Discussion :

[xormind]

Euh, je crois que ce que xormind a voulu dire c'est qu'il y a une erreur dans l'article; il y est écrit que Khalil Shreateh est Pakistanais:

Oui, effectivement.

[lilington]

Il y a 4 attitudes a avoir quand on decouvre une faille avec leurs concequences?

je decouvre une faille dans le systeme d'une banque :

choix 1 : J'en profite pour m'enrichire , risque : apres enquete le FBI frappe a ma porte et prison

choix 2 : tous aussi malhonette que le premier je vends la faille a des gens peu scrupuleux . Risque: je gagne moins la police peut toujours me trouver mais ca leur prendra plus de temps et c'est pas sur qu'il se donne la peine de me chercher ayant le coupable du vol ils se demandent jamais qui apprend a voler a un voleur.

choix 3 : Je ne fais rien et me sens juste fier d'avoir trouver la faille, bon pour mon ego . Risque: je vais rester pauvre encore un moment.

choix 4 : j'alerte la banque et leur signale meme la procedure pour les voler. Risque : un remerciment de leur part

ps: remerciment peut etre:
- merci vous l'information mr, vous ete gentil et honorable. (10)
- oh vous avez sauver des milions monsieur voici quelque 50 000 euro pour vous encourager a faire le bien. (1)
- On cherche justement des gens comme vous, venez travailler pour nous. Non? bon comme consultant a la securite alors? steplait... allez ..(1)
- Voleur on vous signalera aux autorites. (88)
les chiffres entre parentese sont les pourcentages d'avoir ce type de remerciement. dans le cas de l'article il en a eu 2. soit 98% des remerciment en ayant choisis le choix 4.
on lui a dit : Merci pour l'info. et comme il a insister il a eu les dernier 88%

moi perso je suis pour le choix 3. nourrir mon ego. et meme si j'avais besoin d'argent au point de devenir malhonnete je prendrai le choix 2

[Sodium]

choix 4 : j'alerte la banque et leur signale meme la procedure pour les voler. Risque : un remerciment de leur part

Risque : Qu'est-ce que vous foutiez à essayer de vous infiltrer dans notre système en premier lieu ? Qui nous dit que vous n'en avez pas profité avant de nous signaler la faille ?
Non, on est sûrs de votre bonne volonté, mais dans le doute on préfère prévenir les autorités, vous aurez juste droit à une petite garde à vue ainsi qu'à une confiscation de votre matériel pour 6 mois/1 an, une broutille.

[Battant]

Bonjour,
Pour ma part, et je pense que c'est le choix le plus honnête, j'enverrai simplement un bug report aux développeurs de logiciels pour qui corrige la faille. Ainsi, je contribue au développement et à la sécurisation du programme peut-être que je serai remercier et peut-être qu'on me donnera quelque chose.

Salutations et bonne année

[gangsoleil]

Bonjour,
Pour ma part, et je pense que c'est le choix le plus honnête, j'enverrai simplement un bug report aux développeurs de logiciels pour qui corrige la faille. Ainsi, je contribue au développement et à la sécurisation du programme peut-être que je serai remercier et peut-être qu'on me donnera quelque chose.

Salutations et bonne année

Non, ce n'est pas une bonne idee de remplir un bug report : dans la plupart des cas, ces rapports sont publiques. Or malgre la bonne volonte de tous les developpeurs, il faut du temps pour corriger un bug.

Donc si tu decris publiquement un bug, il sera exploitable par tous (y compris le touriste moyen) le temps de la correction. C'est pour cela que les procedures de decouverte de faille commencent souvent par une communication "privee", et si l'entreprise ne fait rien la publication partielle ou complete au bout d'un temps raisonnable (souvent 1 mois).

Le soucis aussi, c'est que dans de tres nombreux cas, les gens qui repondent a ces mails ont pour consigne de repondre "oui oui, bien sur, mais vous savez on a les meilleurs experts en securite du monde de la galaxie, et donc non vous n'avez rien fait".
Donc si la persionne qui est entree dans le systeme souhaite leur montrer que si, la faille existe, il faut bien aller plus loin, ce qui veut dire extraire quelque chose du site en question, et renvoyer un mail. Et c'est la que les banques se fachent, en disant que ouin c'est pas bien ce qu'il a fait, c'est un vilain qui leur a vole un document ultra-secret (la liste de course du directeur ?), et ils portent plainte et tout et tout.

Meme les entreprises qui disent remunerer les failles ne sont pas aussi clean qu'il y parait : il y a plusieurs cas averes de reponse du genre "non mais c'est une fonctionalite volontaire", ou "non, mais celui la on le connait, donc non vous ne toucherez pas un centime meme si on clame haut et fort qu'on rémunère toutes les vraies failles".

[Battant]

Bonjour,

Il paraît que les hacker étiquette sont des pirates expert en sécurité . Donc peut-être qu'ils en savent plus que le développement du programme Et puis on peut tous avoir oublié les failles ou apprendra à tout moment. Donc il faut que les développeurs apprenne à se remettre en cause même si il croit avoir les meilleurs experts en sécurité au monde. Les seules choses c'est qu'il ne faut pas que le pirates exploite la faille mais juste la signaler. D'ailleurs normalement dans son contrat il avec l'entreprise où le développeur doit y avoir un code de conduite.
Peut-être que le pirate est aussi un bon développeur donc il faut simplement qu'il s'engager au bon poste de travail. C'est important qu'on reconnaisse ses compétences

Que pensez-vous ?

Salutations

[Battant]

Bonjour

Les rapports de bugs ne sont pas forcément public cela dépend de la plate-forme. Par exemple chez Apple, il y a l'adresse bug report.apple.com. Sur cette place forme par exemple, je n'ai pas accès au rapport de bugs et qui ne m'appartiennent pas donc même si j'étais un pirate je ne pourrai pas exploiter une faille qui a été signalé par quelqu'un d'autre Car je n'ai pas accès au rapport des bugs qui s'y rapportent.

Cependant, votre affirmation semble vrai dans le cas des logiciels libres. Car dans ce cas, généralement tout le monde les droits d'accès.

Question parallèle, ;

Si un pirate va dans un logiciel open source il peut exploiter les failles donc y a-t-il pas un risque à ce niveau là avoir un logiciel en open source où est-ce qu'il me personnes bien intentionné va entre-temps corriger la faille. D'ailleurs dans ce cas là, le pirate ne peut-il pas le faire lui-même ?

Merci pour le renseignement

Meilleur salutations

[Saverok]

on peut tous avoir oublié les failles ou apprendra à tout moment. Donc il faut que les développeurs apprenne à se remettre en cause même si il croit avoir les meilleurs experts en sécurité au monde.

Le hic est que les plaintes qui peuvent suivre suite à un signalement de bug ne viennent pas des développeur ladite société.
C'est la direction et le service juridique qui prennent le relais.

Le réflexe générale de la plupart des sociétés lorsqu'elles reçoivent un signalement de faille et un réflexe défensif qui vire à l'agressivité :
* "comment se fait il que vous avez vu ça ?"
* "si vous l'avez-vu, c'est que vous regardiez là où vous ne devriez pas"
* "si vous le signaler, c'est que vous l'avez tester donc vous vous êtes introduit illégalement dans notre système"
* etc.

Bref, si on est pas un expert en sécurité informatique reconnu, mieux vaut passer son chemin comme si on n'avait rien vu.
La seule entorse possible est de faire ça lors de hackathon spécifiquement organisés par les entreprises elles-même. Dans ce contexte là, on est sûr d'être préservé de toute attaque (car on signe une charte lors de l'inscription avec tout le blabla juridique qui va bien)

[lilington]

Moi personnellement si j'avais les moyens de trouver des failles, j' irai les distribuer gratis sur le net, histoire de les forcer a ecouter ceux qui leur envois des rapports.