Discussion :

[psychadelic]

N'oublions pas non plus le contexte de cet évenement :
Début janvier, plusieurs entreprises, dont Google, étaient victimes d'intrusions informatiques attribuées à la Chine. Ces attaques ont été permises par une faille dans Internet Explorer 6. Or cette vulnérabilité avait été signalée à Microsoft par la société israélienne BugSec plusieurs mois auparavant, en septembre 2009. Elle ne sera corrigée finalement que le 21 janvier.

[Invité1]

Il serait intéressant de voir quand un bug important à été découvert, combien de temps Microsoft met pour publier une correction....

Je pense que si Windows Xp (sp2) est abandonné, les soucis sur seven seront du même ordre...
Une mentalité quant au respect des clients ne changent pas vite, voire pas du tout avec un changement de version...

On ne peut que souhaiter que sans publier de PoC, les découvreurs de faille donnent des utimatum réalistes aux développeurs pour corriger une faille...

Toute la crédibilité de la société éditrice du logiciel serait alors mis à nu... et forcerait un respect pour les clients...

Mode utopisite OFF

Couik

[psychadelic]

Allers, soyons un peu plus fair-play :

Depuis que XP existe, les hackers du monde entier ont eu largement le temps de décortiquer cet OS ; et de part leur nombre et leur efficacité croissante, maintenir XP, hors de leurs attaques incessantes, devient chaque jour davantage : une utopie.

Je n’ose même pas imaginer l’organisation idéale pour combattre un tel incendie.
Ça me semble même complètement infaisable.
Pendant qu’une équipe / personne corrige dans un coin, d’autres failles sont découvertes et il faut mettre, à la volée, d’autres développeurs sur le / les nouveau(x) problème(s), tout en veillant à analyser / regrouper les actions selon les types de failles trouvées.
Pendant ce temps, d’autres failles sont aussi « découvertes », et pas forcément par le fait d’experts « bienveillants » mais tout simplement par une attaque en règle, voire même de grande envergure comme celle qu’a connu l’Estonie en 2007.

Je ne sais pas à quelle fréquence ces « problèmes » arrivent, combien par semaine?, et même s’il faut compter sur une fréquence plus lâches, ce doit être un vrai délire à gérer.

Gros incendie et peu de pompiers.

Donc dans les faits : Microsoft ne peut matériellement pas corriger les failles de ses anciens OS ; tout laisse à penser qu’ils ont dû tirer les leçons de cette expérience, et que chaque nouvel OS sera –de base- nettement plus sécurisé que ces prédécesseurs.

Pour lutter (ou plutôt survivre) contre les virus et autres, la nature a inventé la bio-diversité.
En imposant de passer à Mac OS ou Linux, Google ne fait rien de moins différent…

[Invité1]

Bonjour,

Je suis d'accord avec ton point de vu. Mais le fait de refuser de corriger une faille alors que les information ont été fournies à Microsoft impose hélas d'utiliser des solutions agressives.

Ainsi, le refus de correction devient alors un "je m'en fous, que les clients se débrouillent". Cela n'est pas fair play

Le fait de réduire au passible les moyens pour corriger ces failles le prouve et jette le doute quant à la sécurité des nouvelles versions ou même des SPx qui s'ils corrigent quelques failles, en ajoutent d'autres.

Je me suis tourné vers Linux, non pas qu'il soit meilleur OS ou que j'ai une fibre "LIbre", ceci serait hors de propos. Mais j'ai une aide efficace, des correctifs plus rapides quand des faille sont découvertes.

Microsoft m'a déçu non pas pour son OS, mais pour son 'je m'en foutiste" des clients.

N'importe qu'elle Société de service développant des soft pour des entreprises, s'il veut conserver ses clients, corrige les bugs, les failles etc... Pourquoi Microsoft ne le ferait-il pas ?

Entre les faille non corrigé volontairement, les abus de position dominante, les ventes forcés... Microsoft à un casier lourd de délinquant à répétition...

Dommage

[Louis Griffont]

D'abord, je trouve que l'on ne prend pas le problème dans son ensemble. Une correction de faille, dans un produit comme Windows, ce n'est pas seulement 2 lignes de code et un patch mis sur un serveur, non ?

L'impact est important, et que dirait-on de Microsoft, si, pour faire vite, ils sortaient un patch générant plus de problèmes que de solutions ?

Je ne sais pas pour vous, mais quand je sors une mise à jour de mes logiciels, je vérifie l'impact sur l'ensemble du logiciel. Dans le cas de Windows, il faut en plus vérifier l'impact possible sur les logiciels s'appuyant sur Windows.

Ensuite dire et redire que sous Linux les correctifs sont plus rapides, ça me fait assez rire. D'abord, la rapidité n'a jamais été, à mon avis, une preuve de fiabilité, le «vite et bien», c'est beau, mais c'est plus théorique que pratique. Ensuite, Linux ? Quel Linux ? Le noyau ? Une distribution ? Laquelle ? Ensuite, pondre un correctif pour «Linux» rapidement, c'est prendre un risque pour quelques milliers d'utilisateurs, le même risque avec Windows, c'est des centaines de millions d'utilisateurs. On n'est pas dans la même cour, les enfants !
Je sais déjà que beaucoup vont sortir le coup des serveurs qui sont sur Linux, certes, mais franchement, je ne connais pas beaucoup d'administrateurs de réseau qui prendraient le risque de faire des mises à jour du noyau de son serveur à chaque correctif. Regardons, les choses en face. On ne met à jour son serveur que si vraiment il y a un gros problème, et une fois que le correctif a été appliqué et vérifié, pas instantanément !

[Invité1]

Concernant Linux, le but n'est pas de faire l'apogé de l'un contre l'autre, loin de là

D'ailleurs, je n'ai même pas parlé de virus, tant cela est hors de propos.

Je que j'ai essayé de dire de façon maladroite, c'est que lorsqu'un bug est découvert, une équipe s'affaire à le corriger, plus ou moins vite, avec plus ou moins de succès, mais au moins, l'information du bug est pris en compte;
Tandis que pour Microsoft, sans "encouragement", le bug subsiste et rien n'ai fait, ou même n'est tenté pour palier au bug, à défaut de le corriger.

Ainsi, la faille du MFC découvert, concerne aussi les soft de Microsoft. Alors là oui, tout de suite une équipe se charge de trouver une solution. Sinon, rien à faire...

C'est cette mentalité que je dénonce. Et en aucun cas je ne compare Windows et Linux. De même, je ne compare pas de distribution ni de fiabilité.

Je compare deux mentalités et je pense que l'exemple d'agressivité en mettant au pied du mur Microsoft pour corriger une faille (même si c'est contetable moralement et dangereux pour les utilisateur) incitera d'autres à faire de même (hélas) en espérant que Microsoft prenne soin d'affirmé la prise en compte de telle ou telle information au profit de ses clients.

Personnellement, je ne saute pas sur les changements de version dans la mesure où mon système fonctionne correctement et me rend les services que je lui demande...

Voilou
Couik

[psychadelic]

c'est que lorsqu'un bug est découvert, une équipe s'affaire à le corriger, plus ou moins vite, avec plus ou moins de succès, mais au moins, l'information du bug est pris en compte;

Justement, quelle équipe ?
Hop, tout d'un coup 3 ou 4 développeurs de haut vol se matérialisent d'un coup de baguette magique et se lancent dans le code ?

La faille dans ls MFC par exemple; ça doit avoisiner les "millions" de lignes de code, et ceux qui en connaissent les tenants et aboutissants, au niveau du code, ne doivent pas être légion.
Ils sont aussi certainement occupés sur d'autres projets, sur lesquels il y des planning à respecter, des enjeux économiques, etc...

La ou je te rejoins, c'est au moins au niveau du suivi; c'en est à se demander si Microsoft utilise un logiciel pour le suivi de probleme comme Mantis ou Bugzilla...

Mais encore heureux qu'on puisse connaitre publiquement et à l'avance certaines vulnérabilités; histoire de savoir ou chercher quand on à un doute sur l'activité de sa machine...

[yoyo88]

Je sais déjà que beaucoup vont sortir le coup des serveurs qui sont sur Linux, certes, mais franchement, je ne connais pas beaucoup d'administrateurs de réseau qui prendraient le risque de faire des mises à jour du noyau de son serveur à chaque correctif. Regardons, les choses en face. On ne met à jour son serveur que si vraiment il y a un gros problème, et une fois que le correctif a été appliqué et vérifié, pas instantanément !

C'est pour cela que Debian et si apprécié sur les serveurs, c'est testé, retesté et reretesté avant d'être testé à nouveau, pour enfin sortir en version instable, pour être testé...

En plus la rapidité de la correction de faille sous prétexte que tout le monde peu modifier c'est juste un bon gros mythe...

[ours_en_pluche]

bonjour,

euh, sans vouloir faire revenir le sujet à son depart, mais un peu quand même ( ) , je pense que microsoft a non seulement un devoir financier mais aussi ethique face à ses clients.

une société X produit un produit Y en 2001, 5 ans après, ils sortent le produit Z, et ils arrêtent donc la production d Y. 5 ans après, ils decouvrent un vice sur le produit Y. la société X se doit de corriger la malfacon de son produit Y, c'est normal.

Rien n'oblige le client à subir des erreurs qui ont été faites par la société X.

Par contre, la société X se doit d'assurer la sécurité de ses clients, même si le produit a été acheté il y a un certain temps et n'est plus dans sa gamme.

De plus, si la société X met du temps à vouloir réparer son problème, est-ce entièrement de la faute de la personne qui a mis à jour le souci?

Et de plus , combien de personnes ont été touché par cette malfacon avant qu'elle soit rendu public ?

je clos cette image, juste pour dire que même si le comportement du créateur du POC peut être tendancieux, le comportement de microsoft l'est tout autant.

On a pu lire que peut-être cela a été formenté par Google pour discrediter microsoft.

Mais la reflexion inverse est vrai aussi.

Qu'est-ce qui nous dit que le temps de mise à jour du patch correctif n'a pas eu pour but ( sous des pretextes de difficulté ), de discrediter google en disant : ils sont inconscients de mettre à jour ça sans nous laisser le temps de le réparer alors que c'est très long à réparer.

je pense que tous ont torts, aussi bien microsoft pour son temps de réaction, que le créateur du POC pour peut-être sa trop grande précipitation à le rendre public.

Mes 2 centimes

ours_en_pluche

[grafikm_fr]

une société X produit un produit Y en 2001, 5 ans apres, ils sortent le produit Z, et ils arrêtent donc la production d Y. 5 ans apres, ils découvrent un vice sur le produit Y. la société X se doit de corriger la malfaçon de son produit Y, c est normal.

rien n oblige le client a subir des erreurs qui ont été faites par la société X.

Ca dépend comment est rédigée la licence. Si le support n'est plus assuré, rien n'oblige l'éditeur à corriger les failles découvertes.

En revanche, XP Pro étant encore supporté par Microsoft, ce dernier y est effectivement tenu. Mais c'est pas une question d'éthique, juste de ce qui est écrit sur la licence.

[Invité1]

Je ne sais pas combien ni dans le monde Linux, ni chez Microsoft, ni chez Google ou autres pontes de l'informatique, combien de personnes s'affairent. De même que je n'ai fait aucunement notion d'une durée pour corriger tel ou tel bug.

En effet, si un bug simple (un plus à la place d'un moins" peut supposer une bonne rapidité, cela serait faire preuve de naïveté. Trouver où dans le code de millier se trouve le bug n'est certainement pas une mince affaire.

L'objet de mon propos est d'affirmer que pour Microsoft, trouver une faille, le lui signaler n'implique pas pour lui de corriger une malfaçon. Car un bug est bien une malfaçon qui suppose une obligation de correction.

Je n'achète pas un produit en acceptant des malfaçons. Quand j'en vois une, je demande à ce qu'elle soit corrigée. Même si cela est découvert bien longtemps après la fin de sa production.

Microsft se fout de ses clients, google aussi de par la collecte de donnée personnel et bien d'autre suivent s mauvais exemples.

L'informatique est-il aussi pourrit, les informaticiens aussi incrédules pour que l'on nous fasse croire qu'il est normale qu'une Société numéro 1 mondiale sorte des produits avec autant de mal façon sans obligation de correction et qu'il se permette de critiquer, diffamer, ne pas respecter les loi en vigueur ?

Je ne le pense pas.

Microsoft, Google, Apple et consor ne valent pas mieux. L'argent attire l'argent. Quelque soit le problème, risques qu'ils font courir à leur client !

Qu'ils prennent leur temps pour sortir un nouvel OS, qu'ils financent réellement la recherche de failles pour les corriger.

Montrer tel ou tel faille au grand jour, c'est montrer la mauvaise qualité des soft et imposer à l'éditeur de sans occuper. Le tout est de le faire intelligemment.

N'oublions pas la notion de surprofit en sortant un produit mal fini

Ca dépend comment est rédigée la licence. Si le support n'est plus assuré, rien n'oblige l'éditeur à corriger les failles découvertes.

En revanche, XP Pro étant encore supporté par Microsoft, ce dernier y est effectivement tenu. Mais c'est pas une question d'éthique, juste de ce qui est écrit sur la licence.

Je n'ai plus de licence Microsoft. Quelqu'un pourrait citer la partie en question ?

Couik

[psychadelic]

Je vois mal en quoi le fait de chopper des virus dans sa machine pourrait échoir à Microsoft ; sinon ça se saurait depuis longtemps.

Prenons le cas d’une voiture, si un petit malin s’amuse à mettre du sucre dans le réservoir de ma voiture, et que cela finisse par bousiller mon moteur.

Avec votre raisonnement, je pourrais me retourner contre le constructeur pour la malfaçon sur le moteur qu’il m’a vendu, puisque celui-ci n’a pas su se protéger du sucre placé dans l’essence ?

[Médinoc]

Si le gars n'a pas su mettre une serrure sur l'ouverture du réservoir à une époque où c'est systématique, OUI.

[ours_en_pluche]

bonjour,

Je vois mal en quoi le fait de chopper des virus dans sa machine pourrait échoir à Microsoft ; sinon ça se saurait depuis longtemps.

Prenons le cas d’une voiture, si un petit malin s’amuse à mettre du sucre dans le réservoir de ma voiture, et que cela finisse par bousiller mon moteur.

Avec votre raisonnement, je pourrais me retourner contre le constructeur pour la malfaçon sur le moteur qu’il m’a vendu, puisque celui-ci n’a pas su se protéger du sucre placé dans l’essence ?

ton exemple est faux.
l erreur vient bien de microsoft, puisqu il utilise une faille du systeme pour son POC.

de plus, M$ qui fait tant de pub pour la sécurité d Internet Explorer et qui laisse une faille de sécurité sur ses os sans les reparer, est ce crédible ?

cordialement

ours_en_pluche

[grafikm_fr]

Je n'ai plus de licence Microsoft. Quelqu'un pourrait citer la partie en question ?

Voila ce que dit l'EULA Microsoft (j'ai pris celui d'un XP2 SP2 Pro version OEM):

Sauf en ce qui a trait à la garantie limitée et dans la mesure maximale permise par le droit applicable, le Fabricant et ses fournisseurs [...] fournissent le Logiciel et les services de soutien technique (le cas échéant) TELS QUELS ET AVEC TOUS LES DÉFAUTS et par les présentes ils dénient toutes autres garanties et conditions
[...]

DANS LA MESURE MAXIMALE PERMISE PAR LE DROIT APPLICABLE, EN
AUCUN CAS LE FABRICANT OU SES FOURNISSEURS (Y COMPRIS MS, MICROSOFT CORPORATION (Y COMPRIS LEURS FILIALES) ET LEURS FOURNISSEURS RESPECTIFS) NE SERONT RESPONSABLES DES DOMMAGES SPÉCIAUX, INCIDENTS, PUNITIFS, INDIRECTS OU ACCESSOIRES DE QUELQUE NATURE QUE CE SOIT.

En clair, s'il y a un bug, et ben tu te démerdes.
Bienvenue dans le monde merveilleux des éditeurs de logiciels. Parce que c'est pas propre que à Microsoft.

[psychadelic]

Ca alors, quel étonnement, mon argument sur la voiture et l’essence ne semble pas en convaincre certains…
Et entre nous une serrure c’est loin d’être une protection efficace.

Un autre aspect que vous semblez aussi ignorer, c’est que l’achat d’un logiciel comme Windows n’est en aucun cas un acte de propriété. On signe une licence –d’utilisation-

Et à ce titre d’ailleurs, Windows correspond parfaitement à cet acte d’achat (de licence d’utilisation) :

C’est un logiciel graphique, permettant de gérer le système de vos machines ; je ne vais pas vous faire l’article sur toutes les possibilités techniques de Windows, mais c’est précisément cela que vous achetez, et il le fait "parfaitement".

Par exemple le drag’n drop d’un fichier dans un dossier, place le dit fichier dans l’arborescence de votre disque dur, sous la tutelle du dit dossier.

Si ce drag’n drop faisait autre chose, comme "ouvrir" le fichier par exemple, la, on pourrait parler de dysfonctionnement (ou de mal façon), et la responsabilité de Microsoft serait engageable.

[Invité1]

Oui, je vois, mais je ne vois pas de limite de temps dans ce que tu cites ?

De même, s'il n'est pas responsable des dégâts causés par une mauvaise utilisation (ce qui me paraît normal), il dit en traduction :

Je te vends un produit qui est on le sait mal fini avec plein de bug. Tu as payé alors maintenant, on s'en fout, je te prends pour une m...

De même, le fait de dire qu'une malfaçon soit sans obligation de correction, c'est dire qu'il vend un produit sans assurance qu'on pourra s'en servir comme le produit est censé le permettre...

Imaginons un soft de gestion où en comptabilité, dans une balance (liste des comptes avec les cumuls de dépenses et recettes) soit faux et que le compte banque indique systématiquement un solde négatif...

Le soft serait inutilisable et pourtant, selon ce genre de licence, ben l'éditeur n'aurait aucune obligation de corriger ?

J'achète une voiture avec laquelle je ne peux fermer les portières à clé alors que cela est censé être possible... ben la construction corrige. De même qu'il rappel les véhicules concernées par ce problème (bug)

Donc dans ce cas, afin de susciter l'envie de montrer une image plus respectueuse des clients, la publication des failles semble alors une méthode efficace pour dénoncer le j'm'enfoutisme de Microsoft avec en citation la preuve de cet état d'esprit via la licence...

Cela est à mon sens pas très sympa pour les utilisateurs, mais très incitatif pour l'éditeur. D'autant qu'entre nous, au vue des résultats de la firme de Redmond, je doute que le coût engendrer lui soit préjudiciable, bien au contraire.

Tout ceci prouve la dangerosité des monopoles. Vente forcé, produits sortie avant contrôle, et mal finis... la liste est longue...

Bref, je ne redeviendrais pas client de >Microsoft tant que sa politique d'irrespect envers ses clients sera ainsi. De même pour Google et consor...

Je ne me sens pas client-roi, mais j'estime que j'ai le droit d'avoir un produit à défaut d'être exempt de bug, corrigé conformément au devoir de fournir un produit fiable.

Microsoft n'est pas fiable puisqu'il garanti de pas devoir corriger les mal façon.

Couik

[stardeath]

...

et ben y a juste que ce que tu demandes est totalement impossible, je sais pas ce que tu fais dans la vie, mais un produit informatique exempt de bug est tout simplement une utopie.

vive les dérives si jamais un éditeur garantissait une perfection de fonctionnement ...

quand tu achètes une voiture, de a à z les pièces sont (normalement) vérifiées par le constructeur.
sachant que sur un ordinateur tu installes ce que tu veux, tu ne peux pas tout bonnement avoir les mêmes garanti, ou sinon tu te retrouves dans un monde où chaque soft que tu installes est contrôlé par microsoft dans ce cas.
en plus microsoft ne peut pas garantir contre une panne matérielle qui endommagerait l'os.

[grafikm_fr]

Oui, je vois, mais je ne vois pas de limite de temps dans ce que tu cites ?

Bah tu as bien vu, il y a aucune responsabilité de l'éditeur engagée. Le seul pays pour lequel je connais une durée de garantie (90 jours) c'est le Canada.

Donc les corrections relèvent du "bon vouloir" de l'éditeur et il peut couper le support quand il veut (sauf si tu paies pour évidemment, auquel cas c'est le contrat qui prévaut). Et le moins qu'on puisse dire, c'est que MS supporte ses produits sur une très longue durée.

J'achète une voiture avec laquelle je ne peut fermer les portières à clé alors que cela est sensé être possible... ben le construction corrige. De même qu'il rappel les véhicules concernées par ce problème (bug)

Il y a un gros problème de méthode là. Tu n'achètes pas un logiciel. Tu achètes un droit d'utiliser un logiciel. C'est ça qui s'appelle une licence. Le logiciel ne t'appartient pas, même si dans quelques cas et sous certaines conditions, tu as le droit de le céder. Très grosse nuance.

Tout ceci prouve la dangerosité des monopoles. Vente forcé, produits sortie avant contrôle, et mal finis... la liste est longue...

Tain mais c'est pas une question de monopole, enfin! Lis n'importe lequel EULA, ce sera toujours la même chose. Le problème n'est pas dans un monopole, mais dans le fait que tant que le logiciel occupera dans le droit une position bâtarde (au sens premier de ce mot) entre œuvre d'esprit et outil industriel, on aura droit à ce genre de termes d'usage.

[Invité1]

@stardeath : je n'ai jamais dit que je voulais un système sans bug (quoique ) mais que si un bug important était découvert, alors une correction s'impliquée et ce, que la correction arrive avec plus ou moins de temps car je me doute des complications que cela peut engendrer

Sinon, si je résume : On achète le droit d'utiliser un soft (la licence) et du coup même s'il y a un bug, le loueur (l'éditeur) à le droit de nous envoyer péter, il s'en fout...

Bref, la mentalité des éditeurs est remplie de m....

Il convient donc de le démontrer en publiant les PoC (en laissant le temps de réaction avant aux éditeurs) imposant alors de fournir des correctifs.

Mentalité de m... pour mentalité de m..., je ne vois donc plus où est le souci si ce n'est de casser l'image des gros éditeurs et donc à terme d'avoir pour le client plus de respect.

Quant au situation de monopole, elle est génératrice de mauvaises actions, de non respect des lois, de non respect des clients...
Mais il est vrai que l'on risque le hors sujet.

PUBLIONS ALORS LES FAILLES après avoir averti l'éditeur puis les PoC si ces failles ne sont pas pris en compte.

Ce sujet démontre le manque de volonté de Microsoft envers ses clients...
Ici, il est question de Microsoft, ailleurs ce sera un autre... mais en faisant ainsi d'une part on peut espérer (sans garantie hélas) avec un correctif, en écrivant à nos chers députés pouvoir voir le jour d'une définition juste de ce qu'est un logiciel...

Voilou
Couik