Discussion :

[grafikm_fr]

Chez lui, Monsieur X à une porte d'entrée avec un modèle de serrure 'LAMBDA'

[...]

Question : qui est responsable de ces cambriolages ? (réflechissez bien !)

Le juge appréciera, mais:
- Le coupable est clairement la personne qui a commis le cambriolage.
- Par contre, la personne qui a révélé le problème des serrures "Lambda", si elle a pas de bol, pourra passer comme complice.
- Et sinon, la personne ayant été victime d'un cambriolage peut porter plainte en civil et demander des dommages et intérêts. Maintenant imagines que cette personne c'est une entreprise (personne morale) qui a le moyen de se payer des avocats, et que toi tu es fauché. Même si tu gagnes à la fin, tu n'auras plus rien. C'est comme ça que pas mal de procès se passent aux US.

[Invité1]

Heu....

Ok, on reste toujours sur du "c'est pô ma fôte, il a rien fait..."

Mais il reste des questions sans réponse :

1 - Je note une notion de temps de correction => n'étant pas spécialiste, comment calculer un temps de réaction admissible ?

2 - Encore une fois, si la méthode de divulguer une faille peut parraîttre motivante pour la boucher, la méthode utiliser reste pour le moins contestable car jamais le publique n'a su qu'une faille était trouvée sauf le jour où la polémique est née entre Microsoft et l'ingé de Google

3 - Enfin, on peut faire toutes les comparaisons que l'on veut, les auteurs sont directement responsables, mais le diffuseur de l'info quant à lui ben sans être complice, il peut-être considéré comme incitateur (enfin je pense)

Je note que la discussion tourne en rond avec quelques ironies, des comparaisons parfois hasardeuses, des citations.

Posons donc la question autrement (on ne sait jamais... ) :

Vous trouvez une faille dans une soft (on s'en fout que ce soit Microsoft, Linux, ou autre), vous prévenez l'éditeur du soft. Rien ne se passe (enfin en apparence car rien ne dit qu'en nterne, l'éditeur est inactif). Que faites vous ?

1 - Menace de publication du PoC avec une compteur ?
2 - Publication de la faille avec la preuve d'avoir prévenu l'éditeur ?
3 -Vous ne dites rien en priant que vous êtes le seul à avoir trouvé la faille
4 - Autre ?

Car, même sans le PoC qui aide les pirates, juste la publication de la faille peut permettre avec plus de difficulté bien sûr, aux pirates de trouver eux même la méthode pour l'exploiter... Les pirates ne sont pas des ignares et maitrise pour certain l'informatique de bien meilleurs façon que bien d'autre (hélas )

Parce qu'il faut bien l'avouer, pour l'instant nous avons : "Non il a tord, c'est un vilain", ou alors "oui, il a raison, l'autre n'a qu'à ce bouger le clavier"

Bref, c'est tournée manège là

Voilou
Couik

[loufab]

Décidément, toi et grafikm_fr avez vraiment du mal avec l'ironie

Je disais la même chose grosso modo que dams78 à propos de Hellwing.

Mille excuses !

Faut dire qu'on voit tellement de c....s écrites sur ce fil qu'on arrive plus à faire la différence.

C'est tout le problème de ce type de média, il manque le coté vivant pour faire la différence [MODE IRONIE=ON] surtout sur des sujets d'une aussi grande importance [MODE IRONIE=OFF]

[Marco46]

Le juge appréciera, mais:
- Le coupable est clairement la personne qui a commis le cambriolage.
- Par contre, la personne qui a révélé le problème des serrures "Lambda", si elle a pas de bol, pourra passer comme complice.
- Et sinon, la personne ayant été victime d'un cambriolage peut porter plainte en civil et demander des dommages et intérêts. Maintenant imagines que cette personne c'est une entreprise (personne morale) qui a le moyen de se payer des avocats, et que toi tu es fauché. Même si tu gagnes à la fin, tu n'auras plus rien. C'est comme ça que pas mal de procès se passent aux US.

Et dans le cas où les voleurs sont déjà au courant du problème sur les serrures, où un cambrioleur s'est fait chopé, qu'ils sont au tribunal, et que pendant l'audience on s'aperçoit que quelqu'un savait.

Ce quelqu'un peut-il être inquiété ?

[grafikm_fr]

Et dans le cas où les voleurs sont déjà au courant du problème sur les serrures, où un cambrioleur s'est fait chopé, qu'ils sont au tribunal, et que pendant l'audience on s'aperçoit que quelqu'un savait.
Ce quelqu'un peut-il être inquiété ?

C'est difficile de donner une réponse générique, parce qu'on parle quand même d'un "cheval sphérique placé dans le vide" là, mais normalement c'est lors de l'enquête qu'on découvre ce genre de trucs, pas lors de l'audience. Et dans ce cas oui la personne peut être inquiétée (après elle s'en tirera peut-être mais c'est un autre sujet).

[Louis Griffont]

Et dans le cas où les voleurs sont déjà au courant du problème sur les serrures, où un cambrioleur s'est fait chopé, qu'ils sont au tribunal, et que pendant l'audience on s'aperçoit que quelqu'un savait.

Ce quelqu'un peut-il être inquiété ?

Je ne sais pas exactement, mais il me semble qu'il existe un truc qui s'appelle "mise en danger d'autrui" et, est-ce que ça rendre dans ce cadre ?

[Marco46]

Ok.

Donc si je résume :

Je connais une faille de sécurité.
Je n'ai aucun moyen de savoir si un tiers (honnête ou pas) est un courant.

J'informe le public : -> je me fais attaquer parce que je mets en danger les autres en expliquant la faille.

Je n'informe pas le public pour ne pas mettre en danger les autres, quelqu'un se fait pirater, il y a enquête puis tribunal -> je peux être inquiété pour ne pas avoir publié la faille.

C'est pas ce qu'on appelle un choix cornélien ?

[Fenn_]

Nan, c'est ce qu'on appelle un flou juridique

[Louis Griffont]

Ok.

Donc si je résume :

Je connais une faille de sécurité.
Je n'ai aucun moyen de savoir si un tiers (honnête ou pas) est un courant.

J'informe le public : -> je me fais attaquer parce que je mets en danger les autres en expliquant la faille.

Je n'informe pas le public pour ne pas mettre en danger les autres, quelqu'un se fait pirater, il y a enquête puis tribunal -> je peux être inquiété pour ne pas avoir publié la faille.

C'est pas ce qu'on appelle un choix cornélien ?

Si tu connais une faille, tu préviens l'éditeur, qui corrige dans les délais les plus brefs.

[Marco46]

Et s'il corrige pas ?

[Louis Griffont]

Et s'il corrige pas ?

Tu portes plainte.

[Marco46]

Donc je suis obligé de porter plainte avec mes petits bras musclé et l'aide juridique pour pas aller en zonzon.

C'est bien foutu le système quand même.

[Hellwing]

En tout cas tu ne pourras ni être attaqué parce que tu n'as informé personne, ni parce que tu as donné l'information à des gens mal intentionnés.

D'un point de vue juridique on nage effectivement dans le plus grand flou. Mais hormis ce point de vue qu'on pourrait qualifier d'égoïste ("je dis quelque chose ou pas, c'est moi qui mange") mais très intéressant, il reste quand même l'impact de la décision.

[dams78]

Et juridiquement, qu'est ce qui oblige l'éditeur de corriger les failles?

[GanYoshi]

Et juridiquement, qu'est ce qui oblige l'éditeur de corriger les failles?

Absolument rien.

Pour détendre l'atmosphère, voilà une image qui reflète parfaitement la vision qu'ont certains ici de la sécurité :

http://geekandpoke.typepad.com/.a/6a...a682970c-800wi

[dams78]

Absolument rien.

Pour détendre l'atmosphère, voilà une image qui reflète parfaitement la vision qu'ont certains ici de la sécurité :

http://geekandpoke.typepad.com/.a/6a...a682970c-800wi

Du coup c'est bien gentil de trouver une faille et de la faire suivre à l'éditeur mais s'il s'en foût...
Ensuite perdre du temps à le relancer et à vérifier ce qu'il fait, bah d'une il faut du temps, et de deux vous savez vous si l'éditeur X en ce moment même travaille sur la faille Y?

[loufab]

Donc je suis obligé de porter plainte avec mes petits bras musclé et l'aide juridique pour pas aller en zonzon.

C'est bien foutu le système quand même.

Même pas ! L'aide juridique (ou Laide juridique) est réservé au gens qui ne sont pas solvable. Donc tu vas être obligé de :
- solder tes comptes en banques
- vendre tes biens (voiture, animaux, femme...)
- t'endéter auprès d'une banque (le terme légal pour usurier)
Mais comme en face de toi tu as un poids lourd avec des dizaines d'avocats et que de toute façon "l'aide juridique" n'est jamais comptétente là ou elle envoyé, mal payée donc pas interessée et pressée d'en finir qu'elle qu'en soit l'issu. (it's joke)