'en foutre et faire comme si de rien n'était, il peuvent.
    Oui, on réagit comme on veut face au chantage

    Et quel rapport entre vanté la sécurité et une société tierce qui trouve une faille ?

  7. #47
    Inactif  
    Homme Profil pro
    Développeur .NET
    Inscrit en
    Février 2009
    Messages
    1 083
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Développeur .NET
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Février 2009
    Messages : 1 083
    Points : 1 222
    Points
    1 222
    Par défaut
    Citation Envoyé par kolodz Voir le message
    Existe déjà, ça se nomme "Coordinated Vulnerability Disclosure" : https://www.youtube.com/watch?v=q_MDOsOg-fA


    Vupen vend le "comment", non le POC. Je peux te montrer que tu as une faille de sécurité sans te dire comment j'ai fait. Ce sont deux chose totalement différente. Même si certaines personnes considère qu'il y a preuve seulement quand on sait comment...
    Et donc l'interet pour la sécurité des utilisateurs est zéro, l'interet pour le portefeuille de vupen c'est tout autre...

    On en vient au fait que vupen fait ça pour le fric en faisant du chantage à MS et ses utilisateurs...

  8. #48
    Modérateur
    Avatar de kolodz
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Avril 2008
    Messages
    2 211
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 36
    Localisation : France, Rhône (Rhône Alpes)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : Avril 2008
    Messages : 2 211
    Points : 8 316
    Points
    8 316
    Billets dans le blog
    52
    Par défaut
    Je te rappel que nous somme dans le monde de l'entreprise. Une entreprise, ça a deux vocations :
    1. Crée de la richesse (Produit / information)
    2. Faire de l'argent

    Vupen, tout comme Microsoft, crée de la richesse et tente d'en faire de l'argent.

    On appel cela le monde capitaliste. Bienvenu sur Terre !
    Si une réponse vous a été utile pensez à
    Si vous avez eu la réponse à votre question, marquez votre discussion
    Pensez aux FAQs et aux tutoriels et cours.

  9. #49
    Membre émérite

    Homme Profil pro
    Software Developer
    Inscrit en
    Mars 2008
    Messages
    1 470
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Royaume-Uni

    Informations professionnelles :
    Activité : Software Developer

    Informations forums :
    Inscription : Mars 2008
    Messages : 1 470
    Points : 2 368
    Points
    2 368
    Par défaut
    Je me rapelle de certains qui avaient penetrer au sein du reseau d'entreprises pour recuperer des documents, et ensuite ces personnes avaient gentillement renvoyer les documents "emprunter" en leur disant comment ils avaient fait pour s'introduire. Ils n'ont rien voler ni meme rien vendu mais ils ont ete juges coupables avec de lourdes peines.
    Comme quoi Vurspen a encore beaucoup a apprendre, alors que eux ne menacent pas la securite d'une entreprises mais de potentiels milliards d'utilisateurs (85%).

    PS: J'ai trouver un effet secondaire mortel qui peux surgir n'importe quand pour tous les consommateurs d'aspirine. Vais-je vendre la formule pour corriger le remede et sauver des centaines de millions de personnes ou vais-je le vendre a une organisation/gouvernement qui va s'en servir comme arme?
    Quand je parle de banque certains ne comprennent pas, peut-etre qu'en parlant de choses vitales on arrivera enfin a comparer ce qui se passe dans les technologies avec le "monde reel". Et oui, exploiter une faille dans un OS sur une tres grande quantite d'utilisateurs crees aussi de grandes consequences a toute echelle (utilisateur qui perd toutes ses donnees et se fait derober toutes ses informations confidentielles, un couple qui se cacherait des choses, une entreprise qui se fait voler ses travaux et strategies, un pays...). Et oui, comme tu le dis si bien Bienvenue sur Terre.

