Discussion :

[sneb5757]

Si 100 personnes connaissent une faille et l exploitent pendant 1 an ça me donnera moins de risque que si 3 000 000 l'exploite 3 jours. Sans parler de la NSA etc

Ceci dépend beaucoup de la faille, mais l'impact de l'exploitation d'une faille pendant 1 an par 100 personnes pourrait être potentiellement plus grand que l'exploitation de la faille pendant 3 jours par 3 000 000 de personnes. Ce n'est pas seulement la facilité d'exploitation qui rentre en compte dans l'appréciation du risque

Mon avis est qu'un code ferme n’empêche pas la découverte de failles mais qu'un code ouvert la facilite

Et comme je le disais , en quoi est ce un problème si elle est corrigé rapidement ? On est entrain de débattre dans le vent . C'est pas un soucis open source ou pas open source. Dans les faits, il ne me semble pas qu'il y' ait plus de failles dans les produits open source que dans les produits à code fermé. En tout cas dans les bulletins de vulnérabilité que je reçois quotidiennement sur un parc informatique mixte open source /proprio, il y'a pas plus de faille grave sur les produits open source que sur les produits proprio. Evidement ce petit échantillon ne permet pas de généraliser.

[250rgv]

Si 100 personnes connaissent une faille et l exploitent pendant 1 an ça me donnera moins de risque que si 3 000 000 l'exploite 3 jours. Sans parler de la NSA etc

http://foxitsecurity.files.wordpress...ed-example.png

en trois jours ils ont pu en avoir des mots de passes et le revendre. Et en plus le script a ete publier et est donc accessible a tous le monde. Mois ca me fait peur en tous cas



Mon avis est qu'un code ferme n’empêche pas la découverte de failles mais qu'un code ouvert la facilite

Il facilite surtout la correction et c'est ce qui m'importe. Le code fermé te soumets de facto au bon vouloir de l'éditeur pour une correction éventuelle et s'il ne veut pas ...
Sinon, tu penses que la NSA n'a pas ces entrées directement chez les grands éditeurs américains ou qu'elle a besoin d'aide pour trouver des failles dans du code fermé ? tu n'a pas suivi l'affaire PRISM dis-moi ?

[GTSLASH]

Je doit avouer que ces arguments sont convainquant. Mais j'ai quand même difficile a croire que il y a publiquement des méthodes permettant a un hacker de prendre le contrôle ou de pirater des système comme Sql Server, Windows Server, etc

Qu'une simple recherche sur Google me permettrais de trouver un script ou autres pour prendre le contrôle d'un serveur/pc. Et ce alors que Microsoft ou autre soit au courant depuis des mois.

(Et ca me fais bien marrer cet histoire de point sur le forum j'en dormirais pas un forum c'est fait pour échanger des avis apprendre et discuter c'est pas un examen )

[GTSLASH]

Et apparemment ce bug dans OpenSSL date de 2 ans

http://windowsitpro.com/security/mic...re-not-so-much

This is a two year old bug that somehow went unannounced. The ironic thing is that it's the most recent versions of OpenSSL that are affected.

http://www.aidanfinn.com/?p=16322

The lesson here is simple: Building alleged enterprise-class software where no-one is responsible for trustworthy computing reviews is negligent. Who reviewed that code?

Mais c'est peut etre pas le bon endroit pour discuter de ca.

[TiranusKBX]

la faille ne semble pas concerner tous les serveurs utilisant la lib vus que un de mes serveurs non mis à jours depuis 2 mois n'est pas affecté
quels sont donc tous les facteurs nécessaires à ces fuites ?

[250rgv]

Je doit avouer que ces arguments sont convainquant. Mais j'ai quand même difficile a croire que il y a publiquement des méthodes permettant a un hacker de prendre le contrôle ou de pirater des système comme Sql Server, Windows Server, etc

Qu'une simple recherche sur Google me permettrais de trouver un script ou autres pour prendre le contrôle d'un serveur/pc. Et ce alors que Microsoft ou autre soit au courant depuis des mois.

(Et ca me fais bien marrer cet histoire de point sur le forum j'en dormirais pas un forum c'est fait pour échanger des avis apprendre et discuter c'est pas un examen )

Prendre le contrôle à distance d'un serveur Windows ? cela dépends de ce que tu entends par là mais si c'est aussi "large" que me connecter et pouvoir travailler dessus depuis chez moi, mes collègues du sav le font tous les jours avec au moins un outil prévu pour et fourni en standard avec ses OS par Microsoft
Une faille sur cet outil ou sur le protocole utilisé et c'est la fête du slip pour les attaquants

Ensuite, (pour ma compréhension de ce que c'est) une faille n'a forcément pour effet de te donner accès directement à ta cible mais peut simplement te permettre d'envoyer des ordres, d'obtenir des informations etc.. alors que tu ne devrais pas pouvoir, et éventuellement, à la fin te permettre d'entrer par des moyens détournés.

Pour trouver comment faire, ce n'est pas forcément facile via google (et encore), mais n'oublie pas qu'il ne remonte que la partie superficielle du net Il y a beaucoup de choses dans l'ombre

je n'ai pas compris ton histoire de points par contre.

[250rgv]

la faille ne semble pas concerner tous les serveurs utilisant la lib vus que un de mes serveurs non mis à jours depuis 2 mois n'est pas affecté
quels sont donc tous les facteurs nécessaires à ces fuites ?

La version de ta bibliothèque, cf la source :

• OpenSSL 1.0.1 through 1.0.1f (inclusive) are vulnerable
• OpenSSL 1.0.1g is NOT vulnerable
• OpenSSL 1.0.0 branch is NOT vulnerable
• OpenSSL 0.9.8 branch is NOT vulnerable

[GTSLASH]

cela dépends de ce que tu entends par là

Principalement le vol d'informations (fichier ou donnée SQL Server) et l'utilisation du serveur piraté pour attaque DDOS ou spam. Il y a-t-il moyen de trouver facilement des faille exploitable a ces fin ? si oui c'est effrayant

je n'ai pas compris ton histoire de points par contre.

Pas important

[250rgv]

Principalement le vol d'informations (fichier ou donnée SQL Server) et l'utilisation du serveur piraté pour attaque DDOS ou spam. Il y a-t-il moyen de trouver facilement des faille exploitable a ces fin ? si oui c'est effrayant

DDSO/SPAM : il suffit juste de savoir ou chercher. Je te l'ai dit, dans l'ombre, il y a des chose plus ou moins bienveillantes.
Pour le reste, une faille ne va pas t'amener une base entière par retour de courrier en un seul coup mais elle va te permettre de progresser, te donner des informations techniques sur ta cible, etc... mais je pense que tu les trouvera dans les mêmes endroits.

Le problème avec celle-ci, c'est que entre autre, elle touche la sécurité d'une très grande partie du net, qu'elle est très facile à utiliser, que l'attaquant ne laisse pas de traces sans rien avoir à faire pour ce cacher (pour ce que j'en ai compris) et qu'elle peut retourner des informations directement utilisables (identifiants/mot de passe)...

[GTSLASH]

ok. Merci pour les info et la discutions. Je vais essayer de m'interesser et de decouvrir un peu plus sur le sujet

[250rgv]

ok. Merci pour les info et la discutions. Je vais essayer de m'interesser et de decouvrir un peu plus sur le sujet

Bon courage, sans même vouloir comprendre dans le détail la technique, il y a de quoi faire vu l'éventail des technos utilisées maintenant

[GTSLASH]

Ca vas encore me faire perdre des point et je ne dormirai pas la nuit mais bon

http://www.01net.com/editorial/61800...d-est-arrivee/

Ce bug qui a infecté +- la moitié des serveurs du monde est un bug qui est dans du code qu'une seul personne a teste. et cette personne est le développeur

Des millions et des millions de gens ont utilisé cette bibliothèque pendant 2 ans sans ce rendre compte de ce bug qui est considéré comme le bug de la décennie. A part la NSA qui je parie était au courant.

Et a l'avenir ? <ModeTroll> Skynet n'est pas loin </ModeTroll>

Le but de l'Open Source était que le plus possible de développeur puisse vérifier le code. Et la en 2 ans personne n'a vu le problème ? Un problème de variable en plus ce qui n'est pas la mer a boire a découvrir. Il y a même des vérificateur de code style FXCop qui aurait trouvé ça.

De plus personne n'a vérifié le code de ce développeur ce qui montre un énorme problème dans l'organisation du développement Open Source. Et qui est responsable ? a non personne c'est du libre.

Ne pas voir qu'il y a un problème actuellement dans le code ouvert c'est vraiment avoir les yeux fermés

Quand un client me reparlera de Linux et autre pour autre chose qu'un blog ou un forum je lui sortirai tous ces articles et vidéo. Et je suis certain que je ne serai pas le seul a agir de la sorte.

[Neckara]

Bonjour,

@GTSLASH : Pourrais-tu arrêter de troller ?

Les probabilités qu'une erreur arrive n'est pas nulle mais on fait tout pour minimiser cette probabilité.
Ce n'est pas parce qu'un bug passe les mailles du filets que tout de suite, tout l'open source, tout le libre est à jeter.

Et ce genre de problème n'arrive pas que dans l'open source, je prend par exemple cette actualité.
Là le bug est bien plus critique et le code n'avait même pas dû être relu une seule fois :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
if (machin )
      goto fail;
      goto fail;

// suite du code

Et qui est responsable ? a non personne c'est du libre.

Linux Torval valide lui-même chaque propositions faites sur son dépôt. Ce n'est pas parce que c'est open source/libre qu'il n'y a pas d'organisation.

De plus personne n'a vérifié le code de ce développeur

Ce n'est pas ce que dit ta source.

[GTSLASH]

Ce n'est pas parce qu'un bug passe les mailles du filets que tout de suite, tout l'open source, tout le libre est à jeter.

Ce n'est pas ce que j'ai dis. Mais la on ne parle pas d'un petit bug. On parle d'une faille qui a contaminé la moitier des serveurs du monde et qui aurait très facilement pu être éviter. Et qui date de 2 ans !

Si pour vous ca c'est du troll je ne sais pas ce qu'il vous faut.

On verra bien la suite mais je suis convaincu que cette histoire aura des conséquences. Et je ne suis certainement pas le seul a penser de la sorte.

Maintenant si pour vous c'est un petit truc sans importance et que rien n'est a remettre en cause vous faite une grave erreur.

Linux Torval valide lui-même chaque propositions faites sur son dépôt

Il lit tous ? Il vérifie tous ? Ca m' entonnerai. Mais alors il a fait une grave erreur et il doit être tenu pour responsable.

Et je ne dis pas que le libre est a abandonner. Si Microsoft ou IBM aurait fait cet erreur j'aurai dis la même chose.

On a fait confiance a la communauté pour chiffrer nos communication et apres 2 ans on nous dis que finalement il y avait moyen de voir tous nos mot de passe et nos num carte de credit. C'est pas grave ???

Il est évident que l'Open Source doit se remettre en question et faire évoluer sa manière de travailler. Comme l'aurai fais tout autres entreprise. Informatique ou non.

Je ne comprend même pas que vous n’êtes pas d'accord.

On verra la suite. Je vous laisse dans votre monde de bisousnours tous rose alors. Si vous n'accepter aucune critique et la responsabilités de vos erreurs vous aller dans le mur.

[tomlev]

Pour ceux qui n'ont rien compris à Heartbleed:

http://www.xkcd.com/1354/

[ticNFA]

On peut te retourner ce reproche de naïveté, GTSLASH, parce que les entreprises (cf. ci-dessus) ont montré qu'elles n'étaient responsables surtout que de leurs résultats plutôt que de leurs clients. C'est parfois concomitant, parfois opposé et dans ce cas le choix peut être vite fait.
Le problème n'est pas le principe du libre mais le manque de développeurs qualifiés pour contribuer sur certains projets.
Le fait que de plus en plus de sociétés contribuent à des projets OS montrent bien l'intérêt de la chose (voir l'étude citée sur DVP) : mutualiser et pérenniser.

[GTSLASH]

Le problème n'est pas le principe du libre mais le manque de développeurs qualifiés pour contribuer sur certains projets.

oui je suis tout a fait d'accord. Et je pense que c'est également pour ca que par exemple Microsoft se tourne de plus en plus vers l'OS. Chaque cerveau est bon a prendre. Surtout quand c'est gratuit. MAIS c'est validé par après par Microsoft et ils engage leur responsabilités et leur nom.

Si une erreur si grave arrivait 3 fois chez Microsoft ce serai fini pour eux car la confience n'y serait plus pour personne. Et la je parle de Microsoft pas d'une petite boite national. Ca arrive a une boite si petite elle serait direct finie.

Que ce soit libre ou pas le développement doit être bien organisé. Et la il y a eu un gros problème dans celui de OpenSSL. Ca aurait du etre decouvert plus tot. Il y a des outils pour ca et des test unitaire et ous le reste.

Quel est la conséquence pour le(s) développeur(s) d'OpenSSL ? aucunes c'est gratuit.Ils n'ont de compte a rendre a personne car par définition c'est libre.

Si ca arrive chez Microsoft ou Oracle les investisseurs vont leur tomber dessus et des tetes vont tombées. C'est le principe de la responsabilités. Et dans l'OS personne n'est vraiment responsable car il n'y a pas d'argent derriere.

Et puis les faits sont la. La plus grosse faille de la decenie a ete provoquee par de l'OS. Et quand je discute avec mes clients eux ca les interesse et le prenne en compte

[gangsoleil]

De plus personne n'a vérifié le code de ce développeur ce qui montre un énorme problème dans l'organisation du développement Open Source. Et qui est responsable ? a non personne c'est du libre.

Est-ce que tu crois vraiment que chaque ligne de code est revue chez Microsoft, Apple et consors ? Je peux t'affirmer que ce n'est bien evidemment pas le cas.

Et ce n'est d'ailleurs pas le cas dans la plupart des entreprises, meme celles qui disent avoir un systeme de revue systematique du code par au moins une autre personne que le developpeur. La raison est extremement simple, c'est une question de cout.

Et meme sur du code revu, tu peux passer a cote d'erreurs.

Si tu veux des exemples, il y en a pleins. On peut prendre le 1er vol d'Ariane 5, celle qui a explose en vol. Apres verification, "c'est normal qu'elle ait explosé", car il y a un depassement de capacite [le rapport d'enquete montre que si les simulations avaient ete faites sur ce code, elles auraient montre que l'explosion etait ineluctable -- economie theorique de 800 000 francs]. Mais c'est vrai que l'ESA, ce sont des rigolos qui font que de l'open-source sans jamais se remettre en cause.

[GTSLASH]

Est-ce que tu crois vraiment que chaque ligne de code est revue chez Microsoft, Apple et consors ? Je peux t'affirmer que ce n'est bien evidemment pas le cas.

Chez Microsoft oui. Ils écrivent le code en binôme puis il est teste par un autres binôme avant d’être approuve par le chef de projet. C'est un témoignage d'un ancien de Redmond. Chaque code passe par 5 paires d'yeux.

Et les erreurs ca arrive. Je le sais ca m'arrive aussi. Comme tous le monde. Mais celle d'OpenSSL est quand même énorme et très "Amateur" et énormément lourde de conséquences. Et ca fragilise l'internet car les gens vont se mefier de plus en plus et ca freinera l'utilisation d'internet et donc de notre travail.

Le problème est que la communauté Open Source est si certaine d'elle qu'elle ne se remettra pas en question. "On est les meilleurs et vos citriques elle nous passe au dessus." Mais la vous vous êtes planté grave.

J'utilise l'open source comme tous le monde mais quand je fais des erreurs graves dans mes programmes je me remet en question car ca fait jamais plaisir quand un utilisateur ou pire un client vous appel pour se plaindre.

[tomlev]

Est-ce que tu crois vraiment que chaque ligne de code est revue chez Microsoft, Apple et consors ? Je peux t'affirmer que ce n'est bien evidemment pas le cas.

Comment peux-tu l'affirmer ? Tu as travaillé dans ces entreprises ? Je pense au contraire que dans les très grosses entreprises comme MS ou Apple, dont les produits sont utilisés par des centaines de millions de personnes, chaque ligne de code est revue, et plutôt trois fois qu'une...