Discussion :

[cortex024]

Sinon quand il y a une faille dans le noyau linux, généralement elle est corrigé dans le mois ou même dans la semaine contrairement a windows ou il faut des-fois attendre des années.

Vu le nombre de correctifs que Microsoft sort chaque mois pour ses OS, je ne sais pas s'il y a beaucoup de faille connues et non corrigées depuis des années dans Windows. Ou alors c'est parce qu'elles ne peuvent pas l'être.
Il ne faut pas tout mélanger. Une faille peut exister depuis des années, mais si elle n'a été découverte que la semaine dernière, il aurait été difficile de la corriger, il y a 2 ans

+1 faut qu'il arrête sa parano.

Quand tu veux et à tout le monde, sinon ils se bougent pas le cul, que ça soit MS, Apple ou les sociétés supportant linux.

je suis de ton avis, c'est le meilleur moyen pour qu'ils soient forcés de réagir vite et bien!

[Hellwing]

je suis de ton avis, c'est le meilleur moyen pour qu'ils soient forcés de réagir vite et bien!

Ils agiront vite, c'est certain. mais agir bien... Encore faudrait-il qu'on leur donne le temps de le faire. Or si la faille a été divulguée, je doute fort que la propreté du code soit importante. Ce n'est pas comme si on leur donnait le temps de le faire proprement (ça ne veut pas dire que tous les correctifs faits avec le couteau sous la gorge - voire dedans, parfois - sont mal faits)

Enfin bon, on en a discuté en profondeur et dans tous les sens dans un autre topic.

[GCSX_]

C'est amusant de voir que quand on attaque Linux (qui est censé être le gentil), on risque sa place, alors que quand on s'en prend à Microsoft (qui est censé être le méchant), on ne risque finalement pas grand chose...

Qui sait combien de failles restent encore tapis dans les méandres du noyau Linux? Et qui osera les publier?

Au moins, avec les payants (sous entendu Microsoft et Apple), on ne risque pas sa carrière en faisant des remarques constructives...

[OphayLili]

Publier les failles de sécurité lorsque les sociétés ne réagissent pas ...

J'aimerais proposer une piste de réflexion sur cette pratique.

Pourquoi certains chercheurs cherchent-ils des failles de sécurité sur différent système ?

-> Pour rendre le système plus sur au yeux de l'utilisateur.

Qui est le premier concerné par la sécurité ?

-> L'utilisateur ( particulier, entreprises, administration etc ... ). Ils représentent surement plus de 99% des utilisateurs d'un système / logiciel.

Qui les chercheurs essayent-ils de défendre en cherchant de nouvelles failles de sécurité ?

-> L'utilisateur.

Maintenant, ma question est la suivante :

Un exploit, comme son nom l'indique, est un exploit, ce qui veut dire qu'un expert en sécurité informatique, à du travailler des journées entière sur ce genre de faille, pour, souvent, être le premier à les découvrir. Publier au grand public ( malveillant, et autres experts ) n'est-il pas le meilleur moyen de justement, rendre dangereuse une faille qui aurait peut être mis plusieurs mois a être découvertes par des pirates, plutôt que de le divulguer uniquement aux société éditrice. Je ne critique en rien le comportement de ces braves hommes, mais, en faisant ça, ils mettent en jeu la sécurité de l'utilisateur ...

Mais ...

Reprenons mes questions de base :

Qui les chercheurs essayent-ils de défendre en cherchant de nouvelles failles de sécurité ?

A méditer.

[SYL666]

Un exploit, comme son nom l'indique, est un exploit, ce qui veut dire qu'un expert en sécurité informatique, à du travailler des journées entière sur ce genre de faille, pour, souvent, être le premier à les découvrir. Publier au grand public ( malveillant, et autres experts ) n'est-il pas le meilleur moyen de justement, rendre dangereuse une faille qui aurait peut-être mis plusieurs mois a être découverte par des pirates, plutôt que de le divulguer uniquement aux sociétés éditrices. Je ne critique en rien le comportement de ces braves hommes, mais, en faisant ça, il mettent en jeu la sécurité de l'utilisateur ...

En fait, ce qui se passe, à mon avis, comme pour le gros problème sur le protocole DNS l'année dernière par exemple, c'est que le chercheur confie sa trouvaille aux éditeurs, et probablement les 2 parties essaient de trouver une solution.

Maintenant, le problème est que souvent, probablement par fainéantise, ou par manque de ressource, les éditeurs préfèrent ignorer la faille tant que celle ci n'est pas exploitée. Donc un ultimatum sur la publication est le seul moyen de secouer un peu les éditeurs.

Et bien entendu, il ne faut pas oublier le moment de gloire lors de la publication de la faille. Ca fait bien sur un CV de sécurité on va dire.

[Marco46]

Pour compléter SYL666, ne pas oublier non plus qu'il y a des criminels qui vivent d'activités criminelles via Internet. Et je parle pas seulement du spammeur qui fait ça de son garage mais bien de mafias qui font de la rançon à la DOS attack, etc ... . Ça existe, et eux ont les moyens de payer des équipes de recherche de failles de sécurité pour trouver un bon mode de contagion pour la prochaine version du BotNet qui va bien ...

Ne pas négliger cet aspect là non plus.

[koala01]

Salut,

Vu le nombre de correctifs que Microsoft sort chaque mois pour ses OS, je ne sais pas s'il y a beaucoup de failles connues et non corrigées depuis des années dans Windows. Ou alors c'est parce qu'elles ne peuvent pas l'être.
Il ne faut pas tout mélanger. Une faille peut exister depuis des années, mais si elle n'a été découverte que la semaine dernière, il aurait été difficile de la corriger, il y a 2 ans

Et pourtant: je me rappelle d'un sérieux "black out" généré par une faille sur dans le noyau windows de l'époque qui avait été clairement identifiée depuis... deux ans sans être colmatée.

Un "petit malin" avait en effet décidé de l'utiliser pour infester un maximum de pc et les faire lancer une attaque DOS

Comme par hasard, le correctif est sorti la semaine qui a suivi l'attaque

Je n'ai rien contre les failles qui sont découvertes aujourd'hui sur un ancien noyau, cela peut arriver... Mais quand une faille est découverte, la moindre des choses est... de tout mettre en oeuvre pour la colmater, si possible, avant que quelqu'un n'essaye d'en profiter réellement, non

[dams78]

Je n'ai rien contre les failles qui sont découvertes aujourd'hui sur un ancien noyau, cela peut arriver... Mais quand une faille est découverte, la moindre des choses est... de tout mettre en oeuvre pour la colmater, si possible, avant que quelqu'un n'essaye d'en profiter réellement, non

Je pense que tout dépend du contexte, pourquoi une entreprise irait perdre de l'argent à colmater une faille? Si cette faille est rendue publique ou très utilisée cela va entacher son image de marque donc là effectivement elle va pouvoir débloquer des ressources, mais sinon quel bénéfice elle va en tirer?

[Génoce]

Je pense que tout dépend du contexte, pourquoi une entreprise irait perdre de l'argent à colmater une faille? Si cette faille est rendue publique ou très utilisée cela va entacher son image de marque donc là effectivement elle va pouvoir débloquer des ressources, mais sinon quel bénéfice elle va en tirer?

Le but c'est de colmater la faille avant qu'on entache son image...
Mieux faut prévenir que guérir!

[SYL666]

Je pense que tout dépend du contexte, pourquoi une entreprise irait perdre de l'argent à colmater une faille?

Je dirais, au hasard, pour éviter au maximum les zero day attack ?
[EDIT : bon, j'ai pas été le plus rapide à dégainer ]

[koala01]

Je pense que tout dépend du contexte, pourquoi une entreprise irai perdre de l'argent à colmater une faille? Si cette faille est rendue publique ou très utilisée cela va entacher son image de marque donc là effectivement elle va pouvoir débloquer des ressources, mais sinon quel bénéfice elle va en tirer?

La confiance du consommateur

Si microsoft a le quasi monopole sur PC, certains peuvent croire (je n'exprimerai pas mon opinion personnel à ce sujet) que c'est uniquement... parce qu'il a su "surfer sur une vague" il y a plus de vingt ans, et sans doute pris quelques accords qui seraient aujourd'hui dénoncés publiquement.

Mais l'utilisateur averti n'a pas forcément confiance en l'outil et subit peut être cette situation de monopole et de battage médiatique car la décision de l'OS ne dépend pas de lui

[dams78]

Si on prend effectivement l'exemple de Microsoft, en quoi la divulgation d'une faille de sécurité va avoir un impact sur son chiffre d'affaires? Les gens vont ils arrêter d'acheter Windows parce qu'une faille a été découverte, voire mieux, le gens vont ils être retissants à acheter le nouveau Windows parce que sur l'ancien ils ont eu un virus?

[koala01]

Si on prend effectivement l'exemple de Microsoft, en quoi la divulgation d'une faille de sécurité va avoir un impact sur son chiffre d'affaires? Les gens vont ils arrêter d'acheter Windows parce qu'une faille a été découverte, voire mieux, le gens vont ils être retissants à acheter le nouveau Windows parce que sur l'ancien ils ont eu un virus?

S'il y avait un choix qui offre autant de facilité, mais plus de sécurité que windows (car j'ai beau aimer linux, il n'est pas encore aussi "user friendly" que windows ... mais il s'améliore ), et si les nouveaux pc n'étaient pas systématiquement vendu avec windows, on serait effectivement en droit d'en douter

[Génoce]

Si on prend effectivement l'exemple de Microsoft, en quoi la divulgation d'une faille de sécurité va avoir un impact sur son chiffre d'affaires? Les gens vont ils arrêter d'acheter Windows parce qu'une faille a été découverte, voire mieux, le gens vont ils être retissants à acheter le nouveau Windows parce que sur l'ancien ils ont eu un virus?

Peut être pas, mais ca va gueuler sévère

[SYL666]

Si on prend effectivement l'exemple de Microsoft, en quoi la divulgation d'une faille de sécurité va avoir un impact sur son chiffre d'affaires? Les gens vont ils arrêter d'acheter Windows parce qu'une faille a été découverte, voire mieux, le gens vont ils être retissants à acheter le nouveau Windows parce que sur l'ancien ils ont eu un virus?

Oui, justement. Je crois que Suttleworth (euh... le gars de Canonical, je ne sais plus l'orthographe exacte), avait publiquement et humoristiquement remercier Microsoft car ils sont en bonne partie considéré comme responsable du succès de la distribution

Maintenant, il faut aussi prendre en compte les serveurs : sur un serveur, la sécurité est cruciale, et le marché fait rage entre Linux et Windows (et les Unix sont maintenant à la traine). Sur ces points, je pense que Microsoft perd une grosse part de marché à chaque faille qui fait du bruit.

[sevyc64]

Je pense que tout dépend du contexte, pourquoi une entreprise irai perdre de l'argent à colmater une faille?

Parce que dans toute entreprise commerciale, il arrive un moment ou il faut savoir perdre un petit peu d'argent aujourd'hui, pour ne pas prendre le risque d'en perdre beaucoup demain.

Si on prend effectivement l'exemple de Microsoft, en quoi la divulgation d'une faille de sécurité va avoir un impact sur son chiffre d'affaires? Les gens vont ils arrêter d'acheter Windows parce qu'une faille a été découverte, voire mieux, le gens vont ils être retissants à acheter le nouveau Windows parce que sur l'ancien ils ont eu un virus?

Pas du jour au lendemain, mais si la faille est importante et retentissante, ça peut engendrer une perte de confiance croissante.
Et tout le monde sait qu'une confiance qui a mis des années à être gagné peut être perdu en quelques minutes. Elle est ensuite quasiment irrécupérable.

[Génoce]

Parce que dans toute entreprise commerciale, il arrive un moment ou il faut savoir perdre un petit peu d'argent aujourd'hui, pour ne pas prendre le risque d'en perdre beaucoup demain.


Pas du jour au lendemain, mais si la faille est importante et retentissante, ça peut engendrer une perte de confiance croissante.
Et tout le monde sait qu'une confiance qui a mis des années à être gagné peut être perdu en quelques minutes. Elle est ensuite quasiment irrécupérable.

C'est ce que je voulais dire, mais lui il a les mots =)

[koala01]

Parce que dans toute entreprise commerciale, il arrive un moment ou il faut savoir perdre un petit peu d'argent aujourd'hui, pour ne pas prendre le risque d'en perdre beaucoup demain.


Pas du jour au lendemain, mais si la faille est importante et retentissante, ça peut engendrer une perte de confiance croissante.
Et tout le monde sait qu'une confiance qui a mis des années à être gagné peut être perdu en quelques minutes. Elle est ensuite quasiment irrécupérable.

+1...

J'ai la conviction que chaque faille retentissante incite un certain nombre de gens à voir si "l'herbe n'est pas plus verte ailleurs".

C'est parfois un processus qui demande plus qu'une faille, mais, lorsque l'on se trouve confronté trois fois en six mois à l'exploitation (retentissante) de failles connues qui, comme par hasard, sont colmatées dans les jours qui suivent, il y a vraiment de quoi être tenté.

Je n'ai aucun chiffre en terme de failles exploitée ni en terme de "déserteurs" d'un OS que chaque faille implique, mais, quand on voit le grand nombre de serveurs et d'ordinateurs personnels qui sont en circulation, et les revenus que peuvent générer la vente d'un OS, on peut se dire que, si chaque faille ne fait fuire "que" 0.1% des utilisateurs, cela peut représenter une perte importante

[mptijr]

Spengler fait du bon boulot selon moi pour l'amélioration de la sécurité du sytème. Je pense que c'est d'ailleurs le but des logiciels sous licence GNU/GPL

[dams78]

Parce que dans toute entreprise commerciale, il arrive un moment ou il faut savoir perdre un petit peu d'argent aujourd'hui, pour ne pas prendre le risque d'en perdre beaucoup demain.


Pas du jour au lendemain, mais si la faille est importante et retentissante, ça peut engendrer une perte de confiance croissante.
Et tout le monde sait qu'une confiance qui a mis des années à être gagné peut être perdu en quelques minutes. Elle est ensuite quasiment irrécupérable.

Quand tu dis perdre un peu d'argent, c'est ce que je disais en allouant un budget pour le service qui s'occupe des bug et failles mais sans forcément mettre les moyens pour colmater toutes les failles. En gros on fait le minimum afin de maximiser l'investissement.
C'est comme les opérateurs téléphoniques : ils savent très bien qu'ils vont avoir un certain pourcentage de mécontent qui vont aller chez la concurrence, mais d'un autre côté ils vont récupérer un certain pourcentage de mécontents de la part de leurs concurrents, à partir de ce constat on s'en rend compte qu'investir plus de moyen à la satisfaction client n'est pas forcément si bénéfique.
Je pense qu'il en va de même pour les éditeurs de logiciel, dès l'instant où il y a derrière un plan business.