  10. #50
    Modérateur
    Avatar de kolodz
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Avril 2008
    Messages
    2 211
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 36
    Localisation : France, Rhône (Rhône Alpes)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : Avril 2008
    Messages : 2 211
    Points : 8 316
    Points
    8 316
    Billets dans le blog
    52
    Par défaut
    Citation Envoyé par alex_vino Voir le message
    Je me rapelle de certains qui avaient penetrer au sein du reseau d'entreprises pour recuperer des documents, et ensuite ces personnes avaient gentillement renvoyer les documents "emprunter" en leur disant comment ils avaient fait pour s'introduire. Ils n'ont rien voler ni meme rien vendu mais ils ont ete juges coupables avec de lourdes peines.
    Comme quoi Vurspen a encore beaucoup a apprendre, alors que eux ne menacent pas la securite d'une entreprises mais de potentiels milliards d'utilisateurs (85%).
    Et ces personnes l'ont fait sur un réseau qui ne leur appartenait pas sans y avoir d'autorisation.
    La même chose, c'est produite dans la boite où j'étais en prestation. Sauf que celle-ci avait été demander par la boite pour tester la sécurité de leur infrastructure.
    Si Vupen a découverts leur faille en travaillant sur un ordinateur leur appartenant et avec un licence acheté, c'est totalement légal.

    D'ailleurs, le cas que tu cite a été condamné pour avoir pénétré un système informatique ne leur appartenant pas. Pas de savoir pénétré un système informatique.
    Si une réponse vous a été utile pensez à
    Si vous avez eu la réponse à votre question, marquez votre discussion
    Pensez aux FAQs et aux tutoriels et cours.

  11. #51
    Inactif  
    Homme Profil pro
    Développeur .NET
    Inscrit en
    Février 2009
    Messages
    1 083
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Développeur .NET
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Février 2009
    Messages : 1 083
    Points : 1 222
    Points
    1 222
    Par défaut
    Citation Envoyé par kolodz Voir le message
    Je te rappel que nous somme dans le monde de l'entreprise. Une entreprise, ça a deux vocations :
    1. Crée de la richesse (Produit / information)
    2. Faire de l'argent

    Vupen, tout comme Microsoft, crée de la richesse et tente d'en faire de l'argent.

    On appel cela le monde capitaliste. Bienvenu sur Terre !
    T’inquiètes je sais qu'il existe des entreprises comme Vupen qui exploite les faiblesses des entreprises et font du chantage avec

  12. #52
    Inactif  
    Homme Profil pro
    Développeur .NET
    Inscrit en
    Février 2009
    Messages
    1 083
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Développeur .NET
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Février 2009
    Messages : 1 083
    Points : 1 222
    Points
    1 222
    Par défaut
    Citation Envoyé par kolodz Voir le message
    Et ces personnes l'ont fait sur un réseau qui ne leur appartenait pas sans y avoir d'autorisation.
    La même chose, c'est produite dans la boite où j'étais en prestation. Sauf que celle-ci avait été demander par la boite pour tester la sécurité de leur infrastructure.
    Si Vupen a découverts leur faille en travaillant sur un ordinateur leur appartenant et avec un licence acheté, c'est totalement légal.

    D'ailleurs, le cas que tu cite a été condamné pour avoir pénétré un système informatique ne leur appartenant pas. Pas de savoir pénétré un système informatique.
    De la à faire du chantage avec le boulot (et les faiblesses) des autres pour les revendre à prix d'or....bon soit...ils ont le droit, ils le font....mais de la à trouver ça normal......je pense que c'est une opinion versatile...

  13. #53
    Membre émérite
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Janvier 2010
    Messages
    553
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 43
    Localisation : France

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : Industrie

    Informations forums :
    Inscription : Janvier 2010
    Messages : 553
    Points : 2 740
    Points
    2 740
    Par défaut
    Citation Envoyé par alex_vino Voir le message
    PS: J'ai trouver un effet secondaire mortel qui peux surgir n'importe quand pour tous les consommateurs d'aspirine. Vais-je vendre la formule pour corriger le remede et sauver des centaines de millions de personnes ou vais-je le vendre a une organisation/gouvernement qui va s'en servir comme arme?
    Quand je parle de banque certains ne comprennent pas, peut-etre qu'en parlant de choses vitales on arrivera enfin a comparer ce qui se passe dans les technologies avec le "monde reel". Et oui, exploiter une faille dans un OS sur une tres grande quantite d'utilisateurs crees aussi de grandes consequences a toute echelle (utilisateur qui perd toutes ses donnees et se fait derober toutes ses informations confidentielles, un couple qui se cacherait des choses, une entreprise qui se fait voler ses travaux et strategies, un pays...). Et oui, comme tu le dis si bien Bienvenue sur Terre.
    en gros t'es en train de nous dire que toute entreprise qui peut sauver des vies doit le faire gratuitement. et bien ça arrive pas souvent, mais je suis entièrement d'accord avec toi

    les entreprises pharmaceutiques devraient distribuer gratuitement les médicaments qu'ils fabriquent au personnes malades qui ne peuvent se payer de traitement.
    Monsanto (entre autres) devrait offrir des tonnes de ses semences de céréales aux pays qui souffrent de mal/sous-nutrition.
    ces gens sont dans le besoin, il est de notre devoir à tous de faire quelque chose pour eux sans demander de contrepartie.

    mais en l’occurrence, le fait d'offrir gracieusement la découverte de cette faille à MS ne sauvera personne.
    et puis MS n'est pas dans le besoin...
    et puis au pire du pire il se passera quoi? des gens qui étalent leur vie sur facebook se feront "voler" les données qu'ils affichent partout. des pubs apparaitront intempestivement sur nos chers écrans. l'ordinateur ne voudra plus démarrer et je devrais le formater ou (horreur) l'emmener chez le réparateur !!!

    non vraiment, je crois qu'il faut arrêter de s'enflammer sur les exemples et les analogies qui deviennent de plus en plus ridicules.
    si vous voulez vous offusquer, vous indigner ou crier à l'injustice ou à l'immoralité, je suis persuadé que vous pouvez trouver des causes bien plus nobles que la défense d'une boite qui n'a pas tout à fait bien travaillé.


    et puis en l'occurrence, je crois pas que Vupen aie mis une annonce sur leboncoindesterroristes.com pour vendre sa découverte à un "barbu kamikaze qui veut exterminer ces infidèles d'occidentaux".
    moi j'ai compris qu'il vend juste la faille à ses clients pour qu'ils puissent agir de leur coté pour se protéger.

  14. #54
    Membre émérite

    Homme Profil pro
    Software Developer
    Inscrit en
    Mars 2008
    Messages
    1 470
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Royaume-Uni

    Informations professionnelles :
    Activité : Software Developer

    Informations forums :
    Inscription : Mars 2008
    Messages : 1 470
    Points : 2 368
    Points
    2 368
    Par défaut
    Citation Envoyé par Tryph Voir le message
    non vraiment, je crois qu'il faut arrêter de s'enflammer sur les exemples et les analogies qui deviennent de plus en plus ridicules.
    si vous voulez vous offusquer, vous indigner ou crier à l'injustice ou à l'immoralité, je suis persuadé que vous pouvez trouver des causes bien plus nobles que la défense d'une boite qui n'a pas tout à fait bien travaillé.
    Oui parce que toi tu fais dire des choses que je n'ai pas dit et manque d'arguments (je ne comprend pas ta réaction pour une petite erreur humaine faite par des collegues, mais bon j'imagine que tu développes tous les jours des OS avec 0 failles).

  15. #55
    Membre émérite
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Janvier 2010
    Messages
    553
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 43
    Localisation : France

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : Industrie

    Informations forums :
    Inscription : Janvier 2010
    Messages : 553
    Points : 2 740
    Points
    2 740
    Par défaut
    Citation Envoyé par alex_vino Voir le message
    Oui parce que toi tu fais dire des choses que je n'ai pas dit et manque d'arguments (je ne comprend pas ta réaction pour une petite erreur humaine faite par des collegues, mais bon j'imagine que tu développes tous les jours des OS avec 0 failles).
    bah en fait je suis sérieux quand je dis que les entreprises qui peuvent sauver des vies devraient le faire gratuitement.

    ce qui m'insupporte, c'est votre façon à toi et erwanlb de faire dans le melodrame "fin du monde".
    - l'un qui fantasme sur les soit disant "miliards" que Vupen demanderait à MS (vous avez vu ça ou sérieusement?).
    - l'autre qui compare l'offre gracieuse d'une procédure pour exploiter une faille à une multinationale multimilliardaire au fait de sauver des centaines de millions de vies.

    ça me fait penser à ces gens qui se disent "pris en otage" à la moindre grève, j'ai presque envie de les enfermer dans une cave avec un flingue sur la tempe pendant quelques mois pour leur apprendre a être plus mesurés et leur passer l'envie de s'auto-victimiser. moi c'est ce genre de comportement que j'arrive pas à comprendre...


    sinon... bah non, je ne développe pas d'OS 0-faille tous les jours.
    mais quand un collègue vient me voir en me disant que ce que j'ai fait ne marche pas, je demande pas à ce qu'on vienne tout m'expliquer gratuitement. et si par bonheur un collègue me dépatouille sur un sujet sur lequel je suis largué, je lui rend à un moment ou un autre, d'une façon ou d'une autre. je me contente pas de croire que tout m'est du parce que mon travail sera utilisé par d'autres.

    oui, faire une erreur peut arriver à tout le monde. non, ce n'est pas une raison pour prétendre à une aide gratuite.


    EDIT pour le commentaire du dessous:
    - le paragraphe sur les grèves est juste là pour illustrer ce comportement de plus en plus répandu qui consiste à faire d'un gravier une montagne. ce trait qui consiste à grossir des évènements insignifiants en les comparant à des désastres ou des scandales pour leur associer une connotation horrible alors qu'ils ne sont des évènements banales et à la gravité toute relative.
    - j'habite près du centre de Lyon, je prends le métro 2 fois par jours sur une distance de 8km pour aller au boulot et en revenir et quand il y a une grève, je me sens pas pris en otage. quand ça arrive, je peux encore sortir de chez moi, je suis libre de prendre mon vélo, de prendre un taxi, d'arriver en retard et de repartir plus tard le soir, de poser un jour de congé selon mon humeur... les gens qui font grève le font en général pour de bonnes raison et pas par simple plaisir. des travailleurs qui défendent leurs conditions de travail, ça ne me gène pas du tout.
    bref, une grève n'a rien à voir avec une prise d'otage. pour rappel, les otages sont des gens qui sont privés de leur liberté, qui craignent bien souvent pour leur vie, et cela pendant des semaines, des mois et parfois des années. certains même en meurent... quel rapport avec une grève?
    - Vuspen ne fait aucun chantage, il refuse juste d'offrir son travail gratuitement. encore une façon de réinterpréter (malhonnêtement) les faits pour les faire paraitre scandaleux (voir ci-dessus).

  16. #56
    Membre émérite

    Homme Profil pro
    Software Developer
    Inscrit en
    Mars 2008
    Messages
    1 470
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Royaume-Uni

    Informations professionnelles :
    Activité : Software Developer

    Informations forums :
    Inscription : Mars 2008
    Messages : 1 470
    Points : 2 368
    Points
    2 368
    Par défaut
    C'est bien ce que je pensais, tu reste figé sur tes positions.
    Je ne comprend pas trop ton exemple sur les greves, mais bon tant qu'a parler de Vurspen qui est une société basée en France et le fonctionnement francais je dirais ca fonctionne toujours aussi mal. Tu dois vivre en dehors des grandes ville et ne jamais bouger de chez toi pour n'avoir jamais été emmerdé par toutes ses greves en France qui nous "emmerde" et nuisent a l'image de notre pays. Je ne vais pas m'étendre sur le sujet car on va s'éloigner du topic.
    Tu parles d'aider gratuiement, mais qui a dit que Microsoft ne paierais pas pour qu'il puisse colmater la faille? Quand mon client trouve une faille dans mon travail il ne va pas me faire du chantage mais plutot tout mettre en place pour corriger cette derniere. Et mon client ne me blamera pas non plus car il est humain et sait que rien n'est jamais parfait.

  17. #57
    Nouveau membre du Club
    Homme Profil pro
    à la retraite
    Inscrit en
    Janvier 2011
    Messages
    11
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 76
    Localisation : France, Morbihan (Bretagne)

    Informations professionnelles :
    Activité : à la retraite
    Secteur : Administration - Collectivité locale

    Informations forums :
    Inscription : Janvier 2011
    Messages : 11
    Points : 29
    Points
    29
    Par défaut Légalité et éthique
    La raison pour laquelle nous nous faisons régulièrement rouler par les anglo-saxons est que nous respectons non seulement la loi mais également l'éthique, alors que pour eux, "tout ce qui n'est pas interdit est autorisé". Les spécialistes de la cyberdéfense de la DGSE alertent régulièrement les entreprises française sur ce point.
    C'est par exemple en utilisant des méthodes à la limite de la légalité mais pas du tout éthiques que les américains ont pris le contrôle de Gemplus et des méthodes de cryptage de la carte à puces, malgré les avertissements de la DGSE.
    VUPEN respecte certainement la légalité, sans doute pas l'éthique. D'ailleurs ils vont sans doute devoir surveiller leurs arrières dans les semaines qui viennent... Personnellement leur dangereuse tactique me plait assez, pour une fois que l'on s'attaque aux américains.

  18. #58
    Expert éminent
    Avatar de _skip
    Homme Profil pro
    Développeur d'applications
    Inscrit en
    Novembre 2005
    Messages
    2 898
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 40
    Localisation : Suisse

    Informations professionnelles :
    Activité : Développeur d'applications
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : Novembre 2005
    Messages : 2 898
    Points : 7 752
    Points
    7 752
    Par défaut
    J'ai lu il y a quelques années que google avait aussi un programme de reward pour les vulnérabilités, mais on parlait de montants de 500$ à 3000$ suivant la gravité. Pas pu trouver d'info sur celui de microsoft.

    Là le bonhomme qui a trouvé cette faille 0day, s'il est à la tête d'une boîte qui fait dans ce business, il a surement l'intention de se faire plus de fric que ça parce qu'en terme de temps passé dans la recherche, c'est pas avec ce genre de montant qu'il paiera son loyer.
    La seule question qu'on peut se poser c'est à quel point c'est éthique ou non comme procédé? Quand on voit que des gouvernements se portent ouvertement acquéreurs de données bancaires volées soit disant pour lutter contre la fraude fiscale, on peut se dire que ce qu'il fait avec sa société n'est pas finalement ce qu'il y a de pire?

    Son travail ne devrait pas être gratuit, mais cependant j'ai un peu de mal avec le procédé. C'est un peu comme si une personne constatait une faille de sécurité dans un garde-meuble avec possiblement des conséquences, et qu'il essayait de vendre l'info au gérant en faisant peser le "préjudice aux clients si par malheur"...

    Quant à ceux sur ce forum qui développe des logiciels, vous êtes à ce point sûrs de vos talents que vous estimez que vos produits sont infaillibles? Comment réagiriez-vous si on voulait vous faire casquer pour des informations concernant votre soft en faisant un buzz sur une faille importante? Perso je trouverai pas ça super cool et je ne pense pas que j'apprécierai qu'on me dise que j'ai qu'à sortir mon produit mieux testé puis que c'est à moi de faire ce boulot sans quoi je ne suis pas légitime de proposer ce sur quoi je travaille et j'investis.
    Donc oui les microsoft il a qu'à tester, microsoft il a qu'à chercher lui-même des failles (ils ne le font pas vous croyez?) microsoft il a des sous, microsoft c'est des profiteurs, merci bien. N'empêche que cette société agit sans mandat et sans contrat avec MS, donc est-ce que c'est vraiment si légitime que ça de vendre des informations en prenant quelque peu en otage les utilisateurs?

    Bref, je sais pas, j'aime pas trop cette démarche. Je reconnais que c'est un boulot, mais un boulot intéressé que personne lui a demandé de faire. Après si les conditions de rémunération ne lui conviennent pas il a qu'à aller s'attaquer à des autres logiciels. Mais bon, pour que ça paie faut taper sur les gros qui ont plein d'utilisateurs pour faire pression, je suppose...
    Donc non en fait j'aime pas ça du tout.

  19. #59
    Membre émérite

    Homme Profil pro
    Software Developer
    Inscrit en
    Mars 2008
    Messages
    1 470
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Royaume-Uni

    Informations professionnelles :
    Activité : Software Developer

    Informations forums :
    Inscription : Mars 2008
    Messages : 1 470
    Points : 2 368
    Points
    2 368
    Par défaut
    @_skip: Je sais que Google a déja donné plusieurs fois $60.000 pour Chrome.

  20. #60
    Modérateur
    Avatar de kolodz
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Avril 2008
    Messages
    2 211
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 36
    Localisation : France, Rhône (Rhône Alpes)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : Avril 2008
    Messages : 2 211
    Points : 8 316
    Points
    8 316
    Billets dans le blog
    52
    Par défaut
    Citation Envoyé par erwanlb Voir le message
    T’inquiètes je sais qu'il existe des entreprises comme Vupen qui exploite les faiblesses des entreprises et font du chantage avec
    Pou rappel la définition de chantage :
    Citation Envoyé par wikidépia
    Selon le Code pénal, le délit de chantage est le fait d'obtenir, en menaçant de révéler ou d'imputer des faits de nature à porter atteinte à l'honneur ou à la considération, soit une signature, un engagement ou une renonciation, soit la révélation d'un secret, soit la remise de fonds, de valeurs ou d'un bien quelconque (Art. 312-10 Code pénal).

    Ordonnance nº 2000-916 du 19 septembre 2000 art. 3 Journal Officiel du 22 septembre 2000 en vigueur le 1er janvier 2002)

    Lorsque l'auteur du chantage a mis sa menace à exécution, la peine est portée à sept ans d'emprisonnement et à 100 000 euros d'amende.
    Ici, il y aurai eu chantage si Vupen avait demandé de l'argent en échange de la non divulgation de l’existence de la faille 0-days au publique.
    Ce que ne fait pas Vupen. Ce n'est donc pas du chantage.
    Citation Envoyé par erwanlb Voir le message
    De la à faire du chantage avec le boulot (et les faiblesses) des autres pour les revendre à prix d'or....bon soit...ils ont le droit, ils le font....mais de la à trouver ça normal......je pense que c'est une opinion versatile...
    Même définition du mot chantage (je ne re-cite pas...), même conclusion dans le cas Vupen. Ce pendant, il est vraie que le positionnement de Vupen est "moralement" discutable.

    Citation Envoyé par alex_vino Voir le message
    Oui parce que toi tu fais dire des choses que je n'ai pas dit et manque d'arguments (je ne comprend pas ta réaction pour une petite erreur humaine faite par des collegues, mais bon j'imagine que tu développes tous les jours des OS avec 0 failles).
    Premier point : il te cite et fait son commentaire
    Second point : ne pas être parfait, n'implique pas la générosité envers l'imperfection des autres.

    Citation Envoyé par alex_vino Voir le message
    C'est bien ce que je pensais, tu reste figé sur tes positions.
    Je ne comprend pas trop ton exemple sur les greves, mais bon tant qu'a parler de Vurspen qui est une société basée en France et le fonctionnement francais je dirais ca fonctionne toujours aussi mal. Tu dois vivre en dehors des grandes ville et ne jamais bouger de chez toi pour n'avoir jamais été emmerdé par toutes ses greves en France qui nous "emmerde" et nuisent a l'image de notre pays. Je ne vais pas m'étendre sur le sujet car on va s'éloigner du topic.
    Tu parles d'aider gratuiement, mais qui a dit que Microsoft ne paierais pas pour qu'il puisse colmater la faille? Quand mon client trouve une faille dans mon travail il ne va pas me faire du chantage mais plutot tout mettre en place pour corriger cette derniere. Et mon client ne me blamera pas non plus car il est humain et sait que rien n'est jamais parfait.
    Microsoft lui-même à déjà dit qu'il ne rémunérait pas la découverte de faille. Sauf pour des concours, plus orienté marketing qu'autre chose :
    http://www.computerworld.com/s/artic...curity_contest
    Hors le gagnant de ces concours épisodique, Microsoft ne rémunère pas la découverte de faille.

    Ton client y gagne la correction du bug. Et si ta boite a un minimum d'esprit commercial, elle lui enverra une belle boite de chocolat d'ici un mois.
    Et je suppose que ton client n'as pas passé sa semaine à cherche le bug qu'il ta rapport sans rien produire d'autre de la semaine.

    HS : Les grèves sont un droits durement acquis, qui ont permis d’acquérir de beaucoup de droit social qu'on considère comme normal en France, mais qui ne le sont pas. Et permettent encore de défendre ces mêmes droits. Même si on a tendant à stigmatiser cela...
    Citation Envoyé par _skip Voir le message
    J'ai lu il y a quelques années que google avait aussi un programme de reward pour les vulnérabilités, mais on parlait de montants de 500$ à 3000$ suivant la gravité. Pas pu trouver d'info sur celui de microsoft.

    Là le bonhomme qui a trouvé cette faille 0day, s'il est à la tête d'une boîte qui fait dans ce business, il a surement l'intention de se faire plus de fric que ça parce qu'en terme de temps passé dans la recherche, c'est pas avec ce genre de montant qu'il paiera son loyer.
    La seule question qu'on peut se poser c'est à quel point c'est éthique ou non comme procédé? Quand on voit que des gouvernements se portent ouvertement acquéreurs de données bancaires volées soit disant pour lutter contre la fraude fiscale, on peut se dire que ce qu'il fait avec sa société n'est pas finalement ce qu'il y a de pire?

    Son travail ne devrait pas être gratuit, mais cependant j'ai un peu de mal avec le procédé. C'est un peu comme si une personne constatait une faille de sécurité dans un garde-meuble avec possiblement des conséquences, et qu'il essayait de vendre l'info au gérant en faisant peser le "préjudice aux clients si par malheur"...

    Quant à ceux sur ce forum qui développe des logiciels, vous êtes à ce point sûrs de vos talents que vous estimez que vos produits sont infaillibles? Comment réagiriez-vous si on voulait vous faire casquer pour des informations concernant votre soft en faisant un buzz sur une faille importante? Perso je trouverai pas ça super cool et je ne pense pas que j'apprécierai qu'on me dise que j'ai qu'à sortir mon produit mieux testé puis que c'est à moi de faire ce boulot sans quoi je ne suis pas légitime de proposer ce sur quoi je travaille et j'investis.
    Donc oui les microsoft il a qu'à tester, microsoft il a qu'à chercher lui-même des failles (ils ne le font pas vous croyez?) microsoft il a des sous, microsoft c'est des profiteurs, merci bien. N'empêche que cette société agit sans mandat et sans contrat avec MS, donc est-ce que c'est vraiment si légitime que ça de vendre des informations en prenant quelque peu en otage les utilisateurs?

    Bref, je sais pas, j'aime pas trop cette démarche. Je reconnais que c'est un boulot, mais un boulot intéressé que personne lui a demandé de faire. Après si les conditions de rémunération ne lui conviennent pas il a qu'à aller s'attaquer à des autres logiciels. Mais bon, pour que ça paie faut taper sur les gros qui ont plein d'utilisateurs pour faire pression, je suppose...
    Donc non en fait j'aime pas ça du tout.
    J'aime bien ta réflexion qui mets en avant les deux points de vue.
    Je vais répondre directement à tes deux questions :
    Quant à ceux sur ce forum qui développe des logiciels, vous êtes à ce point sûrs de vos talents que vous estimez que vos produits sont infaillibles ?
    Tout ce que j'ai écris est faillible.
    Comment réagiriez-vous si on voulait vous faire casquer pour des informations concernant votre soft en faisant un buzz sur une faille importante ?
    Ça dépends le contexte, mais probablement que je tenterai la médiation. Quand j'ai fait le "buzz" avec un faille, c'est ce qu'on m'avait fait et ça c'est bien fini pour tout le monde. Certains boite vont jusqu'à engager...

    Pour le reste, je ne peux qu'apprécier ton point de vue. J'avoue ne pas avoir le même résonnent, mais j'arrive à une conclusion similaire. (J'avoue que je préférai entant que acheteur et consommateur que Microsoft dépense un peu d'argent en bug bounty.)

    Cordialement,
    Patrick Kolodziejczyk.
    Si une réponse vous a été utile pensez à
    Si vous avez eu la réponse à votre question, marquez votre discussion
    Pensez aux FAQs et aux tutoriels et cours.

Discussions similaires

  1. Réponses: 7
    Dernier message: 22/08/2011, 15h16
  2. Réponses: 0
    Dernier message: 11/08/2011, 23h52
  3. Réponses: 14
    Dernier message: 12/03/2011, 20h15
  4. Réponses: 3
    Dernier message: 05/08/2008, 10h51
  5. Réponses: 1
    Dernier message: 05/06/2007, 12h12

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo