Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Expert éminent sénior
    Un groupe de chercheurs anonymes attaque Microsoft après l'affaire Ormandy
    Un groupe de chercheurs anonymes attaque Microsoft
    En dévoilant une vulnérabilité de Windows pour se venger de sa campagne anti-Ormandy


    Un groupe anonyme de chercheurs en sécurité a mis en ligne, la semaine dernière, des informations sur une faille non corrigée de Windows.

    Cet acte est une réponse —selon leur communiqué— à l'hostilité chronique dont fait preuve Microsoft envers les experts en sécurité, avec récemment l'affaire Tavis Ormandy, l'ingénieur de Google qui a publié un PoC aujourd'hui exploité sur plus de 10.000 machines (Lire les détails de l'affaire).

    Ils ont également annoncé la création du MSRC, Microsoft-Spurned Researcher Collective (la convention des chercheurs méprisés par Microsoft), allusion évidente au Microsoft Security Response Center qui porte les mêmes initiales (MSRC).

    L'annonce de cette convention a été postée anonymement à partir d'un compte Hushmail. Elle liste six collaborateurs dont les noms sont tous représentés par des « X ». Le groupe invite d'autres chercheurs à s'y inscrire et assure avoir mis en place un système de contrôle anti- employés de Microsoft.

    Microsoft, de son côté, minimise la faille dévoilée. Pour la société, un hacker doit disposer d'un accès physique ou avoir réussi un autre exploit pour l'utiliser. Elle juge ainsi le risque au dessous du seuil nécessitant une alerte de sécurité, habituellement la première étape dans la correction des problèmes de sécurité.

    Reste qu'au delà du débat sur la gravité de la vulnérabilité, l'initiative du groupe d'expert est très polémique.

    Aussi, et surtout, parce qu'elle est anonyme.

    Un léger manque de courage ?


    Source : Texte du communiqué du Groupe anonyme

    Et vous ?

    Que pensez-vous de cette initiative : légitime ou plutôt lâche ?
    D'après vous, qui sont ces chercheurs ?

  2. #2
    Membre du Club
    manque de courage ?

    Surement pas, car quand on voit les dérives liberticides et le traitement qu'on applique à ceux qui dévoilent des failles, il s'agit juste de se protéger un minimum et d'éviter la prison / les amendes / perte d'emploi.

    Le déroulement logique serait de contacter la société ayant la faille, si celle-ci refuse de réagir, elle est en tort selon moi et la faille devrait pouvoir être diffusée.

  3. #3
    Membre chevronné
    Une faille ne devrait jamais être diffusée.
    Au pire si la société en question ne veut pas la corriger ou nie son existence, on peut diffuser le fait qu'on ait trouvé une faille exploitable et dans quelles conditions, faire des pétitions pour la correction, demander l’avis d’autres experts. Mais ne jamais jamais la diffuser publiquement.
    If it's free, you are not the customer, you are the product.

  4. #4
    Membre averti
    Diffuser une faille est ridicule. Cela ne peut que nuire (tant à la société ciblée qu'aux utilisateurs).

    Si je vous avertis qu'une fenêtre de chez vous est ouverte, et que vous ne me répondez pas (manque de temps pour fermer, impossibilité de fermer car vous êtes absent), ou mal ("C'est pas vos oignons"), seriez-vous content que j'aille faire le tour de tous les voleurs du coin en leur annonçant qu'on peut rentrer chez vous sans problème?
    Tant va la cruche à l'eau qu'à la fin y'a plus d'eau.

  5. #5
    Membre éprouvé
    Citation Envoyé par Neko Voir le message
    Une faille ne devrait jamais être diffusée.
    Au pire si la société en question ne veut pas la corriger ou nie son existence, on peut diffuser le fait qu'on ait trouvé une faille exploitable et dans quelles conditions, faire des pétitions pour la correction, demander l’avis d’autres experts. Mais ne jamais jamais la diffuser publiquement.
    Oui, à condition aussi qu'on ne soit plus obligé d'acheter les logiciels en question.

  6. #6
    Membre éprouvé
    ils ont pas autres choses à faire par exemple créer plutot que de chercher des failles sur des systèmes anciens.

  7. #7
    Membre chevronné
    Citation Envoyé par trenton Voir le message
    Oui, à conditions aussi qu'on ne soit plus obligé d'acheter les logiciels en question.
    Là pour le coup, désolé mais je ne vois pas le rapport. Les problèmes de sécurité et de divulgation de failles sont valables qu'un logiciel soit payant ou non, qu'il soit open source ou pas. Vraiment, ce n’est juste pas le même sujet quoi.

    Je ne dis pas que Microsoft avait raison de ne pas patcher la faille. Toute faille devrait être corrigée au plus vite, mais c'est un autre problème.
    If it's free, you are not the customer, you are the product.

  8. #8
    Membre actif
    Citation Envoyé par Neko Voir le message
    Une faille ne devrait jamais être diffusée.
    Au pire si la société en question ne veut pas la corriger ou nie son existence, on peut diffuser le fait qu'on ait trouvé une faille exploitable et dans quelles conditions, faire des pétitions pour la correction, demander l’avis d’autres experts. Mais ne jamais jamais la diffuser publiquement.
    Très clairement, en effet.

    Aucun système, quel qu'il soit, n'est à l'abri d'une faille de sécurité. Rien ne justifie de la rendre publique et exploitable par des personnes malveillantes. Dans le cas contraire, moi j'appelle ça du "terrorisme"... Surtout si l'information est diffusée par des personnes "cagoulées".

  9. #9
    Nouveau Candidat au Club
    Dans le cas de Microsoft (Mais aussi de Apple, Adobe ..), ca a effectivement un intérêt de diffuser la faille : Les forcer à la corriger, faire bouger les choses, montrer un peu au gens l'absurdité Windows, de leur manière de faire.

    Ce genre d'action devrait en faire réagir plus d'un, mais apparemment c'est pas le cas >.< ...

  10. #10
    Expert éminent sénior
    Citation Envoyé par Kalishah Voir le message
    Très clairement, en effet.

    Aucun système, quel qu'il soit, n'est à l'abri d'une faille de sécurité. Rien ne justifie de la rendre publique et exploitable par des personnes malveillantes. Dans le cas contraire, moi j'appelle ça du "terrorisme"... Surtout si l'information est diffusée par des personnes "cagoulées".
    Oh oui c'est au moins du terrorisme.

    Diffuser une faille du soft d'un éditeur parce qu'il ne veut pas la corriger je trouve ça parfaitement normal. Pour le forcer à corriger, mais à condition qu'il ait le temps de le faire. En l'occurrence sur ce qui nous préoccupe, MS n'a pas vraiment eu le temps. 4 jours c'est peu.

    Vous partez du principe que diffuser une faille va forcément mettre au courant les pirates. Mais admettez qu'il existe au moins une alternative :
    Les pirates sont déjà au courant. Et dans ce cas il s'agit d'informer les utilisateurs du je m'en foutisme de l'éditeur du logiciel.

    Pour reprendre vos analogies foireuses, trouveriez vous normal de publier dans la presse les défauts de construction des fenêtres si vous pensez qu'elles sont sécurisées alors que les voleurs savent déjà comment les ouvrir ?
    Moi oui, ne pas diffuser l'info publiquement c'est comme taire un problème de santé publique, c'est un délit.

    Ah ! ah !

    Et voilà comment on retourne l'argument à l'envers.

    Envoyez les petits +1 verts les copains
    Un problème avec Git ? Essayez la FAQ, sinon posez votre question sur le forum.



    "Toute personne croyant qu'une croissance exponentielle peut durer indéfiniment dans un monde fini est soit un fou, soit un économiste."
    Kenneth E. Boulding

    "Les richesses naturelles sont inépuisables, car, sans cela, nous ne les obtiendrions pas gratuitement. Ne pouvant être ni multipliées ni épuisées, elles ne sont pas l’objet des sciences économiques."
    Jean-Baptiste Say, Traité d'économie politique, 1803.

    "/home/earth is 102% full ... please delete anyone you can."
    Inconnu

  11. #11
    Membre expérimenté
    Une petite question faisant écho à certaines réponses qui m'étonnent ci-dessus : comment expliquer que Linux n'ait pas plus de problème alors ? On est en pleine transparence, on a accès à tout et pourtant il y a moins de souci que sous Windaube. Linux n'est pas plus sûr théoriquement concernant les attaques virales. Le fait d'avoir développé un système communautaire permet d'avoir une très bonne réactivité.

    Concernant la divulgation des failles, il faudrait voir le sérieux des personnes qui ont fait cela. Si ce sont de "vrais" chercheurs, et que Microsoft les envoie chier à chaque remarque, on peut comprendre qu'il faut à un moment ou à un autre exposer les problèmes.

    Se taire et nier les problèmes, c'est s'exposer à de gros soucis. Pour mémoire, je rappellerais le cas d'un ingénieur, français je crois, qui avait eu des problèmes avec la justice pour avoir démontré une grosse faille des cartes bancaires. En faisant cela, il a soulevé un problème que d'autres auraient pu découvrir, et l'idée était de prévenir tout le monde.

    Vous êtes tous à vous indigner d'une divulgation publique mais qu'en est-il de tout ce qui circule en sous-main ?

  12. #12
    Membre expérimenté
    Marco46, je suis tout à fait d'accord avec toi.

  13. #13
    Membre éprouvé
    Citation Envoyé par cbleas Voir le message
    ils ont pas autres choses à faire par exemple créer plutot que de chercher des failles sur des systèmes anciens.
    Négatif un chercheur CHERCHE mais ne créé pas !!

  14. #14
    Nouveau Candidat au Club
    Microsoft n'a pas le temps ?? Quand ont y pense c'est normal en fait, il y a trop de procès à gérer .

    Pour le noyau Linux, 1 jour c'est déjà trop. Une faille corrigée dans l'heure qui suit après son annonce, c'est se qui ce passe le plus généralement.

  15. #15
    Membre à l'essai
    <cynisme>
    Gloire à la communauté scientifiques, à ces infatigables cerveaux d'élites qui dévoilent publiquement des failles pouvant nuire à des utilisateurs totalement innocents et pourtant premières victimes d'un puéril réglement de compte....
    Cracher sur Microsoft n'est toujours pas passé de mode (comme quoi, être professionnel en informatique ne veut pas dire qu'on s'interesse à l'informatique mais qu'on suit le troupeau...), donc je dirais que cautionner la divulgation d'une faille non patchée pour bouger Microsoft reviendrai à encourager les voleurs à continuer à voler (ainsi que les assurances à ne pas rembourser) afin que chacun d'entre nous vive dans un bunker ultra sécurisé entouré d'une paranoïa somme tout à fait sympathique n'est-ce pas?
    </cynisme>
    Forcer quelqu'un à réagir en le mettant au pied du mur est stupide, surtout lorsque ce sont d'autres personnes qui en font les frais, sinon il serait légitime de dépecer vivante une petite fille en pleine rue afin de montrer que les gens ne réagissent pas pour la sauver ou que la police est trop lente à venir, donc pas de haine gratuite, le respect est plus important qu'une simple vengeance mesquine.

  16. #16
    Membre averti
    Citation Envoyé par Marco46 Voir le message
    Mais admettez qu'il existe au moins une alternative :
    Les pirates sont déjà au courant. Et dans ce cas il s'agit d'informer les utilisateurs du je m'en foutisme de l'éditeur du logiciel.
    Dans ce cas précis, oui.

    Cependant, je te laisse le soin de prouver tes dires à propos des "pirates" soit disant déjà au courant. Surtout dans le cas d'une faille trouvée par des chercheurs indépendants qui n'a a priori jamais été exploitée.


    Ah ! ah !

    Et voilà comment on retourne l'argument à l'envers.

    Envoyez les petits +1 verts les copains
    La puérilité n'est pas obligatoire.
    Tant va la cruche à l'eau qu'à la fin y'a plus d'eau.

  17. #17
    Membre du Club
    Je suis de ceux qui pensent que divulguer est + bénéfique.

    Diffuser une faille permet d'informer les utilisateurs plus précisément sur la nature du danger. Ils peuvent à partir de cette information, prendre des décisions :
    1) ils s'en foutent parce que la faille concerne un éléments qu'ils n'utilisent pas
    2) ils s'en foutent parce que la faille ne peut être exploitée que dans certaines conditions qui ne sont pas remplies dans leur environnement. Pour reprendre l'exemple de la "fenêtre ouverte" cité plus haut=>si la fenêtre possède des barreaux c'est pas très grave de dire à tout le monde que la fenêtre est ouverte.
    3) La faille les touche pleinement=>si l'éditeur n'agit pas il est peut-être possible en attendant de mettre en place des rustines visant à limiter le danger, le temps que l'éditeur corrige (une faille sur un serveur web peut se corriger via une règle de pare-feu spécifique par exemple).

  18. #18
    Membre éprouvé
    Citation Envoyé par Neko Voir le message
    Là pour le coup, désolé mais je ne vois pas le rapport. Les problèmes de sécurité et de divulgation de failles sont valables qu'un logiciel soit payant ou non, qu'il soit open source ou pas. Vraiment, ce n’est juste pas le même sujet quoi.

    Je ne dis pas que Microsoft avait raison de ne pas patcher la faille. Toute faille devrait être corrigée au plus vite, mais c'est un autre problème.
    Mon point est que : d'une part la divulgation de cette faille n'est rien par rapport au scandale de la vente liée. Et d'autre part, on peut comprendre que des utilisateurs qui ont été obligés de payer un logiciel use de ce genre de stratégie pour obtenir la correction de faille de sécurité. Si on peut choisir ses logiciels, alors si on est pas content de la politique de sécurité d'un éditeur, il suffit ne pas acheter ses logiciels. Mais tant qu'on aura pas le choix...

  19. #19
    Membre chevronné
    Citation Envoyé par dodelria Voir le message
    Microsoft n'a pas le temps ?? Quand ont y pense c'est normal en fait, y'a trop de procès à gérer .

    Pour le noyau Linux, 1 jour c'est déjà trop. Une faille corrigée dans l'heure qui suit après son annonce, c'est ce qui ce passe le plus généralement.
    Ouais, en une heure la faille est corrigée, le patch soumis, testé pour être sûr qu'il n'y a aucune régression. Et évidement dans la même heure tous les utilisateurs ont déjà appliqué le patch. C'est beau linux quand même.

    Citation Envoyé par trenton Voir le message
    Mon point est que : d'une part la divulgation de cette faille n'est rien par rapport au scandale de la vente liée. Et d'autre part, on peut comprendre que des utilisateurs qui ont été obligés de payer un logiciel use de ce genre de stratégie pour obtenir la correction de faille de sécurité. Si on peut choisir ses logiciels, alors si on est pas content de la politique de sécurité d'un éditeur, il suffit ne pas acheter ses logiciels. Mais tant qu'on aura pas le choix...
    Heu... oui enfin là tu reconnaitras que c'est "juste un poil" hors sujet.
    If it's free, you are not the customer, you are the product.

  20. #20
    Expert éminent sénior
    Citation Envoyé par joKED Voir le message
    Dans ce cas précis, oui.

    Cependant, je te laisse le soin de prouver tes dires à propos des "pirates" soit disant déjà au courant. Surtout dans le cas d'une faille trouvée par des chercheurs indépendants qui n'a a priori jamais été exploitée.
    Tu ne peux pas prouver que les pirates sont au courant et tu ne peux pas prouver que la faille découverte par les chercheurs n'a jamais été découverte par d'autres personnes.

    Donc tu dois partir du principe qu'il est possible que l'on soit dans ce cas. Donc la meilleure chose à faire est d'avertir l'éditeur du logiciel du problème et de lui laisser le temps de le régler. Et s'il ne fait rien tu lâches une bombe publiquement.

    C'est comme ça que ça se passe 99% du temps. Tu ne peux pas dire des choses aussi tranchées que : "Une faille ne devrait jamais être diffusée." Si on fonctionnait comme ça, la plupart des éditeurs ne feraient rien, car ça leur coûte du fric et ne leur rapporte rien.

    Citation Envoyé par joKED Voir le message

    La puérilité n'est pas obligatoire.
    Un petit brin d'humour ne fait jamais de mal. Surtout à 17h00.
    Un problème avec Git ? Essayez la FAQ, sinon posez votre question sur le forum.



    "Toute personne croyant qu'une croissance exponentielle peut durer indéfiniment dans un monde fini est soit un fou, soit un économiste."
    Kenneth E. Boulding

    "Les richesses naturelles sont inépuisables, car, sans cela, nous ne les obtiendrions pas gratuitement. Ne pouvant être ni multipliées ni épuisées, elles ne sont pas l’objet des sciences économiques."
    Jean-Baptiste Say, Traité d'économie politique, 1803.

    "/home/earth is 102% full ... please delete anyone you can."
    Inconnu

###raw>template_hook.ano_emploi###