Discussion :

[Marco46]

Je rejette ton analogie, je suis contre les armes à feu, et pour la publication des failles.

Je préfère me faire attaquer par un script kiddies qui au pire va me péter quelques fichiers, que par un criminel ou une mafia qui va vider mon compte en banque ou utiliser mes comptes ou mon IP pour des attaques plus graves encore.

Or les mecs qui piratent, les vrais criminels, pas les Kévins dans leurs piaules, ces mecs là n'ont pas besoin de lire les rapports de sécurité pour trouver des failles, ils les trouvent eux-mêmes, et c'est eux qu'on empêche de nuire quand des failles non-patchées son publiées pour forcer la main aux éditeurs, ou permettre aux admins réseaux d'agir en conséquence.

Poutant le calcul est simple :
Plus il y a de monde qui sait comment exploiter une faille, plus il y a de monde qui va l'exploiter. A mon avis beaucoup plus.
Et plus le nombre de victimes sera important.

Ce genre d'affirmation, qui pour le sens commun semble tout a fait cohérente, et à mon sens et visiblement pour la plupart des experts en sécurité une erreur, tout simplement.

Plus une faille est discrète, moins les attaquants sont nombreux, perso je suis beaucoup plus rassuré de savoir qu'une faille concernant mes machines est confidentielle plutôt que connue de tous.

Moi ça me fait flipper. Parce que quand je sais qu'il y a une faille, dans le pire des cas, je désinstalle l'application concernée. Il est très rare de ne rien pouvoir faire manuellement contre une faille.

Alors que de savoir qu'il existe des failles mais secrètes, et que donc ces failles sont potentiellement connues des criminels mais que moi je ne sais même quelles appli ça concerne, ça m'emm...

Notez que pour un analphabète du clavier l'un ou l'autre cas n'a aucune importance.

Donc vraiment je pense que vous êtes bien perchés sur cette question. Limite un peu obscurantistes. Désolé, je vous aime bien mébon...

[Marco46]

Le problème que l'on voit ici, c'est que les personnes défendant la divulgation des failles, sont pour la plupart des personnes revendiquant l'usage massif, voir unique de logiciels open-source, et donc d'un OS basé sur Linux. Et, donc, complètement coupés des utilisateurs lambda, de la masse des gens qui ne sont même pas au courant de l'existence de failles de sécurité. Ils vivent dans un monde ou l'informatique est utilisée par des informaticiens, mais ne se rendent pas compte que derrière 90% des PC du monde entier, il y a des gens qui se servent de leur machine comme ils se servent de leur lave-linge ou de leur machine à café !

Et donc ?

Ça change quoi pour la sécurité des utilisateurs ?

[Louis Griffont]

Ce genre d'affirmation, qui pour le sens commun semble tout a fait cohérente, et à mon sens et visiblement pour la plupart des experts en sécurité une erreur, tout simplement.

Quels arguments !

Moi ça me fait flipper. Parce que quand je sais qu'il y a une faille, dans le pire des cas, je désinstalle l'application concernée. Il est très rare de ne rien pouvoir faire manuellement contre une faille.

Alors que de savoir qu'il existe des failles mais secrètes, et que donc ces failles sont potentiellement connues des criminels mais que moi je ne sais même quelles appli ça concerne, ça m'emm...

Notez que pour un analphabète du clavier l'un ou l'autre cas n'a aucune importance.

Et donc ?

Ça change quoi pour la sécurité des utilisateurs ?

Ton post précédent argumente mes propos. Quand tu dis que tu déclares que tu préfères connaitre l'existence d'une faille pour t'en prémunir, tu es carrément dans le cadre : Je suis dans le milieu de l'informatique et je sais rechercher les divulgations de failles et comment m'en prémunir.
Ceux que tu méprises, les «analphabètes du clavier» et qui sont ceux qui te nourrissent par ailleurs, eux ne savent pas, et sont donc directement exposés par la négligence de ceux qui divulguent à tout va les failles qu'il découvrent, juste pour faire c***r les méchants éditeurs.

Ces zorro de pacotilles sont bien plus dangereux que les pirates aux-mêmes.

[Hellwing]

Ce genre d'affirmation, qui pour le sens commun semble tout a fait cohérente, et à mon sens et visiblement pour la plupart des experts en sécurité une erreur, tout simplement.

Je serai justement curieux de savoir en quoi c'est une erreur ? Je suis ouvert à tout argument me le démontrant.

[Marco46]

Dans le cas où la faille n'est pas publiée :

- Les utilisateurs lambda ne savent rien, comprennent rien et ne font rien.
- Les utilisateurs avertis ne savent rien et donc ne peuvent rien faire.
- Les éditeurs de logiciels concernés peuvent ou non agir selon qu'ils sont informés et veulent bien dépenser l'argent nécessaire.
- Les souris informées dansent dans l'impunité la plus totale.

Dans le cas où la faille est publiée :

- Les utilisateurs lambda ne savent rien, comprennent rien et ne font rien.
- Les utilisateurs avertis peuvent agir, et peuvent même aider leurs potes lambda.
- Les éditeurs de logiciels concernés sont bien obligés d'agir, au moins pour leur réputation.
- Les souris doivent trouver d'autres failles.

On voit bien qu'au final, et plus le temps passe, qu'il est vraiment rentable et plus sécurisant de publier les failles plutôt que de fermer les yeux sur cette réalité.

EDIT : Ajout des éditeurs.

[_skip]

Moi ça me fait flipper. Parce que quand je sais qu'il y a une faille, dans le pire des cas, je désinstalle l'application concernée. Il est très rare de ne rien pouvoir faire manuellement contre une faille.

Alors que de savoir qu'il existe des failles mais secrètes, et que donc ces failles sont potentiellement connues des criminels mais que moi je ne sais même quelles appli ça concerne, ça m'emm...

Là ou ça ne tient pas c'est que ce dont il est question, ce n'est pas de communiquer l'existence d'une vulnérabilité pour donner aux gens la possibilité de se prémunir, mais bel et bien de fournir clefs en main tous les détails nécessaire à son exploitation.

Et ca je regrette, c'est condamnable pour moi. Il y a une différence entre informer le public de l'existence d'une faille et fournir limite des tutoriaux vidéo pour montrer comment s'en servir.

[Marco46]

Là ou ça ne tient pas c'est que ce dont il est question, ce n'est pas de communiquer l'existence d'une vulnérabilité pour donner aux gens la possibilité de se prémunir, mais bel et bien de fournir clefs en main tous les détails nécessaire à son exploitation.

Et ca je regrette, c'est condamnable pour moi. Il y a une différence entre informer le public de l'existence d'une faille et fournir limite des tutoriaux vidéo pour montrer comment s'en servir.

Dire qu'il y a un buffer overflow de possible sur le code de login d'IIS par exemple c'est presque comme donner le code d'exploitation de la faille.

A partir du moment où tu donnes la faille et que tu expliques un minimum le système, il ne faudra pas longtemps pour trouver quelqu'un qui écrive un PoC et qui puisse la publier.

En d'autres termes, entre publier l'existence d'une faille, et publier un code permettant de l'exploiter, la différence n'est pas si grande.

[Priato]

"@détracteurs de divulgation de faille": J'entends bien tout ce que vous dites mais je ne comprends pas ce que vous proposez comme solution pour la résolution de ces failles.

On ferme les yeux?
On espère en croisant les doigts que l'éditeur de la faille veuille bien faire son boulot et corriger au plus vite, après l'avoir informé? (en partant du principe qu'ils l'aient bien pris au sérieux)
Tout en espérant que le moins de kikoonoobs ne découvrent la faille et l'exploitent?

A coté de ça:
On continue de prendre les clients pour des bêtes et on continue de leur cacher leur gruyères sur lequel repose leur vie privée / leur entreprise?

Sinon pourquoi ne pas instaurer une entité comme la CNIL qui pourrait contrôler la résolution de ces failles, exiger des délais sous peine de sanctions? (je sais, c'est délicat mais faut bien proposer des solutions...)
ça empêcherait de rendre les failles publiques tout en ayant un moyen de pression sur les éditeurs.

[Louis Griffont]

Dans le cas où la faille n'est pas publiée :

- Les utilisateurs lambda ne savent rien, comprennent rien et ne font rien.
- Les utilisateurs avertis ne savent rien et donc ne peuvent rien faire.
- Les éditeurs de logiciels concernés peuvent ou non agir selon qu'ils sont informés et veulent bien dépenser l'argent nécessaire.
- Les souris informées dansent dans l'impunité la plus totale.

Dans le cas où la faille est publiée :

- Les utilisateurs lambda ne savent rien, comprennent rien et ne font rien.
- Les utilisateurs avertis peuvent agir, et peuvent même aider leurs potes lambda.
- Les éditeurs de logiciels concernés sont bien obligés d'agir, au moins pour leur réputation.
- Les souris doivent trouver d'autres failles.

On voit bien qu'au final, et plus le temps passe, qu'il est vraiment rentable et plus sécurisant de publier les failles plutôt que de fermer les yeux sur cette réalité.

EDIT : Ajout des éditeurs.

Tes arguments tiendraient la route si la divulgation de la faille, se réduisait à avertir sur l'existence d'une faille et non à fournir les armes aux «souris».
Ensuite, tu pars du principe que quelque soit la faille publiée, elle est déjà exploitée, par des «souris», et ça, ce n'est qu'une hypothèse. Rien ne dit, non plus, que la publication d'une faille ne permette pas aux souris, d'en découvrir de nouvelles.

[Lyche]

Et si au lieu de faire des PoC publiques on avait un organisme de gestion des failles qui soit au courrant ainsi que l'entreprise. Avec un système qui permet de mettre la pression aux boites afin qu'elles se bougent les fesses, sans pour autant avoir une répercussion publique trop importante. Cela limite les problèmes d'une divulgation de masse et ça permet d'avoir un suivi "efficace" si tanté que l'on puisse réellement d'efficacité.

[Patriarch24]

Poutant le calcul est simple :
Plus il y a de monde qui sait comment exploiter une faille, plus il y a de monde qui va l'exploiter. A mon avis beaucoup plus.
Et plus le nombre de victimes sera important.

Et plus les éditeurs de pare-feu, antivirus et logiciels quelconques pourront réagir.

La plupart des failles critiques sont complexes, voire très complexes et le pirate lambda, même doué, (Kévin dans sa piaule ) sera incapable d'en tirer un quelconque bénéfice. De plus, la plupart des failles requièrent des conditions assez particulières et très précises (version x.x.x.x d'un tel framework couplé à l'installation d'un rootkit x que tu attrapes en visitant un site du genre groslolos.com ou montresdeluxeenpromo.ru, et que ton navigateur inclut le plugin machin chose... etc.). La publication d'une telle faille ne permettra pas forcément aux pirates d'acquérir un bénéfice quelconque, et s'il estiment perdre leur temps, il l'ignoreront...

Moi je pense qu'il faudrait commencer par améliorer la formation, l'information auprès des gens (leur expliquer que c'est bien de mettre à jour leurs logiciels, qu'on ne doit pas faire tout et n'importe quoi sur la toile, etc.). Pour reprendre une analogie donnée plus haut, tout le monde sait qu'un révolver c'est dangereux, et qu'il faut pas appuyer n'importe où n'importe quand. Et ben un PC, c'est pareil.

[_skip]

On peut dire qu'il existe une faille sans donner les détails, dire que c'est un buffer overflow c'est déjà trop en dire à mon sens. Par ailleurs, dans ce cas que tu cites, les entreprises ne seront pas en mesure de combler la faille, ni d'arrêter le service le temps qu'elle soit corrigé.

Elles devront juste faire face à une recrudescence d'attaques juste parce qu'un irresponsable a donné le tuyau pour se faire mousser.

[Priato]

Et si au lieu de faire des PoC publiques on avait un organisme de gestion des failles qui soit au courrant ainsi que l'entreprise. Avec un système qui permet de mettre la pression aux boites afin qu'elles se bougent les fesses, sans pour autant avoir une répercussion publique trop importante. Cela limite les problèmes d'une divulgation de masse et ça permet d'avoir un suivi "efficace" si tanté que l'on puisse réellement d'efficacité.

Hey! j'ai posé un copyright sur cette idée !!!

[Marco46]

On peut dire qu'il existe une faille sans donner les détails, dire que c'est un buffer overflow c'est déjà trop en dire à mon sens. Par ailleurs, dans ce cas que tu cites, les entreprises ne seront pas en mesure de combler la faille, ni d'arrêter le service le temps qu'elle soit corrigé.

Elles devront juste faire face à une recrudescence d'attaques juste parce qu'un irresponsable a donné le tuyau pour se faire mousser.

Mais si, elles combleront la faille en passant sur Apache

Tes arguments tiendraient la route si la divulgation de la faille, se réduisait à avertir sur l'existence d'une faille et non à fournir les armes aux «souris».
Ensuite, tu pars du principe que quelque soit la faille publiée, elle est déjà exploitée, par des «souris», et ça, ce n'est qu'une hypothèse. Rien ne dit, non plus, que la publication d'une faille ne permette pas aux souris, d'en découvrir de nouvelles.

Tu y es presque.

Je pars du principe que quelque soit la faille publiée, elle est PEUT ETRE déjà exploitée. On ne peut pas savoir ! Donc il faut prévenir.

[Louis Griffont]

Je pars du principe que quelque soit la faille publiée, elle est PEUT ETRE déjà exploitée. On ne peut pas savoir ! Donc il faut prévenir l'éditeur....

[dams78]

En fait c'est la politique de l'autruche que vous voulez? J'ai pas connaissance de failles, donc yen a pas, youpiiiii.
Comme il a été dit les pirates n'attendent pas forcément les bulletins officiels pour explorer les failles, par contre les gentils hacker, il y a de forte chances que oui... Je suis pas trop au courant de ce fonctionnement, mais pour moi il doit exister des sites, forum, salon et cie où les pirates doivent s'échanger, se vanter de leurs trouvailles.
Moi je reste persuader qu'a vouloir cacher des choses, on est de toute façon perdant, c'est une des premières choses que j'ai appris en cours de sécurité informatique.

--edit
Quand a prévenir l'éditeur c'est cool, mais s'il en a rien à f... ? Qu'est ce qu'il l'oblige à corriger la faille, après tout personne n'est au courant .

[Marco46]

Tiens au fait, j'ai une question.

Vous dites en gros qu'il est scandaleux voire criminel de publier des PoC de failles de sécurité.

Quid d'un logiciel comme Nessus, qui bien qu'aujourd'hui est propriétaire, était à l'origine sous GPL, qui a des fonctionnalités d'attaque sur des failles de sécurité afin de permettre aux admins réseaux de les patcher/contrôler ?

Quid d'une distribution comme BackTrack, bardée d'outils de piratage et de détection de vulnérabilité / intrusion ?

Vous considérez ces outils comme criminels ?

Vous êtes contre la publication de PoC, mais ces logiciels sont des PoC.

[Lyche]

En fait c'est la politique de l'autruche que vous voulez? J'ai pas connaissance de failles, donc yen a pas, youpiiiii.
Comme il a été dit les pirates n'attendent pas forcément les bulletins officiels pour explorer les failles, par contre les gentils hacker, il y a de forte chances que oui... Je suis pas trop au courant de ce fonctionnement, mais pour moi il doit exister des sites, forum, salon et cie où les pirates doivent s'échanger, se vanter de leurs trouvailles.
Moi je reste persuader qu'a vouloir cacher des choses, on est de toute façon perdant, c'est une des premières choses que j'ai appris en cours de sécurité informatique.

Mais le divulguer au grand publique c'est quand même une forte perte de contrôle. Je pense sincèrement qu'il faut imposer aux entreprises de corriger les failles, mais divulguer au grand jours les problèmes n'est, pour moi, pas la solution.
Ce n'est pas vraiment une politique de l'autruche, tout informaticiens qui se "respecte" se doit d'être au courrant, mais le grand publique n'a pas à savoir, simplement parce qu'il n'y connait rien (et risque de ne pas comprendre, quand on comprend pas, on panique, c'est une réaction "normale"). Je reste quand même plus adèpte de la "communauté" de l'open source pour ce côté là, et je pense qu'un système contrôlé, et communautaire, serait une bien meilleure solution qu'un PoC au grand jour. (je me répète un peu en faite)

[_skip]

Mais si, elles combleront la faille en passant sur Apache

Il faut savoir si on veut faire avancer les choses où faire la nique à un éditeur. Hein?

En fait c'est la politique de l'autruche que vous voulez? J'ai pas connaissance de failles, donc yen a pas, youpiiiii.

Mélanges pas tout, y'a une grosse différence entre avertir à titre préventif, et fournir de l'outillage clé en main. Il n'est pas question de cacher le fait que cela existe, mais d'éviter de révéler le procédé détaillé pour exploiter.

Prévenir qu'une alarme a un défaut c'est une chose, donner les instructions aux voleurs pour la désactiver c'en est une autre.

[dams78]

Mais le divulguer au grand publique c'est quand même une forte perte de contrôle. Je pense sincèrement qu'il faut imposer aux entreprises de corriger les failles, mais divulguer au grand jours les problèmes n'est, pour moi, pas la solution.
Ce n'est pas vraiment une politique de l'autruche, tout informaticiens qui se "respecte" se doit d'être au courrant, mais le grand publique n'a pas à savoir, simplement parce qu'il n'y connait rien (et risque de ne pas comprendre, quand on comprend pas, on panique, c'est une réaction "normale"). Je reste quand même plus adèpte de la "communauté" de l'open source pour ce côté là, et je pense qu'un système contrôlé, et communautaire, serait une bien meilleure solution qu'un PoC au grand jour. (je me répète un peu en faite)

Ton post me fait sourire si on change les termes informatiques avec autre chose comme politique, terrorisme, etc. Je pense à ça dans le contexte actuel où l'ont entend souvent parlé de transparence. Mais bon, bref!

Sinon pour ce qui est de juste prévenir les professionnels, comment tu vas faire la liste? Juste ceux qui ont payé pour s'inscrire à la newsletter? Et dès l'instant où tu préviens une personne, tu peux être sûr que le secret ne sera pas gardé bien longtemps.
Et puis comme l'ont dit certain, même si tu publies la faille, le grand public ne sera pas forcément au courant, et s'il le devient, il y a fort à parier pour qu'il se renseigne au près de quelqu'un pour savoir ce qu'il faut faire. Au passage ce quelqu'un devrait être l'éditeur du logiciel, je trouve...