Publicité
+ Répondre à la discussion Actualité déjà publiée
Page 1 sur 2 12 DernièreDernière
Affichage des résultats 1 à 20 sur 33
  1. #1
    Chroniqueur Actualités

    Homme Profil pro Christophe Ghokeng
    Administrateur systèmes et réseaux
    Inscrit en
    mars 2013
    Messages
    401
    Détails du profil
    Informations personnelles :
    Nom : Homme Christophe Ghokeng
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Administrateur systèmes et réseaux
    Secteur : Enseignement

    Informations forums :
    Inscription : mars 2013
    Messages : 401
    Points : 6 935
    Points
    6 935

    Par défaut Facebook : il pirate le compte de Zuckerberg pour signaler une faille de sécurité

    Facebook : il pirate le compte de Zuckerberg pour signaler une faille de sécurité
    et perd au passage sa récompense

    Aucun logiciel informatique n’est exempt de bogues et il n’existe pas de sécurité parfaite. Les grosses firmes informatiques comme Google ou encore Facebook dépensent des sommes importantes dans des programmes permettant aux hackers de révéler des vulnérabilités qu’ils auraient découvertes dans leurs produits.

    Khalil Shreateh est le chercheur en sécurité d’origine palestinienne qui a découvert une vulnérabilité dans le célèbre réseau social, permettant à un hacker de poster des messages sur le mur privé de ses victimes sans pour autant être dans leur liste d’amis.

    Le chercheur, plusieurs fois, a contacté les ingénieurs responsables de la sécurité de Facebook, sans succès. « Nous sommes désolés, mais ceci n’est pas un bogue », recevra-t-il comme réponse de ceux-ci.

    Pour se faire entendre, il a dû poster, sur le mur privé de Mark Zuckerberg, un message dans lequel il présente la vulnérabilité et explique ses déboires avec l’équipe de sécurité.


    Il finit par avoir gain de cause. La vulnérabilité a été corrigée. Cependant, Facebook refuse de l’indemniser parce qu’il n’aurait pas respecté les termes de la politique de divulgation des vulnérabilités de l’entreprise. Khalil aurait posté des messages sur des murs privés d’utilisateurs sans leurs permissions.

    D’après Matt Jones, ingénieur en sécurité chez Facebook, pour divulguer une faille, il faut dans un premier temps avoir un compte de «white Hat» (chercheur en sécurité qui rend publiques les failles des logiciels) et ensuite pour le «Proof of Concept» (démonstration de la vulnérabilité), ne pas se servir de comptes réels d’utilisateurs sans leur permission.


    Source : BBC

    Et vous ?

    Êtes-vous d'accord avec Facebook dans sa décision de ne pas rémunérer le chercheur ? Pourquoi ?

  2. #2
    Expert Confirmé
    Avatar de pmithrandir
    Homme Profil pro Pierre Bonneau
    Développeur Web
    Inscrit en
    mai 2004
    Messages
    1 580
    Détails du profil
    Informations personnelles :
    Nom : Homme Pierre Bonneau
    Âge : 30
    Localisation : Roumanie

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : Communication - Médias

    Informations forums :
    Inscription : mai 2004
    Messages : 1 580
    Points : 3 052
    Points
    3 052

    Par défaut

    Il les as méchamment vexé je pense...

    Ils sont plutôt stupide... pour économiser 10 000$, ils vont se priver de bonnes volontés dans le futur.

    Si je trouve un bug quelque part, je suis déjà bien gentil de passer du temps a le trouver, puis a le signaler...

    Faut pas en plus m’embêter avec des process qui me feront perdre du temps...

  3. #3
    Membre chevronné
    Homme Profil pro Jérôme Frossard
    Enseignant
    Inscrit en
    décembre 2007
    Messages
    191
    Détails du profil
    Informations personnelles :
    Nom : Homme Jérôme Frossard
    Âge : 41
    Localisation : Suisse

    Informations professionnelles :
    Activité : Enseignant
    Secteur : Enseignement

    Informations forums :
    Inscription : décembre 2007
    Messages : 191
    Points : 688
    Points
    688

    Par défaut

    Une manière efficace de faire disparaître totalement une grosse tache blanche sur un chapeau noir... la prochaine fois, il trouvera certainement des gens prêts à reconnaître son travail à sa juste valeur, mais pas forcément pour le bien de tous...

  4. #4
    Membre régulier
    Profil pro
    Inscrit en
    mars 2002
    Messages
    212
    Détails du profil
    Informations personnelles :
    Localisation : Tunisie

    Informations forums :
    Inscription : mars 2002
    Messages : 212
    Points : 81
    Points
    81

    Par défaut

    Il les a surement vexé...
    En plus c'est un palestinien! Donc pourquoi le récompenser?? c'est déjà bien qu'il n'est pas mis en prison!!

  5. #5
    Membre chevronné
    Inscrit en
    juillet 2012
    Messages
    191
    Détails du profil
    Informations forums :
    Inscription : juillet 2012
    Messages : 191
    Points : 612
    Points
    612

    Par défaut

    Citation Envoyé par Cedric Chevalier Voir le message
    Google ou encore Facebook dépensent des sommes importantes dans des programmes permettant aux hackers de révéler des vulnérabilités qu’ils auraient découvert dans leurs produits.
    Google je veux bien.
    Mais Facebook, non : 500$
    As long as the bugs qualify under Facebook's whitehat terms and conditions, researchers can expect a reward of $500 or more.
    Bon, ce n’est que le minimum mais ça ne vole pas très haut comparé à Google par exemple…

  6. #6
    Membre expérimenté
    Inscrit en
    novembre 2005
    Messages
    327
    Détails du profil
    Informations forums :
    Inscription : novembre 2005
    Messages : 327
    Points : 580
    Points
    580

    Par défaut

    "CEO, bitch !"

  7. #7
    Invité
    Invité(e)

    Par défaut

    Je trouve ça très petit de la part de facebook ... mais ça m'étonne pas ...
    J'aurais été le palestinien, je l'aurais joué différemment. Je les aurais prévenu d'une faille très importante sans préciser laquelle. Soit il accepte de payer, soit l'information sera diffusée à d'autres hackers moins gentil. C'est peut être pas légal mais ça doit marcher, surtout si tu leur laisse très peu de temps pour réagir.

  8. #8
    Membre Expert
    Homme Profil pro
    Développeur Web
    Inscrit en
    juillet 2009
    Messages
    373
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 34
    Localisation : France, Nord (Nord Pas de Calais)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : juillet 2009
    Messages : 373
    Points : 1 093
    Points
    1 093

    Par défaut

    Attention, bémole.

    Si je comprend bien ce qui est précisé ici (visiblement le propre blog de Khalil Shreateh), voilà comme il pourrait avoir contacté Facebook au début:

    (attention, la traduction est très - vraiment très - cavalière)
    Bonjour,

    J'ai un diplôme tout beau en système informatique.

    J'aimerai reporter un bug sur votre site (facebook.com) que j'ai découvert.
    Le bug permet à un utilisateur de partager des liens avec d'autres utilisateurs facebook. J'ai testé sur le mur de sarah goodin et j'ai réussi à mettre un post.

    link - > https://www.facebook.com/10151857333098885
    Fatallement, l'opérateur Facebook qui a voulu testé à eu droit un refus d'affichage... puisqu'il n'est pas amis avec Sarah Goodin, il ne peut pas voir son mur... donc pas le post en question.

    Alors, oui on peut se dire que le gas de Facebook aurait pu mieux fouiller (mais faut mettre le nombre de requêtes qu'ils reçoivent dans la balance).

    Ensuite, comme Facebook lui a répondu qu'il ne trouvait pas de bug... il a fait pareil sur le mur de Zuckerberg. Évidemment, pas besoin d'opérateur, Zuckerberg a pu s'en apercevoir tout seul.

    Finalement, il a bel est bien corrompu deux véritables comptes pour alerter Facebook. Il ne leur a jamais donné de précision sur la nature du problème, pas de proof of concept facilement vérifiable...

    Qu'aurait pu faire Facebook après tout ça ? Le récompenser ? Récompenser quelqu'un qui alerte d'une faille en l'exploitant ?

    Personnellement, je n'ai d'avis définitf sur la question, mais j'ai l'impression que l'histoire est plus grise que blanche ou noire.

  9. #9
    Inactif
    Inscrit en
    février 2007
    Messages
    411
    Détails du profil
    Informations forums :
    Inscription : février 2007
    Messages : 411
    Points : -320
    Points
    -320

    Par défaut

    Citation Envoyé par ZIED Voir le message
    Il les a surement vexé...
    En plus c'est un palestinien! Donc pourquoi le récompenser?? c'est déjà bien qu'il n'est pas mis en prison!!
    Vraiment ?? C'est bien frequenté developpez.com a ce que je vois

  10. #10
    Expert Confirmé Avatar de Muchos
    Homme Profil pro Jonathan Renoult
    Étudiant
    Inscrit en
    décembre 2011
    Messages
    1 499
    Détails du profil
    Informations personnelles :
    Nom : Homme Jonathan Renoult
    Âge : 28
    Localisation : France, Calvados (Basse Normandie)

    Informations professionnelles :
    Activité : Étudiant
    Secteur : Arts - Culture

    Informations forums :
    Inscription : décembre 2011
    Messages : 1 499
    Points : 3 132
    Points
    3 132

    Par défaut

    @GTSLASH: C'est de l'ironie

    Pensons aux balises [CODE][/CODE] — Team #MrGreen
    ---
    Debug the Web together!

  11. #11
    Invité de passage
    Homme Profil pro Jean M. Yabwana
    Etudiant en informatique de gestion
    Inscrit en
    avril 2013
    Messages
    12
    Détails du profil
    Informations personnelles :
    Nom : Homme Jean M. Yabwana
    Localisation : Congo-Kinshasa

    Informations professionnelles :
    Activité : Etudiant en informatique de gestion

    Informations forums :
    Inscription : avril 2013
    Messages : 12
    Points : 2
    Points
    2

    Par défaut facevulnerable

    malgres tout! il merite ce qu'il reclame, sinon facebook manquerra plus concernant des informations du genre!!! ou soit facebook se sent umilier apres que Marck Z. ai eté piraté

  12. #12
    Expert Confirmé Sénior
    Avatar de transgohan
    Homme Profil pro Baptiste ROUSSEL
    Développeur Temps réel Embarqué
    Inscrit en
    janvier 2011
    Messages
    1 729
    Détails du profil
    Informations personnelles :
    Nom : Homme Baptiste ROUSSEL
    Localisation : France, Maine et Loire (Pays de la Loire)

    Informations professionnelles :
    Activité : Développeur Temps réel Embarqué

    Informations forums :
    Inscription : janvier 2011
    Messages : 1 729
    Points : 4 225
    Points
    4 225

    Par défaut

    Citation Envoyé par tontonnux Voir le message
    Fatallement, l'opérateur Facebook qui a voulu testé à eu droit un refus d'affichage... puisqu'il n'est pas amis avec Sarah Goodin, il ne peut pas voir son mur... donc pas le post en question.
    Un opérateur sans aucun droit sur le logiciel ? C'est comme un mécanicien sans outils pour réparer votre voiture...
    Toujours se souvenir que la majorité des ennuis viennent de l'espace occupé entre la chaise et l'écran de l'ordinateur.

  13. #13
    Membre habitué Avatar de _Carole
    Femme Profil pro Carole LEGRAND
    Analyste production
    Inscrit en
    avril 2013
    Messages
    99
    Détails du profil
    Informations personnelles :
    Nom : Femme Carole LEGRAND
    Âge : 23
    Localisation : France, Meurthe et Moselle (Lorraine)

    Informations professionnelles :
    Activité : Analyste production
    Secteur : Santé

    Informations forums :
    Inscription : avril 2013
    Messages : 99
    Points : 130
    Points
    130

    Par défaut

    J'aimerai bien connaitre le nombre de de personne dans la "security team" et le nombre de demande à traiter (Moyenne journalière? mensuelle ?)... Juste pour se faire une idée.

    Savoir combien de temps ils passent sur une demande/remarque aiderait sans doute à comprendre.

  14. #14
    Rédacteur
    Avatar de imikado
    Homme Profil pro Michael Bertocchi
    Ingénieur développement
    Inscrit en
    décembre 2006
    Messages
    2 472
    Détails du profil
    Informations personnelles :
    Nom : Homme Michael Bertocchi
    Âge : 32
    Localisation : France, Val de Marne (Île de France)

    Informations professionnelles :
    Activité : Ingénieur développement
    Secteur : Finance

    Informations forums :
    Inscription : décembre 2006
    Messages : 2 472
    Points : 9 666
    Points
    9 666

    Par défaut

    Il me semble que des hackeurs faisaient ça au début de l'informatique pour se faire embaucher, bon la, ça n'a pas trop marché
    Framework php sécurisé et simple à prendre en main avec générateur web http://mkframework.com/ (hebergé sur developpez.com)

    Tutoriels vidéo ici: http://mkframework.com/screencasts.html

    Un petit si le message est pertinent ou a résolu votre problème

    Journal de bord d'un RTS multiplayer en HTML5 ici
    Journal de bord d'un Bomberman multiplayer en HTML5
    ici

  15. #15
    Membre régulier
    Homme Profil pro Michel-Ange César
    Admin réseau, analyste-developpeur
    Inscrit en
    avril 2013
    Messages
    73
    Détails du profil
    Informations personnelles :
    Nom : Homme Michel-Ange César
    Localisation : Burundi

    Informations professionnelles :
    Activité : Admin réseau, analyste-developpeur
    Secteur : Administration - Collectivité locale

    Informations forums :
    Inscription : avril 2013
    Messages : 73
    Points : 90
    Points
    90

    Par défaut

    Je dirais que l'erreur est humaine mais perseverer dans l'erreur c'est diabolique! FACEBOOK a commis une erreur. Mais il y a encore la possibilité de la corriger en choisissant d'octroyer la recompense à notre chercheur pour le labeur qu'il y a mis. Au lieu de 10000$ on peut faire 7000$ par exemple.

  16. #16
    Membre Expert
    Homme Profil pro
    Développeur Web
    Inscrit en
    juillet 2009
    Messages
    373
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 34
    Localisation : France, Nord (Nord Pas de Calais)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : juillet 2009
    Messages : 373
    Points : 1 093
    Points
    1 093

    Par défaut

    Citation Envoyé par transgohan Voir le message
    Un opérateur sans aucun droit sur le logiciel ? C'est comme un mécanicien sans outils pour réparer votre voiture...
    Ma phrase n'était qu'une reprise de sa propre explication.

    Sinon de façon plus large, un opérateur avec tout les droits, jamais de la vie !
    Si une opération nécessite un certain niveau de droit, alors il n'est pas question de laisser "n'importe qui" faire ce qu'il veut.
    Pour une structure et un site de l'importance de Facebook, je ne serais pas du tout étonné que les premiers à voir ces notifications n'ont qu'un périmètre de responsabilité réduit (et donc les limitations en droit qui vont avec). Ils devraient en fait servir de "filtre" pour router les demandes reconnues comme valides vers les personnes compétentes pour ne pas les polluer.

  17. #17
    Modérateur
    Avatar de gangsoleil
    Profil pro
    R&D en systemes informatiques bas niveau Unix/Linux
    Inscrit en
    mai 2004
    Messages
    8 473
    Détails du profil
    Informations personnelles :
    Âge : 34
    Localisation : France, Isère (Rhône Alpes)

    Informations professionnelles :
    Activité : R&D en systemes informatiques bas niveau Unix/Linux

    Informations forums :
    Inscription : mai 2004
    Messages : 8 473
    Points : 21 554
    Points
    21 554

    Par défaut

    Citation Envoyé par MacDev Voir le message
    JMais il y a encore la possibilité de la corriger en choisissant d'octroyer la recompense à notre chercheur pour le labeur qu'il y a mis. Au lieu de 10000$ on peut faire 7000$ par exemple.
    La recompense de Facebook, c'est $500, pas 10 000.


    Et sinon, la question est de savoir si, pour reveler une faille, tu as le droit d'utiliser des moyens illegaux (utilisation de comptes tierces dans ce cas). FB dit que non, lui dit que oui.

    C'est un debat vieux comme le monde, et ce n'est pas ce cas la qui va le resoudre.
    Modérateur "C", "Informatique Générale & Hardware" et "Unix"
    Les règles du forum

  18. #18
    Membre du Club
    Inscrit en
    octobre 2006
    Messages
    25
    Détails du profil
    Informations forums :
    Inscription : octobre 2006
    Messages : 25
    Points : 59
    Points
    59

    Par défaut

    [MODE JOKE ON]
    En plus un "palestinien" qui pirate un compte d'une personne influente d'origine "juive", il cherche les problèmes, c'est pas la prison qu'il risque d'obtenir c'est une visite d'un missile ou du mossad LOL
    [MODE JOKE OFF]

  19. #19
    Expert Confirmé
    Homme Profil pro
    BI
    Inscrit en
    mars 2003
    Messages
    1 451
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 44
    Localisation : France, Rhône (Rhône Alpes)

    Informations professionnelles :
    Activité : BI

    Informations forums :
    Inscription : mars 2003
    Messages : 1 451
    Points : 3 624
    Points
    3 624

    Par défaut

    Citation Envoyé par gangsoleil Voir le message
    pour reveler une faille, tu as le droit d'utiliser des moyens illegaux (utilisation de comptes tierces dans ce cas). FB dit que non, lui dit que oui.

    C'est un debat vieux comme le monde, et ce n'est pas ce cas la qui va le resoudre.
    Oui mais le débat n'est pas que là. Mais "comment faire pour avertir quand l'entreprise est fermée comme une huitre et qu'on doit montrer patte blanche". Dans la vie réelle on peut informer qu'il y a un feu à une maison sans être pompier.

    Après il s'est fait un petit plaisir en piratant la page du pdg. Ce n'était pas méchant, il n'a rien cassé, mais comme il lui foutu la honte, hop banni. Pour les failles ultérieurs peut-être que les hackers sauront à quoi s'en tenir. En plus si c'est $500 il ne comptait peut-être même pas dessus.

  20. #20
    Membre Expert
    Homme Profil pro
    Développeur Web
    Inscrit en
    juillet 2009
    Messages
    373
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 34
    Localisation : France, Nord (Nord Pas de Calais)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : juillet 2009
    Messages : 373
    Points : 1 093
    Points
    1 093

    Par défaut

    Citation Envoyé par phili_b Voir le message
    Oui mais le débat n'est pas que là. Mais "comment faire pour avertir quand l'entreprise est fermée comme une huitre et qu'on doit montrer patte blanche". Dans la vie réelle on peut informer qu'il y a un feu à une maison sans être pompier.

    Après il s'est fait un petit plaisir en piratant la page du pdg. Ce n'était pas méchant, il n'a rien cassé, mais comme il lui foutu la honte, hop banni. Pour les failles ultérieurs peut-être que les hackers sauront à quoi s'en tenir. En plus si c'est $500 il ne comptait peut-être même pas dessus.
    Facebook propose un lien qui permet de poster ce genre d'alerte. Il s'en est servi, non pas pour expliquer ce qu'il avait trouvé, mais pour dire qu'il avait trouvé quelque chose et qu'il s'en était servi.
    Si au lieu d'exploiter directement la faille sur le compte de quelqu'un, il avait décrit sa découverte en expliquant la procédure pour y parvenir, il n'y aurait eu aucun souci et il aurait eu sa "récompense".

    Découvrir une faille et l'exploiter sont deux choses distinctes.

Liens sociaux

Règles de messages

  • Vous ne pouvez pas créer de nouvelles discussions
  • Vous ne pouvez pas envoyer des réponses
  • Vous ne pouvez pas envoyer des pièces jointes
  • Vous ne pouvez pas modifier vos messages
  •