Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter
Si tu pars du principe que tout le monde est au courant, tu ne gagnes rien à rendre ta faille publique. Donc autant la garder pour toi...Envoyé par Marco46
Si tu pars du principe qu'il y a, ne serait-ce qu'une seule personne, pas au courant, il vaudra mieux ne pas la divulguer.
Principe de précaution.
If it's free, you are not the customer, you are the product.
Aujourd'hui, en france il y a des centrales nucléaires avec des failles parce c'est le cas de tout système. Donc pour qu'il ait moins de risque on va faire sauter la centrale ce sera mieux pour les autres centrales dommages pour les autres.
C'est vrai qu'en france un chercheur cherche mais ne trouve pas grand chose.
Code : Sélectionner tout - Visualiser dans une fenêtre à part
2
3
4
Un chercheur est censé aller vers l'innovation mais pas vers les anciens systèmes qui n'est maintenue que par la demande.
Ah, tu ne peux pas prouver qu'ils sont déjà au courant? Mais, tu l'affirmais quelques posts plus haut.
Peux tu cesser de commencer tes phrases par "Tu dois". C'est assez pénible. Je ne dois rien. Je suis libre de penser comme je le souhaites.
D'autre part, tu considères que c'est la meilleure solution, et je ne peux pas être d'accord à ce sujet. Les menaces ("On va divulguer la faille") et les actes de représailles ("Tiens, puisque tu fais pas comme on veut, on lâche la bombe") n'ont jamais été, à mes yeux, des arguments valables. Surtout lorsqu'on se cache sous une cagoule.
Diffuser un moyen de compromettre un système informatique tombe sous le coup de la loi, à raison, car en plus de pénaliser l'éditeur, tous les clients sont pénalisés.
Se cacher et menacer de mettre à disposition ce moyen, c'est à mon sens, dans le moins pire scénario, du chantage, dans le pire scénario, du terrorisme.
Une fois de plus, je ne suis pas d'accord. Je réitère, une faille ne devrait JAMAIS être publiquement diffusée. Il y a bien d'autre moyens pour alerter l'éditeur et le forcer à intervenir. Un petit florilège :
- Contacter un expert reconnu qui se chargera de valider la réalité de la faille.
- Contacter un éditeur de solutions de sécurité reconnu qui se chargera de constater la dite faille, et en plus pèsera de tout son poids sur l'éditeur pour que celui-ci agisse
- Contacter la presse, et, à l'aide d'une démo, prouver l'existance de cette faille et sa criticité.
Et bien au contraire, les éditeurs sont souvent prompts à corriger les failles au plus tôt(*), car, bien que cela coûte de l'argent, le déficit d'image associé à la non correction est important et difficile à combler même avec une campagne marketting bien sentie.
(Edit : Par exemple, Adobe qui mettait des plombes à corriger les failles découvertes, a fini par mettre en place un système d'update régulier et rapide afin que leur image cesse d'être ternie à ce sujet)
(*) Ce qui peut parfois prendre plusieurs semaines voire mois selon la difficulté de correction.
Tant va la cruche à l'eau qu'à la fin y'a plus d'eau.
C'est quoi ces arguments populistes. On pourrait en dire autant de certains services de Recherche et Développement du Privé : pour changer, je donnerais l'exemple du iPad de Mac O$ qui est le degré zéro de la nouveauté technologique.
De plus, faire de la cryptanalyse par exemple, c'est s'interroger sur ce qui existe pour en trouver les failles, et ensuite on peut améliorer ce qui existe. Il faudrait cesser de croire que chercher c'est se mettre devant un bureau et hop on invente une nouveauté. La recherche est un aller-retour incessant entre l'existant et le "à découvrir", entre le "ce qui devrait marcher", et "ce que l'on n'avait pas prévu". Rechercher c'est avant tout s'interroger et non trouver.
Euh, c'est pas équivalent à publier un PoC ça?? o_O
Ce n'est pas tout à fait ça. C'est plutôt:
1 - j'ai une maison construite par la société X.
2 - je découvre qu'en procédant d'une certaine façon il est possible d'ouvrir mes fenêtres de l'extérieur.
3 - je contacte la société X pour leur demander de régler le problème.
4 - ils refusent ou m'ignorent (c'est pour l'exemple hein?)
5 - je ne peux pas gagner en leur faisant un procès et je cherche un moyen de faire pression; je décide donc de leur faire de la mauvaise publicité auprès des éventuels clients jusqu'à ce qu'ils se décident à réparer le défaut (je peux pour ça faire une démo vidéo et l'envoyer à la presse). De plus, j'espère que les clients actuels se plaindront aussi. Entre temps je condamne ma fenêtre (firewall)
C'est plutôt comme ça qu'il faudrait présenter ton exemple même s'il ne va pas dans ton sens.
Revenons maintenant à nos OS. Windows n'étant pas open source, c'est à MS de corriger la faille. Il est donc logique de leur laisser suffisamment (et pas quatre pauvres jours pour rebondir sur la précédente affaire) de temps pour publier un correctif mais à partir du moment où on achète un logiciel, j'estime (et c'est mon opinion) qu'on peut s'en plaindre et se plaindre à l'éditeur surtout quand celui-ci fait de la publicité pour la sécurité de ses solutions.
Copier c'est copier; voler c'est vendre un CD une vingtaine d'euros!
Code C : Sélectionner tout - Visualiser dans une fenêtre à part
2
3
4
5
6
7
Dans le cas de l'ingénieur google, on peut clairement dire que la faille n'était pas encore utilisée, ou très peu, quand on voit comment elle est utilisée à présent.
Mais il est vrai que si ce groupe reste anonyme, c'est parce qu'ils n'ont pas très bonne conscience...
Dans tous les cas, vous semblez oublier quelque chose :
Même si la faille est patchée dans la minute, combien de temps faudra-t-il à l'utilisateur pour faire une update ?
Allez, disons, un bon mois, quand on est gentil...
Donc en cas de PoC, même si la faille est patchée instantanément, votre oncle, votre grand mère, votre patron, tous auront largement le temps de se faire avoir...
"Historiquement, techniquement, économiquement et moralement, Internet ne peut pas être contrôlé. Autant s’y faire." Laurent Chemla
Je soutiens Diaspora*, le réseau social libre.
Veillez à porter une attention toute particulière à l'orthographe...
Blog collaboratif avec des amis : http://geexxx.fr
Mon avatar a été fait par chiqitos, merci à lui !
Bon je vous la refais du début.
Tu trouves une faille de sécurité sur un logiciel d'un éditeur (open source ou proprio ça n'a aucune importance je suis d'accord avec ça.) qui compromet la sécurité de l'ensemble d'un système.
Tu ne peux pas savoir si l'éditeur est au courant (avant de l'avoir contacté).
Tu ne peux pas savoir si un tiers (mal intentionné ou pas, tu peux pas savoir) est aussi au courant.
Tu sais si le public est au courant ou non car si l'info est publique l'éditeur et les pirates sont au courant. Donc en gros, si personne n'a publié la faille, alors le public n'est pas au courant et si quelqu'un l'a déjà publié alors le public est au courant.
Donc à ce moment là :
- soit tu décides de garder la faille pour toi et tu n'en informes personne, auquel cas peut être que des tiers vont utiliser la faille pour pirater des tiers.
On pourrait presque considérer ça comme de la non-assistance à personne en danger, histoire de vous suivre dans vos délires de terrorisme.
- soit tu décides d'informer le responsable du logiciel par un canal privé en lui laissant le temps de publier un correctif.
Ceci fait, si l'éditeur ne fait rien, il y a potentiellement des tiers qui peuvent se faire pirater et il est parfaitement légitime de lui forcer la main puisqu'il ne fait pas son boulot, ne serait-ce que pour se protéger soi-même.
Où est le terrorisme là dedans ?
Je suis trop fatigué pour vous quoter, joKED et Neko, et pointer les contradictions de vos messages, comme par exemple dire qu'il ne faut jamais publier de faille pour derrière contacter la presse. Un peu de cohérence svp.
Un problème avec Git ? Essayez la FAQ, sinon posez votre question sur le forum.
"Toute personne croyant qu'une croissance exponentielle peut durer indéfiniment dans un monde fini est soit un fou, soit un économiste."
Kenneth E. Boulding
"Les richesses naturelles sont inépuisables, car, sans cela, nous ne les obtiendrions pas gratuitement. Ne pouvant être ni multipliées ni épuisées, elles ne sont pas l’objet des sciences économiques."
Jean-Baptiste Say, Traité d'économie politique, 1803.
"/home/earth is 102% full ... please delete anyone you can."
Inconnu
J’approuve CAR c'est exactement ce qui à été fait pour la faille des velux !Ce n'est pas tout à fait ça. C'est plutôt:
1 - j'ai une maison construite par la société X.
2 - je découvre qu'en procédant d'une certaine façon il est possible d'ouvrir mes fenêtres de l'extérieur.
3 - je contacte la société X pour leur demander de régler le problème.
4 - ils refusent ou m'ignorent (c'est pour l'exemple hein?)
5 - je ne peux pas gagner en leur faisant un procès et je cherche un moyen de faire pression; je décide donc de leur faire de la mauvaise publicité auprès des éventuels clients jusqu'à ce qu'ils se décident à réparer le défaut (je peux pour ça faire une démo vidéo et l'envoyer à la presse). De plus, j'espère que les clients actuels se plaindront aussi. Entre temps je condamne ma fenêtre (firewall)
Souvenez-vous une personne avait prouvé que l'on pouvait ouvrir un velux de l’extérieur lorsque l'on le déclipsait pour faire entrée un filet d'air frais, et rien n'aurait (ou plutôt rien n'avait été fait par la société ) si cette personne n’avait pas fait une vidéo de la dite faille.
Et ce n'est qu'un exemple parmi tant d'autre ..
@joKED tu as apparemment oublié la règle 14 d'internet
Tu connais tous les pirates de la galaxie ? Et tu as analysé tous les sources des malwares existants ?
Un problème avec Git ? Essayez la FAQ, sinon posez votre question sur le forum.
"Toute personne croyant qu'une croissance exponentielle peut durer indéfiniment dans un monde fini est soit un fou, soit un économiste."
Kenneth E. Boulding
"Les richesses naturelles sont inépuisables, car, sans cela, nous ne les obtiendrions pas gratuitement. Ne pouvant être ni multipliées ni épuisées, elles ne sont pas l’objet des sciences économiques."
Jean-Baptiste Say, Traité d'économie politique, 1803.
"/home/earth is 102% full ... please delete anyone you can."
Inconnu
C'est un communiqué de microsoft qui annonce 10 000 exploitations de la faille.
L'important n'est pas là, mais dans la suite de mon précédent message : l'utilistateur n'a pas encore l'habitude de mettre à jour, donc que les pirates soient ou non au courant avant n'a plus la même importance, puisque de toute manière en cas de PoC la faille sera exploitée.
"Historiquement, techniquement, économiquement et moralement, Internet ne peut pas être contrôlé. Autant s’y faire." Laurent Chemla
Je soutiens Diaspora*, le réseau social libre.
Veillez à porter une attention toute particulière à l'orthographe...
Blog collaboratif avec des amis : http://geexxx.fr
Mon avatar a été fait par chiqitos, merci à lui !
Et comment MS a fait pour savoir qu'il y a eu 10k failles exploité
Mais il est clair et évident pour tout le monde que 4 jours c'est trop tôt ....
On spéculera sur le fait que cela a été fait uniquement pour créer une polémique. .
Ouais, en une heure la faille est corrigée, le patch soumis, testé pour être sûr qu'il n'y a aucune régression. Et évidement dans la même heure tous les utilisateurs ont déjà appliqué le patch. C'est beau linux quand même.
http://www.developpez.net/forums/d93...enieur-google/
Sur quoi ils se basent, j'en sais rien...Les premières attaques ont été repérées vers le 15 juin, « ces premiers exploits étaient ciblés et plutôt limités. Mais depuis les dernières semaines ils ont atteint un pic », peut-on lire sur le blog de Microsoft qui avance ce chiffre de 10.000 PC attaqués avec succès.
Et concernant la polémique, ça marche ^^
"Historiquement, techniquement, économiquement et moralement, Internet ne peut pas être contrôlé. Autant s’y faire." Laurent Chemla
Je soutiens Diaspora*, le réseau social libre.
Veillez à porter une attention toute particulière à l'orthographe...
Blog collaboratif avec des amis : http://geexxx.fr
Mon avatar a été fait par chiqitos, merci à lui !
Soit je me suis mal exprimé, soit il y a un gros mal entendu, soit t'es trop fatigué.
Tu peux (et tu dois) évidement dire à la presse ou qui que ce soit par exemple:
"J'ai découvert une faille dans les socket sous XP permettant l'exécution de code arbitraire ..." (c'est un exemple). Note qu’absolument rien ne permet de faire quoi que ce soit. Et c’est à peu près ce que publient les sites comme Secunia ou autre. Il n’y a pas d’indication sur comment exploiter la faille.
If it's free, you are not the customer, you are the product.
c'est justement ça tout l'astuce du système, pour moi la réponse de MS c'est un peu comme les résultats des sondages politique
Je préfère que les failles soient dévoilées afin que les éditeurs se bouge le c**
autrement ils font rien, traînent la patte et la faille peut être exploitée.
Alors que dévoilé la faille les pousse à régler le problème le plus rapidement possible.
@Neko : Je n'ai pas dit 'Appliqué', j'ai dit "corrigé", bien sûr que le patch ne sera pas appliqué tout de suite >.< . A moins que j'ai mal lu, en 4 jour, la faille n'est toujours pas corrigée, puisqu'aucun patch n'a été annoncé.
...
C'est bien ce qu'il te dit : ce n'est pas parce qu'un patch existe que tout le monde l'exploite.@Neko : Je n'ai pas dit 'Appliqué', j'ai dit "corrigé", bien sûr que le patch ne sera pas appliqué tout de suite >.< . A moins que j'ai mal lu, en 4 jour, la faille n'est toujours pas corrigée, puisqu'aucun patch n'a été annoncé.
...
Oui enfin ça après de l'éducation de l'utilisateur et c'est indépendant de l'OS utilisé.
Un utilisateur qui ne patche jamais son OS, ne télécharge jamais de mises à jours etc s'en fout à priori ou n'y connait rien. Pour pirater le premier utilisateur c'est facile puisque son OS n'est jamais mis à jour. Il croule donc sous les failles. Pour le second, pas besoin de faille: le bon vieux coup du mail de succession à un riche africain ou un trojan suffit :/
On ne peut donc pas se baser sur ce type d'utilisateur pour décider si oui ou non on doit faire pression sur l'éditeur pour sécuriser son OS.
En revanche, il faut peut-être sensibiliser les utilisateurs aux différents dangers (peut-être revoir les interfaces aussi) plutôt que de leur faire croire qu'utiliser un ordinateur c'est aussi facile que de mettre en marche une cafetière.
Copier c'est copier; voler c'est vendre un CD une vingtaine d'euros!
Code C : Sélectionner tout - Visualiser dans une fenêtre à part
2
3
4
5
6
7
Donc on doit agir en autarcie pour le plus grand nombre. C'est une vision proche du totalitarisme.
L'informaticien a souvent du mal à comprendre que c'est ce qu'il considére être les nuls qui utilisent son travail.
Je trouve ça normal que l'information circule. Après que des boites privées se défendent c'est normal et ce n'est pas propre à l'informatique. Maintenant je trouve complêtement idiot de juger une vitesse de réaction. Tout problème n'a pas une solution immédiate et rapide.
Quant à la vitesse de réaction du noyaux linux, je n'en ai pas le même souvenir, mais en même temps ,c'était il y a quelques années et j'ai pris mes distances.
Il y a toujours des failles. Ca existera toujours. Et il y a des gens qui sont payés pour les trouver et d'autres qui font ça par...No life ?...
Vous avez un bloqueur de publicités installé.
Le Club Developpez.com n'affiche que des publicités IT, discrètes et non intrusives.
Afin que nous puissions continuer à vous fournir gratuitement du contenu de qualité, merci de nous soutenir en désactivant votre bloqueur de publicités sur Developpez.com.
Répondre avec citation
Partager