Discussion :

[Louis Griffont]

Mais si tu regardes le +12 n'est pas mon premier post.

Et si tu regardes, je n'ai pas dit que c'était ton premier. J'ai dit : «tes deux derniers post».

[worm83]

Désolé j'avais mal lu, mais j'ai bien compris que cela me concernait personnellement et n'avait rien à voir avec la sécurité, du coup j'ai regardé en diagonale.

[worm83]

Tu peux développer les points qui te font sursauter? Ca permettrait de recadrer le débat.

Pleins de choses !!
D'ailleurs je tu l'as dit avant moi :

Vous avez déjà exploité une faille de sécurité? Parce que à vous entendre ça a l'aire super facile...

La question à la base était :

Google vous parait-il être à ce point à la pointe de la sécurité pour pouvoir se positionner en « donneur de leçons » ? Ou s'agit-il au contraire d'une très bonne initiative ?


Google est-il à la pointe de la sécurité ?

Avec 10 000 ingénieures, je pense que oui ils doivent en avoir les moyens et les compétences. Après c'est tout dans le marketing, ils profitent de la tendance c'est tout, et de bonne guerre.
Bien sûre que c'est une bonne initiative, et j'espère que cela forcera les autres à surenchérir !!! Les boites telles que Google, Microsoft, Apple, Adobe aiment jouer sur la communication alors il faut qu'ils en profitent.


Ensuite pour le débat de fond mon avis est le suivant :

Il est normal qu'un éditeur d'une grande solution corrige ces failles, c'est même obligatoire surtout si la faille est classé de niveau important. Après le temps de correction dépend de la structure, une société structurée comme Microsoft ne pourra jamais répondre aussi vite qu'une communauté Open Source, et c'est normal, le temps que la hiérarchie fasse ses réunions pour savoir qui la corrigera ect.... bon vous avez compris on l'à tous vécu.
Mais l'éditeur DOIT prendre au sérieux la faille et la corriger

En partant de la (du fait que la faille doit être corrigée), oui il faut publier l'exploit, mais quelques temps après la diffusion/adoption du patch.
Bah oui parce que sinon on fait comment pour savoir si notre parc/machine est sensible ?

C'est ce que font pas mal de scanner de vulnérabilités utilisé par nos amis admins réseaux par exemple, ils tentent des exploits afin de vérifier que le parc ne comporte pas de maillions faibles.

Voici pour mon humble avis qui ne méritais pas de figurais ici, mais comme il est vrai que je l'ai ramenée....

cordialement

[Marco46]

@worm83

Ok avec toi mais je rajouterais 2 points :

1 / Si l'éditeur est visiblement de mauvaise foi, et je sais bien que cette assertion est très subjective, il faut publier pour forcer la main.

2 / Si la faille est corrigible, même temporairement, par un tiers, en désactivant tel ou tel module, en downgradant le logiciel, ou par toute autre manipulation réalisable par un administrateur réseau, il faut impérativement publier le pourquoi du comment ce qui induit quasi-nécessairement d'expliquer la faille. Et de l'explication au PoC il n'y a qu'un pas.

[GanYoshi]

Tout ce dont vous parlez, ça reste de l'éthique quoi.

Selon votre éthique, un chercheur doit divulguer le résultat de son travail à l'éditeur, et même lui expliquer comment corriger ses erreurs.

Et bien sûr tout cela gratuitement.

Ils ont la belle vie les éditeurs avec votre éthique, des chercheurs en sécurité gratos... (certains développeur ont l'open-source en horreur, mais dès que ça touche plus leur métier, tout le monde doit tout partager, au nom de la sécurité du consommateur...)

Moi je dis que quelqu'un qui trouve une faille fait ce qu'il veut :
- Ne rien dire
- Informer (gratuitement ou pas) l'éditeur
- Informer (gratuitement ou pas) le public ou le plus offrant.
- Faire un PoC ou pas

Et c'est totalement légitime qu'il cherche à en tirer profit, au delà de toute considération de morale ou de sécurité de l'utilisateur. (qui n'est qu'un prétexte, quel bisounours est tombé dans le panneau ?)

[worm83]

Je me suis directement mis dans le cas où : un mec trouve une faille et prévienT l'éditeur, que doit faire l'éditeur.

Oui le gars trouve une faille, il en fait ce qu'il veut on est d'accord mais je partais du principe que la personne est de bonne intention (même si ce n'était que sous entendu).

[Hellwing]

Et c'est totalement légitime qu'il cherche à en tirer profit, au delà de toutes considération de morale ou de sécurité de l'utilisateur. (qui n'est qu'un prétexte, quel bisounours est tombé dans le panneau ?)

Pour moi c'est prévisible, pas légitime. Je ne trouve pas bien de se faire de l'argent égoïstement sur la sécurité des gens. Et ca n'a rien à voir avec du bisournoursing.

[dams78]

Si on publie le fait qu'il y a une faille de sécurité sur tel "truc", vous croyez pas que les "pirates" vont porter toute leur attention à la trouver, et que les hackers eux auront d'autre chose à faire et vont attendre que l'éditeur la corrige lui même?
En fait ce que je veux dire c'est que ne pas publier la faille ne veut pas dire que les pirates ne vont pas la trouver où bien même qu'ils ne la connaissent pas déjà.

[Hellwing]

Je préfère ne pas en être sûr tout en prévenant l'éditeur, que de divulguer la faille et être certain que tous les pirates sont au courant avant même que l'éditeur ait pu tenter quoi que ce soit.

[EDIT] Faute de temps

[GanYoshi]

Pour moi c'est prévisible, pas légitime. Je ne trouve pas bien de se faire de l'argent égoïstement sur la sécurité des gens. Et ca n'a rien à voir avec du bisournoursing.

Je trouve pas ça fondamentalement mal, d'autres le font bien.

Je me suis directement mis dans le cas où : un mec trouve une faille et préviens l'éditeur, que doit faire l'éditeur.

Oui le gars trouve une faille, il en fait ce qu'il veut on est d'accord mais je partais du principe que la personne est de bonne intention (même si ce n'était que sous entendu).

Ah oui je suis d'accord alors.

[grafikm_fr]

Si Google veut absolument faire quelque chose, il peut aussi demander un projet de loi sur le sujet. Du genre: si la faille est signalée à l'éditeur et n'est pas corrigée dans les X jours, il est rendu coupable de négligence avec une amende à la clé.

Par contre faut pas rêver ce genre de loi passera jamais aux US...

[Hellwing]

Je trouve pas ça fondamentalement mal, d'autres le font bien.

Ah mais je suis tout à fait d'accord, ce n'est pas fondamentalement mal.
Juste que ce n'est pas une raison pour le cautionner sous toutes ses formes. C'est un fait avéré qu'on soit dans une société capitaliste pour un bon bout de temps mais pour moi ce n'est pas une raison pour affirmer que c'est bien. Enfin là on s'écarte du sujet, mais je voulais juste éclaircir ce point. ^^

[GanYoshi]

Si Google veut absolument faire quelque chose, il peut aussi demander un projet de loi sur le sujet. Du genre: si la faille est signalée à l'éditeur et n'est pas corrigée dans les X jours, il est rendu coupable de négligence avec une amende à la clé.

Par contre faut pas rêver ce genre de loi passera jamais aux US...

Alors qu'elle est bien passée en France pour les particuliers, sommés de sécuriser dans un temps donné leur réseau personnel qui pourrait servir à des pirates...
Pourquoi pas la même chose avec les éditeurs et leurs logiciels ?

@Hellwing
Oui on est d'accord en fait, je suis juste plus blasé encore.