Discussion :

[Flaburgan]

Dans le cas de l'ingénieur google, on peut clairement dire que la faille n'était pas encore utilisée, ou très peu, quand on voit comment elle est utilisée à présent.

Mais il est vrai que si ce groupe reste anonyme, c'est parce qu'ils n'ont pas très bonne conscience...

Dans tous les cas, vous semblez oublier quelque chose :
Même si la faille est patchée dans la minute, combien de temps faudra-t-il à l'utilisateur pour faire une update ?
Allez, disons, un bon mois, quand on est gentil...
Donc en cas de PoC, même si la faille est patchée instantanément, votre oncle, votre grand mère, votre patron, tous auront largement le temps de se faire avoir...

[Marco46]

Dans le cas de l'ingénieur google, on peut clairement dire que la faille n'était pas encore utilisée, ou très peu, quand on voit comment elle est utilisée à présent.

Tu connais tous les pirates de la galaxie ? Et tu as analysé tous les sources des malwares existants ?

[dvdbly]

[...]

Mais il est vrai que si ce groupe reste anonyme, c'est parce qu'ils n'ont pas très bonne conscience...

[...]

D'un autre côté, et je suis conscient que l'analogie est un peu extrême, les résistants ne se faisaient pas non plus beaucoup de publicité, durant la seconde guerre mondiale...

[Marco46]

Bon je vous la refais du début.

Tu trouves une faille de sécurité sur un logiciel d'un éditeur (open source ou proprio ça n'a aucune importance je suis d'accord avec ça.) qui compromet la sécurité de l'ensemble d'un système.

Tu ne peux pas savoir si l'éditeur est au courant (avant de l'avoir contacté).
Tu ne peux pas savoir si un tiers (mal intentionné ou pas, tu peux pas savoir) est aussi au courant.
Tu sais si le public est au courant ou non car si l'info est publique l'éditeur et les pirates sont au courant. Donc en gros, si personne n'a publié la faille, alors le public n'est pas au courant et si quelqu'un l'a déjà publié alors le public est au courant.

Donc à ce moment là :
- soit tu décides de garder la faille pour toi et tu n'en informes personne, auquel cas peut être que des tiers vont utiliser la faille pour pirater des tiers.
On pourrait presque considérer ça comme de la non-assistance à personne en danger, histoire de vous suivre dans vos délires de terrorisme.
- soit tu décides d'informer le responsable du logiciel par un canal privé en lui laissant le temps de publier un correctif.

Ceci fait, si l'éditeur ne fait rien, il y a potentiellement des tiers qui peuvent se faire pirater et il est parfaitement légitime de lui forcer la main puisqu'il ne fait pas son boulot, ne serait-ce que pour se protéger soi-même.

Où est le terrorisme là dedans ?

Je suis trop fatigué pour vous quoter, joKED et Neko, et pointer les contradictions de vos messages, comme par exemple dire qu'il ne faut jamais publier de faille pour derrière contacter la presse. Un peu de cohérence svp.

[Neko]

Je suis trop fatigué pour vous quoter, joKED et Neko, et pointer les contradictions de vos messages, comme par exemple dire qu'il ne faut jamais publier de faille pour derrière contacter la presse. Un peu de cohérence svp.

Soit je me suis mal exprimé, soit il y a un gros mal entendu, soit t'es trop fatigué.
Tu peux (et tu dois) évidement dire à la presse ou qui que ce soit par exemple:
"J'ai découvert une faille dans les socket sous XP permettant l'exécution de code arbitraire ..." (c'est un exemple). Note qu’absolument rien ne permet de faire quoi que ce soit. Et c’est à peu près ce que publient les sites comme Secunia ou autre. Il n’y a pas d’indication sur comment exploiter la faille.

[Caly4D]

Ce n'est pas tout à fait ça. C'est plutôt:
1 - j'ai une maison construite par la société X.
2 - je découvre qu'en procédant d'une certaine façon il est possible d'ouvrir mes fenêtres de l'extérieur.
3 - je contacte la société X pour leur demander de régler le problème.
4 - ils refusent ou m'ignorent (c'est pour l'exemple hein?)
5 - je ne peux pas gagner en leur faisant un procès et je cherche un moyen de faire pression; je décide donc de leur faire de la mauvaise publicité auprès des éventuels clients jusqu'à ce qu'ils se décident à réparer le défaut (je peux pour ça faire une démo vidéo et l'envoyer à la presse). De plus, j'espère que les clients actuels se plaindront aussi. Entre temps je condamne ma fenêtre (firewall)

J’approuve CAR c'est exactement ce qui à été fait pour la faille des velux !

Souvenez-vous une personne avait prouvé que l'on pouvait ouvrir un velux de l’extérieur lorsque l'on le déclipsait pour faire entrée un filet d'air frais, et rien n'aurait (ou plutôt rien n'avait été fait par la société ) si cette personne n’avait pas fait une vidéo de la dite faille.

Et ce n'est qu'un exemple parmi tant d'autre ..


@joKED tu as apparemment oublié la règle 14 d'internet

[mabeghin]

Diffuser une faille est ridicule. Cela ne peut que nuire (tant à la société ciblée qu'aux utilisateurs).

Si je vous avertis qu'une fenêtre de chez vous est ouverte, et que vous ne me répondez pas (manque de temps pour fermer, impossibilité de fermer car vous êtes absent), ou mal ("C'est pas vos oignons"), seriez-vous content que j'aille faire le tour de tous les voleurs du coin en leur annonçant qu'on peut rentrer chez vous sans problème?

Ca colle pas ton histoire. Si il y a une faille dans windows, elle existe chez des millions de personnes. Si j'ai une fenêtre ouverte chez moi c'est juste mon problème.
Après pour le reste je m'en fous. Je trouve qu'il vaut mieux que les professionnels connaissent les problèmes de sécurité qui pourraient les toucher.
Je me demande toujours s'il y a autant de failles sous linux et sous mac et qu'on en parle moins, ou si ces systèmes sont plus safe que windows...

[abriotde]

Si je vous avertis qu'une fenêtre de chez vous est ouverte, et que vous ne me répondez pas (manque de temps pour fermer, impossibilité de fermer car vous êtes absent), ou mal ("C'est pas vos oignons"), seriez-vous content que j'aille faire le tour de tous les voleurs du coin en leur annonçant qu'on peut rentrer chez vous sans problème?

Il y a erreur. Ce ne sont pas les locaux de l'entreprise qui sont en danger par une faille mais ceux du client. On ne parle pas d'une fenêtre que le client à laisser ouverte mais que le client ne peut pas fermer. Vous ne vous en rendez pas compte, le voleur lui si (C'est un principe de sécurité). Si le fabricant refuse d'ajouter un simple verrou à la fenêtre, il est alors normal de prévenir tout le monde qu'elle n'est pas solide. Ainsi le client risque de se tourner vers un autre produit... Le vendeur va alors réagir car s'il se fiche de la qualité du produit il ne veut pas perdre le client...
C'est la loi du marché. Je n'ai jamais vu d'entreprise améliorer son produit si la demande ne vient pas du client (directement ou pas).