Discussion :

[Marco46]

Il faut savoir si on veut faire avancer les choses où faire la nique à un éditeur. Hein?



Mélanges pas tout, y'a une grosse différence entre avertir à titre préventif, et fournir de l'outillage clé en main. Il n'est pas question de cacher le fait que cela existe, mais d'éviter de révéler le procédé détaillé pour exploiter.

Prévenir qu'une alarme a un défaut c'est une chose, donner les instructions aux voleurs pour la désactiver c'en est une autre.

Mais très souvent dire qu'une alarme à un défaut c'est donner les instructions ou presque pour la désactiver. Cette séparation est tellement mince est dépend tellement fondamentalement de la faille en elle-même qu'il est juste impossible d'établir une règle claire de comportement.

C'est pour ça que je vous trouve vraiment trop rigide à ce sujet.

On tourne en rond. On a fait à peu de choses près le tour, comme sur le fil de la semaine dernière sur l'ingé de Google.

[Louis Griffont]

Mais très souvent dire qu'une alarme à un défaut c'est donner les instructions ou presque pour la désactiver.

Heu ! Tu t'es relu, là ?

Donc si je dit : "L'alarme machin a un défaut", c'est comme si je disais "Il vous suffit de faire ceci et cela pour désactiver l'alarme machin."


De toute façon le problème est situé au niveau des éditeurs, quels qu'ils soient. Il est évident qu'ils doivent corriger les failles, et ce dans les délais les plus brefs. Toutefois, je pense que tout le monde est d'accord pour dire que ces délais dépendent à la fois de la complexité du logiciel et du problème détecté.

Ce qui devrait être, à mon sens :
Une personne détecte un bug, une faille, un problème dans le logiciel X
Cette personne le signale à l'éditeur.
Celui-ci informe de la découverte (en citant la gentille personne, après tout, rendons à César ce qui appartient à César), et précise les délais au mieux les délais avant patch.
L'éditeur publie le patch et «à la rigueur» récompense la personne qui a trouvé le problème.

[GanYoshi]

Tes arguments tiendraient la route si la divulgation de la faille, se réduisait à avertir sur l'existence d'une faille et non à fournir les armes aux «souris».
Ensuite, tu pars du principe que quelque soit la faille publiée, elle est déjà exploitée, par des «souris», et ça, ce n'est qu'une hypothèse. Rien ne dit, non plus, que la publication d'une faille ne permette pas aux souris, d'en découvrir de nouvelles.

C'est pour ça que je suis aussi contre le fait qu'on divulgue un PoC, ça peut inciter des gens qui y connaissent rien à exploiter la faille.

Je suis contre le fait qu'on dise "il y a un problème sur cette librairie", ça peut inciter des gens qui n'y aurait pas pensé à chercher la faille.

Je suis aussi contre le fait de dire qu'il y a un problème sous Windows XP, ça peut inciter les gens à chercher une faille.

En fait, les experts en sécurité devrait dire : "Il y a un problème quelque part sur terre".

[dams78]

Vous avez déjà exploité une faille de sécurité? Parce que à vous entendre ça a l'aire super facile...

[worm83]

bonjour,

Je suis très loin d'être un expert, mais même dans mon ignorance je me rend compte que les intervenant les plus virulents sont encore moins au courant que moi.

Je crois que déjà vous devriez vous renseigner sur ce qu'est réellement un POC, une faille.... et surtout la manière dont ils elles sont trouvés....
Et puis il y a plusieurs POC certains relativement avancés (ce ne sont plus des Poc alors mais des exploits) d'autre juste une démonstration de la possibilité.... A vous écoutez on dirais qu'il suffit que je vous disent y a une faille sur telle fonction de Windows pour que vous pondiez un exploit.

Y a t'il un (des?) expert(s) qui pourrais nous donnés des arguments objectifs et aussi subjectifs (en séparant bien les deux) sur la divulgation d'un Poc (et non d'un exploit).

[Marco46]

Je suis pas un expert mais ce que j'appelle une faille c'est n'importe quel moyen d'accéder à des données qui ne devraient pas être accessibles ou de prendre le contrôle d'une machine ce qui revient à peu près au même.

Un PoC c'est juste de prouver la description de la faille.

@Louis G.

Je suis ok jusque là, j'ai jamais dit qu'il ne fallait pas contacter les éditeurs et attendre un peu, je dis juste que :

1/ Si l'éditeur ne fait rien il faut publier. Même PoC, car l'éditeur peut très se draper de mauvaise foi en disant qu'il n'y a rien. Auquel cas il faut bien apporter une preuve, et ce n'est rien d'autre que ça un PoC.

2/ Si la faille peut être comblée temporairement par l'administrateur du système en attendant la faille, il faut la publier en disant quoi faire pour la combler, même si l'éditeur n'est pas d'accord.

C'est tout ce que je dis. Et ce que je comprends de vos différentes interventions, c'est qu'en aucun cas il ne faut indiquer les failles ni même donner des PoC publiquement. Et c'est à mon sens une erreur.

Voilà.

[Hellwing]

Vous avez déjà exploité une faille de sécurité? Parce que à vous entendre ça a l'aire super facile...

Moi non, mais les hackers doivent sans doute avoir les compétences et les outils pour que ça ne soit pas trop difficile à exploiter.

[dams78]

Perso si demain je trouve une faille, si j'ai le moyen de contacter l'éditeur je le ferai en lui donnant le maximum d'information (et un moyen de me contacter certainement). Mais j'irai pas m'amuser à lui donner un ultimatum et vérifier ses faits et gestes, j'ai d'autres chose à faire

Bon après est ce que je vais publier la faille ou pas... j'aurai tendance à dire que si c'est de l'open source oui bien sûr, sinon bah... après tout ça m'étonnerai que ça m'arrive!

[dams78]

Moi non, mais les hackers doivent sans doute avoir les compétences et les outils pour que ça ne soit pas trop difficile à exploiter.

Il me semble pas... les outils qui existent (les kit dont j'ai oublié le nom), ne fonctionnent que pour une faille connue dans un environnement connu, puisqu'il s'agit en général d'un buffer overflow.

[worm83]

Ils existent plusieurs type d'outils et plusieurs type de pirate. Le simple "script kiddies" compilera un exploit qu'il aura trouve sur le net et l'exécutera. Le "lamerz" accomplit téléchargera (ou achètera) un kit tout en mains (d'origine russe, polonaise ...la plupart du temps) qui lui permettra de déployer des vers, trojans, malwares divers et variés tout prêt, ou même créer les siens avec de simples wizzard afin de personnaliser son comportement (sans avoir a taper une ligne de code !!). ils existent une panacée d'outils allant du plus simple au plus compliqué assez facilement disponible sur le net (suffit de chercher).

[Marco46]

Il me semble pas... les outils qui existent (les kit dont j'ai oublié le nom), ne fonctionnent que pour une faille connue dans un environnement connu, puisqu'il s'agit en général d'un buffer overflow.

Une faille de sécurité ça peut être tout simplement un accès à un FTP en anonymous alors qu'il héberge des informations confidentielles, un mot de passe en clair dans un protocole (SMTP, FTP, POP3, ...), ...

Il y a des failles connues depuis des lustres qui n'ont jamais été corrigées pour des raisons X ou Y, certaines meilleures que d'autres.

Pour exploiter la faille, il n'y a pas forcément besoin d'avoir fait bac+5 en buffer overflow. Savoir cliquer avec des logiciels tellement communs (un navigateur, un client FTP, ...) que ça fait peur peut suffire.

[zaventem]

Y a t'il un (des?) expert(s) qui pourrais nous donnés des arguments objectifs et aussi subjectifs (en séparant bien les deux) sur la divulgation d'un Poc (et non d'un exploit).

Il est fort probable que les "experts" aient abandonné depuis longtemps la lecture de ce genre de discussion trollifères

[dams78]

Une faille de sécurité ça peut être tout simplement un accès à un FTP en anonymous alors qu'il héberge des informations confidentielles, un mot de passe en clair dans un protocole (SMTP, FTP, POP3, ...), ...

Il y a des failles connues depuis des lustres qui n'ont jamais été corrigées pour des raisons X ou Y, certaines meilleures que d'autres.

Pour exploiter la faille, il n'y a pas forcément besoin d'avoir fait bac+5 en buffer overflow. Savoir cliquer avec des logiciels tellement communs (un navigateur, un client FTP, ...) que ça fait peur peut suffire.

C'est vrai j'étais plus parti dans des failles complexes, d'un autre côté je pense que c'est celle là dont il est question dans le sujet du post.

Par contre j'aime bien quand tu dis que certaines failles n'ont pas été corrigées pour X raisons. Est ce qu'on peut penser que tant qu'une faille n'est pas connu d'un certain nombre de personnes, l'éditeur n'a pas envie de perdre de l'argent dessus?

[worm83]

Il est fort probable que les "experts" aient abandonné depuis longtemps la lecture de ce genre de discussion trollifères

+12

[_skip]

+12

Venir sur un topic pour dire que les intervenants sont juste des cons/ignorants/trolls sans critiquer un minimum leur point de vue n'est pas très constructif. Si des propos te semblent en décalage avec la réalité, explique ce que t'en penses.

[worm83]

Ce n'était absolument pas mon objectif. Je remarque juste avec le peu de connaissances que j'ai sur le sujet que la discution n'a aucun sens car apparemment peu on de réelles connaissances sur les méthodes employés en sécurité informatique (peut être ai-je moi aussi totalement tord).
Ça part a moitié sur un troll le libre vs Windows dont on se moque éperdument vu la bonne foie qui y est mise.
Personnellement le sujet m'intéresse, c'est pour cela que j'aimerais que des gens qui on une réelle connaissance/compétence sur le sujet interviennent. Bien sûr tout le monde à le droit à la parole, mais voir certains affirmer des choses dont ils ne saisissent pas le sens et en plus troller dessus...... ca me scie.

J'ai quand même donné mon point de vue sur le poc quelques posts avant, mais encore une foie je n'ai que des "bases" sur la sécurité, alors mes arguments ne serais pas d'un très haut niveau.

Déjà en tant que néophyte ca me consterne alors je n'imagine même pas le spécialiste qui doit sauter au plafond.

Qui plus est le débat initiale porte sur un Poc d'une faille Windows alors j'imagine même pas ce qu'il va se prendre dans la gueule si le dit "expert" arrive et donne son avis qu'il sont pro win/linux.

[dams78]

Ce n'était absolument pas mon objectif. Je remarque juste avec le peu de connaissance que j'ai sur le sujet que la discutions n'a aucun sens car personne ne sait de quoi il parle.
Ça part a moitié sur un troll le libre vs Windows dont on se moque éperdument vu la bonne foie qui y est mis.
Personnellement le sujet m'intéresse c'est pour cela que j'aimerais que des gens qui on une réelle connaissance/compétence sur le sujet interviennent. Bien sure tout le monde à le droit à la parole, mais voir certains affirmer des choses dont ils ne saisissent pas le sens et en plus troller dessus...... ca me scie.

J'ai quand même donné mon point de vue sur le poc quelque posts avant, mais encore une foie je n'ai que des "bases" sur la sécurité, alors mais arguments ne serais pas d'un très haut niveau.

Déjà en tant que néophyte ca me consterne alors je n'imagine même pas le spécialiste qui doit sauter au plafond.

Qui plus est le débat initiale porte sur un Poc d'une faille Windows alors j'imagine même pas ce qu'il va se prendre dans la gueule si le dit "expert" arrive et donne son avis qu'il sont pro win/linux.

Tu peux développer les points qui te font sursauter? Ca permettrait de recadrer le débat.

[Louis Griffont]

+12

Ce n'était absolument pas mon objectif. Je remarque juste avec le peu de connaissance que j'ai sur le sujet que la discutions n'a aucun sens car apparemment peu on de réelle connaissance sur les méthodes employés en sécurité informatique (peut etre ai-je moi aussi totalement tord).
Ça part a moitié sur un troll le libre vs Windows dont on se moque éperdument vu la bonne foie qui y est mis.
Personnellement le sujet m'intéresse c'est pour cela que j'aimerais que des gens qui on une réelle connaissance/compétence sur le sujet interviennent. Bien sure tout le monde à le droit à la parole, mais voir certains affirmer des choses dont ils ne saisissent pas le sens et en plus troller dessus...... ca me scie.

J'ai quand même donné mon point de vue sur le poc quelque posts avant, mais encore une foie je n'ai que des "bases" sur la sécurité, alors mais arguments ne serais pas d'un très haut niveau.

Déjà en tant que néophyte ca me consterne alors je n'imagine même pas le spécialiste qui doit sauter au plafond.

Qui plus est le débat initiale porte sur un Poc d'une faille Windows alors j'imagine même pas ce qu'il va se prendre dans la gueule si le dit "expert" arrive et donne son avis qu'il sont pro win/linux.

Je cite tes deux derniers «posts». A mon avis, il serait plus approprié pour toi d'en rester au style du premier, vu le nombre de fautes contenues dans le second et qui le rendent quasi illisible. Au moins dans le premier, pas de faute et message clair !

[worm83]

Excusez-moi du nombre de fautes je l'ai écrit à la va vite pendant le taf et je ne me suis pas relu. Effectivement ça fait très peu sérieux. Mais si tu regardes le +12 n'est pas mon premier post.

[worm83]

Tu peux développer les points qui te font sursauter? Ca permettrait de recadrer le débat.

Oui mais ce soir en rentrant, je donnerais mon avis.