IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Heartbleed ne doit pas nous faire oublier l’existence des autres failles de sécurité


Sujet :

Sécurité

  1. #1
    Expert éminent sénior

    Homme Profil pro
    Étudiant
    Inscrit en
    août 2011
    Messages
    283
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Algérie

    Informations professionnelles :
    Activité : Étudiant
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : août 2011
    Messages : 283
    Points : 18 071
    Points
    18 071
    Par défaut Heartbleed ne doit pas nous faire oublier l’existence des autres failles de sécurité
    Heartbleed ne doit pas nous faire oublier l’existence des autres failles de sécurité
    Voilà le constat d’un expert en sécurité

    Après le grand émoi qu’a provoqué la découverte de la faille Heartbleed dans la librairie OpenSSL, Brian Fox, chercheur en sécurité chez Sonatype met en garde la communauté IT contre les différentes failles existantes et tient à rappeler vivement que Heartbleed ne doit pas faire oublier l’existence des autres failles dont certaines sont connues depuis des années. En effet, pour lui cette faille n’est que la partie apparente de l’iceberg.

    Quelques semaines seulement après l’épisode Heartbleed, une autre découverte est venue bousculer l’ordre établi : OAuth 2.0 et OpenID exposeraient des millions d’utilisateurs et les plus grandes firmes IT à des attaques suite à une vulnérabilité découverte dans le Covert Redirect.

    Dans un second temps, Fox dresse un constat accablant sur les autres failles qui se baladent encore dans la nature. Dans son blog, il en cite quatre :
    • Le client HTTP Java qui met en danger des millions d’applications et qui continue d’être téléchargé même par les entreprises ;
    • Le framework d’application web Strust2 : une des versions du framework est corrompue et permet l’exécution à distance d’un code malicieux, pour autant Strust2 continue d’être téléchargé par des milliers d’entreprises ;
    • L’API cryptographique Bouncy Castle : une des versions de l’API Java contient une vulnérabilité qui permet à l’attaquant de compromettre des données chiffrées, l’API vulnérable continue d’être utilisé par 4000 entreprises ;
    • Le serveur d’applications web Jetty : dans sa version 6.x et 7.0.0, il contient des vulnérabilités qui permettent à l’attaquant de modifier à distance des données sensibles via des requêtes HTTP.



    Au final, Fox explique qu’« étant donné que les attaquants sont notifiés par le même mécanisme qui permet la découverte et le fix de la vulnérabilité, ils ont effectivement l’avantage du premier entrant, car il est généralement plus facile d’exploiter une faille que de mettre à jour votre famework ». Ainsi, si rien n’est fait, la situation actuelle pourrait donner lieu à un futur Heartbleed aux conséquences monstrueuses.

    Sources : annonce des vulnérabilités d’OAuth et OpenID, blog.sonytape.com

    Et vous ?

    Qu’en pensez-vous ?

  2. #2
    Membre confirmé

    Homme Profil pro
    Développeur Java
    Inscrit en
    février 2007
    Messages
    179
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 34
    Localisation : France, Rhône (Rhône Alpes)

    Informations professionnelles :
    Activité : Développeur Java
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : février 2007
    Messages : 179
    Points : 649
    Points
    649
    Par défaut
    Ca va peut être motivé les grandes entreprises (surtout les SSII) à contribuer un peu plus à l'open source.
    Parce que c'est bien l'open source mais s'il y a que 3 gus pour développer le truc dans leur temps libre alors ça va pas avancer vite, les corrections ne seront pas au top, le développement pas forcement plus ...
    Parce que les SSII profitent beaucoup de l'open source. Elle se font énormément d'argent sur le dos de la communauté, attention je ne juge pas ; mais ils pourraient bien redistribuer un peu cette argent sous forme de contribution et donc à terme rendre l'open source plus fiable ce qui leur serait avantageux.


    Après on voit que le mec il fait surtout du Java vu que toutes les failles cité sont lié à Java. A moins que la majorité des contribution open source soient en Java et donc la majorité des bugs/failles critiques.
    L'expérience est une lanterne que l'on porte sur le dos et qui n'eclaire jamais que le chemin parcouru.

    La nature fait les choses sans se presser, et pourtant tout est accompli.

  3. #3
    Membre éprouvé Avatar de Shuty
    Homme Profil pro
    Ingénieur en développement
    Inscrit en
    octobre 2012
    Messages
    630
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Ingénieur en développement
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : octobre 2012
    Messages : 630
    Points : 1 172
    Points
    1 172
    Par défaut
    Je partage grossièrement ton point de vue, mais il ne faut pas oublier qu'il y a un énorme fossé technique entre utilisateurs des solutions open source et contributeurs...
    Agence web Dim'Solution, créateur de solutions numériques
    Sites internet, ecommerce, logiciels, applications mobiles, référencement (SEO), plugin Prestashop, Magento, WordPress, Joomla!...

    Cours de trading gratuit | Envoyer des sms gratuitement | Envoyer des fax gratuitement | Plateforme de Fax à l'international

  4. #4
    Modérateur
    Avatar de Gugelhupf
    Homme Profil pro
    Analyste Programmeur
    Inscrit en
    décembre 2011
    Messages
    1 311
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Analyste Programmeur

    Informations forums :
    Inscription : décembre 2011
    Messages : 1 311
    Points : 3 660
    Points
    3 660
    Billets dans le blog
    12
    Par défaut
    Citation Envoyé par Angelsafrania Voir le message
    Ca va peut être motivé les grandes entreprises (surtout les SSII) à contribuer un peu plus à l'open source.
    Faut pas rêver
    N'hésitez pas à consulter la FAQ Java, lire les cours et tutoriels Java, et à poser vos questions sur les forums d'entraide Java

    Ma page Developpez | Mon profil Linkedin | Vous souhaitez me contacter ? Contacter Gokan EKINCI

  5. #5
    Membre émérite
    Avatar de Voyvode
    Profil pro
    Inscrit en
    mars 2007
    Messages
    475
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : mars 2007
    Messages : 475
    Points : 2 627
    Points
    2 627
    Par défaut
    Toutes les failles évoquées sont déjà corrigées depuis longtemps. Par ailleurs, tous les projets évoqués sont bien vivants et ont des moyens.

    Le problème est l’intégration de versions obsolètes dans des frameworks ou des logiciels tellement gros (et mal conçus ?) qu’une « simple » mise à jour de bibliothèque peut être très couteuse. Mais ce problème n’est absolument pas spécifique à l’open source.

  6. #6
    Membre émérite

    Profil pro
    Inscrit en
    décembre 2003
    Messages
    3 995
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : décembre 2003
    Messages : 3 995
    Points : 2 388
    Points
    2 388
    Par défaut
    Bon, après avoir jeté un oeil à la vulnérabilité Struts 2, il apparait qu'elle a été corrigé dans la version 2.3.15.1. Le problème est donc un problème de mise à jour par les utilisateurs de Struts 2, pas dans le développement du framework.

    Les statistiques proviennent du repo central maven, et donc il est parfaitement envisageable que les versions défaillantes soient toujours downloadées aujourd'hui, si des développeurs peu avertis continuent à les inclure dans leurs pom.xml...

  7. #7
    Nouveau membre du Club
    Profil pro
    Inscrit en
    juin 2012
    Messages
    17
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : juin 2012
    Messages : 17
    Points : 33
    Points
    33
    Par défaut
    Si toutes ces organisations montrée du doigts dans l'infographie concernait réellement le monde de l'opensource; leurs canaux de distributions (a savoir les dépôts des distributions/OS opensource) eux ne sont pas concernés par ces failles car ces dépendances ont toutes étés corrigées depuis un certain temps (Au minimum pour toutes les distributions basées sur debian/redhat/archlinux/slackware.. ainsi que les divers BSD).
    Ensuite en oubliant que toutes les dates des CVE sont erronées, ces failles datent de plusieurs années et certaines d'entre elles ont étés même résolue avant même leur publication..
    Heartbleed a au contraire eu un effet de piqure de rappel a toutes ces communautés, et un nombre record d'audits ont étés lancés sur beaucoups d'outils de l'opensource.

    Je ne comprend juste pas l’intérêt de l'article ici qui tire l'alarme; après l'alarme; et sans raisons... En plus les différents échantillons d'aperçu de téléchargements sont tronqués juste pour faire peur au lecteur au lieu de montrer un aperçu global.
    Ce n'est pas parceque quelques personnes téléchargent des versions comprenant des failles de sécurité déjà dévoilés que le reste du monde a plus de risque d'avoir une autre faille ayant le même impact qu'HeartBleed. On ne compare pas les télévisions aux tomates.

  8. #8
    Membre éclairé
    Profil pro
    Inscrit en
    mars 2012
    Messages
    341
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : mars 2012
    Messages : 341
    Points : 795
    Points
    795
    Par défaut
    Citation Envoyé par Angelsafrania Voir le message
    Ca va peut être motivé les grandes entreprises (surtout les SSII) à contribuer un peu plus à l'open source.
    Parce que c'est bien l'open source mais s'il y a que 3 gus pour développer le truc dans leur temps libre alors ça va pas avancer vite, les corrections ne seront pas au top, le développement pas forcement plus ...
    Parce que les SSII profitent beaucoup de l'open source. Elle se font énormément d'argent sur le dos de la communauté, attention je ne juge pas ; mais ils pourraient bien redistribuer un peu cette argent sous forme de contribution et donc à terme rendre l'open source plus fiable ce qui leur serait avantageux.

    La je pense que tu rêve. Les SSII n'en n'ont strictement rien à cirer de l'open-source et de la sécurité encore plus. C'est même avantageux pour eux vu qu'ils vont refourguer leur package merdique de vente d'une presta pour sécurisé le truc suivant la faille.
    Bref ils faut savoir que les SSII c'est les fast-food/voyage low cost de la prestation informatique. Ils te vendent de la merde "industriel" par kilos et si tu veut plus de service/qualité ben faut le payer très très cher.

    De toute façon les SSII se moque de faire des application pérennes et sécurisé sur le long terme vu que leur marché c'est TMA à la con étalé sur 3-4 ans avec une partie évolution/forfait qu'ils vendent au prix d'or.


    Alors ne compte pas sur les SSII pour combler les faille sur Struts 2, car elles en ont strictement rien à cirer de ce genre de problème. Surtout que les contributions à la communauté open-source/libre ca se vend pas comme prestation au client et donc ca n'existe pas pour une SSII (surtout depuis ces 5 dernières années ou c'est la prime à la SSII la plus low-cost)

  9. #9
    Invité
    Invité(e)
    Par défaut
    Citation Envoyé par coolspot Voir le message
    Bref ils faut savoir que les SSII c'est les fast-food/voyage low cost de la prestation informatique. Ils te vendent de la merde "industriel" par kilos et si tu veut plus de service/qualité ben faut le payer très très cher.
    ...
    Alors ne compte pas sur les SSII pour combler les faille sur Struts 2, car elles en ont strictement rien à cirer de ce genre de problème. Surtout que les contributions à la communauté open-source/libre ca se vend pas comme prestation au client et donc ca n'existe pas pour une SSII (surtout depuis ces 5 dernières années ou c'est la prime à la SSII la plus low-cost)
    En SSII ou pas, un développeur compétent peut envoyer le signalement d'un bug et son correctif...

  10. #10
    Expert confirmé Avatar de Zefling
    Homme Profil pro
    Développeur Web
    Inscrit en
    avril 2007
    Messages
    1 122
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Puy de Dôme (Auvergne)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : avril 2007
    Messages : 1 122
    Points : 4 352
    Points
    4 352
    Par défaut
    Citation Envoyé par valkirys Voir le message
    En SSII ou pas, un développeur compétent peut envoyer le signalement d'un bug et son correctif...
    Perso, c'est que je fais, que ça soit en pro ou perso. Après sur la vitesse de la correction dépend de :
    - de son importance et sa pertinence
    - la taille de la communauté
    - du nombre de bugs à traiter
    - du temps qu'il faut pour le corriger

  11. #11
    Membre éprouvé Avatar de 4sStylZ
    Homme Profil pro
    Null
    Inscrit en
    novembre 2011
    Messages
    311
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Ain (Rhône Alpes)

    Informations professionnelles :
    Activité : Null
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : novembre 2011
    Messages : 311
    Points : 1 027
    Points
    1 027
    Par défaut
    @Coolspot Je suis d'accord avec toi sur le fait que les SSII n'évoluerons pas envers l'opensource.

    Mais c'est quoi alors l'alternative aux SSII, le type de société que tu conseillerait à une entreprise qui a besoin d'une solution informatique?

  12. #12
    Expert éminent

    Homme Profil pro
    Retraité
    Inscrit en
    septembre 2002
    Messages
    2 147
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 70
    Localisation : France, Loire Atlantique (Pays de la Loire)

    Informations professionnelles :
    Activité : Retraité

    Informations forums :
    Inscription : septembre 2002
    Messages : 2 147
    Points : 6 466
    Points
    6 466
    Billets dans le blog
    2
    Par défaut
    Citation Envoyé par Arsene Newman Voir le message
    Un chercheur tire la sonnette d'alarme sur les failles de nombreuses applications open source ... Qui ne doivent pas être oubliées à cause de Heartbleed.
    Et vous ?

    Qu’en pensez-vous ?
    Que les applications privates sources ne sont pas plus exemptes de failles que les applications open source, et donc que Heartbleed ne fait que mettre en évidence que les failles dans le code ouvert finissent toujours par être détectées et finalement corrigées. Je suis beaucoup moins confiant dans le code fermé, car rien ne s'y passe jamais dans la transparence (par définition).
    Pierre GIRARD

  13. #13
    Nouveau Candidat au Club
    Homme Profil pro
    Ingénieur systèmes et réseaux
    Inscrit en
    juin 2012
    Messages
    1
    Détails du profil
    Informations personnelles :
    Sexe : Homme

    Informations professionnelles :
    Activité : Ingénieur systèmes et réseaux
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : juin 2012
    Messages : 1
    Points : 0
    Points
    0
    Par défaut
    pourquoi on tire la sonnette d'alarme sur les solution Open Source, mais on ne tire pas l'alarme sur les solutions proprétaires qui ont des millions de failles comme microsoft et qui tant bien que mal resolu à temps donc les gens sont exposé. Je pense que c'est un faux débat

Discussions similaires

  1. Réponses: 3
    Dernier message: 05/06/2008, 10h46
  2. [MySQL] Php, je ne comprends pas comment faire pour introduire des données dans une table
    Par Liondd dans le forum PHP & Base de données
    Réponses: 23
    Dernier message: 14/12/2006, 13h53
  3. lien pour une table qui ne doit pas etre public
    Par raslain dans le forum Oracle
    Réponses: 1
    Dernier message: 12/12/2005, 14h40
  4. [XML] Je ne sais pas comment faire...
    Par New dans le forum Bibliothèques et frameworks
    Réponses: 2
    Dernier message: 11/10/2005, 11h47
  5. Impact de balles, trace de pas... Comment faire???
    Par supergrey dans le forum DirectX
    Réponses: 1
    Dernier message: 15/07/2004, 14h46

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo