Discussion :

[B.AF]

B.AF A te lire je me dis que tu as vraiment voulu être un geek et un hacker. Peut dans une autre vie

Bah oui et finalement, comme j'avais des copines, ça m'a détourné...
Et maintenant on va rentrer dans la psycho comptoir gauchisante...De mieux en mieux...

Qui peut me démontrer le danger réel et l'utilité de tout ça ? Et pas de la philo de BDE école d'ingénieur / club de programmation de calculatrice...

Une gravité fondée, une démarche utile, un bienfait quelconque pour la société ?

Parce que sorti de lire des commentaires de supporters de football, on parle d'une faille de l'auto update de windows XP (un os de 10 ans...) qui n'est plus vendu et sur une fonctionnalité...optionnelle.., qui a touché 10 000 personnes grace à un abruti qui a mis un bout d'asm en ligne et un procédure de hacking. (Gravissime, 10 000 pc touchés).
Bref un goutte d'eau dans l'océan, et 15 minutes de gloire pour un ingénieur que même sa boite a déchaussé.

Et donc ? On va faire un procés à tous les éditeurs d'antivirus qui ont mis du temps à se mettre à jour ? On va mettre le Defcon 1 ? On arrête tout et on corrige ?

Faut dire que ce garçon en a pour tout le monde d'ailleurs...
Là aussi...

Il est payé pour. C'est un ingénieur sécurité et grace à vous pour des trucs inutiles avec des méthodes débiles, tout le monde parle de lui.
Chapeau bas.

[GanYoshi]

Ensuite, je crois que les pirates sont condamnés quand ils se font prendre, non ? Donc, on peut parler de criminels (en exagérant, je te l'accorde, mais tu pouvais rester poli.)

Euh... non.

Tu peux parler de hors-la-loi, de délinquants pour les délits, et de criminel pour les crimes.

Moi je vois une différence énorme entre un crime et un délit, et une contravention.

Tout ça pour dire que moi ça me choque pas, on trouve une faille, on la diffuse je trouve ça normal, au pire délictuel, mais de bonne guerre.

[atb]

Bah oui et finalement, comme j'avais des copines, ça m'a détourné...

Ah et moi qui croyais que les femmes aiment bien les hommes musclés et hors la loi

Et maintenant on va rentrer dans la psycho comptoir gauchisante...De mieux en mieux...

Qui peut me démontrer le danger réel et l'utilité de tout ça ? Et pas de la philo de BDE école d'ingénieur / club de programmation de calculatrice...

Une gravité fondée, une démarche utile, un bienfait quelconque pour la société ?

Parce que sorti de lire des commentaires de supporters de football, on parle d'une faille de l'auto update de windows XP (un os de 10 ans...) qui n'est plus vendu et sur une fonctionnalité...optionnelle.., qui a touché 10 000 personnes grace à un abruti qui a mis un bout d'asm en ligne et un procédure de hacking. (Gravissime, 10 000 pc touchés).
Bref un goutte d'eau dans l'océan, et 15 minutes de gloire pour un ingénieur que même sa boite a déchaussé.

Une seule question : Combien de PC dans le monde tourne encore sur XP (80% ou plus). Alors n’importe quelle petite faille peut être très importante.

Et donc ? On va faire un procés à tous les éditeurs d'antivirus qui ont mis du temps à se mettre à jour ? On va mettre le Defcon 1 ? On arrête tout et on corrige ?

Faut dire que ce garçon en a pour tout le monde d'ailleurs...
Là aussi...

Il est payé pour. C'est un ingénieur sécurité et grace à vous pour des trucs inutiles avec des méthodes débiles, tout le monde parle de lui.
Chapeau bas.

Je ne défends personne. Mais ces types sont en plein dedans et ils savent comment ça marche. Nous derrière nos petits pare-feu à deux balles, on ne peut que commenter nos impressions sur le sujet pas en juger !!

Combien de failles ont été découvertes sans que ce soit médiatisé et surtout elles sont été exploitées par des hackers…

Et justement dans les hackers il n y pas que des méchants, combien d’entre eux ont participé au progrès de l’informatique et de la sécurité.

Ah j’ai oublié si on fait des choses de bien personne ne vous remercie mais dès que quelqu’un dérape, tout le monde enfile sa tenue de chroniqueur lowcost et tire sur toute la communauté.

[B.AF]

Euh... non.
Moi je vois une différence énorme entre un crime et un délit, et une contravention.

Ce n'est pas toi qui fais une différence, c'est le code pénal français.
En France, c'est à la base un délit de détourner un système informatique, et en fonction de la gravité ou du préjudice, si par exemple tu voles des données au ministére de l'intérieur ou a Areva, ou a Thales, ça peut devenir un crime par destination.

Après, la morale n'est pas le droit. On peut être dans la plus parfaite immoralité, mais demeurer dans la légalité.

C'est ce que reproche d'ailleurs microsoft à Ormandy : il a chunté tout une organisation, mis en danger, communiqué des informations dangereuses.
Fondamentalement, que ce qu'il a fait qu'individuellement soit jugé bien ou mal ou raf, ça ne rend pas la chose légale.

[Hellwing]

Bah oui et finalement, comme j'avais des copines, ça m'a détourné...
Et maintenant on va rentrer dans la psycho comptoir gauchisante...De mieux en mieux...

Qui peut me démontrer le danger réel et l'utilité de tout ça ? Et pas de la philo de BDE école d'ingénieur / club de programmation de calculatrice...

Une gravité fondée, une démarche utile, un bienfait quelconque pour la société ?

Parce que sorti de lire des commentaires de supporters de football, on parle d'une faille de l'auto update de windows XP (un os de 10 ans...) qui n'est plus vendu et sur une fonctionnalité...optionnelle.., qui a touché 10 000 personnes grace à un abruti qui a mis un bout d'asm en ligne et un procédure de hacking. (Gravissime, 10 000 pc touchés).
Bref un goutte d'eau dans l'océan, et 15 minutes de gloire pour un ingénieur que même sa boite a déchaussé.

Et dans 5 ans tout le monde trouvera normal de publier l'exploit d'une faille critique du dernier OS parce que "l'éditeur il est méchant il n'a pas réagi assez vite".

Bel avenir, les gars...

[atb]

Ou dans 5 ans. Cet ingénieur et les autres comme lui se retrouveront chez M$. Et ils nous annonceront que Windows 9 ou 10 est le plus sécurisé...
Et il y aura d'autres petits malins qui trouveront d'autres failles....

[Louis Griffont]

Euh... non.

Tu peux parler de hors-la-loi, de délinquants pour les délits, et de criminel pour les crimes.

Moi je vois une différence énorme entre un crime et un délit, et une contravention.

Tout ça pour dire que moi ça me choque pas, on trouve une faille, on la diffuse je trouve ça normal, au pire délictuel, mais de bonne guerre.

J'emploie les mots que je veux, merci. Je ne faisais pas un cours de droit.
Je maintiens qu'il est criminel de publier quelques choses permettant le piratage de millions d'ordinateurs.
Et moi, ça me choque !

[Hellwing]

C'est son droit de considérer l'utilisateur lambda comme de la chair à canon ^^

[grafikm_fr]

C'est son droit de considérer l'utilisateur lambda comme de la chair à canon ^^

Oui, jusqu'au jour où quelqu'un va utiliser ce genre de PoC pour hacker un réseau d'entreprise et où il se ramassera une plainte sur le dos avec demande de dommages et intérêts. Et si ça se passe aux US, les avocats, ça coûte très cher là-bas.

De toute façon, dans les années qui suivent, on va probablement s'acheminer vers un renforcement de la législation dans ce sens-là, pour le meilleur et pour le pire.

[Hellwing]

Je suis tout à fait d'accord avec toi. Je ne faisais que de l'ironie

[Marco46]

Ça date un peu mais vous apprendrez des choses. Probablement que l'armée recrute des terroristes...

[stardeath]

entre une poignée de jours et une société qui remercie puis attaque, je dirai qu'il y a juste du délit de sale gueule (de la part de la société).
entre une poignée de scientifiques anonymes et un type dont on connait parfaitement l'identité aussi.

personne ne demande de ne pas chercher les failles, mais mettre à disposition une solution clé en main de piratage, ça tient plus du vandalisme que de l'expert en sécurité.

[Louis Griffont]

Je ne vois aucun rapport entre ces 2 articles (et fort intéressant par ailleurs) et le sujet de la discussion. Et ceci explique surement ton acharnement à défendre l'indéfendable.

[Marco46]

Je ne vois aucun rapport entre ces 2 articles (et fort intéressant par ailleurs) et le sujet de la discussion. Et ceci explique surement ton acharnement à défendre l'indéfendable.

Attends je te fais les quotes :

En matière de publication de failles de sécurité, Filiol, à l'instar de nombreux autres professionnels de la sécurité informatique présents au SSTIC, ne sait plus quoi penser: «On est dans une situation ubuesque: rien n'interdit à un individu de dénoncer le fait qu'une voiture soit vendue sans frein, dans le monde logiciel, l'individu serait condamné.»

Nombre de chercheurs et universitaires, rencontrés au SSTIC, mais aussi le 9 juin lors d'une réunion d'un groupe de professionnels (Ossir), se demandent ainsi s'il ne convient pas de «s'autocensurer». S'ils publient des failles, ils risquent d'être attaqués. S'ils n'en publient pas, ce sont les utilisateurs des produits buggués qui en feront les frais. S'ils contactent l'éditeur du produit visé, rien ne l'oblige à jouer le jeu; or, la publication de telles failles est justement le moyen de pression utilisé pour qu'ils les corrigent.

D'un point de vue scientifique, Éric Filiol ne comprend pas pourquoi on n'interdirait pas dès lors les cours de chimie, où il a appris à manier des explosifs, ou des voitures qui peuvent servir de béliers. En tant que professeur de virologie, il est amené à demander à ses étudiants de créer des virus, afin de leur faire comprendre comment ils fonctionnent, et donc d'améliorer le développement des antivirus: «Est-ce que le laboratoire de virologie aura le droit de travailler? Nous formons 3.500 personnes des quatre armées chaque année...»

Pour ce qui est du cas spécifique du type de Google, j'ai déjà répondu sur ce fil et je suis d'accord avec vous, il n'est pas normal de publier une faille aussi vite (avec PoC ou pas, peu importe). Là où je ne suis plus d'accord c'est lorsque vous dites que publier une faille (même avec une démo) = terrorisme ou criminalité. C'est comme ça que le monde de la sécurité fonctionne.

[Caly4D]

il n'est pas normal du publier une faille aussi vite (avec PoC ou pas, peu importe). Là où je ne suis plus d'accord c'est lorsque vous dites que publier une faille (même avec une démo) = terrorisme ou criminalité. C'est comme ça que le monde de la sécurité fonctionne.

Je te quote car j'ai l'impression que beaucoup ne comprendront pas ou tu veux en venir.

[Hellwing]

Là où je ne suis plus d'accord c'est lorsque vous dites que publier une faille (même avec une démo) = terrorisme ou criminalité. C'est comme ça que le monde de la sécurité fonctionne.

On ne dit justement pas que publier l'existence d'une faille est criminel. Au contraire, il le faut face à la réticence de l'éditeur. MAIS expliquer à tout le monde comment faire pour l'exploiter (comme ça a été fait dans le cas présent) c'est de la malveillance pure et simple.

[Louis Griffont]

Tout dépend ce que l'on publie.

Publier une faille, dans le sens «signaler la présence d'une faille» est complètement différent de «publier une faille et la méthode utiliser pour la découvrir» (ce qui revient à donner les clefs aux voleurs).

C'est la deuxième que je condamne, pas la première est peut-être salutaire, si elle intervient après avoir fourni à l'éditeur les éléments nécessaires à la correction. Ensuite le temps qu'il faut pour corriger et mettre un correctif à dispo c'est l'éditeur qui le sait. Mais, sans réaction, il faut alerter l'opinion publique sur le risque et la non réaction de l'éditeur. C'est tout.

[Marco46]

La plupart du temps publier l'existence d'une faille c'est dire comment faire. Pas besoin de publier un exécutable avec ça revient au même.

Regardez le cas de Zataz, il publie la faille, pas besoin de mettre du code avec, il suffit d'avoir un client FTP ou d'accéder à un moteur de recherche !

[Hellwing]

La plupart du temps publier l'existence d'une faille c'est dire comment faire. Pas besoin de publier un exécutable avec ça revient au même.

Vraie question : Publier une faille c'est dire grosso modo comment faire (quel type d'attaque par exemple), pas détailler toutes les étapes de la procédure, si?

[Marco46]

Ok donc maintenant on va batailler sur la définition de la publication d'une faille ...

Alors pour vous publier une faille c'est dire par exemple : il y a une faille sur WinXP telle version ?

A quel degré de précision de publication d'une faille on franchit le cap pour devenir un terroriste/criminel selon vous ?