IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Affichage des résultats du sondage: Doit-on divulguer des failles avant que l'éditeur ne fournisse un patch ?

Votants
30. Vous ne pouvez pas participer à ce sondage.
  • Oui, pour lui mettre la pression

    7 23,33%
  • Non, j'opte pour attendre

    3 10,00%
  • Cela dépend de la gravité ou d'autres facteurs

    19 63,33%
  • je n'ai pas d'avis sur la question

    1 3,33%
Sécurité Discussion :

Êtes-vous pour ou contre le fait de divulguer des failles ?


Sujet :

Sécurité

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    mars 2013
    Messages
    6 462
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : mars 2013
    Messages : 6 462
    Points : 155 305
    Points
    155 305
    Par défaut Êtes-vous pour ou contre le fait de divulguer des failles ?
    Êtes-vous pour ou contre le fait de divulguer des failles
    avant que les éditeurs n'aient eu le temps de les corriger ?

    Pour comprendre la raison pour laquelle il est devenu si difficile de protéger des ordinateurs, même face à des attaquants « moyens », il faut s’intéresser au cas de la faille répertoriée CVE-2017-0199. La faille en elle-même n’est pas exceptionnellement dangereuse, même si, selon FireEyes, elle permettait à un pirate de télécharger et d'exécuter un script Visual Basic contenant des commandes PowerShell lorsqu'un utilisateur ouvre un document Microsoft Office RTF contenant un exploit incorporé.

    Lors de son traditionnel Patch Tuesday d’avril, qui a eu lieu comme à l’accoutumée le second mardi du mois, Microsoft a corrigé cette faille dans Word.

    Cependant, Reuters souligne qu’il s’est écoulé 9 mois entre la découverte de la faille et sa résolution. Un temps que les pirates ont mis à profit pour lancer des attaques en s’infiltrant dans les dispositifs par cette vulnérabilité. « Le 25 janvier 2017, des documents servant d'appât faisant référence à un décret du ministère de la Défense de Russie et un manuel prétendument publié dans la "République populaire de Donetsk" ont exploité le CVE-2017-0199 pour fournir des charges utiles FINSPY. Bien que nous n'ayons pas identifié les objectifs, FINSPY est vendu par Gamma Group à plusieurs clients de l'État-nation, et nous évaluons avec une confiance modérée qu'il était utilisé avec la faille zero-day à des fins de cyberespionnage », a noté FireEye.

    Un groupe de pirates s’en est également servi pour renforcer leurs tentatives de voler des millions de comptes en ligne dans des banques australiennes ainsi que celles d’autres pays.

    Lorsque les chercheurs en sécurité du projet Google Zero découvrent une faille, ils donnent un délai qu’ils estiment « raisonnable » aux éditeurs pour qu’ils puissent la corriger (généralement 90 jours). Faute de quoi, ils la publient.

    Tout a commencé en juillet dernier, lorsque Ryan Hanson, un diplômé de l'Université Idaho et consultant chez Optiv Inc à Boise, a trouvé une faiblesse dans la façon dont Microsoft Word traite les documents à partir d'un autre format. Ladite faiblesse lui a permis d'insérer un lien vers un programme malveillant qui prendrait le contrôle d'un ordinateur.

    Reuters assure que Microsoft a confirmé cette série d’évènements.

    Combinaison de failles

    Hanson a passé quelques mois à combiner sa découverte avec d'autres failles pour voir si elle pouvait devenir plus dangereuse, comme il l’a déclaré sur Twitter. Puis, en octobre, il l’a déclarée à Microsoft. La société récompense souvent financièrement les chercheurs en sécurité qui identifient des failles dans la sécurité.

    L’entreprise a reconnu qu’elle aurait pu résoudre le problème peu de temps après, mais que cela n’était pas si simple. En effet, un changement rapide dans les paramètres de Word par les clients aurait fait l’affaire, mais si Microsoft informait ses clients du bogue et des modifications recommandées, cela donnerait également aux pirates des indices sur la façon de contourner cette mesure.

    Alternativement, Microsoft aurait pu créer un correctif qui serait diffusé dans le cadre de ses mises à jour mensuelles de logiciels. Mais la société n'a pas corrigé le défaut immédiatement et a opté pour approfondir son analyse : elle n'était pas consciente que quelqu'un utilisait la méthode de Hanson et voulait être sûre d'avoir une solution complète.

    « Nous avons effectué une enquête pour identifier d'autres méthodes potentiellement similaires et pour nous assurer que notre solution corrective résout [sic] plus que le problème signalé », a déclaré Microsoft par l'intermédiaire d'un porte-parole qui a répondu aux questions par courrier électronique sous réserve de l'anonymat. « Il s'agissait d'une enquête complexe ».

    Un enchaînement qui vient montrer que les progrès de l’industrie logicielle dans son ensemble ne suivent pas forcément le rythme des attaques à une époque où les enjeux augmentent de façon spectaculaire.

    Comment des pirates ont-ils fait pour reproduire le bogue découvert par Hanson ? Nous n’avons pas la réponse. Toujours est-il qu’en janvier, alors que Microsoft travaillait sur une solution, les attaques ont commencé.

    Les attaques initiales ont été soigneusement limitées à un petit nombre de cibles et sont donc passées sous le radar. Mais en mars, les chercheurs en sécurité de FireEye ont remarqué qu'un logiciel de piratage financier notoire connu sous le nom de Latenbot était distribué à l'aide du même bogue Word. En creusant plus loin, ils ont trouvé des attaques antérieures et ont averti Microsoft. La société, qui a confirmé avoir été mise en garde contre les attaques actives en mars, a lancé un correctif pour le Patch Tuesday du mois d’avril.

    Une communication qui coûte cher

    Un autre cabinet de sécurité, McAfee, a vu certaines attaques se servir de cette faille dans Microsoft Word le 6 avril. Après ce qu'il a décrit comme étant une « recherche rapide, mais approfondie », le cabinet a établi que le défaut n'avait pas été corrigé, a contacté Microsoft, puis a publié sa découverte le 7 avril.

    La publication du blog contenait suffisamment de détails pour que d'autres pirates puissent reproduire les attaques. Raison pour laquelle d’autres professionnels de la sécurité des logiciels ont exprimé leur mécontentement du fait que McAfee n'a pas attendu que Microsoft corrige la vulnérabilité, comme Optiv et FireEye l’ont fait.

    En guise d’excuse, le vice-président de McAfee, Vincent Weafer, a déclaré qu’il s’agissait là « d’un problème dans nos communications avec notre partenaire Microsoft », sans élaborer.

    Néanmoins le mal était déjà fait. Le 9 avril, un programme visant à exploiter cette faille a été mis en vente sur le darknet, comme l’a expliqué John Hultquist, chercheur de FireEye. Le lendemain, les attaques s’appuyant sur cet outil étaient lancées.

    Source : Reuters, FireEye
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre chevronné
    Homme Profil pro
    Développeur informatique
    Inscrit en
    juillet 2007
    Messages
    839
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 39
    Localisation : France, Loire Atlantique (Pays de la Loire)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Opérateur de télécommunications

    Informations forums :
    Inscription : juillet 2007
    Messages : 839
    Points : 1 831
    Points
    1 831
    Par défaut Système habituel est le meilleur
    Le système habituel est juste : On annonce la faille a l'éditeur en premier et on lui donne un délais (qui peux varier en fonction de la gravité.) En cas d’inaction, on publie la faille de manière bruyante dans les grands média public pour faire de la mauvaise pub en expliquant la démarche complète.
    Tout ce que j'écris est libre de droits (Licence CC0) et je vous incite à faire de même.

  3. #3
    Membre éprouvé Avatar de Alvaten
    Homme Profil pro
    Développeur Java / Grails
    Inscrit en
    novembre 2006
    Messages
    324
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 32
    Localisation : Suisse

    Informations professionnelles :
    Activité : Développeur Java / Grails
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : novembre 2006
    Messages : 324
    Points : 1 018
    Points
    1 018
    Par défaut
    Attendre un minimum est indispensable pour moi. En publiant la faille, certes ça fait une mauvaise pub à l'éditeur et ça l'encourage fortement à agir mais en même temps ça met peux mettre en danger les utilisateurs qui n'ont rien demandé à personne.

    Avant d'envoyer à la presse la démarche complète, je commencerai par envoyer à la presse l'information comme quoi on à trouvé une faille avec des explications sans que n'importe qui d'un tant soit peu connaisseur puisse l'exploiter.

  4. #4
    Membre actif
    Homme Profil pro
    Développeur informatique
    Inscrit en
    octobre 2006
    Messages
    124
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : octobre 2006
    Messages : 124
    Points : 299
    Points
    299
    Par défaut
    Oui parce qu'il faut absolument pouvoir mettre des mesures en place en parallèle.

  5. #5
    Membre expérimenté
    Homme Profil pro
    Informaticien
    Inscrit en
    avril 2011
    Messages
    329
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Finistère (Bretagne)

    Informations professionnelles :
    Activité : Informaticien

    Informations forums :
    Inscription : avril 2011
    Messages : 329
    Points : 1 304
    Points
    1 304
    Par défaut
    Comme l'explique l'article, découvrir une faille est une chose mais la corriger proprement n'est pas toujours simple.

    Je trouve quand même étonnant que les chercheurs de Google Zero décident unilatéralement de divulguer une faille non patchée sur le produit d'un concurrent.
    Quand bien même le temps mis à patcher leur semble à eux trop long, la méthode me laisse perplexe.

  6. #6
    Membre habitué
    Homme Profil pro
    Sysadmin Linux
    Inscrit en
    mars 2017
    Messages
    76
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Autre

    Informations professionnelles :
    Activité : Sysadmin Linux

    Informations forums :
    Inscription : mars 2017
    Messages : 76
    Points : 196
    Points
    196
    Par défaut
    Pour ma part ça dépend de l’éditeur*:

    Une cms tenu par une équipe de bénévole, pas forcement connu mais ou les $ ne sont pas le moteur de motivation, pour être correct, prévenir les développeur me semble la chose a faire.

    Maintenant Wordpress, Drupal, IOS, Windows, produit de Google... très largement financé par une multitude de multinational et gouvernement mérite d’être réveillé avec un zeroday publiquement balancé par le/les chercheurs.

  7. #7
    MikeRowSoft
    Invité(e)
    Par défaut
    Les critères d'apparitions de failles de sécurités sont ?
    Qui le savait déjà ? (à l'avance ?)

  8. #8
    Candidat au Club
    Homme Profil pro
    Étudiant
    Inscrit en
    juin 2016
    Messages
    4
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 27
    Localisation : Burkina Faso

    Informations professionnelles :
    Activité : Étudiant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : juin 2016
    Messages : 4
    Points : 4
    Points
    4
    Par défaut
    Ce fait perdrait son sens si la divulgation est faite après la correction.
    Mais je pense dans certains cas, il faut contacter la société. Surtout pas les médias sinon en moins d'un cette faille fera la une de la presse et bonjour les ptits malins... Comme l'a dit l'autre ce sont des infos de plusieurs utilisateurs qui sont compromis...

  9. #9
    Nouveau membre du Club
    Homme Profil pro
    Architecte réseau
    Inscrit en
    avril 2017
    Messages
    33
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Architecte réseau
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : avril 2017
    Messages : 33
    Points : 37
    Points
    37
    Par défaut
    Je suis pour, mais il faut penser à mettre les mesures nécessaires en place afin que les hackers ne puissent pas en profiter.

  10. #10
    Candidat au Club
    Homme Profil pro
    dev
    Inscrit en
    décembre 2014
    Messages
    1
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Belgique

    Informations professionnelles :
    Activité : dev

    Informations forums :
    Inscription : décembre 2014
    Messages : 1
    Points : 3
    Points
    3
    Par défaut je suis pour
    Bonsoir


    je suis pour car dans le cas ou la faille n'est pas rendu public( après les 90 jours et avoir prévu l'entreprise) la faille aurait une priorité moindre et l'utilisateur en paye le prix quand on paye une programme on s'attend que le logiciel soit impeccable ou du moins que les failles soit patchées

  11. #11
    Membre confirmé
    Homme Profil pro
    Technicien réseau
    Inscrit en
    décembre 2014
    Messages
    144
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Rhône (Rhône Alpes)

    Informations professionnelles :
    Activité : Technicien réseau

    Informations forums :
    Inscription : décembre 2014
    Messages : 144
    Points : 517
    Points
    517
    Par défaut
    Citation Envoyé par emutramp Voir le message
    Wordpress, Drupal, IOS, Windows, produit de Google, etc., très largement financés par une multitude de multinationales et gouvernements méritent d’être réveillés avec un zeroday publiquement balancé par les chercheurs
    L'argument du gros financement n'est pas suffisant à justifier une divulgation intempestive de faille car même dans les meilleures structures de développement les bogues sont inévitables, y compris à la NASA (qui, à ma connaissance, a détenu le meilleur taux de bogues au monde). L'argent n'en vient pas à bout comme par magie car il faut aussi des compétences disponibles, or celles-ci ne sont pas illimitées, même en y mettant le prix.

Discussions similaires

  1. Réponses: 80
    Dernier message: 17/05/2020, 06h55
  2. Vous êtes-vous déjà emporté contre votre PC ? Pourquoi ?
    Par Hinault Romaric dans le forum Actualités
    Réponses: 62
    Dernier message: 16/08/2013, 19h56
  3. Etes vous pour ou contre les commentaires dans le code
    Par omarcisses dans le forum Débats sur le développement - Le Best Of
    Réponses: 56
    Dernier message: 04/09/2012, 01h43
  4. Êtes-vous pour ou contre les "strict type hints" ?
    Par RideKick dans le forum Langage
    Réponses: 44
    Dernier message: 21/03/2012, 22h18
  5. Réponses: 884
    Dernier message: 28/01/2010, 14h47

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo