C'est une question compliquée, mais personnellement je placerais le curseur comme suit:
- Dire qu'il y a une faille dans tel exécutable ou DLL et sur quoi elle est basée reste raisonnable,
- En revanche, publier un proof of concept et/ou un code source d'un exploit est préjudiciable. Ça se fait effectivement très souvent de nos jours, et ça se faisait aussi avant, mais bon...
Exemple avec un buffer overflow: dire qu'il y a un buffer overflow dans l'exécutable machin qui peut conduire à l'exécution d'un code arbitraire, c'est une chose, mais publier un bout de fichier en C pour l'exploiter en est une autre. Si tu publies directement le code source, n'importe quel gars (on les appelait "script kiddies" à l'époque) peut mener l'attaque en compilant le code. Alors qu'écrire un prog de buffer overflow juste en connaissant le nom de l'exécutable demande quand même beaucoup plus de temps et n'est pas accessible à un quidam qui utilise la plupart du temps un software kit payant vendu par une boite russe.
Ce qu'il faut garder à l'esprit, c'est que tu peux beaucoup plus facilement avoir des soucis avec la justice si on a prouvé que tu as donné à quelqu'un les outils pour commettre une infraction (le code C) que si tu as juste donné une indication. Et c'est même pas une question de législation pénale, le gars peut très bien avoir infligé des dégâts financiers et c'est dans le civil que ça va se passer.
Partager