IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Actualités Discussion :

Les failles de sécurité doivent-elles être rendues publiques ?

  1. #21
    Nouveau Candidat au Club
    Homme Profil pro
    Assistant aux utilisateurs
    Inscrit en
    janvier 2015
    Messages
    22
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 49
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Assistant aux utilisateurs

    Informations forums :
    Inscription : janvier 2015
    Messages : 22
    Points : 0
    Points
    0
    Par défaut
    Vous êtes sérieux là ? Vous êtes "pour" ? Sérieux ?

    Heureusement que tous les Musées du monde n'annoncent pas sur Internet dans quel état se trouve à la seconde près l'état de leurs systèmes de surveillance concernant par exemple la Joconde, ou certains Oeufs de Fabergé, ou autres Diamants Roses gros comme un oeuf de poule... Imaginez la surprise pour les voleurs du monde entier, ils se diraient :

    "Tiens, il y a un coup à faire sur tels et tels musées lol, on est équipés ? Ok ben on y va, et on y va vite avant qu'ils remettent leur système de surveillance en place..On que l'on se fasse griller la priorité par un autre groupe Lol..

    Là Google dit à tout le monde comment attaquer votre PC, et vous êtes d'accord, ptdr.... AH AH !

    Un peu dangereux non ? Vous croyez qu'ils se disent quoi les "pirates informatiques" à ce moment précis ? Qu'ils vont être fairplay parce que ça se fait pas de la part de Google ?

    Et Google, ils diraient quoi si Microsoft faisait pareil pour Androïd lol ?

    Reflechissez un peu, il y a pas une histoire de pognon derrière tout ça ? Vous allez voir qu'Androïd va bientôt prendre une bonne grosse part de marché à Miscrosoft et Apple, en faisant une annonce de portabilité d'Androïd sur PC fixe et portable lol... Comme ça, la NSA aurra VRAIMENT champs libres sur 95% des PCs de la planète....

    Sérieux ? être content quand on dit à tout le monde que la porte de votre voiture est ouverte et que dedans il y a toutes vos affaires ?? Allez, reflechissez deux secondes va...

  2. #22
    Expert confirmé Avatar de psychadelic
    Profil pro
    Inscrit en
    mai 2010
    Messages
    2 529
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : mai 2010
    Messages : 2 529
    Points : 4 607
    Points
    4 607
    Par défaut
    Donc tu préfères qu’on te dise pas que les portes de ta voiture sont ouvertes et qu’on peut te piquer toutes tes affaires, car après tout, le lendemain, si personne n’ a rien fait…
    «La pluralité des voix n'est pas une preuve, pour les vérités malaisées à découvrir, tant il est bien plus vraisemblable qu'un homme seul les ait rencontrées que tout un peuple.» [ René Descartes ] - Discours de la méthode

  3. #23
    Nouveau Candidat au Club
    Homme Profil pro
    Assistant aux utilisateurs
    Inscrit en
    janvier 2015
    Messages
    22
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 49
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Assistant aux utilisateurs

    Informations forums :
    Inscription : janvier 2015
    Messages : 22
    Points : 0
    Points
    0
    Par défaut
    Citation Envoyé par psychadelic Voir le message
    Donc tu préfères qu’on te dise pas que les portes de ta voiture sont ouvertes et qu’on peut te piquer toutes tes affaires, car après tout, le lendemain, si personne n’ a rien fait…


    Tu m'as très mal lu et du coup, pas compris, mais ce n'est pas grave, je vais te répondre :

    Hé ben non, je préfère que l'on ferme mes portes et que l'on me laisse un mot sur le parebrise qui dise :

    _"J'aurai pu tout de te voler, tes portes étaient restées ouvertes, baltringue "

    Plutôt qu'on laisse un panneau en carton sur ma voiture disant :

    _"Les portes de cette voiture sont ouvertes les gars, j'avais pas les outils pour le poste radio et les baffles, mais j'ai pris les housses des sièges, (Sami si c'est toi qui récupères le poste et les baffles, j'ai peut-être des housses qui pourraient te plaire) "

    Peut-être que tu vas mieux comprendre comme ça ? Mais j'ai des doutes vu comment t'étais parti lol...

  4. #24
    Expert confirmé Avatar de psychadelic
    Profil pro
    Inscrit en
    mai 2010
    Messages
    2 529
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : mai 2010
    Messages : 2 529
    Points : 4 607
    Points
    4 607
    Par défaut
    Citation Envoyé par RogerBower Voir le message
    Et Google, ils diraient quoi si Microsoft faisait pareil pour Androïd lol ?
    Et bien justement, chez Google ils aimeraient bien avoir un peu plus de soutient des autres sociétés dans ces recherches en sécurité.

    Au passage, il n’y a pas que Google qui publie sur les failles de sécurité, il y a des universités, des blogs entièrement dédiés sur ce sujet, des forums…

    Et la on ne parle que des « Whites hats », parce qu’i y a aussi tout un internet « Balck hat », ou ils se monnaient entre eux les failles de sécurités non découvertes, et les manières de les exploiter ; ils ont des forums ou ils se vantent de leurs exploits, etcc



    Alors, lequel est le plus naif ??


    http://lmgtfy.com/?q=security+blog
    «La pluralité des voix n'est pas une preuve, pour les vérités malaisées à découvrir, tant il est bien plus vraisemblable qu'un homme seul les ait rencontrées que tout un peuple.» [ René Descartes ] - Discours de la méthode

  5. #25
    Nouveau Candidat au Club
    Homme Profil pro
    Assistant aux utilisateurs
    Inscrit en
    janvier 2015
    Messages
    22
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 49
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Assistant aux utilisateurs

    Informations forums :
    Inscription : janvier 2015
    Messages : 22
    Points : 0
    Points
    0
    Par défaut
    Citation Envoyé par psychadelic Voir le message
    Et bien justement, chez Google ils aimeraient bien avoir un peu plus de soutient des autres sociétés dans ces recherches en sécurité.

    Au passage, il n’y a pas que Google qui publie sur les failles de sécurité, il y a des universités, des blogs entièrement dédiés sur ce sujet, des forums…

    Et la on ne parle que des « Whites hats », parce qu’i y a aussi tout un internet « Balck hat », ou ils se monnaient entre eux les failles de sécurités non découvertes, et les manières de les exploiter ; ils ont des forums ou ils se vantent de leurs exploits, etcc
    Oh la vache dis donc hé, j'étais pas au courant de tout ça mouè , et quj'ai bien fait hé d'venir d'jourd'hui...

    Citation Envoyé par psychadelic Voir le message
    Alors, lequel est le plus naif ??
    Au hasard je dirais... Toi ?

    Allez, tu n'as pas encore cité Wikipédia, mais là on va s'attendre à tout du coup

  6. #26
    Membre habitué
    Homme Profil pro
    Étudiant
    Inscrit en
    juillet 2014
    Messages
    28
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Nièvre (Bourgogne)

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : juillet 2014
    Messages : 28
    Points : 137
    Points
    137
    Par défaut
    RogerBower, tes messages prouvent que tu n'as pas saisi la problématique. Il y a deux trois chose à changer dans ton exemple:

    Pour commencer tu n'est pas le propriétaire de la voiture, mais le constructeur et concessionnaire qui l'es vend. Maintenant disons que Google est un de tes client et qu'il a de grosse exigence en matière de sécurité, il va donc essayer de voir si ses nouvelles voitures sont fiables. De la il découvre que le système de fermeture des portières est défaillantes, il te prévient donc pour que tu puisse faire les modifications qui s'imposent. Mais voila, au bout de trois mois leurs portières et celles de tous les autres utilisateurs, qui pensent eux qu'elles fonctionnent parfaitement, n'ont pas été améliorée. (à ce stade là, on voit que faire des parallèles entre des biens physiques et numériques est un peu bancal puisque changer des portières c'est pas aussi simple que de balancer un patch)

    C'est à partir de ce constat, que Google décide de prévenir l'ensemble des utilisateurs, que n'importe qui peut rentrer dans leur voiture, et que toi, vendeur de ces voitures, tu t'en branle car tu es au courant depuis un trimestre et t'as rien fait !

    Et quitte à être honnête, il y a pas besoin de trois mois pour corriger une faille de sécurité (surtout pour microsoft), Google à même du prendre en compte le temps de propagation du correctif dans le calcul de ces trois mois !

    J'ajouterai, que pendant ces 90 jours, il y a sans doutes un mec moins bien intentionné qui a découvert la même faille et à pu l'exploiter sans problème.

  7. #27
    Expert confirmé Avatar de psychadelic
    Profil pro
    Inscrit en
    mai 2010
    Messages
    2 529
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : mai 2010
    Messages : 2 529
    Points : 4 607
    Points
    4 607
    Par défaut
    @RogerBower

    Si ça t’amuse de tout tourner en dérision, et d’être à la mode en diabolisant Google…

    Bravo, t’es formidable, et ton talent pour le dénigrement est extraordinaire !
    «La pluralité des voix n'est pas une preuve, pour les vérités malaisées à découvrir, tant il est bien plus vraisemblable qu'un homme seul les ait rencontrées que tout un peuple.» [ René Descartes ] - Discours de la méthode

  8. #28
    Membre extrêmement actif
    Avatar de Sodium
    Femme Profil pro
    Développeuse web
    Inscrit en
    avril 2014
    Messages
    2 324
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Localisation : Belgique

    Informations professionnelles :
    Activité : Développeuse web

    Informations forums :
    Inscription : avril 2014
    Messages : 2 324
    Points : 1 945
    Points
    1 945
    Billets dans le blog
    1
    Par défaut
    D'un côté, j'estime que 90 jours est un délai plus que raisonnable pour réparer des failles potentiellement dangereuses pour l'utilisateur.
    D'un autre côté, j'ai du mal à y voir autre chose qu'un gros coup de pub pour Google qui se présente en grand défenseur de l'intérêt des utilisateurs alors que les failles de sécurité d'Androïd font régulièrement l'actualité.

  9. #29
    Membre expert
    Homme Profil pro
    Développeur .NET
    Inscrit en
    octobre 2013
    Messages
    1 563
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Développeur .NET
    Secteur : Industrie

    Informations forums :
    Inscription : octobre 2013
    Messages : 1 563
    Points : 3 400
    Points
    3 400
    Par défaut
    Citation Envoyé par Sodium Voir le message
    D'un autre côté, j'ai du mal à y voir autre chose qu'un gros coup de pub pour Google qui se présente en grand défenseur de l'intérêt des utilisateurs alors que les failles de sécurité d'Androïd font régulièrement l'actualité.
    Le coup de pub peut-être, mais ils n'ont pas besoin de ça.. En revanche cela leur apporte une bonne base de connaissance pour ne pas reproduire le même genre de faille. Ce n'est que supposition, je ne maitrise point du tout le sujet ^^

  10. #30
    Expert éminent
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    août 2007
    Messages
    2 158
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : août 2007
    Messages : 2 158
    Points : 7 829
    Points
    7 829
    Par défaut
    Citation Envoyé par Sodium Voir le message
    D'un côté, j'estime que 90 jours est un délai plus que raisonnable pour réparer des failles potentiellement dangereuses pour l'utilisateur.
    D'un autre côté, j'ai du mal à y voir autre chose qu'un gros coup de pub pour Google qui se présente en grand défenseur de l'intérêt des utilisateurs alors que les failles de sécurité d'Androïd font régulièrement l'actualité.
    A partir du moment où Google s'impose également ce même délais de 90 jours pour corriger les failles d'Android, je n'y vois aucun problème.
    En fait, pour une fois, j'adhère assez bien au discours de Google sur ce sujet qui ne critique en rien le fait qu'il y ait des failles dans les autres systèmes et softs à conditions qu'elles soient corrigées rapidement.
    Il n'y a pas de double discours comme d'autres peuvent l'avoir.
    Là, c'est assez clair.
    Toutes failles doit être corrigées dans les délais le plus court possible à partir du moment où elles sont connues.
    Cela s'applique autant à Google qu'aux autres.
    Et Google le met bien en oeuvre au travers des hackatons et autres événements de ce type

  11. #31
    Futur Membre du Club
    Profil pro
    Inscrit en
    décembre 2007
    Messages
    13
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : décembre 2007
    Messages : 13
    Points : 8
    Points
    8
    Par défaut
    Ceux qui estiment que publier une faille après un délai permet aux utilisateurs de se protéger, j'aimerai bien que vous m’expliquiez comment tous les utilisateurs "moyens" sont censés se protéger, tous seuls ? Ils sont déjà harcelés de faux messages jouant sur le peur du virus et du piratage, comment vont-ils faire le tri ? S'ils le font, comment savoir quoi faire ? D'autant plus avec des logiciels propriétaires fermés ??
    Si la faille est corrigée avant les 90 jours, elle est intégrée dans un patch. Les utilisateurs moyens laissent en général la configuration par défaut. Les éléments critiques (OS, navigateur, Flash, Java...) ont par défaut des mises à jour automatiques. Les éditeurs ont aussi une grande responsabilité en devant mettre en place des mises à jour de sécurité automatiques. Et les gens qui les désactivent savent ce qu'ils font.

  12. #32
    Expert confirmé Avatar de psychadelic
    Profil pro
    Inscrit en
    mai 2010
    Messages
    2 529
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : mai 2010
    Messages : 2 529
    Points : 4 607
    Points
    4 607
    Par défaut
    Il y a pas mal de ressemblances avec la problématique des lanceurs d’alertes.

    En France Serge Humpich à été condamné pour avoir fait la démonstration des erreurs de conception des cartes Bancaires…

    Et malheureusement d’autres exemples ne manquent pas, comme celui d' Antoine Dumas-Martin.
    Il à découvert par hasard que dans son université, il était très facile de collecter toutes les informations privées de tous les étudiants et les enseignants ; l’idéal pour vider une palanquée de comptes bancaires, sans oublier l’usurpation d’identité.
    Il a prévenu sa hiérarchie, mais il s’est rendu compte au bout de quelques mois que rien n’avait été fait, il a incisté, ...
    Au bout d'un moment il a finit par prévenir un journaliste, etc… Ce qui lui a valu plusieurs années de procès.

    Aujourd’hui encore, nombre de sites internet avec des données sensibles sont toujours facilement accessibles, car écrites par des informaticiens du dimanche, avec une sécurité dérisoire.

    De l’autre coté du monde, aux USA, les Hackeurs sont conviés à des concours [avec récompense] de toutes sorte pour éprouver la sécurité des systèmes, réaliser des pots de miels, etc…
    Les meilleurs d’entre eux se font embaucher avec des salaires mirobolants…
    Chaque année à Las Végas et ailleurs se tiennent des conférences sur le hacking, et nombre d'entre eux rivalisent de "virtuosité", comme par exemple Barnaby Jack qui est quasiment devenu une star : il à fait la démonstration de son savoir faire en vidant complétement un distributeur bancaire; ou encore comment un simple pace maker pouvait devenir mortel, via une commande à distance (l'idée à ensuite été reprise dans un film, un série ?).

    Alors, oui, on est dans un monde rempli d'informatique et d'électronique, et croire qu'on puisse tout simplement se fier à la seule "bienveillance" des constructeurs / fabricants est une utopie suicidaire.
    «La pluralité des voix n'est pas une preuve, pour les vérités malaisées à découvrir, tant il est bien plus vraisemblable qu'un homme seul les ait rencontrées que tout un peuple.» [ René Descartes ] - Discours de la méthode

  13. #33
    Expert éminent
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    août 2007
    Messages
    2 158
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : août 2007
    Messages : 2 158
    Points : 7 829
    Points
    7 829
    Par défaut
    Citation Envoyé par psychadelic Voir le message
    Il y a pas mal de ressemblances avec la problématique des lanceurs d’alertes.

    En France Serge Humpich à été condamné pour avoir fait la démonstration des erreurs de conception des cartes Bancaires…

    Et malheureusement d’autres exemples ne manquent pas, comme celui d' Antoine Dumas-Martin.
    Il à découvert par hasard que dans son université, il était très facile de collecter toutes les informations privées de tous les étudiants et les enseignants ; l’idéal pour vider une palanquée de comptes bancaires, sans oublier l’usurpation d’identité.
    Il a prévenu sa hiérarchie, mais il s’est rendu compte au bout de quelques mois que rien n’avait été fait, il a incisté, ...
    Au bout d'un moment il a finit par prévenir un journaliste, etc… Ce qui lui a valu plusieurs années de procès.

    Aujourd’hui encore, nombre de sites internet avec des données sensibles sont toujours facilement accessibles, car écrites par des informaticiens du dimanche, avec une sécurité dérisoire.

    De l’autre coté du monde, aux USA, les Hackeurs sont conviés à des concours [avec récompense] de toutes sorte pour éprouver la sécurité des systèmes, réaliser des pots de miels, etc…
    Les meilleurs d’entre eux se font embaucher avec des salaires mirobolants…
    Même aux USA, il y a des lanceurs d'alertes qui se prennent des procès (exemple : http://www.developpez.com/actu/70019...-frais-du-FBI/)
    Ce n'est pas parce que certaines entreprises US sont ouvertes à ce type d'alertes que toutes le sont

    Après, quand on est un indépendant, on prend de gros risque à rendre publique une faille de sécu
    Je pense que le mieux est encore de contacter la CNIL dont c'est le rôle de faire respecter des principes de base de la sécu des données (c'est moins risqué que de contacter la presse)

  14. #34
    Expert confirmé Avatar de psychadelic
    Profil pro
    Inscrit en
    mai 2010
    Messages
    2 529
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : mai 2010
    Messages : 2 529
    Points : 4 607
    Points
    4 607
    Par défaut
    @Saverok

    Dans le cas Helkowski, il s'y est vraiment pris de la mauvaise manière...

    De l'autre coté, on est vraiment face à un problème d'évolution culturelle.

    J'ai cru comprendre que le Canada s'était doté de loi pour protéger les lanceurs d'Alerte.

    Dans l'idéal, Helkowski aurait du être dans un monde ou l'on puisse porter plainte pour mise en Danger de biens d'autruit, via des information privées.

    Comme ça le FBI aura un Os à ronger pour "chasser les méchants", la justice aura un cadre légal à appliquer, car l'éthique n'est pas son problème.
    Les états auront une justification de prélever leur dime au passage, ...

    Et les entreprises feront attention de payer un peu mieux des informaticiens compétents
    «La pluralité des voix n'est pas une preuve, pour les vérités malaisées à découvrir, tant il est bien plus vraisemblable qu'un homme seul les ait rencontrées que tout un peuple.» [ René Descartes ] - Discours de la méthode

  15. #35
    Membre régulier
    Homme Profil pro
    Consultant ERP
    Inscrit en
    juillet 2011
    Messages
    30
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Consultant ERP
    Secteur : Industrie

    Informations forums :
    Inscription : juillet 2011
    Messages : 30
    Points : 112
    Points
    112
    Par défaut
    Je ne pense pas que ce soit spécialement un problème pour Microsoft, leurs produits se vendront de toute façon, je ne vois pas non plus des millions d'utilisateurs passer sous Linux ou MacOS comme ça, pour les produits d'entreprise, vu le coût en temps et en argent qu'il faut pour une migration, ils ne devraient pas trop être inquiétés non plus.

  16. #36
    Expert confirmé Avatar de psychadelic
    Profil pro
    Inscrit en
    mai 2010
    Messages
    2 529
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : mai 2010
    Messages : 2 529
    Points : 4 607
    Points
    4 607
    Par défaut
    Je suis bien d’accord, les problèmes de fiabilité et de sécurité sont les mêmes pour tout le monde, et vouloir rendre « coupable » une entreprise de défauts non volontaires ne résoudra aucun problèmes.
    «La pluralité des voix n'est pas une preuve, pour les vérités malaisées à découvrir, tant il est bien plus vraisemblable qu'un homme seul les ait rencontrées que tout un peuple.» [ René Descartes ] - Discours de la méthode

  17. #37
    Expert confirmé Avatar de kain_tn
    Homme Profil pro
    Inscrit en
    mars 2005
    Messages
    1 094
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Suisse

    Informations forums :
    Inscription : mars 2005
    Messages : 1 094
    Points : 4 220
    Points
    4 220
    Par défaut
    Citation Envoyé par psychadelic Voir le message
    J'ai cru comprendre que le Canada s'était doté de loi pour protéger les lanceurs d'Alerte.
    Et pendant ce temps là en France on a la loi Macron qui protège les entreprises contre les journalistes et les lanceurs d'alertes...
    Copier c'est copier; voler c'est vendre un CD une vingtaine d'euros!


    Code C : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    #include <stdio.h>
     
    int main(int argc, char **argv) {
     
        printf("So long, and thanks for the fish, Dennis...\n");
        return 0;
    }

  18. #38
    Membre éclairé
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    mars 2011
    Messages
    222
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 43
    Localisation : France, Isère (Rhône Alpes)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : mars 2011
    Messages : 222
    Points : 763
    Points
    763
    Par défaut Exemple pratique: The GHOST Vulnerability
    Un exemple concret tout chaud: The GHOST Vulnerability

  19. #39
    Membre actif Avatar de zaza576
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    août 2013
    Messages
    174
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 37
    Localisation : France, Loire Atlantique (Pays de la Loire)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : août 2013
    Messages : 174
    Points : 265
    Points
    265
    Par défaut VOTEZ GOOGLE
    Bonjour,

    je suis POUR rendre public ces failles de sécurité.
    Dans un monde gouverné par l'argent et le business, la réduction des coûts et la gestion des risques, une entreprise, commercialisant un produit informatique (ou autre produit) prendrait-elle le risque de voir son business s'écrouler et ses clients partir si on lui force la main en révélant QU'ELLE A FAIT DU TRAVAIL DE MERDE !

    Un produit informatique (et autre produit), commercialisé, devrait engager l'entreprise à fournir une maintenance jusqu'à la fin du produit, et à ne pas mettre sous le tapis des failles et bugs pour la simple raison que :
    - ça coute trop cher de fixer les bugs
    - ça retarde la mise en production et la commercialisation
    - ça nous donne un argument pour virer 1 / 3 de nos consultants puisqu'il n'y aura pas de phase de tests / maintenance approfondie
    - ça nous permet d'augmenter les bénéfices puisque le chiffre d'affaire reste le même mais on fait tout pour réduire le coût de maintenance / tests

    Toutes les entreprises, et pas seulement Google, devraient faire de même et balancer les détails des failles 0-day de leurs concurrents (Nouvelle arme économique). De cela, seules les entreprises ayant le moins de failles révélées ou ayant le potentiel de les fixer rapidement pourront :
    - être représentées comme les meilleures entreprises de leurs marchés respectifs
    - pourront assurer une meilleure qualité + sécurité à leurs utilisateurs
    - montreront aux yeux de tous qu'ils tiennent autant à leurs clients qu'à leurs sous
    - indiqueront leur degré de compétence et leur sérieux

    C'est une révolution avant l'heure et je pense que ça va bouleverser l'équilibre économique si cela s'applique sur d'autres marchés (Macdo qui balance Quick car ils développent mal leurs double-cheese burger )

    On devrait dès maintenant garantir qu'aucun Etat, pays, gouvernement, ne vienne mettre des batons dans les roues de cette machinerie puissante qu'est l'évolution technologique. Un bon en avant pour grandement améliorer notre système et se débarasser des entreprises qui font du travail de m**de !

    Votez GOOGLE à la prochaine élection !
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    function googleIsYourF*ck*ngFriend(String url, String maQuestion){
        goTo(url);
        reponse = find(maQuestion);
        if(isAcceptable(reponse)){
            clickOn(By.xpath("//button[@id='resolvedButton']"));
        }
        sendMessage("Merci");
    }
     
    googleIsYourF*ck*ingFriend("http://www.google.fr", "ma question");

  20. #40
    Membre chevronné
    Homme Profil pro
    Consultant informatique
    Inscrit en
    septembre 2013
    Messages
    485
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Isère (Rhône Alpes)

    Informations professionnelles :
    Activité : Consultant informatique
    Secteur : Industrie

    Informations forums :
    Inscription : septembre 2013
    Messages : 485
    Points : 2 149
    Points
    2 149
    Par défaut
    je suis POUR rendre public ces failles de sécurité.
    Dans un monde gouverné par l'argent et le business, la réduction des coûts et la gestion des risques, une entreprise, commercialisant un produit informatique (ou autre produit) prendrait-elle le risque de voir son business s'écrouler et ses clients partir si on lui force la main en révélant QU'ELLE A FAIT DU TRAVAIL DE MERDE !
    @zaza576: je suis globalement d'accord avec toi, il faut un peu forcer la main à des grands groupes pour qu'ils corrigent rapidement leurs bugs de sécurité.

    Votez GOOGLE à la prochaine élection !
    Par contre, je suis moins d'accord avec cette vision là.
    Je préférais que ces failles de sécurité soient levées et gérées par une organisation non commercial.
    Un fondation informatique par exemple (Mozilla, Apache, ...) serait plus neutre à avoir cette petite casquette de garant de la sécurité informatique mondiale.

    Je me méfie quand même un peu de ces gentilles compagnies qui s'occupe de notre sécurité pour "notre bien" et pour nos beaux yeux et contre l'avis de leurs actionnaires
    Mais Google n'a absolument rien avoir avec un "Big Brother" moderne et heureusement nous ne sommes plus en 1984

Discussions similaires

  1. [Singleton] Toutes les méthodes doivent-elles être 'synchronized'
    Par philippe13 dans le forum Débuter avec Java
    Réponses: 3
    Dernier message: 24/10/2014, 18h48
  2. Les resources doivent-elles être placées dans Thèmes ?
    Par scapefrom dans le forum Windows Presentation Foundation
    Réponses: 1
    Dernier message: 03/08/2010, 16h58
  3. Tester les failles de sécurité d'un site
    Par Général03 dans le forum Sécurité
    Réponses: 7
    Dernier message: 10/09/2009, 17h11
  4. Réponses: 2
    Dernier message: 03/05/2009, 13h18
  5. Déterminer les failles de sécurités sur mon site
    Par whitespirit dans le forum EDI, CMS, Outils, Scripts et API
    Réponses: 2
    Dernier message: 05/06/2008, 08h36

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo