Discussion :

[Kapeutini]

En fait c'est comme si je disais à mon voisin, la porte de derrière dans ton jardin n'est pas fermée à clé tu devrais la corriger
puis comme il ne fait rien, j'affiche une pancarte devant chez moi indiquant cette faille.

Éthique ? je ne sais pas, cela demande réflexion.

Il est possible qu'ils aient trouvé des failles de sécurité gouvernementale et que ce dernier effrayé que cela devienne publique
comme pour les entreprises.

Dommage qu'il se soient fait arrêté, je serais Américain, je ferais tout pour introduire un espion parmi eux et chercher
les failles qui permettrait de révéler au monde, la corruption des dirigeants au plus haut niveau et bien sur tous les
autres renseignements militaires etc ... :-)

Big brother à encore frappé dans l'empire du milieu

[sarnikoff]

Cherche desespérément communauté de hackers esthétiques

NB: En 2004 j'ai eu à m'occuper du piratage de "notre" serveur.
Et après avoir trouvé le formulaire mis à disposition de tout hacker en herbe
dans un sous dossier de site (du côté Sud Est de la France)
j'ai compris qu'il s'agissait alors là d'une l'invasion de limbiques
car dans les fichiers de log, il y avait "de tout et n'importe quoi",
des commandes système innopérandes ,
des requettes SQL Abra Ka Da Bran ....
Finalement le serveur n'avait explosé que par la saturation de ses fichers de log.

Le site n'avait jamais eu autant de visites ...

[pierre++]

C'est comme les vaccins : c'est une chose de rendre obligatoire les plus importants, mais de là à faire pareille pour tout c'est une autre histoire.

Je ne vois pas le rapport avec les vaccins, et bien qu'il existe des virus informatiques, ce n'est pas le sujet.
[Troll on]
Au sujet de la vaccination obligatoire je suis à 100% contre, ne serait-ce que pour les nombreux scandales associées à ceux-ci. Je ne ferai pas l'affront de recommander une petite recherche sur ce sujet. A chacun de savoir s'il veut se protéger ou non, surtout que ceux qui sont vaccinés sont du coup majoritairement porteur d'une forme de la maladie pour laquelle ils sont vaccinés et du coup risquent de contaminer ceux qui ne sont pas vaccinés.
[Troll off]
Maintenant quand on a été victime de pertes de données parce que les responsables sécurités d'une entreprise n'ont pas voulu comater les failles pour lesquelles ils ont été avertis, on ne peut qu'approuver le fait qu'ils soient "contraints" par les lanceurs d'alertes de le faire. La justice n'a rien avoir là dedans.
Quand petit votre mère(/père) vous "contraignait" à aller vous brosser les dents ou vous coucher, vous n'alliez par réclamer une décision de justice pour vous exécuter.

La justice à avoir quand une entreprise a mis en danger les données de ses clients en ne les protégeant pas des menaces connues, et du coup elle (la justice) arrive trop tard les dégâts sont faits. IMHO il est donc tout a fait légitime que quelqu'un qui découvre une faille leur mette la "pression" pour que celle-ci soit corrigée avant qu'une tierce personne mal intentionnée ne l'exploite.

[pierre++]

En fait c'est comme si je disais à mon voisin, la porte de derrière dans ton jardin n'est pas fermée à clé tu devrais la corriger
puis comme il ne fait rien, j'affiche une pancarte devant chez moi indiquant cette faille.

En fait là non plus la comparaison n'est pas terrible car le fait de tout laisser ouvert ne concerne que moi,et mon voisin à la limite qui risque de s’inquiéter de voir que cela peut attirer les voleurs.
Je pencherais plutôt sur la comparaison avec un problème de sécurité dans la fabrication de jouets ou de nourriture, qui malgré qu'il soit signalé au fabricant, celui-ci ne rappelle pas tous ses produits et n'informe pas tous ces clients

[pchevee2]

Ils ne divulguent pas pour être payés, ils divulguent pour que ce soit corrigé.
Que l'entreprise se foute de la sécurité est un problème, et si il faut leur forcer la main pour qu'il colmate le trou de sécurité, je ne voit pas le problème.

Moi je vois le problème: si l'entreprise fait la sourde oreille ou décide de ne rien corriger après le contact du hacker, c'est son droit, même si cela peut potentiellement être dangereux. Qu'on contacte l'entreprise pour lui indiquer l'existence d'un trou de sécurité, soit. Mais qu'on publie la faille (avec peut être le moyen de l'exploiter?) alors qu'on ne leur a rien demandé, on a envie de leur dire qu'ils s'occupent de leurs fesses.

Quant au précepte du "ce qui profite à la communauté l'emporte sur ce qui profite à l'individu", c'est une idée à la Star Trek (ou de Russes). Selon ce précepte, il n'y aurait pas de droits d'auteur, pour prendre juste un exemple.

[Tagashy]

même si cela peut potentiellement être dangereux.

Ce n'est pas potientiellement dangereux c'est dangereux ! Et potentiellement illégal (En france ne pas sécurisé suffisament son SI est illégal pour les particuliers alors pour les entreprises ...) de toute facon si les "hackeurs" ne le divulgait pas au public Shogan.io s'en chargerais et c'est un outil énormément utiliser par les black hat
Il faut arrêter de penser que de forcer la main de quelqu'un est mal.
C'est pourtant ce qui est fait aux employé d'une entreprise lors d'une migrations d'un parc informatique.
Je vois pas pourquoi uniquement les employé qui n'ont pas de connaissance en informatique devrait etre force et pas la SSI qui eux s'y connaisse et son apte a comprendre l'enjeux.
On va me dire ils ont pas le budget et bas justement la divulgation de la faille devrait faire réfléchir les dirigeants et leur permettre d'accorder plus de budget...
d'ailleur 80% des petites entreprises qui ont subit une cyberataque ont fait faillite dans les 3 mois suivants(source http://www.dynamique-mag.com/article/pourquoi-pme-besoin-securite.3883 )Donc il s'agit plus d'un service rendu que d'un problème ...
P.S Oui je supporte ces personnes car la sécurité n'est pas juste une affaire de barbue etant colle a leur ecran 24/24 mais un problème générale

[Guiliguili]

Bonjour,

Il n'y a pas eu Google qui avait publié une faille de Microsoft pour lui imposer de corriger cette dite faille dont Microsoft ignorait volontairement au mépris de la sécurité de ses clients ?

Je n'ai pas vu Google condamné...

Mais Microsoft oui par la vindict populaire

A mon sens, sens autres éléments concernant ce hacker, il me semble complexe de debattre sur ses motivations...

Par contre, il est tout à fait possible de débattre sur le manque de réactivité des société qui refusent de se mettre à jour pour protéger ses clients.

Voilou
Guiliguili

[pascaldm]

Il y a quelques années (entre 1981 et 2000), le simple fait de prendre contact avec un éditeur pour lui notifier une vulnérabilité vous désignait comme coupable et vous étiez poursuivi ou, à tout le moins, inquiété (perquisition à l'aube, convocation au commissariat, interpellation sur le lieu de travail, ...). Cela a été le cas de plusieurs chercheurs de failles de la liste vuln-dev dans les années 1990s (du temps ou elle était indépendante). En fait, il est plus simple pour une entreprise de s'en prendre au messager que de mettre en place une procédure efficace de correction des vulnérabilités (incluant la notification aux utilisateurs des mises à jour).

Sans correction, c'est l'utilisateur qui est exposé et c'est la responsabilité de l'éditeur qui devrait être engagée mais dans la pratique, c'est le contraire qui se passe à cause des forces en présence. Néanmoins, depuis peu les choses commencent à bouger... Aujourd'hui, on voit fleurir des programmes de bug bounty avec des récompenses (financières ou symboliques) aussi bien aux US qu'en France.

Pour la partie éthique, je dirai qu'un chercheur s'inscrivant dans un programme de bug bounty ou notifiant un éditeur sans full-disclosure publique est un hacker éthique. Par contre, s'il s'adonne au marchandage de 0-day alors il bascule du côté obscur de la force. A noter qu'en France, un professionnel de la cybersécurité qui découvre une vulnérabilité inconnue doit en informer l'ANSSI.

Le comportement malheureux de certains acteurs de l'IT réagissant mal à la divulgation de vulnérabilités (partielle ou totale) a produit un essor du marché du 0day ces dernières années. Le vendeur est classiquement un chercheur en cybersécurité indépendant ou une société spécialisée comme feu Vupen ou maintenant Zerodium ou Hacking Team. Les acheteurs sont principalement des cybercriminels ou des Etats. Par exemple, Zerodium a proposé 1 000 000 $ pour une faille spécifique sur IOS 9, tandis que Hacking Team payait de 30 à 40 K€ un exploit distant effectif sur une version de Windows majeure. Ces niveaux de rémunération ont conduit de nombreux experts en recherche de vulnérabilités à travailler exclusivement pour ces canaux. La demande vient des cyberdélinquants et des gouvernements qui utilisent les 0days dans un cadre de sécurité offensive. Cette facette non éthique est nocive, car aussi bien l'éditeur que l'utilisateur sont des victimes et ceux qui en tirent profit sont les chercheurs de vulnérabilités (personnes ou organisation) non éthique et ceux qui exploitent les vulnérabilités (cybercriminels et agences de renseignement).

Le cas des hackers chinois est troublant car il s'agit d'une communauté de whitehats donc de hackers éthiques. Je suis curieux de connaître le mobile des arrestations.

[Jeanchristophe56]

Le bug Bounty, on aime ou aime pas, mais ca fait toujours son effet