Discussion :

[grafikm_fr]

Alors pour vous publier une faille c'est dire par exemple : il y a une faille sur WinXP telle version ?

A quel degré de précision de publication d'une faille on franchit le cap pour devenir un terroriste/criminel selon vous ?

C'est une question compliquée, mais personnellement je placerais le curseur comme suit:

- Dire qu'il y a une faille dans tel exécutable ou DLL et sur quoi elle est basée reste raisonnable,
- En revanche, publier un proof of concept et/ou un code source d'un exploit est préjudiciable. Ça se fait effectivement très souvent de nos jours, et ça se faisait aussi avant, mais bon...

Exemple avec un buffer overflow: dire qu'il y a un buffer overflow dans l'exécutable machin qui peut conduire à l'exécution d'un code arbitraire, c'est une chose, mais publier un bout de fichier en C pour l'exploiter en est une autre. Si tu publies directement le code source, n'importe quel gars (on les appelait "script kiddies" à l'époque) peut mener l'attaque en compilant le code. Alors qu'écrire un prog de buffer overflow juste en connaissant le nom de l'exécutable demande quand même beaucoup plus de temps et n'est pas accessible à un quidam qui utilise la plupart du temps un software kit payant vendu par une boite russe.

Ce qu'il faut garder à l'esprit, c'est que tu peux beaucoup plus facilement avoir des soucis avec la justice si on a prouvé que tu as donné à quelqu'un les outils pour commettre une infraction (le code C) que si tu as juste donné une indication. Et c'est même pas une question de législation pénale, le gars peut très bien avoir infligé des dégâts financiers et c'est dans le civil que ça va se passer.

[Hellwing]

Merci,

C'est pour ça que je posais la question. N'étant pas dans le domaine de la sécurité je ne faisais que demander à ce qu'on éclaire ma lanterne.

[goomazio]

Sans vouloir répéter inutilement...

A quel degré de précision de publication d'une faille on franchit le cap pour devenir un terroriste/criminel selon vous ?

Dans certains cas, le simple fait de dire que le logiciel x à une faille permet de déduire le problème (logiciel avec une seule fonctionnalité ?), par contre, dans d'autres, des précisions sont requises pour avoir la moindre idée d'où se trouve la faille.

En tout cas, je pense aussi que c'est idiot de risquer d'avertir des pirates de l'existence d'une faille.

Après il y a des cas où la faille ne vaut pas la peine d'ouvrir un dossier top secret et de se déplacer en personne pour avertire l'intéressé, et il doit y en avoir d'autres où ce dernier ne voit pas l'intérêt de réparer la faille, qui peuvent mener à des situations un peu plus complexes...


Je pense qu'on est dans une situation curieuse, je préférerais avoir plus d'info avant de les traiter de pirates ou de criminels, parce que sinon j'en connais d'autres qui mériteraient peut-être aussi le titre de criminel (cf. les procès d'intentions des débats sur les systèmes d'exploitation )

[B.AF]

Ok donc maintenant on va batailler sur la définition de la publication d'une faille ...

Alors pour vous publier une faille c'est dire par exemple : il y a une faille sur WinXP telle version ?

A quel degré de précision de publication d'une faille on franchit le cap pour devenir un terroriste/criminel selon vous ?

C'est assez simple : c'est à partir du moment où le préjudice provoqué par la publication appartient aux critéres du crime.
Par exemple dévoiler comment percer la défense du réseau du ministére de la défense et le dévoiler publiquement serait probablement considéré comme de l'espionnage ou un acte de terrorisme.
Après il y a aussi un autre cap qui est l'argent, quand on s'attaque aux gros, ils ont les moyens de faire des procédures longues, de faire de votre vie un enfer, de faire de la communication, d'acheter des expertises....

[Invité]

C'est assez simple : c'est à partir du moment où le préjudice provoqué par la publication appartient aux critères du crime.
Par exemple dévoiler comment percer la défense du réseau du ministère de la défense et le dévoiler publiquement serait probablement considéré comme de l'espionnage ou un acte de terrorisme.
Après il y a aussi un autre cap qui est l'argent, quand on s'attaque aux gros, ils ont les moyens de faire des procédures longues, de faire de votre vie un enfer, de faire de la communication, d'acheter des expertises....

Finalement c'est toujours les gros qui sont défendus et le quidam dont ont se fout.

[eomer212]

Beaucoup posent la question de dire ou pas, dévoiler ou cacher le fait que le système est mal écrit, truffé de bugs dans tous les sens..

mais on se trouve dans un cas particulier.
ce cas particulier, c'est que le programme en question est la base de fonctionnement de nombreuses entreprises, qu'elles ont payées pour en avoir la jouissance, et qu'en plus le fournisseur et fabricant s'arrogent le droit de ne pas garantir le fonctionnement de son produit.
incroyable, impensable, mais vrai.
mais qu'attendre d'autre d'une société qui a fondé sa réussite sur l'esbrouffe, le pillage intellectuel et industriel, et la bétise ainsi que l'absence de vision autre que commerciale de ses dirigeants.

microsoft traite ses clients comme des chiens ignorants et stupide, il est normal que le retour de baton se fasse.
Il est même intéressant de se demander si ce n'est pas microsoft lui même qui pousse à la "découverte" de failles dans les systémes xp, pour pousser les entreprises qui l'utilisent à acheter des systémes d'exploitation dont elles n'ont pas besoin, et qui les forceraient à jeter au panier des appliquations qui leurs donnent satisfaction depuis longtemps.
mais fabriquer un système d'exploitation fiable n'est pas dans la logique de microsoft.
il faut qu'il soit plein de bug pour forcer après coup les utilisateurs à acheter le suivant, qui lui n'a pas toutes ces failles.. mais pleins d'autres nouvelles.. pour son successeur..
Alors, si on parlait d'un driver ou autre programme peu usité, dont on peut se passer, ça ne poserait pas de probléme, mais la on parle de quelque chose dont on ne peut pas faire l'impasse, un systéme d'exploitation.
c'est donc une question de santé publique que de dire que les choses ne marchent pas, quand à ceux qui sont partisans de le cacher, ce sont des complices de ce complot du silence.
et si le gouvernement ou l'Europe étaient un peu prévoyants, ils investiraient un tout petit peu pour faire produire un système complètement compatible xp, stable, européen, et utilisable en toute sécurité.
je ne doute pas que les resources en Europe ou alilleurs ne seraient pas capables de le faire.
Vu que microsoft n'aura jamais la volonté de le faire, ce serait sans doute la seule solution. mais espérer un peu de clairvoyance de la part des politiques est sans doute trop demander. C'était valable à l'époque de de gaule, mais aujourdhui, ils ne savent plus que réagir. trop tard, quand encore, ils le font..
l'informatique est devenue un enjeu strategique majeur, au même titre que l'energie.
Quitte à reinstaller un système, on devrait pouvoir en reinstaller un fiable. est-ce si difficile.??
c'est bien là que l'on voit l'incompetence et la duplicité de nos élus, trop pressés de profiter pour servir..

[goomazio]

Attention aux procès d'intention ! Puis, il ne faut pas trop mélanger business et éthique... (et c'est moi qui dit ça )

Mais ne pas se faire marcher sur les pieds commence par ce genre réflexions, je pense... C'est moi qui ai mis le +1, pour soutenir l'utopie qu'est d'espérer voir des multinationales éthiques à tout point de vue...

[stardeath]

...

la théorie du complot est de retour, pourquoi pas.

après le soit disant système 100% sur, inattaquable et qui fait le café n'existera jamais, pour la simple et bonne raison que c'est encore des Hommes qui écrivent des programmes, et que à moins de faire quelques choses de trivial (et encore) il y aura forcément des bugs.
on aura beau avoir tous les cerveaux les plus compétents de la terre pour faire le meilleur système d'exploitation, il y aura forcément un cas qui n'aura pas été pensé, ou alors ça serait très présomptueux.

l'informatique est devenue un enjeu stratégique majeur, au même titre que l'énergie.

et c'est là selon moi qu'est le problème, on (en général) ne sait plus rien faire dès qu'on a pas une machine en face de soi. l'informatique n'est plus un service pour nous aider, on est devenu ses esclaves.

[cinemania]

entièrement d'accord avec stardeath...

maintenant eomer212 redescend un peu de ton perchoir... le lobby anti-microsoft est un peu dépassé de nos jours, surtout depuis que bill gates a pris sa retraite.
intéresses-toi aux autres sociétés qui vendent des soient disant systèmes sures...
Parlons des éditeurs UNIX... UNIX n'est pas plus fiable que Windows Server... et vous ne pourrez pas dire le contraire car le code source de TOUS les UNIX est closed source comme celui de Windows.
Ne demande à aucun d'entre eux de sortir un patch de sécurité... ça ne se fait pas ! Ça serait admettre qu'ils en sont réduit à cela...
Tu devras attendre la prochaine version, et l'acheter, comme tout le monde, et vu les tarifs engagé on parle pas des centaines d'euros que t'a mis pour ton Windows mais de dizaines de milliers d'euros pour des produits qui ne les valent pas.

Maintenant pourquoi personne ne cherche de faille sous linux ou sous UNIX ? la raison est évidente non ? à quoi bon emmerder 10 personnes quand on peut en emmerder 100 000... tout simplement.
et non, les failles sous linux ne sont pas corrigées dans l'heure... croire cela est totalement illusoire et utopique...
d'autant que les failles sont souvent spécifiques à une distribution et donc une société particulière... qui ne fonctionnera pas différemment de Microsoft à ceci prêt que généralement n'ayant que ce produit à développer, elles auront plus de temps et de ressources à y consacrer.

Ne crois pas pour autant que je sois pro-Microsoft. J'étais il fut un temps un Anti-Microsoft convaincu et acharné, mais bon contrairement à beaucoup, visiblement, j'ai muri, et je suis passé à autre chose de plus constructif, et il faut rendre à César ce qui est à César.
Aucune autre société ne maintient ses produits sur des anciennes versions, et même d'autres qui font des OS... Microsoft est la seule à faire de la maintenance sur une version d'un OS datant de 2002, en 2010, sachant qu'on est quand même 2 versions au dessus !

et croire que toutes les entreprises se mettent en conformité et achètent leur logiciel, ça aussi c'est utopique...
la boite où je bosse est partenaire Microsoft, une boite locale avec un parc monstrueux (on parle de plus de 2500 postes) nous a commandé un audit complet de son parc et savoir ce qui est "légal" ou pas et le résultat était plutôt éloquent...
Pratiquement AUCUN de leurs XP et Seven n'étaient légal, ils avaient même des versions pirates sur leurs serveurs !!!! c'est pour dire.
et ce constat déplorable je l'ai constaté dans la boite ou je bossais avant...

Alors je regrette mais les boites qui ne payent pas sont légions, elles perdent donc comme beaucoup d'utilisateurs dans le monde le droit à la parole quant à ce débat...
et ça change complètement le point de vue du problème...
surtout que parmi tous les détracteurs de microsoft qui ont pris la parole dans se débat... je parie sans trop me tromper que la quasi totalité, est sous windows... et souvent même pas en version légale.
(ça pour celui qui a insisté avec la vente forcée)

[Dididupry]

Soyez tout de même optimistes!
Publier une faille de sécurité est une bonne chose pour la sécurité de nos applications et surtout pour la société en question.
Nous n'aurons pas aujourd'hui l'éminent Linux si des bidoulleurs n'ont pas mis des leurs!
Dans un 1er temps on le prend mal mais une fois sauvé, on a la ferme conviction que c'était bien d'être prévenu.
Remontons à l'époque de pasteur (la découverte du vaccin),ça vous dit?
Bien sûr si ce monsieur n'avait pas mis du sien... Demandez alors aux chercheurs d'arrêter leurs investigations dans tous les domaines.
Mieux vaut prévenir que guérir.

[mabeghin]

Diffuser une faille est ridicule. Cela ne peut que nuire (tant à la société ciblée qu'aux utilisateurs).

Si je vous avertis qu'une fenêtre de chez vous est ouverte, et que vous ne me répondez pas (manque de temps pour fermer, impossibilité de fermer car vous êtes absent), ou mal ("C'est pas vos oignons"), seriez-vous content que j'aille faire le tour de tous les voleurs du coin en leur annonçant qu'on peut rentrer chez vous sans problème?

Ca colle pas ton histoire. Si il y a une faille dans windows, elle existe chez des millions de personnes. Si j'ai une fenêtre ouverte chez moi c'est juste mon problème.
Après pour le reste je m'en fous. Je trouve qu'il vaut mieux que les professionnels connaissent les problèmes de sécurité qui pourraient les toucher.
Je me demande toujours s'il y a autant de failles sous linux et sous mac et qu'on en parle moins, ou si ces systèmes sont plus safe que windows...

[grafikm_fr]

Parlons des éditeurs UNIX... UNIX n'est pas plus fiable que Windows Server... et vous ne pourrez pas dire le contraire car le code source de TOUS les UNIX est closed source comme celui de Windows.
Ne demande à aucun d'entre eux de sortir un patch de sécurité... ça ne se fait pas !

Oulà, oui, les IRIX et les Solaris d'il y a quelques années surclassaient tout ce qui existe au niveau du nombre de failles...

[abriotde]

Si je vous avertis qu'une fenêtre de chez vous est ouverte, et que vous ne me répondez pas (manque de temps pour fermer, impossibilité de fermer car vous êtes absent), ou mal ("C'est pas vos oignons"), seriez-vous content que j'aille faire le tour de tous les voleurs du coin en leur annonçant qu'on peut rentrer chez vous sans problème?

Il y a erreur. Ce ne sont pas les locaux de l'entreprise qui sont en danger par une faille mais ceux du client. On ne parle pas d'une fenêtre que le client à laisser ouverte mais que le client ne peut pas fermer. Vous ne vous en rendez pas compte, le voleur lui si (C'est un principe de sécurité). Si le fabricant refuse d'ajouter un simple verrou à la fenêtre, il est alors normal de prévenir tout le monde qu'elle n'est pas solide. Ainsi le client risque de se tourner vers un autre produit... Le vendeur va alors réagir car s'il se fiche de la qualité du produit il ne veut pas perdre le client...
C'est la loi du marché. Je n'ai jamais vu d'entreprise améliorer son produit si la demande ne vient pas du client (directement ou pas).