Discussion :

[jumpers]

@typoli : donc, révéler une faille te fait changer de moteur de recherche, de boite mail, de service cloud, de boulanger et de médecin traitant ? il t'en faut peu toi dis donc...

la faille semble fort limitée niveau mise en place, car il faut les identifiants de la machine, cependant, ophcrack et d'autres moyens permettent de les avoir, je pense que les deux couplés (un moteur comme OPH, et un soft impliquant cette faille) sont tout a fait faisable, et vu les avancées, je ne pense pas que ça prenne tant de place. (bon, OPH demande des bases de données, mais des solutions dos/unix existent qui n'en utilisent pas.)
ce genre d'exploits ne font pas partie de mes connaissances, car je suis une buse en programmation (olol, il sait pas programmer et squatte developpez.com...), mais je me dit que tout est possible quand on s'en donne les moyens.

[Invité]

Ouep, je suis devenu assez susceptible concernant les attaques fait sur Microsoft.

Mais bon, mise à part ça, je ne me sens pas du tout dépaysé sous bing

[jumpers]

Ouep, je suis devenu assez susceptible concernant les attaques fait sur Microsoft.

c'est que du business tout ça hein, en dessous de la table, ça se fellationne (sera dans le Larousse 2038), ils ont des contrats etc entre eux, de plus, tout le monde attaque tout le monde, que ce soit google, microsoft, apple, samsung, et même des boites qu'on ne connais pas. c'est juste du business de merde, qui en rien n'influencera mes choix.
maintenant, c'est ton droit de changer de tout ce que tu veux si ça te chante, mais c'est un peu con de le faire pour cette raison.

[Invité]

Au moins j'ai choisi mes camps: Microsoft et Intel.
Après il pourras changer, mais c'est pas demain la veille

Mais pour la raison qui m'a poussé à réagir de cette façon, c'est tout simplement parce que cette attaque était de trop


RT #j'aimeplusgoogle

[Hinault Romaric]

Microsoft s’insurge contre Google
après la publication des informations sur une faille dans Windows 8.1

Décidément, Microsoft et Google n’ont pas la même vision en ce qui concerne la divulgation des failles de sécurité dans des produits. Pour Google, après un certain délai, la faille doit être divulguée publiquement afin d’inciter la sortie des correctifs, alors que pour Microsoft l’opération doit être concertée et la faille doit être maintenue secrète jusqu’à publication d’un correctif.

Ainsi, un expert en sécurité de Microsoft a critiqué vertement Google pour avoir divulgué des détails sur une faille zero-day dans Windows pour lequel un correctif n’était pas encore disponible.

À titre de rappel des faits, Google dispose d’un programme « Google Project Zero », permettant à ses experts en sécurité de répertorier des failles de sécurité dans des applications. Lorsqu’une vulnérabilité est enregistrée, une notification est envoyée à l’éditeur de la solution touchée, et la faille est divulguée publiquement 90 jours après, qu’un correctif soit disponible ou non. C’est ce qui s’est passé avec Windows.

Chris Betz, directeur de Microsoft Security Response Center (MSRC) a fustigé l’attitude de Google, affirmant que la firme était au courant qu’un correctif était dans les bacs et qu’il fallait juste attendre quelques jours afin qu’il soit publié.

« Google a publié des informations sur une vulnérabilité dans un produit Microsoft deux jours avant la sortie d’un correctif dans le cadre de notre Patch Tuesday, alors que nous leur avions demandé de ne pas le faire », explique Chris Betz dans un billet de blog. « Concrètement, nous avons demandé à Google de travailler avec nous pour protéger nos clients en conservant les détails sur la faille jusqu’au 13 janvier, lorsque nous publierons un correctif. »

Alors que du côté de Google, il est question de mettre la pression sur l’éditeur pour publier une faille, pour Betz, l’action de la firme est plus une provocation, qui ne profite pas aux utilisateurs. Au contraire, en agissant ainsi, cela met la pression dans un environnement déjà complexe et augmente de façon significative le risque.

« Ce qui est bon pour Google ne l’est pas forcément pour les clients. Nous demandons instantanément à Google de faire de la protection des clients notre but collectif premier », exhorte Betz.

Le responsable de la sécurité de Microsoft invite la communauté à une divulgation cordonnée des vulnérabilités. Concrètement, il souhaite que celui qui trouve une faille signale celle-ci discrètement afin qu’un correctif soit publié avant la divulgation de la faille. Betz affirme que les failles corrigées ainsi ne font pratiquement pas l’objet d’une exploitation, même après leur divulgation. Par contre, en procédant comme Google l’a fait, les exploits des pirates sont plus fréquents.


Source : Blog Technet

[Invité]

... Et apparement pas qu'à moi.

[kolodz]

L’ennemie de la sécurité c'est le secret... Pas moi qui le dit, mais le FBI.
J'aurai cru qu'une bonne gestion de la sécurité, c'est de savoir où il y a des failles. Non seulement pour l'éditeur, mais aussi pour l'utilisateur. Histoire que celui-ci réagisse en conséquence.

Exemple :

Si on me vend une maison où la porte du garage ferme pas, même si on peux pas la changer. Il me reste la possibilité de la condamné.

De plus si les failles de sécurité restent dans le secret. Il est probable que d'autres personnes les produisent dans d'autres produit.
Imagine cela appliqué au injection SQL... Cela serai une belle réussite pour la sécurité en effet.

Après 90 jours, c'est assez long pour produire un patch de sécurité. On doit nécessairement attendre que la faille soit patché ou utilisé dans un malware pour pouvoir en parler ?
Il serai bien de considéré les utilisateurs un peu plus que des enfants qu'on doit "protéger" de tout. Surtout quand cela n'est pas flatteur pour soi...

Cordialement,
Patrick Kolodziejczyk.

Edit : @typoli Bravo tu es la première personne que je vois avec un score négatif à deux chiffres. Les autres étaient tous des débutants qui ont posté au mauvais endroit...

[Invité]

Merci

[cbleas]

Après 90 jours, c'est assez long pour produire un patch de sécurité. On doit nécessairement attendre que la faille soit patché ou utilisé dans un malware pour pouvoir en parler ?
Il serai bien de considéré les utilisateurs un peu plus que des enfants qu'on doit "protéger" de tout. Surtout quand cela n'est pas flatteur pour soi...

90 jours non ce n'est pas long surtout dans le cas comme cela a souvent été le cas pour des failles datant de plus de 5 a 6 ans.
De plus la divulgation ne protege en aucun cas l'utilisateur car il est souvent inconcient du risque mais permet par contre à des Hacher eux de l'utiliser pendant quelques jours le temps que le patche ne sorte.

[Hellwing]

L’ennemie de la sécurité c'est le secret... Pas moi qui le dit, mais le FBI.
J'aurai cru qu'une bonne gestion de la sécurité, c'est de savoir où il y a des failles. Non seulement pour l'éditeur, mais aussi pour l'utilisateur. Histoire que celui-ci réagisse en conséquence.

Exemple :

Si on me vend une maison où la porte du garage ferme pas, même si on peux pas la changer. Il me reste la possibilité de la condamné.

De plus si les failles de sécurité restent dans le secret. Il est probable que d'autres personnes les produisent dans d'autres produit.
Imagine cela appliqué au injection SQL... Cela serai une belle réussite pour la sécurité en effet.

Après 90 jours, c'est assez long pour produire un patch de sécurité. On doit nécessairement attendre que la faille soit patché ou utilisé dans un malware pour pouvoir en parler ?
Il serai bien de considéré les utilisateurs un peu plus que des enfants qu'on doit "protéger" de tout. Surtout quand cela n'est pas flatteur pour soi...

Cordialement,
Patrick Kolodziejczyk.

Edit : @typoli Bravo tu es la première personne que je vois avec un score négatif à deux chiffres. Les autres étaient tous des débutants qui ont posté au mauvais endroit...

Dans l'absolu je suis d'accord : le secret n'est pas un bon moyen de protection, mais tu m'expliques comment un utilisateur lambda peut condamner une faille dans son système, alors qu'il a déjà très peu de chances d'être au courant dans les plus brefs délais (en considérant bien entendu qu'il ne s'en fiche pas) ?

[e101mk2]

Je pense que microsoft abuse un peu...
Avec leur ressource humaine, leur connaissance, et aussi leur implication dans le monde de l'entreprise, 90 jours est que suffisant pour creér et deployée un correctif adaptée. Leur "monopole" leur demandent des obligations en vers leur clients.
Je ne demande qu'ils detectent les failles, mais quand on as la gentillesse de leur donnée dans un papier cadeaux une faille touchant l'un des produits qui coutents plus de 100€, et qu'il mette plus de 90 jours à deployér un correctif adaptée alors que plusieurs entreprises dependent de ces technologies qu'ils ont payée au prix fort (un parc informatique est couteux en logiciels...), et ces même technologies peuvent avec une faille corrompre toute la protection d'un réseaux... je trouve sa honteux.
Je pense que la mesure de Google est de faire réagire les entreprises logiciel à la securité, en leur imposant la mise à jour de correctif plus rapide et efficace(même si google souffre du même probleme avec Android du aux manquement des constructeurs à les distribuer...) .

[myNameIsFlo]

Microsoft a demandé d'attendre 2 jours. Ce que google n'a pas fait pour l'emmerder. Ils sont concurrents ou pas?

Concernant, les remarques que Microsoft a les moyens. . .
Ce n'est pas une question de moyens mais de complexité. 90 jours pour corrigés un OS tel que Windows sur une faille complexe, c'est peu

Dans ma 'petite' entreprise, les clients attendent souvent 10 jours pour une correction sur un logiciel pas forcément complexe et payé un 'peu' plus que 100€. Personne ne se plaint.

Je ne suis pas pour ou contre mais il faut remettre les choses dans leur contexte (bande de français râleur

[Saverok]

Sur le principe, je suis d'accord avec Google
Par contre, faut pas être butté non plus et avoir un peu de souplesse dans l'application du principe.
Si l'éditeur demande un délais supplémentaire de 48h, il est possible de s'arranger.
Par contre, si après le délais supplémentaire, rien n'est encore fait, c'est différent.

[Invité]

Hmmm, est-ce que chez google, ils utilisent leur OS: Google Chronux OS (chronux = Chrome + Linux) ou Windows ?

Tel est là question ?


(Si ils utilisent Chronux, alors que ça peut leur f*** de s'acharner tant sur une petite faille, alors que les dev chez windows en révéle/corrige plus qu'une en une journée )

[kolodz]

90 jours non ce n'est pas long surtout dans le cas comme cela a souvent été le cas pour des failles datant de plus de 5 a 6 ans.
De plus la divulgation ne protege en aucun cas l'utilisateur car il est souvent inconcient du risque mais permet par contre à des Hacher eux de l'utiliser pendant quelques jours le temps que le patche ne sorte.

Heartbleed qui est une faille sur Linux qui date pratiquement de la première version a été découvert et publié avant sa correction. Il y a eu aucun scandale à ce niveau.
According to Mark J. Cox of OpenSSL, Neel Mehta of Google's security team reported Heartbleed on April 1, 2014.[28]
...
Bodo Moeller and Adam Langley of Google prepared the fix for Heartbleed. The resulting patch was added to Red Hat's issue tracker on March 21, 2014.[32] Stephen N. Henson applied the fix to OpenSSL's version control system on 7 April.[33] The first fixed version, 1.0.1g, was released on the same day.

Donc, soit la date de la faille n'est pas une caractéristique pour définir la durée nécessaire pour réaliser un patch. Soit, Microsoft est deux fois plus lent. Personnellement, je ne considère pas Microsoft pour des incompétents et j'opte pour l'option 1.

La politique de Google sur la publication des failles est connu. Microsoft s'en offusque systématique, après coup.

Microsoft a demandé d'attendre 2 jours. Ce que google n'a pas fait pour l'emmerder. Ils sont concurrents ou pas?

Rien de dit que Microsoft est aller voir Google AVANT pour demander un délai de deux jours(Le temps que le patch sorte). Donc, je trouve la critique de Microsoft trop facile à faire après coup. On sait seulement, que Microsoft considère qu'ils auraient dû attendre deux jours de plus, dans une annonce fait après. Il faut resté critique avec ce que dit chaque "camps".

D'ailleurs, ce n'est pas le première fois ou Microsoft se réveil après coup. Et à l'époque le délai considéré par Google était de 60 jours. Donc, Google a fait un geste depuis.
http://www.developpez.com/actu/19265...-les-editeurs/
http://googleonlinesecurity.blogspot...ure-focus.html

D'ailleurs le débat à l'époque était bien plus axés :
"Le type qui découvres une faille, il en fait ce qu'il veux."

Moi je dis que quelqu'un qui trouve une faille fait ce qu'il veut :
- Ne rien dire
- Informer (gratuitement ou pas) l'éditeur
- Informer (gratuitement ou pas) le public ou le plus offrant.
- Faire un PoC ou pas

J'espère que cette fois ici Microsoft et les personnes qui approuvent sont point de vue ne feront pas juste un billet de blog sur le sujet et traiteront le problème en profondeur.
Méthodologie pour définir les failles qui ne sont pas à publié ? Ou qui demande du temps ?
Pour le moment, je n'ai rien vue sur ces points que soulève Microsoft en son blog, qui considère que cette faille était dans ce cas.

Dans l'absolu je suis d'accord : le secret n'est pas un bon moyen de protection, mais tu m'expliques comment un utilisateur lambda peut condamner une faille dans son système, alors qu'il a déjà très peu de chances d'être au courant dans les plus brefs délais (en considérant bien entendu qu'il ne s'en fiche pas) ?

Il lui reste le choix de changer d'OS, d'isoler son PC.(Le coupé d'internet) Je n'ai pas dis que les solutions n'étaient pas drastique. Mais, si l'utilisateur n'est pas informé, il n'a juste pas la possibilité de choisir. D'ailleurs, c'est l'une des raisons qui pousse l'équipe de Chrome à pousser les navigateur à indiquer que HTTP n'est pas sécurité.

Cordialement,
Patrick Kolodziejczyk.

Edit : Quand on prend le temps d'ajouter des moins à un message, on prends aussi le temps de sortir commentaire du pourquoi...

[imikado]

Je viens de lire un complément intéressant qui va dans le sens de Google:
Ils donnent 90 jours à l'éditeurs, pas un jour de plus et à raison
Je citerai l'article:

Une défense louable, mais qui vient peut-être un peu tard. Car Microsoft a une longue histoire de vulnérabilités qu’il a tardé à corriger, comme le rappelle Robert Graham, hacker et patron d’Errata Security. Sur son blog, ce vieux briscard de la sécurité informatique décrit comment les vulnérabilités étaient gérées par l’éditeur de Windows il y a une dizaine d’années. « Microsoft dictait à l’époque la manière dont les vulnérabilités étaient reportées. Les chercheurs qui découvraient de tels bugs devaient informer les éditeurs en secret et leur donner tout le temps nécessaire pour les corriger. Microsoft a parfois attendu des années avant d’en corriger certains et profitait du fait qu’il était en mesure de blacklister des chercheurs pour les faire taire. » Visiblement, les temps ont changé…

Donc
1. Google ne travaille pas pour Microsoft, ils n'ont pas à leur dicter quoi que ce soit
2. 90 jours c'est déjà énorme: combien de temps ont mis la communauté GNU/Linux à corriger heartblead, shelllock and co ?
3. Microsoft et Google n'ont pas de bon rapport

Microsoft devrait améliorer ses relations avec Google en:-
- arretant les publicités se moquant ouvertement des chromebooks
- arreter sa boutique qui vend des produits discreditant google (scroogle)
- stopper la taxe android
Après on reparlera du Gentil Microsoft face au méchant Google

[gerard.laine]

La politique de Microsoft consistant a garder secrets les innombrables Bug qui émaillent ses produits à fait perdre des millions d'heures de travail à ceux qui cherchaient a identifier l'origine des dysfonctionnement dont ils étaient victimes. A chaque Bug des milliers de personnes effectuaient simultanément les mêmes travaux de recherche, alors que si Microsoft avait publié à l'instar d 'IBM des "Early Warning" beaucoup de sueur aurait été économisée. Mais comme chacun le sait les produits Microsoft sont parfaits !

[marc_ch]

Je suis sidéré d'apprendre que Google dispose d’un programme « Google Project Zero » et pas Microsoft.
Donner 90 jours à Microsoft pour régler un bug identifié me parait être un délai suffisant. Si rien n'est fait dans ces délais cela signifie que Microsoft ne priorise pas ce qui "profite aux utilisateurs".

[Hinault Romaric]

Google divulgue une autre faille non corrigée de Windows
malgré les critiques de Microsoft

Google récidive. Le géant de la recherche a décidé de publier les détails sur une nouvelle faille zero-day dans Windows, alors que Microsoft n’a pas encore mis à la disposition des utilisateurs un correctif de sécurité.

La faille qui touche Windows 8.1 et Windows 7 (32 et 64 bits), se situe au niveau de la fonction de chiffrement CryptProtectMemory. En cas d’exploit, cette vulnérabilité pourrait entrainer une usurpation d’identité.

La faille avait été découverte par l’ingénieur de Google du nom de Forshaw, à l’origine da la divulgation de la précédente faille dans Windows 8.1. Elle a été enregistrée le 17 octobre sur le programme « Google Project Zero ». Une notification avait été envoyée à Microsoft et compte tenu du fait que le délai de 90 jours accordé ait été atteint, la faille a été divulguée publiquement.

Les experts en sécurité de Microsoft ont répertorié la faille le 29 octobre dernier. Un correctif avait été développé et devait être inclus dans le Patch Tuesday de janvier. Cependant, suite à des problèmes de compatibilité, Microsoft n’a pas été en mesure de publier un correctif à temps.

« Microsoft nous a informé qu’un correctif était prévu pour les patchs de janvier. Mais, il a été retiré en raison des problèmes de compatibilité. Par conséquent, le correctif est maintenant prévu dans les patchs de février », a écrit Forshaw, dans une mise à jour sur le dossier de la faille sur « Project Zero ».

Tout comme la dernière fois, Google a opté pour une publication de la faille, qui est accompagnée d’une preuve de faisabilité. Le but premier de ce geste étant de mettre la pression à l’éditeur afin qu’il publie un correctif pour sécuriser les utilisateurs, cela a aussi pour effet d’augmenter le risque d’exploitation de la vulnérabilité par les pirates.

Microsoft avait déjà critiqué cette façon de procéder chez Google, qui expose encore plus les utilisateurs. « Google a publié des informations sur une vulnérabilité dans un produit Microsoft deux jours avant la sortie d’un correctif dans le cadre de notre Patch Tuesday, alors que nous leur avions demandé de ne pas le faire », expliquait Chris Betz, responsable de la sécurité chez Microsoft, dans un billet de blog. « Concrètement, nous avons demandé à Google de travailler avec nous pour protéger nos clients en conservant les détails sur la faille jusqu’au 13 janvier, lorsque nous publierons un correctif. »

Pour Microsoft, il est préférable de travailler de façon concertée et attendre qu’un correctif soit disponible avant de divulguer publiquement la faille.


Source : Google Project Zero

[Pierre GIRARD]

...Pour Microsoft, il est préférable de travailler de façon concerter et attendre qu’un correctif soit disponible avant de divulguer publiquement la faille.

Attendre pendant combien de temps si 3 mois ne suffisent pas ? 6 mois ? 1 an ? 10 ans ?

Qui prouve par ailleurs qu'une telle faille ne puisse pas être trouvée avant Google et d'autres ... et que quand Google informe µSoft il n'y ait pas déjà en cours une exploitation de cette faille. Il y a effectivement URGENCE absolue pour la correction d'une faille. Toutes les ressources DOIVENT y être consacrées ... même si du coup, ça retarde la sortie de Windows 10 (par exemple).

Il semble que dans ces deux cas, µSoft consacre plus d'énergie au futur OS qu'à corriger les anciens. Résultat : Google peut se faire le plaisir de leur botter le cul.