IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Actualités Discussion :

Un groupe de chercheurs anonymes attaque Microsoft après l'affaire Ormandy

  1. #21
    Membre chevronné
    Homme Profil pro
    Développeur informatique
    Inscrit en
    juillet 2005
    Messages
    541
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 38
    Localisation : France

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : juillet 2005
    Messages : 541
    Points : 1 881
    Points
    1 881
    Par défaut
    Citation Envoyé par Marco46 Voir le message
    Tu ne peux pas prouver que les pirates sont au courant et tu ne peux pas prouver que la faille découverte par les chercheurs n'a jamais été découverte par d'autres personnes.

    Donc tu dois partir du principe qu'il est possible que l'on soit dans ce cas. Donc la meilleure chose à faire est d'avertir l'éditeur du logiciel du problème et de lui laisser le temps de le régler. Et s'il ne fait rien tu lâches une bombe publiquement.

    C'est comme ça que ça se passe 99% du temps. Tu ne peux pas dire des choses aussi tranchées que : "Une faille ne devrait jamais être diffusée." Si on fonctionnait comme ça, la plupart des éditeurs ne feraient rien, car ça leur coûte du fric et ne leur rapporte rien.



    Un petit brin d'humour ne fait jamais de mal. Surtout à 17h00.
    Si tu pars du principe que tout le monde est au courant, tu ne gagnes rien à rendre ta faille publique. Donc autant la garder pour toi...
    Si tu pars du principe qu'il y a, ne serait-ce qu'une seule personne, pas au courant, il vaudra mieux ne pas la divulguer.
    Principe de précaution.
    If it's free, you are not the customer, you are the product.

  2. #22
    Membre éprouvé
    Profil pro
    Inscrit en
    mai 2006
    Messages
    1 040
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : mai 2006
    Messages : 1 040
    Points : 1 013
    Points
    1 013
    Par défaut
    Aujourd'hui, en france il y a des centrales nucléaires avec des failles parce c'est le cas de tout système. Donc pour qu'il ait moins de risque on va faire sauter la centrale ce sera mieux pour les autres centrales dommages pour les autres.
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    Citation:
    Envoyé par cbleas  
    ils ont pas autres choses à faire par exemple créer plutôt que de chercher des failles sur des systèmes anciens.
    Négatif un chercheur CHERCHE mais ne créé pas !!
    C'est vrai qu'en france un chercheur cherche mais ne trouve pas grand chose.
    Un chercheur est censé aller vers l'innovation mais pas vers les anciens systèmes qui n'est maintenue que par la demande.

  3. #23
    Membre confirmé Avatar de joKED
    Profil pro
    Imposteur en chef
    Inscrit en
    février 2006
    Messages
    335
    Détails du profil
    Informations personnelles :
    Âge : 39
    Localisation : France, Isère (Rhône Alpes)

    Informations professionnelles :
    Activité : Imposteur en chef

    Informations forums :
    Inscription : février 2006
    Messages : 335
    Points : 452
    Points
    452
    Par défaut
    Citation Envoyé par Marco46 Voir le message
    Tu ne peux pas prouver que les pirates sont au courant et tu ne peux pas prouver que la faille découverte par les chercheurs n'a jamais été découverte par d'autres personnes.
    Ah, tu ne peux pas prouver qu'ils sont déjà au courant? Mais, tu l'affirmais quelques posts plus haut.

    Citation Envoyé par Marco46 Voir le message
    Donc tu dois partir du principe qu'il est possible que l'on soit dans ce cas. Donc la meilleure chose à faire est d'avertir l'éditeur du logiciel du problème et de lui laisser le temps de le régler. Et s'il ne fait rien tu lâches une bombe publiquement.
    Peux tu cesser de commencer tes phrases par "Tu dois". C'est assez pénible. Je ne dois rien. Je suis libre de penser comme je le souhaites.
    D'autre part, tu considères que c'est la meilleure solution, et je ne peux pas être d'accord à ce sujet. Les menaces ("On va divulguer la faille") et les actes de représailles ("Tiens, puisque tu fais pas comme on veut, on lâche la bombe") n'ont jamais été, à mes yeux, des arguments valables. Surtout lorsqu'on se cache sous une cagoule.
    Diffuser un moyen de compromettre un système informatique tombe sous le coup de la loi, à raison, car en plus de pénaliser l'éditeur, tous les clients sont pénalisés.
    Se cacher et menacer de mettre à disposition ce moyen, c'est à mon sens, dans le moins pire scénario, du chantage, dans le pire scénario, du terrorisme.

    Citation Envoyé par Marco46 Voir le message
    C'est comme ça que ça se passe 99% du temps. Tu ne peux pas dire des choses aussi tranchées que : "Une faille ne devrait jamais être diffusée." Si on fonctionnait comme ça, la plupart des éditeurs ne feraient rien, car ça leur coûte du fric et ne leur rapporte rien.
    Une fois de plus, je ne suis pas d'accord. Je réitère, une faille ne devrait JAMAIS être publiquement diffusée. Il y a bien d'autre moyens pour alerter l'éditeur et le forcer à intervenir. Un petit florilège :
    - Contacter un expert reconnu qui se chargera de valider la réalité de la faille.
    - Contacter un éditeur de solutions de sécurité reconnu qui se chargera de constater la dite faille, et en plus pèsera de tout son poids sur l'éditeur pour que celui-ci agisse
    - Contacter la presse, et, à l'aide d'une démo, prouver l'existance de cette faille et sa criticité.
    Et bien au contraire, les éditeurs sont souvent prompts à corriger les failles au plus tôt(*), car, bien que cela coûte de l'argent, le déficit d'image associé à la non correction est important et difficile à combler même avec une campagne marketting bien sentie.
    (Edit : Par exemple, Adobe qui mettait des plombes à corriger les failles découvertes, a fini par mettre en place un système d'update régulier et rapide afin que leur image cesse d'être ternie à ce sujet)

    (*) Ce qui peut parfois prendre plusieurs semaines voire mois selon la difficulté de correction.
    Tant va la cruche à l'eau qu'à la fin y'a plus d'eau.

  4. #24
    Membre expérimenté

    Profil pro
    Account Manager
    Inscrit en
    décembre 2006
    Messages
    2 301
    Détails du profil
    Informations personnelles :
    Localisation : France, Savoie (Rhône Alpes)

    Informations professionnelles :
    Activité : Account Manager

    Informations forums :
    Inscription : décembre 2006
    Messages : 2 301
    Points : 1 748
    Points
    1 748
    Par défaut
    Citation Envoyé par cbleas
    C'est vrai qu'en france un chercheur cherche mais ne trouve pas grand chose.
    Un chercheur est censé aller vers l'innovation mais pas vers les anciens systèmes qui n'est maintenue que par la demande.
    C'est quoi ces arguments populistes. On pourrait en dire autant de certains services de Recherche et Développement du Privé : pour changer, je donnerais l'exemple du iPad de Mac O$ qui est le degré zéro de la nouveauté technologique.

    De plus, faire de la cryptanalyse par exemple, c'est s'interroger sur ce qui existe pour en trouver les failles, et ensuite on peut améliorer ce qui existe. Il faudrait cesser de croire que chercher c'est se mettre devant un bureau et hop on invente une nouveauté. La recherche est un aller-retour incessant entre l'existant et le "à découvrir", entre le "ce qui devrait marcher", et "ce que l'on n'avait pas prévu". Rechercher c'est avant tout s'interroger et non trouver.

  5. #25
    Membre expert Avatar de kain_tn
    Homme Profil pro
    Inscrit en
    mars 2005
    Messages
    1 041
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Suisse

    Informations forums :
    Inscription : mars 2005
    Messages : 1 041
    Points : 3 864
    Points
    3 864
    Par défaut
    Citation Envoyé par joKED Voir le message
    - Contacter la presse, et, à l'aide d'une démo, prouver l'existance de cette faille et sa criticité.
    Euh, c'est pas équivalent à publier un PoC ça?? o_O


    Citation Envoyé par joKED Voir le message
    Diffuser une faille est ridicule. Cela ne peut que nuire (tant à la société ciblée qu'aux utilisateurs).

    Si je vous avertis qu'une fenêtre de chez vous est ouverte, et que vous ne me répondez pas (manque de temps pour fermer, impossibilité de fermer car vous êtes absent), ou mal ("C'est pas vos oignons"), seriez-vous content que j'aille faire le tour de tous les voleurs du coin en leur annonçant qu'on peut rentrer chez vous sans problème?
    Ce n'est pas tout à fait ça. C'est plutôt:
    1 - j'ai une maison construite par la société X.
    2 - je découvre qu'en procédant d'une certaine façon il est possible d'ouvrir mes fenêtres de l'extérieur.
    3 - je contacte la société X pour leur demander de régler le problème.
    4 - ils refusent ou m'ignorent (c'est pour l'exemple hein?)
    5 - je ne peux pas gagner en leur faisant un procès et je cherche un moyen de faire pression; je décide donc de leur faire de la mauvaise publicité auprès des éventuels clients jusqu'à ce qu'ils se décident à réparer le défaut (je peux pour ça faire une démo vidéo et l'envoyer à la presse). De plus, j'espère que les clients actuels se plaindront aussi. Entre temps je condamne ma fenêtre (firewall)

    C'est plutôt comme ça qu'il faudrait présenter ton exemple même s'il ne va pas dans ton sens.

    Revenons maintenant à nos OS. Windows n'étant pas open source, c'est à MS de corriger la faille. Il est donc logique de leur laisser suffisamment (et pas quatre pauvres jours pour rebondir sur la précédente affaire) de temps pour publier un correctif mais à partir du moment où on achète un logiciel, j'estime (et c'est mon opinion) qu'on peut s'en plaindre et se plaindre à l'éditeur surtout quand celui-ci fait de la publicité pour la sécurité de ses solutions.
    Copier c'est copier; voler c'est vendre un CD une vingtaine d'euros!


    Code C : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    #include <stdio.h>
     
    int main(int argc, char **argv) {
     
        printf("So long, and thanks for the fish, Dennis...\n");
        return 0;
    }

  6. #26
    Modérateur
    Avatar de Flaburgan
    Homme Profil pro
    Développeur Web
    Inscrit en
    avril 2010
    Messages
    1 229
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Isère (Rhône Alpes)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Électronique et micro-électronique

    Informations forums :
    Inscription : avril 2010
    Messages : 1 229
    Points : 3 542
    Points
    3 542
    Par défaut
    Dans le cas de l'ingénieur google, on peut clairement dire que la faille n'était pas encore utilisée, ou très peu, quand on voit comment elle est utilisée à présent.

    Mais il est vrai que si ce groupe reste anonyme, c'est parce qu'ils n'ont pas très bonne conscience...

    Dans tous les cas, vous semblez oublier quelque chose :
    Même si la faille est patchée dans la minute, combien de temps faudra-t-il à l'utilisateur pour faire une update ?
    Allez, disons, un bon mois, quand on est gentil...
    Donc en cas de PoC, même si la faille est patchée instantanément, votre oncle, votre grand mère, votre patron, tous auront largement le temps de se faire avoir...
    "Historiquement, techniquement, économiquement et moralement, Internet ne peut pas être contrôlé. Autant s’y faire." Laurent Chemla

    Je soutiens Diaspora*, le réseau social libre.

    Veillez à porter une attention toute particulière à l'orthographe...

    Blog collaboratif avec des amis : http://geexxx.fr

    Mon avatar a été fait par chiqitos, merci à lui !

  7. #27
    Expert éminent sénior
    Avatar de Marco46
    Homme Profil pro
    Développeur informatique
    Inscrit en
    août 2005
    Messages
    4 413
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 40
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : août 2005
    Messages : 4 413
    Points : 19 285
    Points
    19 285
    Par défaut
    Bon je vous la refais du début.

    Tu trouves une faille de sécurité sur un logiciel d'un éditeur (open source ou proprio ça n'a aucune importance je suis d'accord avec ça.) qui compromet la sécurité de l'ensemble d'un système.

    Tu ne peux pas savoir si l'éditeur est au courant (avant de l'avoir contacté).
    Tu ne peux pas savoir si un tiers (mal intentionné ou pas, tu peux pas savoir) est aussi au courant.
    Tu sais si le public est au courant ou non car si l'info est publique l'éditeur et les pirates sont au courant. Donc en gros, si personne n'a publié la faille, alors le public n'est pas au courant et si quelqu'un l'a déjà publié alors le public est au courant.

    Donc à ce moment là :
    - soit tu décides de garder la faille pour toi et tu n'en informes personne, auquel cas peut être que des tiers vont utiliser la faille pour pirater des tiers.
    On pourrait presque considérer ça comme de la non-assistance à personne en danger, histoire de vous suivre dans vos délires de terrorisme.
    - soit tu décides d'informer le responsable du logiciel par un canal privé en lui laissant le temps de publier un correctif.

    Ceci fait, si l'éditeur ne fait rien, il y a potentiellement des tiers qui peuvent se faire pirater et il est parfaitement légitime de lui forcer la main puisqu'il ne fait pas son boulot, ne serait-ce que pour se protéger soi-même.

    Où est le terrorisme là dedans ?

    Je suis trop fatigué pour vous quoter, joKED et Neko, et pointer les contradictions de vos messages, comme par exemple dire qu'il ne faut jamais publier de faille pour derrière contacter la presse. Un peu de cohérence svp.
    Un problème avec Git ? Essayez la FAQ, sinon posez votre question sur le forum.



    "Toute personne croyant qu'une croissance exponentielle peut durer indéfiniment dans un monde fini est soit un fou, soit un économiste."
    Kenneth E. Boulding

    "Les richesses naturelles sont inépuisables, car, sans cela, nous ne les obtiendrions pas gratuitement. Ne pouvant être ni multipliées ni épuisées, elles ne sont pas l’objet des sciences économiques."
    Jean-Baptiste Say, Traité d'économie politique, 1803.

    "/home/earth is 102% full ... please delete anyone you can."
    Inconnu

  8. #28
    En attente de confirmation mail
    Profil pro
    Inscrit en
    mars 2010
    Messages
    222
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : mars 2010
    Messages : 222
    Points : 365
    Points
    365
    Par défaut
    Ce n'est pas tout à fait ça. C'est plutôt:
    1 - j'ai une maison construite par la société X.
    2 - je découvre qu'en procédant d'une certaine façon il est possible d'ouvrir mes fenêtres de l'extérieur.
    3 - je contacte la société X pour leur demander de régler le problème.
    4 - ils refusent ou m'ignorent (c'est pour l'exemple hein?)
    5 - je ne peux pas gagner en leur faisant un procès et je cherche un moyen de faire pression; je décide donc de leur faire de la mauvaise publicité auprès des éventuels clients jusqu'à ce qu'ils se décident à réparer le défaut (je peux pour ça faire une démo vidéo et l'envoyer à la presse). De plus, j'espère que les clients actuels se plaindront aussi. Entre temps je condamne ma fenêtre (firewall)
    J’approuve CAR c'est exactement ce qui à été fait pour la faille des velux !

    Souvenez-vous une personne avait prouvé que l'on pouvait ouvrir un velux de l’extérieur lorsque l'on le déclipsait pour faire entrée un filet d'air frais, et rien n'aurait (ou plutôt rien n'avait été fait par la société ) si cette personne n’avait pas fait une vidéo de la dite faille.

    Et ce n'est qu'un exemple parmi tant d'autre ..


    @joKED tu as apparemment oublié la règle 14 d'internet

  9. #29
    Expert éminent sénior
    Avatar de Marco46
    Homme Profil pro
    Développeur informatique
    Inscrit en
    août 2005
    Messages
    4 413
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 40
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : août 2005
    Messages : 4 413
    Points : 19 285
    Points
    19 285
    Par défaut
    Citation Envoyé par Flaburgan Voir le message
    Dans le cas de l'ingénieur google, on peut clairement dire que la faille n'était pas encore utilisée, ou très peu, quand on voit comment elle est utilisée à présent.
    Tu connais tous les pirates de la galaxie ? Et tu as analysé tous les sources des malwares existants ?

    Un problème avec Git ? Essayez la FAQ, sinon posez votre question sur le forum.



    "Toute personne croyant qu'une croissance exponentielle peut durer indéfiniment dans un monde fini est soit un fou, soit un économiste."
    Kenneth E. Boulding

    "Les richesses naturelles sont inépuisables, car, sans cela, nous ne les obtiendrions pas gratuitement. Ne pouvant être ni multipliées ni épuisées, elles ne sont pas l’objet des sciences économiques."
    Jean-Baptiste Say, Traité d'économie politique, 1803.

    "/home/earth is 102% full ... please delete anyone you can."
    Inconnu

  10. #30
    Modérateur
    Avatar de Flaburgan
    Homme Profil pro
    Développeur Web
    Inscrit en
    avril 2010
    Messages
    1 229
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Isère (Rhône Alpes)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Électronique et micro-électronique

    Informations forums :
    Inscription : avril 2010
    Messages : 1 229
    Points : 3 542
    Points
    3 542
    Par défaut
    C'est un communiqué de microsoft qui annonce 10 000 exploitations de la faille.

    L'important n'est pas là, mais dans la suite de mon précédent message : l'utilistateur n'a pas encore l'habitude de mettre à jour, donc que les pirates soient ou non au courant avant n'a plus la même importance, puisque de toute manière en cas de PoC la faille sera exploitée.
    "Historiquement, techniquement, économiquement et moralement, Internet ne peut pas être contrôlé. Autant s’y faire." Laurent Chemla

    Je soutiens Diaspora*, le réseau social libre.

    Veillez à porter une attention toute particulière à l'orthographe...

    Blog collaboratif avec des amis : http://geexxx.fr

    Mon avatar a été fait par chiqitos, merci à lui !

  11. #31
    En attente de confirmation mail
    Profil pro
    Inscrit en
    mars 2010
    Messages
    222
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : mars 2010
    Messages : 222
    Points : 365
    Points
    365
    Par défaut
    Citation Envoyé par Flaburgan Voir le message
    C'est un communiqué de microsoft qui annonce 10 000 exploitations de la faille.
    Et comment MS a fait pour savoir qu'il y a eu 10k failles exploité ?


    Mais il est clair et évident pour tout le monde que 4 jours c'est trop tôt ....

    On spéculera sur le fait que cela a été fait uniquement pour créer une polémique. .

  12. #32
    Membre chevronné
    Profil pro
    Inscrit en
    février 2005
    Messages
    1 273
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : février 2005
    Messages : 1 273
    Points : 2 084
    Points
    2 084
    Par défaut
    Citation Envoyé par Neko Voir le message
    Ouais, en une heure la faille est corrigée, le patch soumis, testé pour être sûr qu'il n'y a aucune régression. Et évidement dans la même heure tous les utilisateurs ont déjà appliqué le patch. C'est beau linux quand même.

  13. #33
    Modérateur
    Avatar de Flaburgan
    Homme Profil pro
    Développeur Web
    Inscrit en
    avril 2010
    Messages
    1 229
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Isère (Rhône Alpes)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Électronique et micro-électronique

    Informations forums :
    Inscription : avril 2010
    Messages : 1 229
    Points : 3 542
    Points
    3 542
    Par défaut
    http://www.developpez.net/forums/d93...enieur-google/

    Les premières attaques ont été repérées vers le 15 juin, « ces premiers exploits étaient ciblés et plutôt limités. Mais depuis les dernières semaines ils ont atteint un pic », peut-on lire sur le blog de Microsoft qui avance ce chiffre de 10.000 PC attaqués avec succès.
    Sur quoi ils se basent, j'en sais rien...

    Et concernant la polémique, ça marche ^^
    "Historiquement, techniquement, économiquement et moralement, Internet ne peut pas être contrôlé. Autant s’y faire." Laurent Chemla

    Je soutiens Diaspora*, le réseau social libre.

    Veillez à porter une attention toute particulière à l'orthographe...

    Blog collaboratif avec des amis : http://geexxx.fr

    Mon avatar a été fait par chiqitos, merci à lui !

  14. #34
    Membre chevronné
    Homme Profil pro
    Développeur informatique
    Inscrit en
    juillet 2005
    Messages
    541
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 38
    Localisation : France

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : juillet 2005
    Messages : 541
    Points : 1 881
    Points
    1 881
    Par défaut
    Citation Envoyé par Marco46 Voir le message
    Je suis trop fatigué pour vous quoter, joKED et Neko, et pointer les contradictions de vos messages, comme par exemple dire qu'il ne faut jamais publier de faille pour derrière contacter la presse. Un peu de cohérence svp.
    Soit je me suis mal exprimé, soit il y a un gros mal entendu, soit t'es trop fatigué.
    Tu peux (et tu dois) évidement dire à la presse ou qui que ce soit par exemple:
    "J'ai découvert une faille dans les socket sous XP permettant l'exécution de code arbitraire ..." (c'est un exemple). Note qu’absolument rien ne permet de faire quoi que ce soit. Et c’est à peu près ce que publient les sites comme Secunia ou autre. Il n’y a pas d’indication sur comment exploiter la faille.
    If it's free, you are not the customer, you are the product.

  15. #35
    En attente de confirmation mail
    Profil pro
    Inscrit en
    mars 2010
    Messages
    222
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : mars 2010
    Messages : 222
    Points : 365
    Points
    365
    Par défaut
    Citation Envoyé par Flaburgan Voir le message
    Sur quoi ils se basent, j'en sais rien...
    c'est justement ça tout l'astuce du système, pour moi la réponse de MS c'est un peu comme les résultats des sondages politique

  16. #36
    Membre éclairé
    Profil pro
    Inscrit en
    mars 2010
    Messages
    549
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : mars 2010
    Messages : 549
    Points : 667
    Points
    667
    Par défaut
    Je préfère que les failles soient dévoilées afin que les éditeurs se bouge le c**
    autrement ils font rien, traînent la patte et la faille peut être exploitée.

    Alors que dévoilé la faille les pousse à régler le problème le plus rapidement possible.

  17. #37
    Nouveau Candidat au Club
    Inscrit en
    juillet 2009
    Messages
    15
    Détails du profil
    Informations forums :
    Inscription : juillet 2009
    Messages : 15
    Points : 0
    Points
    0
    Par défaut
    @Neko : Je n'ai pas dit 'Appliqué', j'ai dit "corrigé", bien sûr que le patch ne sera pas appliqué tout de suite >.< . A moins que j'ai mal lu, en 4 jour, la faille n'est toujours pas corrigée, puisqu'aucun patch n'a été annoncé.

    ...

  18. #38
    Membre chevronné
    Profil pro
    Inscrit en
    février 2005
    Messages
    1 273
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : février 2005
    Messages : 1 273
    Points : 2 084
    Points
    2 084
    Par défaut
    Citation Envoyé par dodelria Voir le message
    @Neko : Je n'ai pas dit 'Appliqué', j'ai dit "corrigé", bien sûr que le patch ne sera pas appliqué tout de suite >.< . A moins que j'ai mal lu, en 4 jour, la faille n'est toujours pas corrigée, puisqu'aucun patch n'a été annoncé.

    ...
    C'est bien ce qu'il te dit : ce n'est pas parce qu'un patch existe que tout le monde l'exploite.

  19. #39
    Membre expert Avatar de kain_tn
    Homme Profil pro
    Inscrit en
    mars 2005
    Messages
    1 041
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Suisse

    Informations forums :
    Inscription : mars 2005
    Messages : 1 041
    Points : 3 864
    Points
    3 864
    Par défaut
    Citation Envoyé par B.AF Voir le message
    C'est bien ce qu'il te dit : ce n'est pas parce qu'un patch existe que tout le monde l'exploite.
    Oui enfin ça après de l'éducation de l'utilisateur et c'est indépendant de l'OS utilisé.

    Un utilisateur qui ne patche jamais son OS, ne télécharge jamais de mises à jours etc s'en fout à priori ou n'y connait rien. Pour pirater le premier utilisateur c'est facile puisque son OS n'est jamais mis à jour. Il croule donc sous les failles. Pour le second, pas besoin de faille: le bon vieux coup du mail de succession à un riche africain ou un trojan suffit :/

    On ne peut donc pas se baser sur ce type d'utilisateur pour décider si oui ou non on doit faire pression sur l'éditeur pour sécuriser son OS.

    En revanche, il faut peut-être sensibiliser les utilisateurs aux différents dangers (peut-être revoir les interfaces aussi) plutôt que de leur faire croire qu'utiliser un ordinateur c'est aussi facile que de mettre en marche une cafetière.
    Copier c'est copier; voler c'est vendre un CD une vingtaine d'euros!


    Code C : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    #include <stdio.h>
     
    int main(int argc, char **argv) {
     
        printf("So long, and thanks for the fish, Dennis...\n");
        return 0;
    }

  20. #40
    Membre chevronné
    Profil pro
    Inscrit en
    février 2005
    Messages
    1 273
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : février 2005
    Messages : 1 273
    Points : 2 084
    Points
    2 084
    Par défaut
    Citation Envoyé par kain_tn Voir le message
    Oui enfin ça après de l'éducation de l'utilisateur et c'est indépendant de l'OS utilisé.

    Un utilisateur qui ne patche jamais son OS, ne télécharge jamais de mises à jours etc s'en fout à priori ou n'y connait rien. Pour pirater le premier utilisateur c'est facile puisque son OS n'est jamais mis à jour. Il croule donc sous les failles. Pour le second, pas besoin de faille: le bon vieux coup du mail de succession à un riche africain ou un trojan suffit :/

    On ne peut donc pas se baser sur ce type d'utilisateur pour décider si oui ou non on doit faire pression sur l'éditeur pour sécuriser son OS.
    Donc on doit agir en autarcie pour le plus grand nombre. C'est une vision proche du totalitarisme.

    L'informaticien a souvent du mal à comprendre que c'est ce qu'il considére être les nuls qui utilisent son travail.

    Je trouve ça normal que l'information circule. Après que des boites privées se défendent c'est normal et ce n'est pas propre à l'informatique. Maintenant je trouve complêtement idiot de juger une vitesse de réaction. Tout problème n'a pas une solution immédiate et rapide.

    Quant à la vitesse de réaction du noyaux linux, je n'en ai pas le même souvenir, mais en même temps ,c'était il y a quelques années et j'ai pris mes distances.

    Il y a toujours des failles. Ca existera toujours. Et il y a des gens qui sont payés pour les trouver et d'autres qui font ça par...No life ?...

Discussions similaires

  1. Oracle sort une nouvelle version majeure de WebCenter Suite 11g et s'attaque à Microsoft Sharepoint
    Par Idelways dans le forum Forum général Solutions d'entreprise
    Réponses: 3
    Dernier message: 05/07/2011, 13h29
  2. Réponses: 0
    Dernier message: 26/01/2011, 10h45
  3. Réponses: 51
    Dernier message: 26/11/2010, 08h44
  4. Réponses: 3
    Dernier message: 09/11/2010, 14h35
  5. [Joomla!] Quel CMS choisir pour un groupe de chercheurs ?
    Par Garra dans le forum EDI, CMS, Outils, Scripts et API
    Réponses: 1
    Dernier message: 22/03/2007, 17h09

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo