IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

« Vous n'avez pas le droit d'appliquer le reverse engineering dans notre code »


Sujet :

Sécurité

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    mars 2013
    Messages
    7 154
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : mars 2013
    Messages : 7 154
    Points : 172 372
    Points
    172 372
    Par défaut « Vous n'avez pas le droit d'appliquer le reverse engineering dans notre code »
    « Vous n'avez pas le droit d'appliquer le reverse engineering sur notre code pour rechercher des vulnérabilités »,
    le coup de gueule de la directrice de la sécurité d'Oracle

    Mary Ann Davidson, la directrice de la sécurité d’Oracle, a rédigé un billet de blog qui a provoqué une polémique au sein de la communauté des chercheurs en informatique. « Non, vous ne pouvez vraiment pas », indiquait-elle en guise de titre d’un billet qui va s’avérer cinglant. « Récemment, j’ai observé une recrudescence dans le reverse engineering pratiqué par les clients dans notre code afin d’y chercher des vulnérabilités. < Insérez un grand soupir ici >. C’est la raison pour laquelle j’ai adressé de nombreux courriels à des clients débutant par ‘salut, comment ça va, aloha’ mais qui se terminaient par ‘s’il vous plaît, conformez-vous à votre contrat de licence et commencez déjà par arrêter de faire du reverse engineering à notre code’ », déclarait-elle.

    Par la suite, Davidson a blâmé les entreprises tierces en expliquant qu’au lieu de se préoccuper des failles dans la sécurité des produits Oracle, elles devraient plus se focaliser sur leurs propres failles. « Ceci étant dit, vous pouvez être amenés à croire qu’avant de se préparer à courir des kilomètres supplémentaires, les clients se seraient déjà assuré d’identifier leurs systèmes critiques, de chiffrer leurs données sensibles, d’appliquer les correctifs adéquats, d’utiliser des produits supportés, d’utiliser des outils pour s’assurer que les configurations sont verrouillées – en bref, l’hygiène de sécurité habituelle – avant de tenter de trouver des vulnérabilités de type zero day dans les produits qu’ils utilisent ».

    Pour elle, même si vous voulez obtenir une certitude raisonnable que les fournisseurs accordent une attention raisonnable à la façon dont ils conçoivent leurs produits, il y a une pléthore d’actions qu’un client peut effectuer comme parler au fournisseur de ses programmes d’assurance ou vérifier la certification des produits comme les certifications Common Criteria ou FIPS-140. « La plupart des vendeurs, du moins la plupart des gros bonnets que je connais, ont des programmes d’assurances robustes (nous le savons parce qu’il nous arrive de comparer nos notes durant des conférences) ». Elle estime que cela devrait suffire à arrêter le client diligent qui se dit « hé, je pense que je vais faire le travail du vendeur et rechercher les problèmes directement dans le code source moi-même » malgré le fait que :

    • Un client n’est pas habilité à analyser le code pour vérifier s’il y aurait un contrôle qui empêche l’attaque de l’outil de scan
    • Un client ne saurait produire un correctif, seul le vendeur peut le faire
    • Un client se retrouve certainement à la limite de la violation du contrat de licence en se servant d’un outil qui fait de l’analyse statistique (qui opère dans le code source).



    Mais qu’advient-il donc si quelqu’un trouvait une faille dans la sécurité d’un produit Oracle et le faisait remonter ? « Si nous déterminons dans le cadre de notre analyse que les résultats analysés pourraient UNIQUEMENT provenir d’un reverse engineering (au moins dans un cas, parce que le rapport avance, assez habilement, "analyse statistique d'Oracle XXXXXX"), nous enverrions une lettre au client qui a pêché et une lettre différente au consultant qui a pêché et agit au nom du client, leur rappelant les termes de l'accord de licence Oracle qui prohibent le reverse engineering, donc, s'il vous plaît cessez déjà. (Dans le jargon juridique, bien sûr l'accord de licence Oracle a une disposition telle que : " le client ne saurait faire du reverse engineering, désassembler, décompiler ou alors tenter de dériver le code source des programmes ... " que nous citons dans notre missive au client) Ah, et nous demandons aux clients / consultants de détruire les résultats de ce reverse engineering et de confirmer qu'ils l’ont fait ».

    Pourquoi en parle-t-elle ? Elle estime ne pas vouloir perdre de temps en disputes tournant autour de la question de la violation de licence, estimant que son équipe à mieux à faire, notamment travailler à l’amélioration du développement du code. « C’est le meilleur moment pour rappeler que je ne piétine personne simplement à cause de l’accord de licence. Comprenez plutôt “ je n’ai pas besoin de vous pour analyser le code puisque nous le faisons déjà, c’est notre devoir de le faire, et nous sommes assez bons dans ce que nous faisons. Nous pouvons, contrairement à une partie tierce ou un outil, analyser le code pour déterminer ce qui se passe. De plus, ces outils ont un taux de faux positif avoisinant les 100% alors, de grâce, ne perdez pas notre temps à rapporter la présence de petits hommes verts dans notre code “. Je ne suis pas en train de fuir nos responsabilités envers les clients, simplement, j’essaye d’éviter un exercice douloureux, gênant et qui entraîne une perte de temps mutuelle ».

    Par la suite elle a répondu à une série de questions réponses pour affirmer encore plus son opinion. L’une d’elle par exemple évoque les Bug Bounty en disant « pourquoi ne pas créer un Bug Bounty ? Payer des tiers pour trouver des failles ». Ce à quoi elle répond « < plus gros soupir> les Bug Bounties sont le nouveau boy band (gentiment allitératif non ?). De nombreuses entreprises crient, s’évanouissent, et jette des sous-vêtements aux chercheurs en sécurité ***** pour qu’ils trouvent des problèmes dans leurs codes et insiste sur le fait que Ceci Est Le Chemin, Emprunte Le : si vous ne proposez pas de Bug Bounty, votre code n’est pas sécurisé. Pourtant, nous avons trouvé 87% des vulnérabilités de sécurité derechef, les chercheurs en sécurité n’ont trouvé que 3% et le reste par les clients (…) je ne dénigre pas les Bug Bounty, je remarque juste qu’en se référant strictement à l’économie, devrais je dépenser beaucoup d’argent pour 3% du problème quand je peux dépenser cet argent dans une meilleure prévention comme employer un autre collaborateur ».

    Oracle a très vite retiré ce billet et a tenu à prendre ses distances. « Nous avons retiré ce billet parce qu’il ne reflète pas nos croyances ou notre relation avec nos clients. La sécurité de nos produits et services a toujours été important pour Oracle. Oracle a un programme robuste d’assurance sécurité produit et travaille conjointement avec des chercheurs en externe et des clients pour s’assurer que les applications conçues sur des technologies Oracle soient sécurisées », a expliqué Edward Screven, vice-président exécutif d'Oracle et architecte en chef de l'entreprise, dans un communiqué de presse.

    Source : Scribd
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre expert
    Profil pro
    undef
    Inscrit en
    février 2013
    Messages
    879
    Détails du profil
    Informations personnelles :
    Localisation : France, Lot (Midi Pyrénées)

    Informations professionnelles :
    Activité : undef

    Informations forums :
    Inscription : février 2013
    Messages : 879
    Points : 3 211
    Points
    3 211
    Par défaut
    Les chercheurs d'Oracle travaillent avec le code source, même si cette méthode est très efficace, elle ne peut fournir exactement les mêmes résultats qu'un cracker malveillant qui chasse la faille 0-day sans pouvoir se référer à un fichier source ; et la fraction de pourcentage représentant une faille 0-day susceptible d'être trouvée par un fanatique le l’hexadécimal à des chances respectables d'être plus dangereuse que tous les bugs/failles décelés par le fabriquant. Par ailleurs, compte tenu de son passif, cette dame devrait faire profil bas, elle ne pourra jamais empêcher ceux qui savent et veulent savoir de pratiquer du reverse engineering, la seule chose qui soit vraiment condamnable est d'en user à dessein de voler du code protégé pour le réutiliser sans autorisation.

  3. #3
    Expert éminent Avatar de BufferBob
    Profil pro
    responsable R&D vidage de truites
    Inscrit en
    novembre 2010
    Messages
    3 019
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : responsable R&D vidage de truites

    Informations forums :
    Inscription : novembre 2010
    Messages : 3 019
    Points : 8 365
    Points
    8 365
    Par défaut
    cette blague "vous n'avez pas le droit de reverser nos binaires" suivi d'un mouvement equissé de la main "les dataris feront l'affaire"

    donc concrètement ça ne va pas empêcher les hackers de chercher des vulns dans les produits Oracle, la seule différence c'est que les vulns circuleront sous le manteau (0days) et/ou seront publiées anonymement au lieu de rentrer dans le processus classique qui fait qu'en général l'entreprise concernée sent qu'on lui met la pression et se dépêche de sortir un patch

  4. #4
    Membre éprouvé
    Homme Profil pro
    Consultant en technologies
    Inscrit en
    juin 2013
    Messages
    272
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Consultant en technologies
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : juin 2013
    Messages : 272
    Points : 1 001
    Points
    1 001
    Par défaut
    Aha si j'ai bien compris ce qu'elle veut dire c'est que si je (bon j'ai aucune chances hein) trouve une faille 0-day dans un logiciel oracle avec la solution de reverse engineering c'est que je risque plus un procès pour violation d'un contrat d'utilisation que de voir un correctif sortir ?

  5. #5
    Membre actif
    Profil pro
    Developpeur
    Inscrit en
    décembre 2004
    Messages
    62
    Détails du profil
    Informations personnelles :
    Localisation : France, Loire Atlantique (Pays de la Loire)

    Informations professionnelles :
    Activité : Developpeur

    Informations forums :
    Inscription : décembre 2004
    Messages : 62
    Points : 221
    Points
    221
    Par défaut
    depuis leur rachat de Sun. Oracle cherche par tous les moyens de rentabiliser leur investissements. Cette réaction ne m'étonne pas. Et je ne serai pas surpris qu'un jour, développeurs ou simple utilisateurs doivent s'acquitter d'une licence.

    Pour en revenir au fond du problème, une entreprise qui un jour se retrouve confronté à une faille en recherera les causes et finira certainement par faire du reverse.
    Toutes les assurances du monde ne permettent pas de réparer une perte de confiance dans un produit ou une marque.

  6. #6
    Membre éclairé
    Profil pro
    Ingénieur sécurité
    Inscrit en
    février 2007
    Messages
    574
    Détails du profil
    Informations personnelles :
    Âge : 38
    Localisation : Etats-Unis

    Informations professionnelles :
    Activité : Ingénieur sécurité
    Secteur : Industrie

    Informations forums :
    Inscription : février 2007
    Messages : 574
    Points : 748
    Points
    748
    Par défaut
    C'est exactement ce genre de déclaration qui pousse les chercheurs a ne pas travailler avec le vendeur, mais plutôt a divulguer les failles directement sur internet.
    Ça m’étonnerais pas qu'on voit plus de 0-day qu'avant sur les produits Oracle.

  7. #7
    Membre expert Avatar de jopopmk
    Homme Profil pro
    Développeur informatique
    Inscrit en
    mars 2011
    Messages
    1 856
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : mars 2011
    Messages : 1 856
    Points : 3 564
    Points
    3 564
    Par défaut
    Il lui est arrivé quoi à la dame pour faire une sortie pareille ?
    Chef de sécu, elle a peur qu'un client trouve une faille et montre son incompétence ?

    Le coup du "vérifiez d'abord les failles de vos produits" est particulièrement puéril et malvenu (chercher les failles dans son produit c'est avant tout chercher les failles dans les briques de base, les fondations que sont les solutions tiers utilisées [remember Heartbleed]).

    Bon perso je taf avec OCI et je me vois mal gratter leur code pour chercher des failles, je leur laisse ce plaisir

    @NaSa : à quel produit tu penses ? Faire payer Java serait se tirer une balle dans le pied, et OpenOffice et MySQL ont déjà leurs remplaçants en libre.
    Plus je connais de langages, plus j'aime le C.

  8. #8
    Inactif  

    Homme Profil pro
    NR
    Inscrit en
    juin 2013
    Messages
    3 715
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Suisse

    Informations professionnelles :
    Activité : NR
    Secteur : Aéronautique - Marine - Espace - Armement

    Informations forums :
    Inscription : juin 2013
    Messages : 3 715
    Points : 1 167
    Points
    1 167
    Billets dans le blog
    9
    Par défaut
    En gros on découvre une faille, on dis rien....

    Étrange, si quelqu'un trouvait une faille dans un de mes programmes, je serais content qu'il me la signale. Si j'étais une entreprise multinational qui fait des milliards de bénef, je rémunérerais même ceux qui me trouve des failles.

    Tant que le hacker n'utilise pas le reverse engineering pour s'approprier le code ou vendre des failles a des organisations peut scrupuleuse.
    Un peu comme si je découvrait une faille dans les cartes bancaire, et qu'on me mette en prison pour avoir alerter le gouvernement.


    Un client n’est pas habilité à analyser le code pour vérifier s’il y aurait un contrôle qui empêche l’attaque de l’outil de scan
    Et pourquoi sa ?, Oracle à les meilleurs dev du monde, les autres c'est des bricoleurs du dimanche ?

    Comme Client oracle a juste Google, MS ou Apple par exemple, des entreprises réputés pour avoir des manches a balais dans leurs équipes

    Je sais pas pour vous, mais je déteste de plus en plus Oracle moi, surtout depuis le dernier procès contre Google, c'est une entreprise que je me passerais bien.

  9. #9
    Membre actif
    Homme Profil pro
    Développeur .NET
    Inscrit en
    décembre 2012
    Messages
    1
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Belgique

    Informations professionnelles :
    Activité : Développeur .NET
    Secteur : Service public

    Informations forums :
    Inscription : décembre 2012
    Messages : 1
    Points : 290
    Points
    290
    Par défaut
    Citation Envoyé par sazearte Voir le message
    Un peu comme si je découvrait une faille dans les cartes bancaire, et qu'on me mette en prison pour avoir alerter le gouvernement.
    ça n'a pas réussi à Serge Humpich.

  10. #10
    Membre éclairé
    Homme Profil pro
    nop
    Inscrit en
    mars 2015
    Messages
    436
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Somme (Picardie)

    Informations professionnelles :
    Activité : nop
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : mars 2015
    Messages : 436
    Points : 658
    Points
    658
    Par défaut
    je me doutais qu'il y aurait des réactions trolliennes voire machistes en lisant cette news.
    Il n'y a plus beaucoup de développeurs qui respectent le travail des autres, pensant que tout est gratuit ou opensource ou à coffre-ouvert ou copiable donc sans valeur.

    il y a une nuance entre "trouver une faille" et chercher une faille". Si vous ne comprenez pas cette nuance. Il n'est pas utile de répondre à ce sujet avec un point de vue professionnel éditeur ou programmeur.

    J'avais déjà exprimé le même avis sur ce forum, et on m'avait lancer des pierres.

    Je le répète, il i y a une nuance entre chercher et trouver.

  11. #11
    Inactif  

    Homme Profil pro
    NR
    Inscrit en
    juin 2013
    Messages
    3 715
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Suisse

    Informations professionnelles :
    Activité : NR
    Secteur : Aéronautique - Marine - Espace - Armement

    Informations forums :
    Inscription : juin 2013
    Messages : 3 715
    Points : 1 167
    Points
    1 167
    Billets dans le blog
    9
    Par défaut
    ça n'a pas réussi à Serge Humpich.
    Je pensait justement lui quand j'ai écrit mon post, merci d'avoir trouvé

  12. #12
    Membre actif
    Profil pro
    Developpeur
    Inscrit en
    décembre 2004
    Messages
    62
    Détails du profil
    Informations personnelles :
    Localisation : France, Loire Atlantique (Pays de la Loire)

    Informations professionnelles :
    Activité : Developpeur

    Informations forums :
    Inscription : décembre 2004
    Messages : 62
    Points : 221
    Points
    221
    Par défaut
    @jopopmk Je ne cible aucun produit en particulier. J'imagine juste le déroulement pour une entreprise si une de leur application se retrouver avec une faille...

  13. #13
    Membre chevronné
    Profil pro
    Inscrit en
    octobre 2005
    Messages
    930
    Détails du profil
    Informations personnelles :
    Âge : 42
    Localisation : France

    Informations forums :
    Inscription : octobre 2005
    Messages : 930
    Points : 1 764
    Points
    1 764
    Par défaut
    Citation Envoyé par Mary Ann Davidson
    Ah, no. The point of our prohibition against reverse engineering is intellectual property protection, not “how can we cleverly preventcustomers from finding security vulnerabilities – bwahahahaha – so we never have to fix them – bwahahahaha.”
    Avant d'accuser Oracle de négligence, il faut se rappeler qu'elle a des secrets industriels à protéger, il est donc parfaitement raisonnable qu'Oracle refuse l'ingénierie à rebours sur ses produits. Sinon n'importe qui pourrait, sous prétexte de recherche en sécurité, démonter le SGBD et s'en inspirer pour améliorer un produit concurrent.

    Cependant cette approche a plusieurs problèmes :
    - Ceux qui utilise l'ingénierie à rebours à fin d'espionnage industriel ne vont pas s'en vanter en faisant des rapports de bogues. Bien au contraire, plus il y a de failles dans Oracle, mieux c'est pour eux.
    - Les clients qui font des rapports de bogues utilisent Oracle et sont peu susceptibles de développer eux-mêmes un produit concurrent.
    - Les pirates qui recherchent des failles dans des buts illégaux ne vont pas se gêner pour décompiler le logiciel, quoique dise la license.
    En d'autres termes, je ne suis pas convaincu par la sécurité par offuscation.

    Je trouve aussi que le ton de ce post de blog est très irrespectueux. C'est à ses clients qu'elle s'adresse.

  14. #14
    Membre averti
    Homme Profil pro
    Lycéen
    Inscrit en
    décembre 2014
    Messages
    106
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Seine et Marne (Île de France)

    Informations professionnelles :
    Activité : Lycéen

    Informations forums :
    Inscription : décembre 2014
    Messages : 106
    Points : 322
    Points
    322
    Par défaut
    "Vous n'avez pas le droit d'appliquer le reverse-engineering dans notre code"
    Si, on peut totalement, en tous cas en France :

    Code de la propriété intellectuelle - Article L122-6-1

    III. La personne ayant le droit d'utiliser le logiciel peut sans l'autorisation de l'auteur observer, étudier ou tester le fonctionnement ou la sécurité de ce logiciel afin de déterminer les idées et principes qui sont à la base de n'importe quel élément du logiciel lorsqu'elle effectue toute opération de chargement, d'affichage, d'exécution, de transmission ou de stockage du logiciel qu'elle est en droit d'effectuer.

  15. #15
    Expert éminent sénior Avatar de Uther
    Homme Profil pro
    Inscrit en
    avril 2002
    Messages
    4 454
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Pyrénées Orientales (Languedoc Roussillon)

    Informations forums :
    Inscription : avril 2002
    Messages : 4 454
    Points : 14 102
    Points
    14 102
    Par défaut
    Citation Envoyé par MichaelREMY Voir le message
    je me doutais qu'il y aurait des réactions trolliennes voire machistes en lisant cette news.
    Il n'y a plus beaucoup de développeurs qui respectent le travail des autres, pensant que tout est gratuit ou opensource ou à coffre-ouvert ou copiable donc sans valeur.
    Et on pouvait tout autant se douter qu'il y aurait des gens qui réagiraient instinctivement au mot reverse-engineering sans prendre en compte le contexte.

    Il ne s'agit pas en l’occurrence d'un problème de vol de propriété intellectuelle, mais de sécurité. Bien évidement que le reverse-engineering à des fins de copie est condamnable, mais de toute façon les personnes qui font ça ne vont pas contacter Oracle pour s'en vanter.

    Là il s'agit de reverse-engineering à des fins d'analyse de sécurité. Si Oracle se met à menacer ceux qui remontent de vrais problèmes de sécurité au motif qu'ils y sont arrivés par reverse-engineering, il y a de quoi questionner leur politique de sécurité. Les pirates mal intentionnés se fichent pas mal du discours de Mary Ann Davidson, ils feront du reverse-engineering de toute façon et Oracle n'en saura jamais rien.

  16. #16
    Membre expert Avatar de jopopmk
    Homme Profil pro
    Développeur informatique
    Inscrit en
    mars 2011
    Messages
    1 856
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : mars 2011
    Messages : 1 856
    Points : 3 564
    Points
    3 564
    Par défaut
    Citation Envoyé par NaSa Voir le message
    @jopopmk Je ne cible aucun produit en particulier. J'imagine juste le déroulement pour une entreprise si une de leur application se retrouver avec une faille...
    Si un produit Oracle (hors Sun) a une faille ils se dépêcheront de la fixer, même sur leurs produits gratuits (c'est leur image qui est en jeu).

    Perso j'ai pas de "dent" contre Oracle, leur DB pro est stable, performante et constante sur la montée en charge.
    Par contre le discours de cette dame me parait un peu bizarre, sur la défensive.
    On dit pas à ses clients "occupe toi de ton c.ul" et "tes produits sont plein de trous" sans background.

    @derderder : est-on sûr que c'est la loi française qui s'applique ? J'avoue ne pas bien connaitre le sujet.
    Plus je connais de langages, plus j'aime le C.

  17. #17
    Membre averti
    Homme Profil pro
    Lycéen
    Inscrit en
    décembre 2014
    Messages
    106
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Seine et Marne (Île de France)

    Informations professionnelles :
    Activité : Lycéen

    Informations forums :
    Inscription : décembre 2014
    Messages : 106
    Points : 322
    Points
    322
    Par défaut
    Citation Envoyé par jopopmk Voir le message

    @derderder : est-on sûr que c'est la loi française qui s'applique ? J'avoue ne pas bien connaitre le sujet.
    La loi qui s'applique est celle du pays de résidence, et si les américains n'ont pas le droit de décompiler, les français et surement d'autre pays le peuvent, hors cette dame s'adresse à tous ses clients, pas seulement les américains.

  18. #18
    Expert éminent Avatar de BufferBob
    Profil pro
    responsable R&D vidage de truites
    Inscrit en
    novembre 2010
    Messages
    3 019
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : responsable R&D vidage de truites

    Informations forums :
    Inscription : novembre 2010
    Messages : 3 019
    Points : 8 365
    Points
    8 365
    Par défaut
    Citation Envoyé par Uther Voir le message
    Il ne s'agit pas en l’occurrence d'un problème de vol de propriété intellectuelle mais de sécurité.
    le point est là; ce qu'elle dit dans le fond c'est qu'y en a marre que ses clients fassent du RE sur les produits Oracle et remontent des failles comme si de rien n'était

    là où elle fait une faute énorme de communication c'est que dans la foulée elle répond en gros occupez vous de vos fesses avant de chercher des vulns dans les miennes, ce qui laisse penser qu'elle ne veut pas qu'on trouve des failles dans ses produits, mais en fait ce qui l'agace c'est bien que les clients Oracle rompent le contrat qui stipule de ne pas faire de rétro-ingénierie, parcequ'il y a des enjeux comme le fait remarquer BugFactory et que c'est pas anodin, faire comme si de rien n'était quand les clients démontent un binaire juste parcequ'ils ont trouvé une faille ça reviendrait pour Oracle à se laisser marcher sur les conditions d'utilisation

    c'est un peu le même problème que pour Batman, comme il rend des services et qu'il est du coté des gentils on le laisse faire, mais concrètement il fait justice lui-même et c'est pas son job, et ça le met hors-la-loi, ce qu'elle dit elle finalement c'est que la police est plus efficace à 87% contre seulement 3% pour Batman et qu'il faut qu'il arrête

    c'est à mon avis pour l'essentiel une belle faute de comm.

  19. #19
    Modérateur
    Avatar de kolodz
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    avril 2008
    Messages
    2 208
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 35
    Localisation : France, Rhône (Rhône Alpes)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : avril 2008
    Messages : 2 208
    Points : 8 318
    Points
    8 318
    Billets dans le blog
    51
    Par défaut
    Citation Envoyé par derderder Voir le message
    "Vous n'avez pas le droit d'appliquer le reverse-engineering dans notre code"
    Si, on peut totalement, en tous cas en France :

    Code de la propriété intellectuelle - Article L122-6-1

    III. La personne ayant le droit d'utiliser le logiciel peut sans l'autorisation de l'auteur observer, étudier ou tester le fonctionnement ou la sécurité de ce logiciel afin de déterminer les idées et principes qui sont à la base de n'importe quel élément du logiciel lorsqu'elle effectue toute opération de chargement, d'affichage, d'exécution, de transmission ou de stockage du logiciel qu'elle est en droit d'effectuer.
    La fin de la phrase est explicite, non ? "qu'elle est en droit d'effectuer"
    En gros, tu as le droit de tester/utiliser et d'en faire des observations. Le "Reverse Engineering" étant explicitement interdit dans les CGU, tu n'es pas endroit de le faire. La seule chose que dit cette article, c'est qu'à partir du moment où tu respect ce que tu as le droit ou non de faire. Tu n'es pas obligé d'en demander l'autorisation à l'auteur. En gros, tu peux faire un benchmark... Je ne conseil à personne de faire du "Reverse Engineering" publiquement en se basant sur cette article.

    Pour ce qui est de la politique d'Oracle et de son support technique. (Qui a tendance à être identique à beaucoup d'autre) L'objectif principal est de fermé les tickets au plus vite. Que cela soit avec ou sans "Reverse Engineering" impliqué dans la demande. Cela leur facilite juste la tâche.
    Note : Pour moi la gestion de la sécurité se fait principalement via le support technique.

    Cordialement,
    Patrick Kolodziejczyk.
    Si une réponse vous a été utile pensez à
    Si vous avez eu la réponse à votre question, marquez votre discussion
    Pensez aux FAQs et aux tutoriels et cours.

  20. #20
    Membre éclairé
    Homme Profil pro
    nop
    Inscrit en
    mars 2015
    Messages
    436
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Somme (Picardie)

    Informations professionnelles :
    Activité : nop
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : mars 2015
    Messages : 436
    Points : 658
    Points
    658
    Par défaut
    III. La personne ayant le droit d'utiliser le logiciel peut sans l'autorisation de l'auteur observer, étudier ou tester le fonctionnement ou la sécurité de ce logiciel afin de déterminer les idées et principes qui sont à la base de n'importe quel élément du logiciel lorsqu'elle effectue toute opération de chargement, d'affichage, d'exécution, de transmission ou de stockage du logiciel qu'elle est en droit d'effectuer.
    comme je l'ai dit plus haut, la compréhension du verbe français est primordiale.

    dans ce texte, on dit qu'on a le droit d'étudier/observer/tester : le fonctionnement, la sécurité DANS LA CONDITION que cela se passe dans l'opération d'affichage, d'exécution, de transmission.

    Décompiler un code source et l'étudier ne rentre pas dans ce cadre, donc c'est illégal.

    Chercher une faille est différent de trouver une faille.

    Je rappelle que si une personne analyse par exemple l l'interface web de sa banque pour rechercher des failles, c'est illégal.
    Tout comme il est illégal de tenter tous les mots du dictionnaire pour trouver un mot de passe par défaut dans un logiciel inoffensif.

Discussions similaires

  1. [Designer V5-V6] Erreur UX0003 à l'ouverture : vous n'avez pas les droits d'accès à cet univers
    Par kalaghan dans le forum Débuter
    Réponses: 4
    Dernier message: 04/06/2009, 17h07
  2. Réponses: 4
    Dernier message: 10/04/2009, 12h10
  3. Vous n'avez pas l'autorisation de mettre à jour
    Par Gunner4902 dans le forum Windows XP
    Réponses: 3
    Dernier message: 14/05/2008, 16h25
  4. Réponses: 7
    Dernier message: 02/08/2006, 12h54

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo