IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Chine : dix membres de la plus grande communauté de hackers éthiques arrêtés par la police


Sujet :

Sécurité

  1. #1
    Chroniqueur Actualités
    Avatar de Michael Guilloux
    Homme Profil pro
    Data Consultant
    Inscrit en
    juillet 2013
    Messages
    2 499
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 31
    Localisation : Côte d'Ivoire

    Informations professionnelles :
    Activité : Data Consultant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : juillet 2013
    Messages : 2 499
    Points : 78 606
    Points
    78 606
    Billets dans le blog
    2
    Par défaut Chine : dix membres de la plus grande communauté de hackers éthiques arrêtés par la police
    Chine : dix membres de la plus grande communauté de hackers éthiques ont été arrêtés par la police
    quelles sont les raisons ?

    Les autorités chinoises ont mis aux arrêts il y a une semaine Fang Xiaodun, le chef de la plus grande communauté de hackers éthiques en Chine. Avec lui, neuf autres membres du groupe connu sous le nom de Wooyun ont également été arrêtés, mais les raisons de ces arrestations n’ont pas été rendues publiques.

    Wooyun est une communauté indépendante de près de 5000 chercheurs en sécurité. Comme la plupart des chercheurs en sécurité, ceux de Wooyun utilisent des techniques de piratage afin d’identifier des failles de sécurité dans les systèmes des entreprises et du gouvernement. Les failles découvertes sont ensuite communiquées discrètement aux entreprises concernées pour leur permettre de les corriger. En contrepartie, les chercheurs de Wooyun peuvent recevoir des primes de la part des entreprises pour les différentes vulnérabilités découvertes dans leurs systèmes. Comme on l’observe fréquemment, certaines entreprises peuvent réagir à l’alerte pour faire corriger les failles signalées, mais d’autres non. Pour ces dernières, passé un certain délai, Wooyun publie sur son site web les détails des failles de sécurité découvertes, un recours ultime pour leur mettre la pression afin de fixer leurs systèmes.

    Après la divulgation des failles de sécurité, les entreprises sont alors davantage exposées étant donné qu’un pirate pourrait exploiter ces vulnérabilités pour s’infiltrer dans leurs systèmes. D’ailleurs, le quotidien Hong Kong Free Press rapporte que certaines entreprises ont été piratées peu après que des failles dans leurs systèmes aient été rendues publiques par Wooyun. Hong Kong Free Press ne dit toutefois pas si ce sont ces failles divulguées qui ont été exploitées.

    Le 19 juillet, le site de Wooyun sur lequel sont divulguées les failles de sécurité ignorées par les entreprises alertées a été suspendu. Le lendemain, le chef de la communauté de hackers éthiques a annoncé une opération de mise à niveau du site pour justifier cela, en rassurant que la situation sera restaurée d’un moment à l’autre. Mais le site est à ce jour encore suspendu. Les dix membres de Wooyun dont Fang Xiaodun ont également été arrêtés par la police peu de temps après cet évènement sans que les raisons de leur arrestation ne soient communiquées. Selon des sources, le site n’a pas été mis hors service par des parties externes, mais plutôt par des membres de Wooyun pour minimiser certains risques. Auraient-ils été sous pression d’une autorité quelconque ? C’est ce qu’insinuent les observateurs.

    Parmi les hypothèses sur cette arrestation, certains affirment que Fang Xiaodun doit répondre de ses actes devant la justice parce que des entreprises auraient été piratées après que Wooyun avait divulgué des détails sur des failles de sécurité dans leurs systèmes. Zhao Zhanling, consultant juridique pour Internet Society en Chine, évoque cette raison. Pour ce dernier, Fang Xiaodun et ses pairs pourraient faire face à des poursuites judiciaires, parce les techniques de piratage employées n’ont pas été exécutées sur les propres plateformes de Wooyun, mais sur celles d’autres organisations. Et en publiant les détails de ces failles sur son site web, Wooyun a permis à des acteurs malveillants de pirater ces entreprises. Cette conclusion est critique parce qu’elle implique par exemple que toutes les entreprises de sécurité en Chine violent la loi lorsqu’elles publient des failles de sécurité alors que les éditeurs alertés n’ont pas corrigé leurs produits.

    Outre cette hypothèse, de nombreux observateurs pointent directement le gouvernement chinois du doigt. Certains soupçonnent les membres de Wooyun d’avoir piraté les réseaux du gouvernement pour en identifier les failles, mais sans l’autorisation des autorités chinoises. Ils auraient donc été arrêtés par les autorités qui ont décidé de les traiter au même titre que tous les autres pirates.

    Source : Hong Kong Free Press

    Et vous ?

    Qu’en pensez-vous ?

    Voir aussi :

    La Chine cherche à restreindre l'utilisation des réseaux sociaux par la presse, les médias ne pourront plus les citer comme source d'information
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre extrêmement actif
    Homme Profil pro
    Consultant Ingenierie mécanique
    Inscrit en
    mars 2006
    Messages
    1 269
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Yvelines (Île de France)

    Informations professionnelles :
    Activité : Consultant Ingenierie mécanique
    Secteur : Transports

    Informations forums :
    Inscription : mars 2006
    Messages : 1 269
    Points : 2 959
    Points
    2 959
    Par défaut
    Un hacker, qui passé un certain délai divulgue une faille au publique n'est pas éthique !!
    Un hacker qui agit comme ça n'est qu'un pirate, car c'est un simple chantage !
    S'il était vraiment éthique, il accepterait le fait que certaine entreprise s'en foute et qu'il ne ce ferait potentiellement jamais payé que la faille soie colmatée ou non.

  3. #3
    Membre averti
    Inscrit en
    octobre 2005
    Messages
    133
    Détails du profil
    Informations forums :
    Inscription : octobre 2005
    Messages : 133
    Points : 379
    Points
    379
    Par défaut
    Citation Envoyé par Aiekick Voir le message
    Un hacker, qui passé un certain délai divulgue une faille au publique n'est pas éthique !!
    Un hacker qui agit comme ça n'est qu'un pirate, car c'est un simple chantage !
    S'il était vraiment éthique, il accepterait le fait que certaine entreprise s'en foute et qu'il ne ce ferait potentiellement jamais payé que la faille soie colmatée ou non.
    Ils ne divulguent pas pour être payés, ils divulguent pour que ce soit corrigé.
    Que l'entreprise se foute de la sécurité est un problème, et si il faut leur forcer la main pour qu'il colmate le trou de sécurité, je ne voit pas le problème.

  4. #4
    Nouveau membre du Club
    Profil pro
    Développeur informatique
    Inscrit en
    juillet 2006
    Messages
    37
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : juillet 2006
    Messages : 37
    Points : 37
    Points
    37
    Par défaut
    Le problème c'est la coercition exercée par les pirates pour obliger les entreprises à faire les corrections.
    Seul la justice doit avoir un pouvoir de coercition.

  5. #5
    Membre actif
    Homme Profil pro
    Consultant informatique
    Inscrit en
    octobre 2012
    Messages
    82
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 45
    Localisation : Suisse

    Informations professionnelles :
    Activité : Consultant informatique
    Secteur : Finance

    Informations forums :
    Inscription : octobre 2012
    Messages : 82
    Points : 277
    Points
    277
    Par défaut
    Citation Envoyé par bilgetz Voir le message
    Ils ne divulguent pas pour être payés, ils divulguent pour que ce soit corrigé.
    Que l'entreprise se foute de la sécurité est un problème, et si il faut leur forcer la main pour qu'il colmate le trou de sécurité, je ne voit pas le problème.
    Sérieux, vous ne voyez pas où est le problème de forcer quelqu'un à faire quelque chose ?

  6. #6
    Membre averti
    Profil pro
    Développeur .NET
    Inscrit en
    octobre 2010
    Messages
    78
    Détails du profil
    Informations personnelles :
    Localisation : Canada

    Informations professionnelles :
    Activité : Développeur .NET
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : octobre 2010
    Messages : 78
    Points : 367
    Points
    367
    Par défaut
    Ce n'est pas une arrestation mais un entretien d'embauche insistant.

  7. #7
    Futur Membre du Club
    Homme Profil pro
    Étudiant
    Inscrit en
    novembre 2015
    Messages
    27
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Val de Marne (Île de France)

    Informations professionnelles :
    Activité : Étudiant
    Secteur : Santé

    Informations forums :
    Inscription : novembre 2015
    Messages : 27
    Points : 9
    Points
    9
    Par défaut
    Oui ça peut être problématique de forcer quelqu'un à faire une chose, mais quand cette personne fait prendre des risques à d'autres par son inaction, je pense que la question peut être débattu, et je pense personnellement que le bien commun passe avant le bien individuel. Dans ce cas, une société refusant de corriger des failles de sécurités doit être forcé de le faire au plus vite. La découverte de ces failles par d'autres personnes moins bien intentionnés pourrait être bien plus grave selon moi.

  8. #8
    Expert éminent
    Avatar de Matthieu Vergne
    Homme Profil pro
    Consultant IT, chercheur IA indépendant
    Inscrit en
    novembre 2011
    Messages
    2 200
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Consultant IT, chercheur IA indépendant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : novembre 2011
    Messages : 2 200
    Points : 7 448
    Points
    7 448
    Billets dans le blog
    3
    Par défaut
    Je suis aussi d'accord que le forcing ne devrait pas être à l'initiative du chercheur/hacker, mais de la justice. On peut effectivement débattre des cas où la faille peut impacter des personnes externes, mais ce n'est d'une part pas le cas de toutes les failles, et d'autre part pas une raison pour jouer les robins des bois. Que la personne informe l'entreprise est bien. Qu'elle publie ensuite le moyen d'attaque et le moyen de la corriger est bien aussi, mais qu'il soit annoncé que telle entreprise est sujette à telle attaque va trop loin.

    C'est comme les vaccins : c'est une chose de rendre obligatoire les plus importants, mais de là à faire pareille pour tout c'est une autre histoire.
    Site perso
    Recommandations pour débattre sainement

    Références récurrentes :
    The Cambridge Handbook of Expertise and Expert Performance
    L’Art d’avoir toujours raison (ou ce qu'il faut éviter pour pas que je vous saute à la gorge {^_^})

  9. #9
    Membre régulier
    Homme Profil pro
    Agent secret
    Inscrit en
    août 2011
    Messages
    35
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Japon

    Informations professionnelles :
    Activité : Agent secret
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : août 2011
    Messages : 35
    Points : 99
    Points
    99
    Par défaut
    Citation Envoyé par Aiekick Voir le message
    Un hacker, qui passé un certain délai divulgue une faille au publique n'est pas éthique !!
    Un hacker qui agit comme ça n'est qu'un pirate, car c'est un simple chantage !
    S'il était vraiment éthique, il accepterait le fait que certaine entreprise s'en foute et qu'il ne ce ferait potentiellement jamais payé que la faille soie colmatée ou non.
    En effet, le terme de l'article (“éthique”) me dérange beaucoup dans la mesure où ils usent de méthodes illégales pour hacker des infrastructures. Hors, un hacker éthique ne procède que via des méthodes autorisées par la loi, ou avec l'accord explicite des organismes concernés.

  10. #10
    Futur Membre du Club
    Homme Profil pro
    Étudiant
    Inscrit en
    novembre 2015
    Messages
    27
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Val de Marne (Île de France)

    Informations professionnelles :
    Activité : Étudiant
    Secteur : Santé

    Informations forums :
    Inscription : novembre 2015
    Messages : 27
    Points : 9
    Points
    9
    Par défaut
    L'éthique peut s'opposer au droit, ce sont deux notions sans relations. Le meilleur exemple est celui de robin des bois : il est éthique de redistribuer les richesses, mais il n'est pas légal de le faire en volant.

    Et la seule chose que j'ai trouvé parlant d'éthique des hackers dit explicitement qu'il faut se méfier de l'autorité. Dans ce cadre, je pense qu'il faudrait d'abord trouver un moyen de définir un hacker éthique. Mais je doute que l'on puisse trouver une telle notion.

    Edit:
    Je n'avais pas pensé à rajouter le lien vers cette "éthique des hackers". Le voila : http://www.volle.com/lectures/citati...ckersethic.htm

  11. #11
    Expert éminent sénior Avatar de disedorgue
    Homme Profil pro
    Ingénieur intégration
    Inscrit en
    décembre 2012
    Messages
    3 905
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Ingénieur intégration
    Secteur : High Tech - Opérateur de télécommunications

    Informations forums :
    Inscription : décembre 2012
    Messages : 3 905
    Points : 11 476
    Points
    11 476
    Par défaut
    Bonjour,

    Pour ma part, dévoiler une faille de sécurité doit ce faire de manière anonyme, c'est-à-dire sans mention de près ou de loin de qui est en cause.

    Après, si c'est un logiciel qui en cause, il y a un cadre à respecter: communiquer le problème à l'éditeur pour qu'il corrige la faille (voir lui fournir le correctif) et si celui-ci ne se décide pas à corriger, on peut très bien communiquer qu'il y a une faille sans dire laquelle et fortement conseiller d'éviter le dit logiciel tant que celui-ci n'a pas été corrigé.

    AH, c'est vrai, j'avais oublié que le soi-disant "Hacker éthique" ne vit pas que d'amour et d'eau fraîche et doit donc être payé sinon où serait le bien fondé de l'éthique dans tout ça .
    Cordialement.

  12. #12
    Expert confirmé
    Avatar de TiranusKBX
    Homme Profil pro
    Développeur C, C++, C#, Python, PHP, HTML, JS, Laravel, Vue.js
    Inscrit en
    avril 2013
    Messages
    1 476
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 32
    Localisation : France, Seine et Marne (Île de France)

    Informations professionnelles :
    Activité : Développeur C, C++, C#, Python, PHP, HTML, JS, Laravel, Vue.js
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : avril 2013
    Messages : 1 476
    Points : 4 746
    Points
    4 746
    Billets dans le blog
    6
    Par défaut
    Il ne faut pas oublier que malgré le "nettoyage" de ces dernières années les services publiques chinois sont bien corrompus.
    De ce fait il ne serait pas étonnant que ce soit des représailles d'une ou plusieurs entreprisses voulant se venger même si ces idiots devraient regarder dans le miroir pour voir les fautifs, vus que si l'on vous dit que vous avez oublié de fermer vôtre coffre vous allez vous empresser de le fermer pour éviter le vol, alors pourquoi ce n'est pas fait pour ces entreprisses
    Rien, je n'ai plus rien de pertinent à ajouter

  13. #13
    Membre confirmé
    Homme Profil pro
    Ingénieur sécurité
    Inscrit en
    mars 2014
    Messages
    158
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 26
    Localisation : France

    Informations professionnelles :
    Activité : Ingénieur sécurité

    Informations forums :
    Inscription : mars 2014
    Messages : 158
    Points : 459
    Points
    459
    Par défaut
    Bonjour,
    J'etudie la sécurité informatique depuis 3 ans et d'apres ce que j'ai lue les "hacker" ont suivie une pratique très courante en sécurité de divulgué la faille d'abord a l'entreprise puis si celle ci n'est pas corriger dans une duree aproprie (2-3 mois) de la divulgué publiquement. Ce n'est pas que ce groupe d'auditeur qui agit ainsi mais une grande partie des auditeurs procedent de cette facon, de plus ce genre de personne n'est pas intéresser par la récompense mais par l'objectif d'obtenir un écosystème sécurisé, certe comme tout le monde ils sont heureux lorsqu'ils sont rémunérés.
    Pour faire une analogie:
    Imaginez un marchand de serure qui fabrique les serures de tout un quartier mais avec un leger defaut qui permait en utilisant la clé de votre voisin d'ouvrir votre porte. Dans ce cas les auditeurs contacterais discrètement le fournisseur en l'informant du problème. Cependant si au bout de six mois après avoir relancer des dizaines de fois le serrurier celui-ci ne fait rien qu'est ce que vous préféré, savoir que votre porte est vulnérable et que votre serrurier n'en a rien a faire ou que vous ne sachiez rien et que n'importe qui dans votre quartier puisse rentre chez vous sans que vous ne le sachiez? Du côté des auditeurs le choix est vite fait

  14. #14
    Expert éminent Avatar de BufferBob
    Profil pro
    responsable R&D vidage de truites
    Inscrit en
    novembre 2010
    Messages
    2 998
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : responsable R&D vidage de truites

    Informations forums :
    Inscription : novembre 2010
    Messages : 2 998
    Points : 8 307
    Points
    8 307
    Par défaut
    Citation Envoyé par squizer Voir le message
    Sérieux, vous ne voyez pas où est le problème de forcer quelqu'un à faire quelque chose ?
    à dire vrai non pas le moins du monde ce "quelqu'un" dont tu parles ne semble pas voir le problème à me faire manger des trucs qui me fileront le cancer, à me vendre des appareils qui tomberont en panne prématurément, à défoncer la planète par des émissions de CO2 et in fine à stocker mes données confidentielles de manière non sécurisée ou à me faire utiliser ses services qui peuvent mettre en péril ma vie toute entière, avec pour seule et unique raison le manque de motivation dû à un coût financier jugé trop élevé voire optionnel

    non, je vois vraiment aucun problème à forcer la main de ce "quelqu'un" là, vraiment.

  15. #15
    Membre extrêmement actif
    Homme Profil pro
    Consultant Ingenierie mécanique
    Inscrit en
    mars 2006
    Messages
    1 269
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Yvelines (Île de France)

    Informations professionnelles :
    Activité : Consultant Ingenierie mécanique
    Secteur : Transports

    Informations forums :
    Inscription : mars 2006
    Messages : 1 269
    Points : 2 959
    Points
    2 959
    Par défaut
    Citation Envoyé par bilgetz Voir le message
    Ils ne divulguent pas pour être payés, ils divulguent pour que ce soit corrigé.
    Que l'entreprise se foute de la sécurité est un problème, et si il faut leur forcer la main pour qu'il colmate le trou de sécurité, je ne voit pas le problème.
    t'y croit vraiment a ça toi ? tu croit vraiment qu'il aurait fait tout ça pour rien ? pour moi la méthode trahit l’état d'esprit du pirate.

    C'est comme quand le gouvernement envahit un pays pour sauver la population alors qu'il y va juste pour les ressources,
    pour que son bilan éco de la guerre soit positif.
    Évidemment qu'il peuvent pas dire qu'il se foutent de la population.

    1ere règle en stratégie : toujours trouver une raison politiquement correcte pour toute action. Tant que t'en a pas une tu avance pas tes pions.

  16. #16
    Membre extrêmement actif
    Homme Profil pro
    Consultant Ingenierie mécanique
    Inscrit en
    mars 2006
    Messages
    1 269
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Yvelines (Île de France)

    Informations professionnelles :
    Activité : Consultant Ingenierie mécanique
    Secteur : Transports

    Informations forums :
    Inscription : mars 2006
    Messages : 1 269
    Points : 2 959
    Points
    2 959
    Par défaut
    Citation Envoyé par Tagashy Voir le message
    Bonjour,
    J'etudie la sécurité informatique depuis 3 ans et d'apres ce que j'ai lue les "hacker" ont suivie une pratique très courante en sécurité de divulgué la faille d'abord a l'entreprise puis si celle ci n'est pas corriger dans une duree aproprie (2-3 mois) de la divulgué publiquement. Ce n'est pas que ce groupe d'auditeur qui agit ainsi mais une grande partie des auditeurs procedent de cette facon, de plus ce genre de personne n'est pas intéresser par la récompense mais par l'objectif d'obtenir un écosystème sécurisé, certe comme tout le monde ils sont heureux lorsqu'ils sont rémunérés.
    Pour faire une analogie:
    Imaginez un marchand de serure qui fabrique les serures de tout un quartier mais avec un leger defaut qui permait en utilisant la clé de votre voisin d'ouvrir votre porte. Dans ce cas les auditeurs contacterais discrètement le fournisseur en l'informant du problème. Cependant si au bout de six mois après avoir relancer des dizaines de fois le serrurier celui-ci ne fait rien qu'est ce que vous préféré, savoir que votre porte est vulnérable et que votre serrurier n'en a rien a faire ou que vous ne sachiez rien et que n'importe qui dans votre quartier puisse rentre chez vous sans que vous ne le sachiez? Du côté des auditeurs le choix est vite fait
    donc dans ton cas la solution consisterait a rendre public le fait que n'importe qui peut rentrer chez toi avec la clef du voisin ? bien comme analogie! j'en rit encore.

  17. #17
    Expert éminent Avatar de BufferBob
    Profil pro
    responsable R&D vidage de truites
    Inscrit en
    novembre 2010
    Messages
    2 998
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : responsable R&D vidage de truites

    Informations forums :
    Inscription : novembre 2010
    Messages : 2 998
    Points : 8 307
    Points
    8 307
    Par défaut
    Citation Envoyé par Aiekick Voir le message
    t'y croit vraiment a ça toi ? tu croit vraiment qu'il aurait fait tout ça pour rien ? pour moi la méthode trahit l’état d'esprit du pirate.
    tu te base sur quoi pour dire ça, uniquement ton intuition ? tu connais un peu ce milieu ou vraiment pas ?

    les hackers en question sont des chercheurs en sécurité, ça veut dire que potentiellement ils ont un job (on va pas présumer du marché du travail en Chine) et sont rémunérés pour faire de la R&D sécu, tu penses qu'ils comptent sur le Darty local pour arrondir leurs fins de mois avec des bons d'achats en guise de remerciements ?

    alors je peux me tromper et les hackers Chinois ne fonctionnent peut-être pas sur le même modèle que les hackers éthiques (donc justement pas des pirates qui par définition font ça pour le pognon) Français/Américains/Québéquois/Algériens/etc., mais pour ce que j'en connais et que j'ai pu observer un nombre incalculable de fois les hackers "éthiques" ont un égo démesuré et cherchent surtout la reconnaissance, si ils attendent quelque chose en retour de la part de l'entreprise c'est essentiellement symbolique, la grosse différence avec les pirates de base c'est qu'en général les hackers éthiques sont passionnés par la technique (là où les autres sont passionnés par la possibilité de faire de l'argent facile)

    et quand bien même ils attendraient une contrepartie financière de la part de l'entreprise sur laquelle ils ont déniché une faille, ce serait complètement normal : tout travail mérite salaire, ce qui pose problème dans ce cas ce n'est pas les méthodes qu'ils emploient, les pentesters utilisent les mêmes, c'est uniquement l'aspect "non-solicité", par pitié n'allons pas parler de morale, c'est le signe d'une vision qui n'a pas suivi l'actu dans ce domaine depuis près de 20 ans !

  18. #18
    Expert éminent
    Avatar de Matthieu Vergne
    Homme Profil pro
    Consultant IT, chercheur IA indépendant
    Inscrit en
    novembre 2011
    Messages
    2 200
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Consultant IT, chercheur IA indépendant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : novembre 2011
    Messages : 2 200
    Points : 7 448
    Points
    7 448
    Billets dans le blog
    3
    Par défaut
    Citation Envoyé par Tagashy Voir le message
    Bonjour,
    J'etudie la sécurité informatique depuis 3 ans et d'apres ce que j'ai lue les "hacker" ont suivie une pratique très courante en sécurité de divulgué la faille d'abord a l'entreprise puis si celle ci n'est pas corriger dans une duree aproprie (2-3 mois) de la divulgué publiquement. Ce n'est pas que ce groupe d'auditeur qui agit ainsi mais une grande partie des auditeurs procedent de cette facon, de plus ce genre de personne n'est pas intéresser par la récompense mais par l'objectif d'obtenir un écosystème sécurisé, certe comme tout le monde ils sont heureux lorsqu'ils sont rémunérés.
    Pour faire une analogie:
    Imaginez un marchand de serure qui fabrique les serures de tout un quartier mais avec un leger defaut qui permait en utilisant la clé de votre voisin d'ouvrir votre porte. Dans ce cas les auditeurs contacterais discrètement le fournisseur en l'informant du problème. Cependant si au bout de six mois après avoir relancer des dizaines de fois le serrurier celui-ci ne fait rien qu'est ce que vous préféré, savoir que votre porte est vulnérable et que votre serrurier n'en a rien a faire ou que vous ne sachiez rien et que n'importe qui dans votre quartier puisse rentre chez vous sans que vous ne le sachiez? Du côté des auditeurs le choix est vite fait
    Perso, je préfère changer de serrurier.
    Site perso
    Recommandations pour débattre sainement

    Références récurrentes :
    The Cambridge Handbook of Expertise and Expert Performance
    L’Art d’avoir toujours raison (ou ce qu'il faut éviter pour pas que je vous saute à la gorge {^_^})

  19. #19
    Membre régulier
    Homme Profil pro
    Agent secret
    Inscrit en
    août 2011
    Messages
    35
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Japon

    Informations professionnelles :
    Activité : Agent secret
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : août 2011
    Messages : 35
    Points : 99
    Points
    99
    Par défaut
    Citation Envoyé par bobnolit Voir le message
    L'éthique peut s'opposer au droit, ce sont deux notions sans relations. Le meilleur exemple est celui de robin des bois : il est éthique de redistribuer les richesses, mais il n'est pas légal de le faire en volant.

    Et la seule chose que j'ai trouvé parlant d'éthique des hackers dit explicitement qu'il faut se méfier de l'autorité. Dans ce cadre, je pense qu'il faudrait d'abord trouver un moyen de définir un hacker éthique. Mais je doute que l'on puisse trouver une telle notion.

    Edit:
    Je n'avais pas pensé à rajouter le lien vers cette "éthique des hackers". Le voila : http://www.volle.com/lectures/citati...ckersethic.htm
    Bonjour, si cela peut t'intéresser, j'avais écrit un petit PDF pour introduire ma formation au hacking sur ma chaîne YouTube, le voici

  20. #20
    Expert éminent
    Avatar de Escapetiger
    Homme Profil pro
    Administrateur système Unix - Linux
    Inscrit en
    juillet 2012
    Messages
    1 137
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 59
    Localisation : France, Hauts de Seine (Île de France)

    Informations professionnelles :
    Activité : Administrateur système Unix - Linux

    Informations forums :
    Inscription : juillet 2012
    Messages : 1 137
    Points : 8 697
    Points
    8 697
    Par défaut
    Citation Envoyé par bobnolit Voir le message
    (...)
    Et la seule chose que j'ai trouvé parlant d'éthique des hackers dit explicitement qu'il faut se méfier de l'autorité. Dans ce cadre, je pense qu'il faudrait d'abord trouver un moyen de définir un hacker éthique. Mais je doute que l'on puisse trouver une telle notion.

    Edit:
    Je n'avais pas pensé à rajouter le lien vers cette "éthique des hackers". Le voila : http://www.volle.com/lectures/citati...ckersethic.htm
    Merci pour le lien sur le site de Michel Volle.

    Et, voici ce qui est arrivé en France à un "hacker - on ne peut plus - éthique" avant l'heure, Serge Humpich :
    (...)
    En 1997, il met en évidence une faille dans le système de sécurité des cartes bancaires. Cette faille permet de créer des cartes acceptées par les terminaux, mais non liées à un compte bancaire.

    Épaulé par un avocat, il tente – sans succès – de négocier son « savoir-faire » auprès du GIE des cartes bancaires. Pour démontrer la faisabilité de cette technique, il effectue une démonstration publique de la vulnérabilité des cartes en retirant un carnet de tickets de métro au moyen d'une carte de sa fabrication dans un distributeur automatique. Cette tentative lui vaut une perquisition, la saisie de son matériel et une mise en garde à vue.

    Il est jugé le 25 février 2000, « coupable de falsification de cartes bancaires et d'introduction frauduleuse dans un système automatisé de traitement ». Et cela, malgré de nombreux soutiens envers son geste, qui a mis en évidence des failles techniques et de conception à corriger dans ces cartes bancaires. Il est condamné à 10 mois de prison avec sursis et s'est ensuite désisté de la procédure d'appel qu'il avait lui-même engagée. À l'issue de cette condamnation, il écrit un livre, Le cerveau bleu, pour relater sa version de l'affaire.

    Ensuite, il fonde une entreprise aux États-Unis et quelques années plus tard, revient en France où il travaille pour la société Bearstech
    Source :
    https://fr.wikipedia.org/wiki/Serge_Humpich
    http://bhami.com/rosetta.html A Sysadmin's Unixersal Translator (ROSETTA STONE)
    AIX A/UX DG/UX FreeBSD HP-UX IRIX Linux Mac OS X NCR Unix NetBSD OpenBSD Reliant SCO OpenServer Solaris SunOS 4 Tru64 Ultrix UNICOS

    Club des professionnels en informatique Le plus important club en langue française pour les professionnels en informatique
    À qui s'adresse le Club - Le plus important forum pour les professionnels en informatique en langue française - Un service fiable et ultra rapide
    La plus grande liste de diffusion pour les professionnels en informatique francophones
    La plus grande équipe de rédaction à votre service - Pourquoi pas de cotisations ?

Discussions similaires

  1. Déterminer la Valeur la plus grande dans une table
    Par arnaud_verlaine dans le forum Langage SQL
    Réponses: 9
    Dernier message: 23/08/2014, 00h35
  2. Un grand joueur de poker japonais appréhendé par la police
    Par Cedric Chevalier dans le forum Android
    Réponses: 2
    Dernier message: 29/07/2013, 12h15
  3. Réponses: 14
    Dernier message: 19/01/2010, 13h46
  4. Réponses: 10
    Dernier message: 22/12/2009, 20h58
  5. Réponses: 3
    Dernier message: 16/12/2002, 17h12

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo