IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Actualités Discussion :

Un groupe de chercheurs anonymes attaque Microsoft après l'affaire Ormandy

  1. #101
    Expert confirmé
    Avatar de grafikm_fr
    Profil pro
    Inscrit en
    juillet 2003
    Messages
    2 470
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : juillet 2003
    Messages : 2 470
    Points : 4 632
    Points
    4 632
    Par défaut
    Citation Envoyé par Marco46 Voir le message
    Alors pour vous publier une faille c'est dire par exemple : il y a une faille sur WinXP telle version ?

    A quel degré de précision de publication d'une faille on franchit le cap pour devenir un terroriste/criminel selon vous ?
    C'est une question compliquée, mais personnellement je placerais le curseur comme suit:

    - Dire qu'il y a une faille dans tel exécutable ou DLL et sur quoi elle est basée reste raisonnable,
    - En revanche, publier un proof of concept et/ou un code source d'un exploit est préjudiciable. Ça se fait effectivement très souvent de nos jours, et ça se faisait aussi avant, mais bon...

    Exemple avec un buffer overflow: dire qu'il y a un buffer overflow dans l'exécutable machin qui peut conduire à l'exécution d'un code arbitraire, c'est une chose, mais publier un bout de fichier en C pour l'exploiter en est une autre. Si tu publies directement le code source, n'importe quel gars (on les appelait "script kiddies" à l'époque) peut mener l'attaque en compilant le code. Alors qu'écrire un prog de buffer overflow juste en connaissant le nom de l'exécutable demande quand même beaucoup plus de temps et n'est pas accessible à un quidam qui utilise la plupart du temps un software kit payant vendu par une boite russe.

    Ce qu'il faut garder à l'esprit, c'est que tu peux beaucoup plus facilement avoir des soucis avec la justice si on a prouvé que tu as donné à quelqu'un les outils pour commettre une infraction (le code C) que si tu as juste donné une indication. Et c'est même pas une question de législation pénale, le gars peut très bien avoir infligé des dégâts financiers et c'est dans le civil que ça va se passer.
    "L'éducation, c'est le début de la richesse, et la richesse n'est pas destinée à tout le monde" (Adolphe Thiers)

  2. #102
    Membre chevronné Avatar de Hellwing
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    avril 2008
    Messages
    537
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 38
    Localisation : France, Bas Rhin (Alsace)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels

    Informations forums :
    Inscription : avril 2008
    Messages : 537
    Points : 2 031
    Points
    2 031
    Par défaut
    Merci,

    C'est pour ça que je posais la question. N'étant pas dans le domaine de la sécurité je ne faisais que demander à ce qu'on éclaire ma lanterne.

  3. #103
    Membre chevronné
    Profil pro
    Inscrit en
    janvier 2006
    Messages
    927
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations forums :
    Inscription : janvier 2006
    Messages : 927
    Points : 2 079
    Points
    2 079
    Par défaut
    Sans vouloir répéter inutilement...
    A quel degré de précision de publication d'une faille on franchit le cap pour devenir un terroriste/criminel selon vous ?
    Dans certains cas, le simple fait de dire que le logiciel x à une faille permet de déduire le problème (logiciel avec une seule fonctionnalité ?), par contre, dans d'autres, des précisions sont requises pour avoir la moindre idée d'où se trouve la faille.

    En tout cas, je pense aussi que c'est idiot de risquer d'avertir des pirates de l'existence d'une faille.

    Après il y a des cas où la faille ne vaut pas la peine d'ouvrir un dossier top secret et de se déplacer en personne pour avertire l'intéressé, et il doit y en avoir d'autres où ce dernier ne voit pas l'intérêt de réparer la faille, qui peuvent mener à des situations un peu plus complexes...


    Je pense qu'on est dans une situation curieuse, je préférerais avoir plus d'info avant de les traiter de pirates ou de criminels, parce que sinon j'en connais d'autres qui mériteraient peut-être aussi le titre de criminel (cf. les procès d'intentions des débats sur les systèmes d'exploitation )
    "If you can't teach it then you don't know it."

  4. #104
    Membre chevronné
    Profil pro
    Inscrit en
    mars 2005
    Messages
    1 273
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : mars 2005
    Messages : 1 273
    Points : 2 084
    Points
    2 084
    Par défaut
    Citation Envoyé par Marco46 Voir le message
    Ok donc maintenant on va batailler sur la définition de la publication d'une faille ...

    Alors pour vous publier une faille c'est dire par exemple : il y a une faille sur WinXP telle version ?

    A quel degré de précision de publication d'une faille on franchit le cap pour devenir un terroriste/criminel selon vous ?
    C'est assez simple : c'est à partir du moment où le préjudice provoqué par la publication appartient aux critéres du crime.
    Par exemple dévoiler comment percer la défense du réseau du ministére de la défense et le dévoiler publiquement serait probablement considéré comme de l'espionnage ou un acte de terrorisme.
    Après il y a aussi un autre cap qui est l'argent, quand on s'attaque aux gros, ils ont les moyens de faire des procédures longues, de faire de votre vie un enfer, de faire de la communication, d'acheter des expertises....

  5. #105
    Invité
    Invité(e)
    Par défaut
    Citation Envoyé par B.AF Voir le message
    C'est assez simple : c'est à partir du moment où le préjudice provoqué par la publication appartient aux critères du crime.
    Par exemple dévoiler comment percer la défense du réseau du ministère de la défense et le dévoiler publiquement serait probablement considéré comme de l'espionnage ou un acte de terrorisme.
    Après il y a aussi un autre cap qui est l'argent, quand on s'attaque aux gros, ils ont les moyens de faire des procédures longues, de faire de votre vie un enfer, de faire de la communication, d'acheter des expertises....
    Finalement c'est toujours les gros qui sont défendus et le quidam dont ont se fout.
    Dernière modification par Mejdi20 ; 12/07/2010 à 12h34.

  6. #106
    Membre confirmé
    Profil pro
    Développeur indépendant
    Inscrit en
    août 2004
    Messages
    352
    Détails du profil
    Informations personnelles :
    Âge : 53
    Localisation : France

    Informations professionnelles :
    Activité : Développeur indépendant
    Secteur : Transports

    Informations forums :
    Inscription : août 2004
    Messages : 352
    Points : 452
    Points
    452
    Par défaut dire , ou pas..
    Beaucoup posent la question de dire ou pas, dévoiler ou cacher le fait que le système est mal écrit, truffé de bugs dans tous les sens..

    mais on se trouve dans un cas particulier.
    ce cas particulier, c'est que le programme en question est la base de fonctionnement de nombreuses entreprises, qu'elles ont payées pour en avoir la jouissance, et qu'en plus le fournisseur et fabricant s'arrogent le droit de ne pas garantir le fonctionnement de son produit.
    incroyable, impensable, mais vrai.
    mais qu'attendre d'autre d'une société qui a fondé sa réussite sur l'esbrouffe, le pillage intellectuel et industriel, et la bétise ainsi que l'absence de vision autre que commerciale de ses dirigeants.

    microsoft traite ses clients comme des chiens ignorants et stupide, il est normal que le retour de baton se fasse.
    Il est même intéressant de se demander si ce n'est pas microsoft lui même qui pousse à la "découverte" de failles dans les systémes xp, pour pousser les entreprises qui l'utilisent à acheter des systémes d'exploitation dont elles n'ont pas besoin, et qui les forceraient à jeter au panier des appliquations qui leurs donnent satisfaction depuis longtemps.
    mais fabriquer un système d'exploitation fiable n'est pas dans la logique de microsoft.
    il faut qu'il soit plein de bug pour forcer après coup les utilisateurs à acheter le suivant, qui lui n'a pas toutes ces failles.. mais pleins d'autres nouvelles.. pour son successeur..
    Alors, si on parlait d'un driver ou autre programme peu usité, dont on peut se passer, ça ne poserait pas de probléme, mais la on parle de quelque chose dont on ne peut pas faire l'impasse, un systéme d'exploitation.
    c'est donc une question de santé publique que de dire que les choses ne marchent pas, quand à ceux qui sont partisans de le cacher, ce sont des complices de ce complot du silence.
    et si le gouvernement ou l'Europe étaient un peu prévoyants, ils investiraient un tout petit peu pour faire produire un système complètement compatible xp, stable, européen, et utilisable en toute sécurité.
    je ne doute pas que les resources en Europe ou alilleurs ne seraient pas capables de le faire.
    Vu que microsoft n'aura jamais la volonté de le faire, ce serait sans doute la seule solution. mais espérer un peu de clairvoyance de la part des politiques est sans doute trop demander. C'était valable à l'époque de de gaule, mais aujourdhui, ils ne savent plus que réagir. trop tard, quand encore, ils le font..
    l'informatique est devenue un enjeu strategique majeur, au même titre que l'energie.
    Quitte à reinstaller un système, on devrait pouvoir en reinstaller un fiable. est-ce si difficile.??
    c'est bien là que l'on voit l'incompetence et la duplicité de nos élus, trop pressés de profiter pour servir..

  7. #107
    Membre chevronné
    Profil pro
    Inscrit en
    janvier 2006
    Messages
    927
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations forums :
    Inscription : janvier 2006
    Messages : 927
    Points : 2 079
    Points
    2 079
    Par défaut
    Attention aux procès d'intention ! Puis, il ne faut pas trop mélanger business et éthique... (et c'est moi qui dit ça )

    Mais ne pas se faire marcher sur les pieds commence par ce genre réflexions, je pense... C'est moi qui ai mis le +1, pour soutenir l'utopie qu'est d'espérer voir des multinationales éthiques à tout point de vue...
    "If you can't teach it then you don't know it."

  8. #108
    Expert confirmé

    Profil pro
    Inscrit en
    février 2006
    Messages
    2 317
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : février 2006
    Messages : 2 317
    Points : 4 482
    Points
    4 482
    Par défaut
    Citation Envoyé par eomer212 Voir le message
    ...
    la théorie du complot est de retour, pourquoi pas.

    après le soit disant système 100% sur, inattaquable et qui fait le café n'existera jamais, pour la simple et bonne raison que c'est encore des Hommes qui écrivent des programmes, et que à moins de faire quelques choses de trivial (et encore) il y aura forcément des bugs.
    on aura beau avoir tous les cerveaux les plus compétents de la terre pour faire le meilleur système d'exploitation, il y aura forcément un cas qui n'aura pas été pensé, ou alors ça serait très présomptueux.

    Citation Envoyé par eomer
    l'informatique est devenue un enjeu stratégique majeur, au même titre que l'énergie.
    et c'est là selon moi qu'est le problème, on (en général) ne sait plus rien faire dès qu'on a pas une machine en face de soi. l'informatique n'est plus un service pour nous aider, on est devenu ses esclaves.

  9. #109
    Membre expérimenté
    Profil pro
    Inscrit en
    juillet 2006
    Messages
    1 103
    Détails du profil
    Informations personnelles :
    Âge : 43
    Localisation : France, Meurthe et Moselle (Lorraine)

    Informations forums :
    Inscription : juillet 2006
    Messages : 1 103
    Points : 1 546
    Points
    1 546
    Par défaut
    entièrement d'accord avec stardeath...

    maintenant eomer212 redescend un peu de ton perchoir... le lobby anti-microsoft est un peu dépassé de nos jours, surtout depuis que bill gates a pris sa retraite.
    intéresses-toi aux autres sociétés qui vendent des soient disant systèmes sures...
    Parlons des éditeurs UNIX... UNIX n'est pas plus fiable que Windows Server... et vous ne pourrez pas dire le contraire car le code source de TOUS les UNIX est closed source comme celui de Windows.
    Ne demande à aucun d'entre eux de sortir un patch de sécurité... ça ne se fait pas ! Ça serait admettre qu'ils en sont réduit à cela...
    Tu devras attendre la prochaine version, et l'acheter, comme tout le monde, et vu les tarifs engagé on parle pas des centaines d'euros que t'a mis pour ton Windows mais de dizaines de milliers d'euros pour des produits qui ne les valent pas.

    Maintenant pourquoi personne ne cherche de faille sous linux ou sous UNIX ? la raison est évidente non ? à quoi bon emmerder 10 personnes quand on peut en emmerder 100 000... tout simplement.
    et non, les failles sous linux ne sont pas corrigées dans l'heure... croire cela est totalement illusoire et utopique...
    d'autant que les failles sont souvent spécifiques à une distribution et donc une société particulière... qui ne fonctionnera pas différemment de Microsoft à ceci prêt que généralement n'ayant que ce produit à développer, elles auront plus de temps et de ressources à y consacrer.

    Ne crois pas pour autant que je sois pro-Microsoft. J'étais il fut un temps un Anti-Microsoft convaincu et acharné, mais bon contrairement à beaucoup, visiblement, j'ai muri, et je suis passé à autre chose de plus constructif, et il faut rendre à César ce qui est à César.
    Aucune autre société ne maintient ses produits sur des anciennes versions, et même d'autres qui font des OS... Microsoft est la seule à faire de la maintenance sur une version d'un OS datant de 2002, en 2010, sachant qu'on est quand même 2 versions au dessus !

    et croire que toutes les entreprises se mettent en conformité et achètent leur logiciel, ça aussi c'est utopique...
    la boite où je bosse est partenaire Microsoft, une boite locale avec un parc monstrueux (on parle de plus de 2500 postes) nous a commandé un audit complet de son parc et savoir ce qui est "légal" ou pas et le résultat était plutôt éloquent...
    Pratiquement AUCUN de leurs XP et Seven n'étaient légal, ils avaient même des versions pirates sur leurs serveurs !!!! c'est pour dire.
    et ce constat déplorable je l'ai constaté dans la boite ou je bossais avant...

    Alors je regrette mais les boites qui ne payent pas sont légions, elles perdent donc comme beaucoup d'utilisateurs dans le monde le droit à la parole quant à ce débat...
    et ça change complètement le point de vue du problème...
    surtout que parmi tous les détracteurs de microsoft qui ont pris la parole dans se débat... je parie sans trop me tromper que la quasi totalité, est sous windows... et souvent même pas en version légale.
    (ça pour celui qui a insisté avec la vente forcée)

  10. #110
    Nouveau Candidat au Club
    Inscrit en
    février 2009
    Messages
    1
    Détails du profil
    Informations forums :
    Inscription : février 2009
    Messages : 1
    Points : 0
    Points
    0
    Par défaut Doucement
    Soyez tout de même optimistes!
    Publier une faille de sécurité est une bonne chose pour la sécurité de nos applications et surtout pour la société en question.
    Nous n'aurons pas aujourd'hui l'éminent Linux si des bidoulleurs n'ont pas mis des leurs!
    Dans un 1er temps on le prend mal mais une fois sauvé, on a la ferme conviction que c'était bien d'être prévenu.
    Remontons à l'époque de pasteur (la découverte du vaccin),ça vous dit?
    Bien sûr si ce monsieur n'avait pas mis du sien... Demandez alors aux chercheurs d'arrêter leurs investigations dans tous les domaines.
    Mieux vaut prévenir que guérir.

  11. #111
    Membre à l'essai
    Profil pro
    Inscrit en
    mars 2010
    Messages
    7
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations forums :
    Inscription : mars 2010
    Messages : 7
    Points : 12
    Points
    12
    Par défaut
    Citation Envoyé par joKED Voir le message
    Diffuser une faille est ridicule. Cela ne peut que nuire (tant à la société ciblée qu'aux utilisateurs).

    Si je vous avertis qu'une fenêtre de chez vous est ouverte, et que vous ne me répondez pas (manque de temps pour fermer, impossibilité de fermer car vous êtes absent), ou mal ("C'est pas vos oignons"), seriez-vous content que j'aille faire le tour de tous les voleurs du coin en leur annonçant qu'on peut rentrer chez vous sans problème?
    Ca colle pas ton histoire. Si il y a une faille dans windows, elle existe chez des millions de personnes. Si j'ai une fenêtre ouverte chez moi c'est juste mon problème.
    Après pour le reste je m'en fous. Je trouve qu'il vaut mieux que les professionnels connaissent les problèmes de sécurité qui pourraient les toucher.
    Je me demande toujours s'il y a autant de failles sous linux et sous mac et qu'on en parle moins, ou si ces systèmes sont plus safe que windows...

  12. #112
    Expert confirmé
    Avatar de grafikm_fr
    Profil pro
    Inscrit en
    juillet 2003
    Messages
    2 470
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : juillet 2003
    Messages : 2 470
    Points : 4 632
    Points
    4 632
    Par défaut
    Citation Envoyé par cinemania Voir le message
    Parlons des éditeurs UNIX... UNIX n'est pas plus fiable que Windows Server... et vous ne pourrez pas dire le contraire car le code source de TOUS les UNIX est closed source comme celui de Windows.
    Ne demande à aucun d'entre eux de sortir un patch de sécurité... ça ne se fait pas !
    Oulà, oui, les IRIX et les Solaris d'il y a quelques années surclassaient tout ce qui existe au niveau du nombre de failles...
    "L'éducation, c'est le début de la richesse, et la richesse n'est pas destinée à tout le monde" (Adolphe Thiers)

  13. #113
    Membre chevronné
    Homme Profil pro
    Développeur informatique
    Inscrit en
    juillet 2007
    Messages
    839
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 39
    Localisation : France, Loire Atlantique (Pays de la Loire)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Opérateur de télécommunications

    Informations forums :
    Inscription : juillet 2007
    Messages : 839
    Points : 1 831
    Points
    1 831
    Par défaut
    Citation Envoyé par joKED Voir le message
    Si je vous avertis qu'une fenêtre de chez vous est ouverte, et que vous ne me répondez pas (manque de temps pour fermer, impossibilité de fermer car vous êtes absent), ou mal ("C'est pas vos oignons"), seriez-vous content que j'aille faire le tour de tous les voleurs du coin en leur annonçant qu'on peut rentrer chez vous sans problème?
    Il y a erreur. Ce ne sont pas les locaux de l'entreprise qui sont en danger par une faille mais ceux du client. On ne parle pas d'une fenêtre que le client à laisser ouverte mais que le client ne peut pas fermer. Vous ne vous en rendez pas compte, le voleur lui si (C'est un principe de sécurité). Si le fabricant refuse d'ajouter un simple verrou à la fenêtre, il est alors normal de prévenir tout le monde qu'elle n'est pas solide. Ainsi le client risque de se tourner vers un autre produit... Le vendeur va alors réagir car s'il se fiche de la qualité du produit il ne veut pas perdre le client...
    C'est la loi du marché. Je n'ai jamais vu d'entreprise améliorer son produit si la demande ne vient pas du client (directement ou pas).
    Tout ce que j'écris est libre de droits (Licence CC0) et je vous incite à faire de même.

Discussions similaires

  1. Oracle sort une nouvelle version majeure de WebCenter Suite 11g et s'attaque à Microsoft Sharepoint
    Par Idelways dans le forum Forum général Solutions d'entreprise
    Réponses: 3
    Dernier message: 05/07/2011, 14h29
  2. Réponses: 0
    Dernier message: 26/01/2011, 11h45
  3. Réponses: 51
    Dernier message: 26/11/2010, 09h44
  4. Réponses: 3
    Dernier message: 09/11/2010, 15h35
  5. [Joomla!] Quel CMS choisir pour un groupe de chercheurs ?
    Par Garra dans le forum EDI, CMS, Outils, Scripts et API
    Réponses: 1
    Dernier message: 22/03/2007, 18h09

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo