IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Actualités Discussion :

Les failles de sécurité doivent-elles être rendues publiques ?

  1. #41
    ALT
    ALT est déconnecté
    Membre chevronné
    Avatar de ALT
    Homme Profil pro
    Assistant aux utilisateurs
    Inscrit en
    octobre 2002
    Messages
    1 184
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 62
    Localisation : France, Vienne (Poitou Charente)

    Informations professionnelles :
    Activité : Assistant aux utilisateurs
    Secteur : Service public

    Informations forums :
    Inscription : octobre 2002
    Messages : 1 184
    Points : 2 119
    Points
    2 119
    Par défaut
    Le plus drôle c'est que Google ne corrige (volontairement) pas certaines failles de ses logiciels car ce serait trop compliqué à faire !

    Mais annoncer une faille publiquement au bout quelques semaines est, à mon avis, une bonne chose. On n'est pas obligé d'en divulguer tous les détails. Mais pouvoir annoncer "attention : tel logiciel est une bouse" a plus d'impact sur un éditeur que de ne rien dire.
    Et une faille soi-disant secrète & jamais corrigée aura toutes les chances d'être exploitée par un pirate, car, tôt ou tard, quelqu'un la découvrira & la publiera sur des forums spécialisés. Donc, le secret est la pire des attitudes.
    D'ailleurs, pendant très longtemps, ce fut l'argument de Microsoft pour ne rien corriger. Coïncidence, depuis qu'ils se sont inquiétés de sécurité, leurs logiciels sont plus stables.
    « Un peuple qui est prêt à sacrifier un peu de liberté contre un peu de sécurité, ne mérite ni l'une, ni l'autre, et finira par perdre les deux. »
    Attribué indistinctement à :
    Thomas Jefferson
    Benjamin Franklin
    Albert Einstein !

  2. #42
    Expert éminent

    Homme Profil pro
    Retraité
    Inscrit en
    septembre 2002
    Messages
    2 147
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 70
    Localisation : France, Loire Atlantique (Pays de la Loire)

    Informations professionnelles :
    Activité : Retraité

    Informations forums :
    Inscription : septembre 2002
    Messages : 2 147
    Points : 6 466
    Points
    6 466
    Billets dans le blog
    2
    Par défaut
    Citation Envoyé par Hinault Romaric Voir le message
    ...Celui-ci prend pour exemple la liste de diffusion du noyau Linux, qui est assez réactif dans le traitement des failles de sécurité. « Le délai sur la liste de sécurité du noyau est de cinq jours ouvrables. Certaines personnes pensent que c’est un peu extrême. Dans d’autres projets, le délai est d’un mois ou deux. Mais, c’est encore mieux que des années et des années de silence », explique celui-ci....
    Et vous ?

    Etes-vous pour ou contre la divulgation des failles, même si un correctif n’est pas disponible ? Pourquoi ?
    Je continue à dire que si ça n'est pas fait en trois mois, c'est que le priorité de l'éditeur n'est pas dans la correction des failles. Dans ces conditions : Un peu de pression ne peut pas faire de mal.

    Heureusement que Linus Torvald ne demande pas 5 jours à µSoft pour corriger ses failles comme pour le noyau Linux.
    Pierre GIRARD

  3. #43
    Modérateur
    Avatar de gangsoleil
    Homme Profil pro
    Manager / Cyber Sécurité
    Inscrit en
    mai 2004
    Messages
    10 025
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Haute Savoie (Rhône Alpes)

    Informations professionnelles :
    Activité : Manager / Cyber Sécurité

    Informations forums :
    Inscription : mai 2004
    Messages : 10 025
    Points : 27 448
    Points
    27 448
    Par défaut
    Citation Envoyé par Pierre GIRARD Voir le message
    Heureusement que Linus Torvald ne demande pas 5 jours à µSoft pour corriger ses failles comme pour le noyau Linux.
    Attention, tu ne peux pas comparer ce qui est fait dans le noyau Linux d'un coté et ce qui se fait à l'échelle d'un OS de l'autre. Il faudrait comparer les patchs sur le noyau de Windows, ce qui ne peut pas se faire car Windows est closed-source et qu'on ne sait pas vraiment ce qui est du noyau de ce qui ne l'est pas.
    "La route est longue, mais le chemin est libre" -- https://framasoft.org/
    Les règles du forum

  4. #44
    Expert éminent

    Homme Profil pro
    Retraité
    Inscrit en
    septembre 2002
    Messages
    2 147
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 70
    Localisation : France, Loire Atlantique (Pays de la Loire)

    Informations professionnelles :
    Activité : Retraité

    Informations forums :
    Inscription : septembre 2002
    Messages : 2 147
    Points : 6 466
    Points
    6 466
    Billets dans le blog
    2
    Par défaut
    Citation Envoyé par gangsoleil Voir le message
    Attention, tu ne peux pas comparer ce qui est fait dans le noyau Linux d'un coté et ce qui se fait à l'échelle d'un OS de l'autre. Il faudrait comparer les patchs sur le noyau de Windows, ce qui ne peut pas se faire car Windows est closed-source et qu'on ne sait pas vraiment ce qui est du noyau de ce qui ne l'est pas.
    Certes, pour nous, mais c'est pas closed-source pour µSoft. C'est à eux de savoir gérer leur machin et à mettre les bonnes personnes aux bons endroits. Et au passage de gérer les priorités.
    Les corrections des failles existantes.
    ou
    Les futurs OS/Applications.

    Je suis persuadé que dès qu'une faille est découverte dans le noyau Linux, les développeurs mettent en sommeil leurs nouveaux ajouts au noyau pour ce concentrer sur les failles. Sinon, ça serait impossible en 5 jours. Une fois le problème corrigé, ils se remettent à leurs ajouts ... et tant pis si ça a pris un peut de retard.
    Pierre GIRARD

  5. #45
    Expert éminent
    Avatar de Matthieu Vergne
    Homme Profil pro
    Consultant IT, chercheur IA indépendant
    Inscrit en
    novembre 2011
    Messages
    2 202
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Consultant IT, chercheur IA indépendant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : novembre 2011
    Messages : 2 202
    Points : 7 457
    Points
    7 457
    Billets dans le blog
    3
    Par défaut
    Pour ma part, je suis d'avis qu'une limite fixe avant publication est une bonne idée, mais seulement si la publication est large : en effet, si l'information ne parvient qu'à ceux qui suivent les forums techniques, ce qui inclut ceux qui vont aider à résoudre mais aussi ceux qui vont les exploiter, les utilisateurs lambda sont laisés dans l'affaire. En revanche, si l'information circule jusqu'aux utilisateurs lambda, et cela même si la limite est très réduite (e.g. 1 semaine), les utilisateurs auront au moins la possibilité d'utiliser différemment l'outil (voire de ne plus l'utiliser du tout) jusqu'à ce qu'un correctif soit déployé. Cela dit, la propagation de cette information, c'est pas le boulot du forum technique ou de celui qui trouve la faille. C'est le boulot des médias. Si la publication n'est pas suivie de la réaction des médias pour diffuser l'info, alors ça ne fait qu'attiser le feu.

    Donc pour résumé, les deux points de vue (diffuser pose problème + diffuser est nécessaire) sont justifiés. Cela dit, là où la diffusion rapide devient une meilleure solution, c'est là où les médias sont efficaces.
    Site perso
    Recommandations pour débattre sainement

    Références récurrentes :
    The Cambridge Handbook of Expertise and Expert Performance
    L’Art d’avoir toujours raison (ou ce qu'il faut éviter pour pas que je vous saute à la gorge {^_^})

  6. #46
    Expert éminent
    Avatar de GrandFather
    Inscrit en
    mai 2004
    Messages
    4 587
    Détails du profil
    Informations personnelles :
    Âge : 52

    Informations forums :
    Inscription : mai 2004
    Messages : 4 587
    Points : 7 079
    Points
    7 079
    Par défaut
    Disons que ce que fait Google est plutôt bénéfique à long terme, mais peut avoir des effets pervers à court terme.

    On pourrait imaginer une action un peu moins radicale et plus graduelle : informer d'abord l'éditeur, comme c'est fait actuellement, et 90 jours après informer de l'existence de la faille et de sa gravité si celle-ci n'a pas encore été corrigée, mais sans donner d'indications techniques trop précises qui permettraient son exploitation. Et, à l'issue d'un nouveau délai (30 jours ?), si celle-ci n'est toujours pas corrigée, là tout rendre publique.
    FAQ XML
    ------------
    « Le moyen le plus sûr de cacher aux autres les limites de son savoir est de ne jamais les dépasser »
    Giacomo Leopardi

  7. #47
    Modérateur
    Avatar de gangsoleil
    Homme Profil pro
    Manager / Cyber Sécurité
    Inscrit en
    mai 2004
    Messages
    10 025
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Haute Savoie (Rhône Alpes)

    Informations professionnelles :
    Activité : Manager / Cyber Sécurité

    Informations forums :
    Inscription : mai 2004
    Messages : 10 025
    Points : 27 448
    Points
    27 448
    Par défaut
    Citation Envoyé par GrandFather Voir le message
    On pourrait imaginer une action un peu moins radicale et plus graduelle : informer d'abord l'éditeur, comme c'est fait actuellement, et 90 jours après informer de l'existence de la faille et de sa gravité si celle-ci n'a pas encore été corrigée, mais sans donner d'indications techniques trop précises qui permettraient son exploitation. Et, à l'issue d'un nouveau délai (30 jours ?), si celle-ci n'est toujours pas corrigée, là tout rendre publique.
    Sans vouloir être méchant, si 90 jours n'ont pas suffi pour corriger la faille, je ne vois pas en quoi 30 de plus permettraient quoi que ce soit.
    "La route est longue, mais le chemin est libre" -- https://framasoft.org/
    Les règles du forum

  8. #48
    Membre chevronné
    Homme Profil pro
    Consultant informatique
    Inscrit en
    septembre 2013
    Messages
    485
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Isère (Rhône Alpes)

    Informations professionnelles :
    Activité : Consultant informatique
    Secteur : Industrie

    Informations forums :
    Inscription : septembre 2013
    Messages : 485
    Points : 2 149
    Points
    2 149
    Par défaut
    Sans vouloir être méchant, si 90 jours n'ont pas suffi pour corriger la faille, je ne vois pas en quoi 30 de plus permettraient quoi que ce soit.
    Tout dépend la démarche qu'entreprend l'éditeur "responsable".
    S'il a pris en compte le problème et il est en cours de réalisation d'un correctif c'est différent que s'il s'en fou complètement et joue l'autruche.

    Imaginez une faille un peu pêchue remontée fin juin à un éditeur français: je suis pas sur qu'avec tout les congés de juillet/août elle soit corrigée en septembre [Irony inside]

  9. #49
    Membre expert
    Homme Profil pro
    Développeur .NET
    Inscrit en
    octobre 2013
    Messages
    1 563
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Développeur .NET
    Secteur : Industrie

    Informations forums :
    Inscription : octobre 2013
    Messages : 1 563
    Points : 3 393
    Points
    3 393
    Par défaut
    Citation Envoyé par gangsoleil Voir le message
    Sans vouloir être méchant, si 90 jours n'ont pas suffi pour corriger la faille, je ne vois pas en quoi 30 de plus permettraient quoi que ce soit.
    C'est un peu comme les amandes super impressionnantes (peur eux hein) pour non respect de la vie privée ou autre...

    Je pense qu'un délai fixe permet de forcer un peu la main, ce qui n'est pas un mal.

  10. #50
    Expert éminent
    Avatar de GrandFather
    Inscrit en
    mai 2004
    Messages
    4 587
    Détails du profil
    Informations personnelles :
    Âge : 52

    Informations forums :
    Inscription : mai 2004
    Messages : 4 587
    Points : 7 079
    Points
    7 079
    Par défaut
    Citation Envoyé par gangsoleil Voir le message
    Sans vouloir être méchant, si 90 jours n'ont pas suffi pour corriger la faille, je ne vois pas en quoi 30 de plus permettraient quoi que ce soit.
    30/30, 45/45, 30/15, peu importe la durée totale et/ou la répartition, l'important à mon avis serait que la publication de la faille se fasse en deux phases, une avec informations restreintes et l'autre complète. Et durant le délai qui s'écoule entre les deux, ce sont des jours durant lesquels tous les utilisateurs sont au courant de l'existence d'une faille majeure, et dont ils savent que l'éditeur a connaissance depuis déjà un moment. Petite pression...
    FAQ XML
    ------------
    « Le moyen le plus sûr de cacher aux autres les limites de son savoir est de ne jamais les dépasser »
    Giacomo Leopardi

  11. #51
    Membre éprouvé
    Avatar de landry161
    Homme Profil pro
    C#,PHP,MySQL,Android...
    Inscrit en
    juillet 2010
    Messages
    422
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Côte d'Ivoire

    Informations professionnelles :
    Activité : C#,PHP,MySQL,Android...

    Informations forums :
    Inscription : juillet 2010
    Messages : 422
    Points : 1 057
    Points
    1 057
    Billets dans le blog
    1
    Par défaut
    Citation Envoyé par ALT Voir le message
    Et une faille soi-disant secrète & jamais corrigée aura toutes les chances d'être exploitée par un pirate, car, tôt ou tard, quelqu'un la découvrira & la publiera sur des forums spécialisés.
    Rien n'est également impossible même quand elle est rendue publique

  12. #52
    Expert éminent
    Avatar de Matthieu Vergne
    Homme Profil pro
    Consultant IT, chercheur IA indépendant
    Inscrit en
    novembre 2011
    Messages
    2 202
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Consultant IT, chercheur IA indépendant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : novembre 2011
    Messages : 2 202
    Points : 7 457
    Points
    7 457
    Billets dans le blog
    3
    Par défaut
    Mais quand elle est publique, ça permet justement aux gens qui n'ont pas la possibilité de la corriger de réagir quand même, et non d'être à la merci de ceux qui ont l'info.
    Site perso
    Recommandations pour débattre sainement

    Références récurrentes :
    The Cambridge Handbook of Expertise and Expert Performance
    L’Art d’avoir toujours raison (ou ce qu'il faut éviter pour pas que je vous saute à la gorge {^_^})

  13. #53
    Expert éminent

    Homme Profil pro
    Retraité
    Inscrit en
    septembre 2002
    Messages
    2 147
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 70
    Localisation : France, Loire Atlantique (Pays de la Loire)

    Informations professionnelles :
    Activité : Retraité

    Informations forums :
    Inscription : septembre 2002
    Messages : 2 147
    Points : 6 466
    Points
    6 466
    Billets dans le blog
    2
    Par défaut
    L'avantage de la découverte de la faille par Google, c'est que le premier informé est l'éditeur (µSoft ou Apple dans les cas présent). Car le problème est : que se passe-t-il si bien avant Google, quelqu'un de mal intentionné découvre cette faille ? Combien de temps lui faut-il pour développer un Malware, Cheval de trois ou autre ?

    En fait, quand Google découvre une faille, c'est peut-être déjà trop tard, et dans ce cas, le délais de 90 jours n'est pas vraiment aussi scandaleux que ça. Et au delà, informer les utilisateurs des risque me semble plutôt une bonne chose.
    Pierre GIRARD

  14. #54
    Membre éprouvé
    Avatar de landry161
    Homme Profil pro
    C#,PHP,MySQL,Android...
    Inscrit en
    juillet 2010
    Messages
    422
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Côte d'Ivoire

    Informations professionnelles :
    Activité : C#,PHP,MySQL,Android...

    Informations forums :
    Inscription : juillet 2010
    Messages : 422
    Points : 1 057
    Points
    1 057
    Billets dans le blog
    1
    Par défaut
    Citation Envoyé par Matthieu Vergne Voir le message
    Mais quand elle est publique, ça permet justement aux gens qui n'ont pas la possibilité de la corriger de réagir quand même, et non d'être à la merci de ceux qui ont l'info.
    Ouais si ils sont vraiment réactifs

  15. #55
    Nouveau membre du Club
    Homme Profil pro
    Étudiant
    Inscrit en
    octobre 2011
    Messages
    56
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : octobre 2011
    Messages : 56
    Points : 39
    Points
    39
    Par défaut Tout dépend du contexte
    Tout dépend du contexte,
    Pour les gars qui développent des petits sites internets c'est con de balancer les failles et c'est surtout gratuit...
    Pour les grosses firmes pleines de frics, ça les obligeraient à investir du pognon dans la sécu, sujet qu'ils approfondissent rarement au profit du profit ..

  16. #56
    Expert éminent
    Avatar de Matthieu Vergne
    Homme Profil pro
    Consultant IT, chercheur IA indépendant
    Inscrit en
    novembre 2011
    Messages
    2 202
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Consultant IT, chercheur IA indépendant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : novembre 2011
    Messages : 2 202
    Points : 7 457
    Points
    7 457
    Billets dans le blog
    3
    Par défaut
    Citation Envoyé par landry161 Voir le message
    Ouais si ils sont vraiment réactifs
    Comme dit plus haut, question de médias. On a eu droit a une tuerie et le soir même plein de monde était dans la rue : les gens sont réactifs, dès lors qu'ils sont informés correctement.
    Site perso
    Recommandations pour débattre sainement

    Références récurrentes :
    The Cambridge Handbook of Expertise and Expert Performance
    L’Art d’avoir toujours raison (ou ce qu'il faut éviter pour pas que je vous saute à la gorge {^_^})

  17. #57
    Expert confirmé Avatar de psychadelic
    Profil pro
    Inscrit en
    mai 2010
    Messages
    2 529
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : mai 2010
    Messages : 2 529
    Points : 4 607
    Points
    4 607
    Par défaut
    90 jours c'est un délai énorme.
    Et sa détection est donne d'énormes indications sur sa problématique, et ne peut qu'aider à fiabiliser l'ensemble du soft, voir même d'autres logiciels.

    En 90 jours, on peut en brasser du code, alors chercher des excuses pour ne pas faire le job et augmenter ce délai, c'est franchement malsain.

    Comme dit plus haut, dans les équipes sur Linux, eux quand une faille est signalée, il ne s'autorisent que 5 Jours pour sa correction !
    «La pluralité des voix n'est pas une preuve, pour les vérités malaisées à découvrir, tant il est bien plus vraisemblable qu'un homme seul les ait rencontrées que tout un peuple.» [ René Descartes ] - Discours de la méthode

Discussions similaires

  1. [Singleton] Toutes les méthodes doivent-elles être 'synchronized'
    Par philippe13 dans le forum Débuter avec Java
    Réponses: 3
    Dernier message: 24/10/2014, 18h48
  2. Les resources doivent-elles être placées dans Thèmes ?
    Par scapefrom dans le forum Windows Presentation Foundation
    Réponses: 1
    Dernier message: 03/08/2010, 16h58
  3. Tester les failles de sécurité d'un site
    Par Général03 dans le forum Sécurité
    Réponses: 7
    Dernier message: 10/09/2009, 17h11
  4. Réponses: 2
    Dernier message: 03/05/2009, 13h18
  5. Déterminer les failles de sécurités sur mon site
    Par whitespirit dans le forum EDI, CMS, Outils, Scripts et API
    Réponses: 2
    Dernier message: 05/06/2008, 08h36

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo