Citation:
Envoyé par
stardeath
non effectivement, personne soutient le type, par contre qu'est ce que ça brasse sur microsoft, comme d'hab on va avoir le méchant microsoft, et là c'est pas le gentil google, c'est le gentil employé de chez lui, quelle différence flagrante
Google 'ormandy faille microsoft', premier résultat :
Citation:
Informé d'une faille en septembre 2009, Microsoft ne corrige que le 21 janvier 2010, trop tard
Mais est-ce assez ? Pour Charlie Miller, expert en sécurité et gagnant trois années consécutives du concours de hacking Pwn2Own, la réponse est non. Estimant que les éditeurs (pas uniquement Microsoft) ne s'impliquaient pas assez dans la détection des failles et le durcissement de leur code, il avait décidé de ne pas leur communiquer les vulnérabilités découvertes lors de ses travaux.
En échange, Charlie Miller proposait de leur indiquer comment les détecter, une tâche simple selon lui puisqu'il indiquait que des outils de fuzzing classiques le permettaient. Mais Miller n'est pas le seul à critiquer le principe de la divulgation responsable. Certains reprochent aux éditeurs de profiter de ce système et de tarder à livrer des correctifs.
Début janvier, plusieurs entreprises, dont Google, étaient victimes d'intrusions informatiques attribuées à la Chine. Ces attaques ont été permises par une faille dans Internet Explorer 6. Or cette vulnérabilité avait été signalée à Microsoft par la société israélienne BugSec plusieurs mois auparavant, en septembre 2009. Elle ne sera corrigée finalement que le 21 janvier.
C'est ce qui s'appelle être objectif : pouvoir décrire des faits sans jouer les victimes ou diaboliser l'une ou l'autre des parties.