IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Actualités Discussion :

Un groupe de chercheurs anonymes attaque Microsoft après l'affaire Ormandy

  1. #41
    Expert éminent Avatar de kain_tn
    Homme Profil pro
    Inscrit en
    Mars 2005
    Messages
    1 562
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Suisse

    Informations forums :
    Inscription : Mars 2005
    Messages : 1 562
    Points : 7 265
    Points
    7 265
    Par défaut
    Citation Envoyé par B.AF Voir le message
    Donc on doit agir en autarcie pour le plus grand nombre. C'est une vision proche du totalitarisme.
    Pas du tout. Tu achètes un produit pour sécuriser ton parc de machines. Tu as le droit d'exiger que le produit que tu as acheté est sûr, surtout si on te l'a vendu en tant que tel.

    Je ne dis pas que les autres ne m'importent pas. Je dis juste qu'ils sont le problème de l'éditeur de l'OS et non celui du plus grand nombre.
    Il n'est pas question ici de bien du plus grand nombre mais de pression sur un éditeur pour obtenir ce que l'on veut. Ce n'est pas altruiste mais intéressé.

    C'est une méthode discutable c'est vrai mais il faut arrêter les clichés avec votre terrorisme, votre totalitarisme, etc... A ce rythme là on va bientôt lire que le groupe de "chercheurs anonymes" est en fait Al Qaida
    Copier c'est copier; voler c'est vendre un CD une vingtaine d'euros!


    Code C : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    #include <stdio.h>
     
    int main(int argc, char **argv) {
     
        printf("So long, and thanks for the fish, Dennis...\n");
        return 0;
    }

  2. #42
    Membre éprouvé

    Profil pro
    Inscrit en
    Novembre 2009
    Messages
    612
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Novembre 2009
    Messages : 612
    Points : 1 226
    Points
    1 226
    Par défaut
    Heureusement qu'ils ne sont pas chimistes, on risquerait une pandémie.
    Imaginez qu'il trouve une variante de la grippe, insensible au vaccins, mortel en 4h, et qu'il face un poc au bout de quatre jour...
    Remarquez on verrait surement des savants fous agonisant expliquer avec joie et une toue funeste que cette acte était une bonne chose, utile pour l'amélioration des vaccins.
    Je ne dois décidément pas penser comme tout le monde, franchement, quelqu'un qui fait ça et tout sauf un mec bien.
    Mais bon il y a un bon côté, microsoft a prouvé qu'ils étaient capables de protéger leurs utilisateurs des attaques d'un cyber criminel et qu'ils étaient capables de sortir un patch assez rapidement.
    Maintenant s'ils pouvaient attaquer cette homme en justice et le faire enfermé loin d'un pc ça serait encore mieux, ça ferait un criminel de moins.
    Flash player ActionScript Virtual Machine 2 http://www.mozilla.org/projects/tamarin/
    fonctionnement de la machine virtuel : (ActionScript Virtual Machine 2 (AVM2)) :
    http://www.adobe.com/content/dam/Ado...m2overview.pdf

  3. #43
    Nouveau membre du Club
    Profil pro
    Inscrit en
    Octobre 2004
    Messages
    19
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Octobre 2004
    Messages : 19
    Points : 35
    Points
    35
    Par défaut
    Diffuser l'information sur une faille de sécurité revient aussi à avertir les utilisateurs. Que certains utilisateurs soient des quiches ou très peu portés veille technologique ça les regarde.

    J'en connais qui arrivent à foutre le bordel avec un système parfaitement sain. Au final que ce soit à cause d'un exploit ou non, ils en feront toujours les frais tous seuls.

    Non, ce qui est dommage ici c'est que le full disclosure n'est qu'un prétexte pour une énième protestation anti-microsoft. Je veux dire par là que je ne sens pas beaucoup d'activisme dans cette démarche, à moins que je me trompe mais je sens plus une démarche de "frustrés compétents".

    Microsoft a fait pas mal de progrès dans sa façon d'appréhender les problèmes de sécurité (comparé à avant), et fournit même pas mal d'outils pour aider les spécialistes à réaliser des travaux sur les internes de windows, notamment niveau code malveillant. C'est loin d'être encore ça, tout n'est pas philantropique, mais avant c'était pire.

    Donc une autre forme de dialogue n'est il pas possible ?

    Après que le concerné minimise la faille ne fait qu'aller dans le sens de la parfaite gestion de son e-réputation : p

    Enfin pourquoi dépenser cette énergie contre microsoft ? Cela fait un bail que certains ont compris que "proposer autre chose aux utilisateurs et pourquoi pas faire mieux" était une bataille plus saine que la diffamation ou le terrorisme numérique ...

  4. #44
    Membre chevronné
    Profil pro
    Inscrit en
    Mars 2005
    Messages
    1 273
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Mars 2005
    Messages : 1 273
    Points : 2 202
    Points
    2 202
    Par défaut
    Citation Envoyé par kain_tn Voir le message
    Tu as le droit d'exiger que le produit que tu as acheté est sûr, surtout si on te l'a vendu en tant que tel.
    D'accord donc si des gens mettent des herses sur l'autoroute, que tu créves, tu milites auprès du constructeur pour que les pneus soient désormais blindés ?

    C'est complétement idiot comme mode de fonctionnement. Tout le monde sait qu'il existe une forte communauté anti-ms qui passera de toute façon 95% de son temps libre à "dénoncer des failles", dont 99,995% de la planête se fout éperdument - soit quand même 300 000 personnes que ça occupe, ce qui me semble encore beaucoup.

    Et so what ? On sait tous que Microsoft n'est pas une fondation charitative. En 12 ans, je n'ai jamais vu une seule installation être hackée. Ni en windows, ni en Solaris, ni en Hp Ux, ni en RedHat, ni en Aix. Rien - Niente - Nada.

    En 4 jours, une société commerciale livre sur un OS serveur un patch qui fonctionne pour calmer les anxiétés d'une communauté NON UTILISATRICE; super...Un fait le buzz sur lui, l'autre fait sa part de com'.

  5. #45
    Expert éminent Avatar de kain_tn
    Homme Profil pro
    Inscrit en
    Mars 2005
    Messages
    1 562
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Suisse

    Informations forums :
    Inscription : Mars 2005
    Messages : 1 562
    Points : 7 265
    Points
    7 265
    Par défaut
    Citation Envoyé par B.AF Voir le message
    D'accord donc si des gens mettent des herses sur l'autoroute, que tu créves, tu milites auprès du constructeur pour que les pneus soient désormais blindés ?
    Ton exemple est complètement bidon. Soyons plus terre-à-terre: j'achète un OS et on me le vend comme sécurisé (je sais qu'il doit exister des failles mais pour le moment elles ne sont pas encore détectées vu que l'OS est tout neuf). À partir du moment où une faille est détectée, c'est qu'elle existe. J'attends donc de mon OS qu'il reste sécurisé. J'exige donc du constructeur qu'il corrige la faille. Pas en 4 jours, mais qu'il la corrige. C'est compliqué à comprendre? Ça te paraît si aberrant??

    Citation Envoyé par B.AF Voir le message
    En 12 ans, je n'ai jamais vu une seule installation être hackée. Ni en windows, ni en Solaris, ni en Hp Ux, ni en RedHat, ni en Aix. Rien - Niente - Nada.
    Moi si. Deux fois en 7 ans. Sur des OS de MS comme sur du *NIX. À chaque fois c'était dû à une faille dans un OS pas mis à jour.

    Citation Envoyé par B.AF Voir le message
    Tout le monde sait qu'il existe une forte communauté anti-ms qui passera de toute façon 95% de son temps libre à "dénoncer des failles", dont 99,995% de la planête se fout éperdument
    J'ai envie de dire tant mieux: si MS patche ces failles unes à unes alors leur OS deviendra très sécurisé et ça profitera à l'utilisateur final.
    Copier c'est copier; voler c'est vendre un CD une vingtaine d'euros!


    Code C : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    #include <stdio.h>
     
    int main(int argc, char **argv) {
     
        printf("So long, and thanks for the fish, Dennis...\n");
        return 0;
    }

  6. #46
    Membre chevronné
    Profil pro
    Inscrit en
    Mars 2005
    Messages
    1 273
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Mars 2005
    Messages : 1 273
    Points : 2 202
    Points
    2 202
    Par défaut
    Citation Envoyé par kain_tn Voir le message
    Ton exemple est complètement bidon. Soyons plus terre-à-terre: j'achète un OS et on me le vend comme sécurisé (je sais qu'il doit exister des failles mais pour le moment elles ne sont pas encore détectées vu que l'OS est tout neuf). À partir du moment où une faille est détectée, c'est qu'elle existe. J'attends donc de mon OS qu'il reste sécurisé. J'exige donc du constructeur qu'il corrige la faille. Pas en 4 jours, mais qu'il la corrige. C'est compliqué à comprendre? Ça te paraît si aberrant??
    j'achète une voiture et on me la vend comme sécurisée (je sais qu'il doit exister des failles mais pour le moment elles ne sont pas encore détectées vu que la voiture est toute neuve). À partir du moment où une faille est détectée (en roulant sur des clous, les pneus crévent), c'est qu'elle existe. J'attends donc de ma voiture qu'elle reste sécurisée. J'exige donc du constructeur qu'il corrige la faille. Pas en 4 jours, mais qu'il la corrige.

    Ça me parait effectivement idiot, parce que la faille n'existe pas du fait du constructeur mais des gens qui vouent un acharnement qui reléve de la psychiatrie à faire défaillir.
    Donc tu dis que mon exemple est débile, mais non, il se transpose parfaitement dans ton raisonnement.

    Quand tu achétes une maison, si tu te fais cambrioler, pour ça tu as une assurance, tu ne vas pas aller voir le constructeur pour lui dire de corriger la faille.

  7. #47
    Membre averti
    Homme Profil pro
    Buisint
    Inscrit en
    Septembre 2008
    Messages
    220
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 54
    Localisation : France, Bas Rhin (Alsace)

    Informations professionnelles :
    Activité : Buisint

    Informations forums :
    Inscription : Septembre 2008
    Messages : 220
    Points : 438
    Points
    438
    Par défaut
    Citation Envoyé par Flaburgan Voir le message
    [...]

    Mais il est vrai que si ce groupe reste anonyme, c'est parce qu'ils n'ont pas très bonne conscience...

    [...]
    D'un autre côté, et je suis conscient que l'analogie est un peu extrême, les résistants ne se faisaient pas non plus beaucoup de publicité, durant la seconde guerre mondiale...

  8. #48
    Membre averti
    Homme Profil pro
    Buisint
    Inscrit en
    Septembre 2008
    Messages
    220
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 54
    Localisation : France, Bas Rhin (Alsace)

    Informations professionnelles :
    Activité : Buisint

    Informations forums :
    Inscription : Septembre 2008
    Messages : 220
    Points : 438
    Points
    438
    Par défaut
    Citation Envoyé par kain_tn Voir le message
    [...]Oui enfin ça après de l'éducation de l'utilisateur et c'est indépendant de l'OS utilisé.

    Un utilisateur qui ne patche jamais son OS, ne télécharge jamais de mises à jours etc s'en fout à priori ou n'y connait rien. [...]
    Ou alors, il a été un brin refroidi par les changements de spec apportés par les patches, et par les ralentissements induits par les mises à jour....


    Citation Envoyé par kain_tn Voir le message
    [...]
    En revanche, il faut peut-être sensibiliser les utilisateurs aux différents dangers (peut-être revoir les interfaces aussi) plutôt que de leur faire croire qu'utiliser un ordinateur c'est aussi facile que de mettre en marche une cafetière.
    C'est pas faux (si, si, j'ai compris).

  9. #49
    Modérateur
    Avatar de Flaburgan
    Homme Profil pro
    Développeur Web
    Inscrit en
    Avril 2010
    Messages
    1 229
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Isère (Rhône Alpes)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Électronique et micro-électronique

    Informations forums :
    Inscription : Avril 2010
    Messages : 1 229
    Points : 3 579
    Points
    3 579
    Par défaut
    Citation Envoyé par kain_tn Voir le message
    On ne peut donc pas se baser sur ce type d'utilisateur [les non-informaticiens] pour décider si oui ou non on doit faire pression sur l'éditeur pour sécuriser son OS.
    Le problème c'est que c'est ce type d'utilisateur qui est grandement majoritaire.

    J'aimerais bien que pour une fois on débatte sans parler de Microsoft, Apple, GNU/Linux, BSD ou Solaris, qu'on reste en parlant d'OS.

    L'utilisateur lambda, quel que soit son OS, ne met pas à jour tout seul, que ce soit l'OS lui même ou l'antivirus. Donc publier un patch NE SERT À RIEN si ce dernier n'est pas installé par l'utilisateur. Or le temps que l'information remonte aux oreilles de l'utilisateur et qu'il fasse la mise à jour (sans compter l'étape de "comment on fait ?"), il s'écoulera largement le temps pour des pirates d'exploiter la faille. Et ce, même si le patch a été publié dans l'heure suivant le PoC. Rappelez vous la faille dans le noyau linux découverte en Août dernier qui permettait de passer root. Cette faille a bien sûr été corrigée immédiatement. Pour autant, combien de temps s'est écoulé avant que TOUS les pcs avec ce noyau soient patchés ?

    Rien ne sert de forcer les éditeurs à faire un patch s'il n'est pas appliqué. Faire un PoC est donc quelque chose de stupide puisque les personnes suivant l'actualité informatique seront au courant de l'existence de la faille bien avant les utilisateurs lambda.

    C'est donc l'utilisateur qu'il faut cibler. Pourquoi pas en effet un communiquer à la presse ? Si l'affaire fait grand bruit, cela informera l'utilisateur, et obligera l'éditeur à patcher pour ne pas ternir sa réputation. Les pirates seront eux aussi au courant de l'existence de la faille, mais il y a plus de chances dans ce scénario que le patch soit appliqué avant qu'ils la trouvent que quand on leur dit où elle est et comment l'exploiter...
    "Historiquement, techniquement, économiquement et moralement, Internet ne peut pas être contrôlé. Autant s’y faire." Laurent Chemla

    Je soutiens Diaspora*, le réseau social libre.

    Veillez à porter une attention toute particulière à l'orthographe...

    Blog collaboratif avec des amis : http://geexxx.fr

    Mon avatar a été fait par chiqitos, merci à lui !

  10. #50
    Membre chevronné Avatar de Hellwing
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Avril 2008
    Messages
    538
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 40
    Localisation : France, Bas Rhin (Alsace)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels

    Informations forums :
    Inscription : Avril 2008
    Messages : 538
    Points : 2 089
    Points
    2 089
    Par défaut
    Après avoir lu toute cette discussion, je me suis rendu compte que très peu de personnes avaient compris ce qui était réellement préjudiciable (à mon sens) dans cette affaire.

    Mis à part le délai de 4 jours qui est trop court pour corriger et tester une correction dans sa totalité, il n'est pas mal de divulguer l'existence d'une faille pour faire réagir le "constructeur". En revanche ce qui est préjudiciable, c'est d'expliquer à tout le monde comment il faut faire pour l'exploiter.

    C'est pourtant une question de bon sens.

    Seul le constructeur doit savoir ça pour qu'il ait le plus d'informations possible pour corriger la faille rapidement. Ça lui permet déjà d'avoir une avance sur les gens mal intentionnés qui veulent l'exploiter. Eux ils doivent déjà trouver comment elle fonctionne.

    Rien que l'existence de la faille porte préjudice au constructeur. Que tout le monde en sache plus ça n'a aucun intérêt.

  11. #51
    Inactif  
    Profil pro
    Inscrit en
    Février 2003
    Messages
    4 341
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Février 2003
    Messages : 4 341
    Points : 5 953
    Points
    5 953
    Par défaut
    Bizarrement, ce qui me choque, c'est que l'on puisse justifier la publication d'une méthode pour pirater des PC !

    Je croyais que ce forum était constitué de professionnel de l'informatique, non ?

    Pour moi, je fais une énorme différence entre signalé (publiquement) qu'une faille a été découverte, et publier la manière de l'utiliser !

    Qu'un groupe de chercheurs découvre une faille, c'est bien. Qu'il signale à l'éditeur la faille trouvée, c'est bien. Si l'éditeur ne réagit pas, alors qu'il alerte le public afin que celui-ci se protège du mieux qu'il puisse, et surtout qu'il fasse pression sur l'éditeur afin qu'il corrige, c'est normal. Mais qu'il publie la manière de profiter de la faille, alors là, c'est intolérable !

    De toutes façons, à partir du moment ou l'on agit sous couvert de l'anonymat, c'est que l'on est pas clair. Ça me rappelle les groupuscules terroristes s'affichant de nuit armés jusqu'au cou et cagoulés.

  12. #52
    Expert éminent sénior
    Avatar de Marco46
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Août 2005
    Messages
    4 413
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 42
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : Août 2005
    Messages : 4 413
    Points : 19 608
    Points
    19 608
    Par défaut
    Citation Envoyé par Louis Griffont
    Qu'un groupe de chercheurs découvre une faille, c'est bien. Qu'il signale à l'éditeur la faille trouvée, c'est bien. Si l'éditeur ne réagit pas, alors qu'il alerte le public afin que celui-ci se protège du mieux qu'il puisse, et surtout qu'il fasse pression sur l'éditeur afin qu'il corrige, c'est normal. Mais qu'il publie la manière de profiter de la faille, alors là, c'est intolérable !
    C'est le fait de publier la faille qui met de la pression. Pas de publication = pas de pression.

    Interdire à quiconque de publier des papiers sur la sécurité c'est empêcher les gens de se former à la sécurité. C'est comme vouloir faire de la cuisine sans éplucher des patates. C'est d'une imbécilité sans borne, la négation de l'intelligence et du bon sens. Pour apprendre sur la sécurité, il faut nécessairement savoir comment pirater un système. Comment pourrait-il en être autrement ?
    En clair, pour savoir comment me prémunir d'une faille, il ne suffit pas de savoir qu'il y a une faille, il faut bien connaitre le détail précis de la marche à suivre pour effectuer le piratage. Cela me semble tellement évident

    Pour ce qui est de ce cas précis je suis d'accord sur au moins 2 points :
    - Ils ont agit trop vite.
    - Et sous couvert d'anonymat ce qui est douteux au niveau des intentions.
    Un problème avec Git ? Essayez la FAQ, sinon posez votre question sur le forum.



    "Toute personne croyant qu'une croissance exponentielle peut durer indéfiniment dans un monde fini est soit un fou, soit un économiste."
    Kenneth E. Boulding

    "Les richesses naturelles sont inépuisables, car, sans cela, nous ne les obtiendrions pas gratuitement. Ne pouvant être ni multipliées ni épuisées, elles ne sont pas l’objet des sciences économiques."
    Jean-Baptiste Say, Traité d'économie politique, 1803.

    "/home/earth is 102% full ... please delete anyone you can."
    Inconnu

  13. #53
    Membre éprouvé Avatar de Jidefix
    Profil pro
    Inscrit en
    Septembre 2006
    Messages
    742
    Détails du profil
    Informations personnelles :
    Âge : 39
    Localisation : France, Seine Maritime (Haute Normandie)

    Informations forums :
    Inscription : Septembre 2006
    Messages : 742
    Points : 1 154
    Points
    1 154
    Par défaut
    Au niveau des intentions de la dissimulation, je pense qu'il s'agit surtout de se protéger de la loi.
    Souvenez-vous du bonhomme qui avait été condamné pour avoir dénoncé une faille de sécurité dans les cartes à puce:
    http://www.lexpress.fr/informations/...le_634290.html

    Ok c'est pas le même pays mais la situation me semble à peu de choses près similaire (hormis le fait que lui voulait monnayer le descriptif de la faille mais il n'est pas accusé de ça)
    Veuillez agréer nos sentiments les plus distingués. Soyez assurés de notre entière collaboration, bien à vous pour toujours et à jamais dans l'unique but de servir l'espérance de votre satisfaction, dis bonjour à ton père et à ta mère, bonne pétanque, mets ton écharpe fais froid dehors.

  14. #54
    Membre chevronné Avatar de Hellwing
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Avril 2008
    Messages
    538
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 40
    Localisation : France, Bas Rhin (Alsace)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels

    Informations forums :
    Inscription : Avril 2008
    Messages : 538
    Points : 2 089
    Points
    2 089
    Par défaut
    Citation Envoyé par Marco46
    C'est le fait de publier la faille qui met de la pression. Pas de publication = pas de pression.
    Ben oui, publier son existence. Sans même s'y connaître, on n'aime pas acheter des systèmes non sécurisés. Un système bourré de failles, même non exploitées et non détaillées, n'attire pas les foules.

    Citation Envoyé par Marco46
    En clair, pour savoir comment me prémunir d'une faille, il ne suffit pas de savoir qu'il y a une faille, il faut bien connaitre le détail précis de la marche à suivre pour effectuer le piratage. Cela me semble tellement évident
    Pour toi qui es développeur et qui t'intéresse à la sécurité et son fonctionnement, ça serait sympa de la divulguer dans ses moindres détails. Mais l'immense majorité des utilisateurs n'en a rien à faire. Et puis ce n'est pas comme si toi tu étais capable de corriger la faille toi-même, puisque Microsoft est seul maître du code source de Windows.
    Et qui leur dit que tu n'es pas un méchant hacker déguisé en gentille personne intéressée uniquement par la sécurité des systèmes ?

    A partir du moment où il existe des gens mal intentionnés, c'est une démarche inadmissible de dévoiler comment exploiter une faille.

    Dans le monde des bisounours où il n'existe que les personnes avec les pensées suivantes :
    - "Houlàlà, une faille, je suis bien curieux de voir comment on peut la contrer !"
    - "C'est pas mon problème, d'autres gens sont là pour la corriger."
    - "Une quoi ?"
    là, oui, il n'y aurait aucun problème à expliquer le fonctionnement de la méchante faille à tout le monde, puisque personne n'aura l'idée de l'exploiter.

    Faut redescendre sur terre, hein

  15. #55
    Membre à l'essai
    Profil pro
    Inscrit en
    Juin 2007
    Messages
    8
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations forums :
    Inscription : Juin 2007
    Messages : 8
    Points : 16
    Points
    16
    Par défaut
    Citation Envoyé par dvdbly Voir le message
    D'un autre côté, et je suis conscient que l'analogie est un peu extrême, les résistants ne se faisaient pas non plus beaucoup de publicité, durant la seconde guerre mondiale...
    1 point godwin ^_^ (amis du mauvais goût, bonsoir)
    ...néanmoins, j'approuve le fond: un homme masqué n'a pas forcement mauvaise conscience, nous connaissons tous la belle histoire de robin des bois, non ?
    (oui, il y a les clowns aussi mais bon ...)



    Citation Envoyé par Neko Voir le message
    Ouais, en une heure la faille est corrigée, le patch soumis, testé pour être sûr qu'il n'y a aucune régression. Et évidement dans la même heure tous les utilisateurs ont déjà appliqué le patch. C'est beau linux quand même.
    Prenons le cas d' un serveur FreeBSD "de base"
    -la faille sera corrigée (cette phase peut prendre du temps, mais en moyenne 1 heure et demi pour les trucs importants genre linux, gcc, inetd,...)
    -le patch sera soumis dans les 5 minutes (grâce à Git ou SVN)
    -testé contre régression (1-5 minutes) (grâce aux test-case, assertions et autres techniques d'automatisation du code)
    -dupliqué sur les serveurs de distribution à travers le monde(10minutes)
    -installé sur les poste 'client' grâce au système de mise à jour(entre 1heure et 1 jour avec la config de base, dépendant de la version)

    Je ne suis pas pro-linux, mac, win ou autre, mais il faut reconnaitre que le manchot est TRES en avance dans ce domaine.
    Une preuve est que vous avez du mal à imaginer possible (d'ou l' ironie) ce qui est déjà existant !


    Le débat sur le "full-disclosure" est un méandre infini et je ne trollerais pas mon avis ici. Néanmoins, j'apporte une pierre à l'édifice:
    sachez que c'est la pratique courante (voire banale) chez les "éditeurs de sécurité" (synantec, et autres...) de dévoiler la faille à l'éditeur, laisser un mois de delais et ensuite de la rendre publique.

    Avis aux hacker newbies dans l'assemblées, donc: la plupart des failles n'étant pas patchée chez l'utilisateur lambda, il vous suffit de fouinner sur les sites d'antivirus pour trouver des failles exploitable.
    (je ne dévoile rien, c'est un truc très connu pour ceux qui prennent la peine de s'interresser au milieu)


    Bon, comme je peux pas m'en empêcher, sachez tout de même que microsoft a corrigé une faille avérée depuis plus de 8ans qui permettait de prendre le contrôle total d'un winXP ou + (faille dans l'ersatz de DOS fourni)
    je ne dis pas que c'est bien ou mal, mais je comprends que des gens soient frustrés par une telle attitude mercantile et inhumaine, et décident de prendre le maquis pour tirer à boulet rouge dans leur potilique (anti)sociale

  16. #56
    Inactif  
    Profil pro
    Inscrit en
    Février 2003
    Messages
    4 341
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Février 2003
    Messages : 4 341
    Points : 5 953
    Points
    5 953
    Par défaut
    Citation Envoyé par Marco46 Voir le message
    C'est le fait de publier la faille qui met de la pression. Pas de publication = pas de pression.
    Signaler l'existence est différent de publier le comment exploiter, non ?

  17. #57
    Expert éminent sénior
    Avatar de Marco46
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Août 2005
    Messages
    4 413
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 42
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : Août 2005
    Messages : 4 413
    Points : 19 608
    Points
    19 608
    Par défaut
    Citation Envoyé par Louis Griffont Voir le message
    Signaler l'existence est différent de publier le comment exploiter, non ?
    Oui mais publier est différent de signaler. Publier signifie (en tout cas dans mon esprit) publier un descriptif précis de la faille et pas signaler simplement qu'il y a une faille.
    Un problème avec Git ? Essayez la FAQ, sinon posez votre question sur le forum.



    "Toute personne croyant qu'une croissance exponentielle peut durer indéfiniment dans un monde fini est soit un fou, soit un économiste."
    Kenneth E. Boulding

    "Les richesses naturelles sont inépuisables, car, sans cela, nous ne les obtiendrions pas gratuitement. Ne pouvant être ni multipliées ni épuisées, elles ne sont pas l’objet des sciences économiques."
    Jean-Baptiste Say, Traité d'économie politique, 1803.

    "/home/earth is 102% full ... please delete anyone you can."
    Inconnu

  18. #58
    Inactif  
    Profil pro
    Inscrit en
    Février 2003
    Messages
    4 341
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Février 2003
    Messages : 4 341
    Points : 5 953
    Points
    5 953
    Par défaut
    Citation Envoyé par Marco46 Voir le message
    Oui mais publier est différent de signaler. Publier signifie (en tout cas dans mon esprit) publier un descriptif précis de la faille et pas signaler simplement qu'il y a une faille.
    Et c'est ça qui est criminel à mes yeux, et ne sert strictement à rien, sauf donner les clefs aux personnes mal intentionnées pour s'en servir !

  19. #59
    Expert éminent sénior
    Avatar de Marco46
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Août 2005
    Messages
    4 413
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 42
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : Août 2005
    Messages : 4 413
    Points : 19 608
    Points
    19 608
    Par défaut
    Et c'est là où je suis en total désaccord.

    Comment mettre la pression sur l'éditeur sans publier l'intégralité de la faille ?

    Comment former du personnel qualifié en sécurité sans avoir une ressource de données publique ? N'importe qui doit pouvoir se former là dessus sans avoir à débourser 40 000 euros pour faire une école privée.
    Un problème avec Git ? Essayez la FAQ, sinon posez votre question sur le forum.



    "Toute personne croyant qu'une croissance exponentielle peut durer indéfiniment dans un monde fini est soit un fou, soit un économiste."
    Kenneth E. Boulding

    "Les richesses naturelles sont inépuisables, car, sans cela, nous ne les obtiendrions pas gratuitement. Ne pouvant être ni multipliées ni épuisées, elles ne sont pas l’objet des sciences économiques."
    Jean-Baptiste Say, Traité d'économie politique, 1803.

    "/home/earth is 102% full ... please delete anyone you can."
    Inconnu

  20. #60
    Membre chevronné Avatar de Hellwing
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Avril 2008
    Messages
    538
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 40
    Localisation : France, Bas Rhin (Alsace)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels

    Informations forums :
    Inscription : Avril 2008
    Messages : 538
    Points : 2 089
    Points
    2 089
    Par défaut
    Citation Envoyé par Marco46
    Comment mettre la pression sur l'éditeur sans publier l'intégralité de la faille ?

    Comment former du personnel qualifié en sécurité sans avoir une ressource de données publique ? N'importe qui doit pouvoir se former là dessus sans avoir à débourser 40 000 euros pour faire une école privée.
    La pression il l'a déjà avec l'existence de la faille publiée. Ca ternit son image de marque et ça devient une course contre la montre entre l'éditeur et les pirates dont certains, même s'ils ont du retard, sont suffisamment compétents pour la trouver.
    Et si l'éditeur n'est pas assez rapide, c'est son image qui sera d'autant plus ternie par le nombre de PC infectés.

    Quant aux formations, les professionnels de la sécurité sont là pour apprendre aux futurs développeurs dans ce domaine. Les hackers n'inventent pas la roue à chaque fois non plus. Ce n'est pas parce qu'une faille vient d'être découverte que son exploitation demande une technique toute neuve. De même pour sa correction.

Discussions similaires

  1. Oracle sort une nouvelle version majeure de WebCenter Suite 11g et s'attaque à Microsoft Sharepoint
    Par Idelways dans le forum Forum général Solutions d'entreprise
    Réponses: 3
    Dernier message: 05/07/2011, 14h29
  2. Réponses: 0
    Dernier message: 26/01/2011, 11h45
  3. Réponses: 51
    Dernier message: 26/11/2010, 09h44
  4. Réponses: 3
    Dernier message: 09/11/2010, 15h35
  5. [Joomla!] Quel CMS choisir pour un groupe de chercheurs ?
    Par Garra dans le forum EDI, CMS, Outils, Scripts et API
    Réponses: 1
    Dernier message: 22/03/2007, 18h09

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo