Discussion :

[dams78]

Certe, pour TF1, plus c'est apocalyptique, plus ça a de chance de passer.

Mais plus sérieusement, il y a très peu de rappel sur des défauts "peu important" genre : défaut sur le 3ème cylindre, qui fera qu'il lachera en 5 ans au lieu de 10, défaut sur la courroi de transmission qui casse trop facilement, et j'en passe.

Les rappels concernent en général les freins et la direction, l'éclairage, les airbag... Même vu une fois : possibilité de perte de la roue

http://www.rappelsproduits.fr/retour...t22=Rechercher

Ici on lance pourtant quelques rappels : étanchéité des joints, etc. Dès l'instant où la voiture ne correspond pas au cahier des charges, donc à ce que t'as promis à l'utilisateur, une campagne de rappel est lancée.
Enfin bon, bref...

[loufab]

... à lui qui trouve que faire un double-clique "c'est vachement technique !" (et je ne plaisante pas, on me l'a sorti ya pas longtemps )...

Public Function Experience...

[Invité1]

Il y a pas mal d'argument

Je ne vais pas les reprendre un à un, il y en a trop, mais pour une bonne partie, je suis d'accord

Sauf que... (ben sinon on ne peut plus si disputer )

Le nombre de PC avec Windows est lié à la fois au fait de l'expérience indéniable de Microsoft et la jeunesse des autres OS (attention, je parle de démocratisation, non d'OS disponible, mais utilisable que par des initiés) et au fait des méthodes de vente

Concernant les mises à jour, le fait de ne pas pouvoir avoir ne garanti de compatibilité entre les soft/matériel tournant sur W98 et Win XP suppose pour certain un lourd investissement de remise en question de tous leurs systèmes informatiques (soft, matériel, formation). Cela ne se fait pas du jour au lendemain.

En cela, maintenir encore un temps suffisant me parait normal. Reste là aussi à définir ce temps suffisant...

Concernant WinXP et Seven (oublions Vista, tout le monde peut se planter.) ben il s'est passé énormément de temps. Il est donc à mon sens convenable de maintenir WinXP suffisament longtemps.

Par contre, à tous les pro de l'informatique, combien de temps serait nécessaire pour changer d'OS (comprenant alors le matériel, les soft et la formation nécessaires) ?

Les réponses seraient très différentes d'un service à l'autre...

Sachant que même avec tous les efforts du monde, la sortie d'une nouvelle version suppose le risque bugs, non pas qui bloque le PC, mais qui selon le cas empêche le bon fonctionnement d'un soft ou d'un autre ; Est-ce raisonnable de faire évoluer son système dès la sortie ?

Je suis hyper prudent et regarde de très très près l'absolue nécessité de changer de version de ma distribution Linux pour les mêmes raisons

En conclusion, du fait des cas très différents selon les utilisateurs (les pro, non le grand publique), les besoins de garanties ne sont pas les mêmes, les nécessités ou les temps nécessaires ne sont pas les mêmes. Avec un vide juridique et même un défaut de cahier des charges, rien n'oblige un éditeur à faire des correctifs, à fournir un service gratuit sauf.... le fait de soigner son image, donc de préserver sa clientèle (ce qui est somme toute logique)

Enfin, opposer d'une part le côté "libre" et le côté non libre serait ici complètement hors de propos. Car dans le côté libre, non payant, l'utilisateur sait que les distributeurs, concepteur ne s'engage en rien et mettent gracieusement un soft dans l'état. Alors que du coté propriétaire payant, il y a vente de service faisant alors naitre des obligations. Ce sont ces obligations qui ne sont pas suffisamment défini soit par une loi (là, on en a pour 50 ans avant de voir quelque chose d'exploitable juridiquement) ou un cahier des charges suffisamment complet qui à mon sens (en tant que nocice en la matière) devrait être un peu plus facile à définir (genre maintenant X jours/mois ou années après la sortie d'une version supérieur. ainsi, tant l'éditeur aura une sécurité quant à la gestion d'un produit en fin de vie et l'utilisateur une garantie quant à la maintenance. Sans que ni l'un ni l'autre n'abuse.

Enfin, il est clair que les mentalités doivent évoluer tant chez les utilisateurs qui ne sont pas rois, mais clients et les éditeurs qui eux aussi ne sont pas esclaves mais non plus du fait de leur taille je m'enfoutistes vis-à-vis des clients.

Pour terminer, la sécurité est l'affaire de tous, des éditeurs mais aussi des utilisateurs. En effet, on voit trop souvent des utilisateurs de tut niveu manquer de jujotte dans l'utilisation de leurs outils... c'est dommageables pour tous...

Oui, il y a énormément de travail pour évoluer... ce n'est que les prémisses d'un changement profond qui je l'espère sera profitable à tous.

C'est quoi le cahier des charge de Microsoft concernant Windows ?
Même question pour Google, Mac OS etc...

Voilou
Couik

[psychadelic]

Ah la la la la la….
Je m’absente quelques jours et certains ont bien délirés !

Sur le site d’Ubuntu vous trouverez toutes les informations utiles pour se faire rembourser le Windows vendu avec, un PC (Pour un Mac c’est pas gagné, mais en général ceux qui achètent un Mac préfèrent utiliser Mac OS X).
C’est quand même un parcours du combattant, et le site indique marque par marque, les courriers à faire, les liens utiles…
Attention, c’est sous toutes réserves, certaines marques pouvant changer leur*fusils d’épaule; mais la communauté Linux-Ubuntu est de plus en plus dynamique, pourvu que ça dure !

Le dernier point qui me désespère, c’est de constater que visiblement, certains ne veulent pas comprendre qu'une faille de sécurité n’est pas un bug.

Je sais pas dans quelle langue faut le dire, alors je vais tenter une dernière «*image*» pour l’expliquer:

Quand un bateau se fait attaquer par des Pirates, est-ce que vous considérez que le constructeur du bateau est responsable ???
? au prétexte qu’il ne l’a pas conçu à l’épreuve des balles, que la coque n’était pas assez haute pour éviter les grappins, etc, etc…

Ou alors pour vous Windows devrait être comme un Tank, c’est ça ?
Ben désolé, même un Tank ça peut «*être pété*»;
Et pour chercher une responsabilité, c’est du coté des agresseurs que vous la trouverez.
Non de celle du fabricant, celui-ci vous a fourni un bateau en état de marche, fait pour naviguer pour votre agrément, et ainsi de suite. Libre à vous d’aller dans des eaux infestées de pirates, mais ne venez pas vous plaindre ensuite au constructeur ou à l’architecte du bateau.

Maintenant, s’il y en a qui ne veulent toujours pas comprendre, je vois mal ce que je pourrais faire pour leur ouvrir un peu les yeux…

[Invité1]

Je comprends très bien, sur tout ce que tu dis, j'approuve.

Le souci est simple : Un bug, en général, il est corrigé avant que l'on sache qu'il existe. Une faille, c'est je suppose bien plus problématique.

Maintenant, reprendre la guerre des vendeurs pour se faire rembourser est hors sujet ici sauf si bien sur, l'éditeur fait pression sur les fabricants de PC, portable et que cela provoque ce phénomène de vente forcé dont les imbécile du juge (certains, pas tous) sous prétexte de leur haut pouvoir de décision ne prennent pas la peine de s'interroger...

Microsoft fait partie de condamnés pour ce genre de pratique (avec bien d'autre comme intel, etc...)

Mais bon, ceci est une autre histoire.

Le souci ici de discuter de l'éthique de la méthode utilisée par l'employé de Google

Je pose donc la problèmatique suivante :
Fort d'une compétence hors paire (là c'est vraiment un exemple ), je trouve une faille dans un OS (Windows, Linux, Mac OS...)

Deux choses l'une :
-> soit je suis un gentil garçon et j'en informe l'éditeur et là, il n'en a cure... Que faire ?
-> Soit je suis une vilain pirate, et je m'en sers

Concernant l'éditeur, que doit-il faire ?
Ben rien bien sur, ce n'est pas un bug et de toute façon, comme le bateau il n'est pas responsable...

Dans ce cas, soit cette faille est dévoilé pour deux raisons :
-> Je suis le gentil, je publie l'info et du coup, l'image de l'éditeur se trouve ternie... d'où les réactions puérils de ces grosses multinationales.
-> Il est publié par les spécialistes de la sécurité suite à la déclaration des victimes des pirates (pas de la faille hein ) en publiant un truc qui les protège... la encore, l'image de l'éditeur en prend un sale coup...

L'un comme l'autre, l'image de l'éditeur se trouve secoué. Maintenant, que l'on condamne, ou que l'on excuse, l'éditeur, s'il veut garder la confiance de ses clients se trouve das l'obligation de réagir... À l'éditeur de choisir comment.

À la lecture des arguments tant de Microsoft que de l'employé de Google, il semble qu'il ait divergence sur le mode de communication de la faille en question dans ce sujet... : pour l'un 5 jours, pour l'autre deux mois. Pour l'un un délai trop court, pour l'autre deux mois de délai et aucune réaction...

Qui croire ?

Je n'ai ni confiance en Microsoft qui se montre fuyant avec d'interminable histoire de sécurité non réglé malgré les informations qui lui sont fournies, ni en Google qui se permet de mettre des mouchard dans ses soft, de voler des informations personnelles via ses voitures googlestreet etc...

Difficile de prendre position non ?

Je n'ai pas plus confiance dans Linux qui je le sais, comme n'importe quel système d'exploitation comporte des failles. Je ne suis pas spécialement parano, Je suis conscient de la difficulté du travail à faire pour avoir un blindage correcte tout en ayant un système utilisable. Mais je suis attentif aux réactions. Et les réactions sont plus parlant qu'une publicité mensongère par abus de belles images.

Microsoft est beau sur le papier, très beau concernant seven (j'avoue ) mais franchement moche concernant sa mentalité. C'est suffisant pour me faire perdre confiance.

Ceci dit, Microsoft a plié, il a fourni un patch... preuve que...
(il aura fallu attendre qu'il y ait des victimes... c'est dommageable pour les clients)

[Hellwing]

(il aura fallu attendre qu'il y ait des victimes... c'est dommageable pour les clients)

Ce fait aurait peut-être pu être évité si l'employé de Google n'avait pas diffusé de PoC aussi vite.

[dams78]

Ce fait aurait peut-être pu être évité si l'employé de Google n'avait pas diffusé de PoC aussi vite.

En partant de ce principe on peut dire : il n'y aurait pas eu de victimes si l'employé de Google n'avait pas diffusé de PoC!

[Louis Griffont]

(il aura fallu attendre qu'il y ait des victimes... c'est dommageable pour les clients)

Et pourquoi y-a-t-il eu des victimes ? Parce qu'un PoC a été publié. Alors qu'il aurait suffit de signaler qu'une faille découverte, et a été signalée à Microsoft depuis x temps n'a toujours pas été corrigée. Cela aurait mis la même pression sur Microsoft, et n'aurait pas permis une utilisation pernicieuse du travail de recherche effectué.

[grafikm_fr]

En partant de ce principe on peut dire : il n'y aurait pas eu de victimes si l'employé de Google n'avait pas diffusé de PoC!

Oui, en diffusant un PoC on s'expose à des ennuis.

[dams78]

Oui, en diffusant un PoC on s'expose à des ennuis.

C'était une sorte d'ironie bien sûr
En réponse au message cité d'ailleurs

[Hellwing]

En partant de ce principe on peut dire : il n'y aurai pas eu de victimes si l'employé de Google n'avait pas diffusé de PoC!

J'ai volontairement été plus modéré en précisant "peut être" et le "aussi vite" sciemment oublié par tes soins détourne mes propos.

Et pourquoi y-a-t-il eu des victimes ? Parce qu'un PoC a été publié. Alors qu'il aurait suffit de signaler qu'une faille découverte, et signalée à Microsoft depuis x temps n'a toujours pas été corrigée. Cela aurait mis la même pression sur Microsoft, et n'aurait pas permis une utilisation pernicieuse du travail de recherche effectué.

Même si à ce stade de la discussion il est inutile de le préciser, +1

[grafikm_fr]

C'était une sorte d'ironie bien sûr
En réponse au message cité d'ailleurs

Ironie ou pas ironie, si un gars a publié la faille sans publier un PoC, et que la faille a été utilisée pour faire des victimes avec des dégâts importants à la clé, il a une mince chance de s'en tirer. S'il a en plus publié un PoC, ses chances de s'en tirer s'amenuisent considérablement.

[GanYoshi]

Ce fait aurait peut-être pu être évité si l'employé de Google n'avait pas diffusé de PoC aussi vite.

Ce fait aurait peut-être pu être évité s'il n'y avait pas eu de faille.

Ironie ou pas ironie, si un gars a publié la faille sans publier un PoC, et que la faille a été utilisée pour faire des victimes avec des dégâts importants à la clé, il a une mince chance de s'en tirer. S'il a en plus publié un PoC, ses chances de s'en tirer s'amenuisent considérablement.

+1, son erreur a été de vouloir prévenir l'éditeur et de la jouer réglo au lieu d'aller vendre la découverte de cette faille aux russes

[grafikm_fr]

Ce fait aurait peut-être pu être évité s'il n'y avait pas eu de faille.

"And if a pig had wings, it could fly" (c)

[loufab]

Ce fait aurait peut être pu être évité s'il n'y avait pas eu de faille.

+1, son erreur a été de vouloir prévenir l'éditeur et de la jouer réglo au lieu d'aller vendre la découverte de cette faille aux russes

On sent vraiment une mûre réflexion.

[cs_ntd]

Chez lui, Monsieur X à une porte d'entrée avec un modèle de serrure 'LAMBDA'

Problème : toutes les serrures 'LAMBDA' très répandues ont un défaut. Je préviens le fabriquant qu'il faut toutes les changer à cause de ce défaut.
5 jour après, celui-ci n'a rien fait, même pas un courrier ! Je décide donc de dire dans toute ma ville : "Les serrures 'LAMBDA ont un défaut, il suffit de taper un grand coup dessus pour qu'elle s'ouvre".
Quelques jours plus tard, une grosse vague de cambriolage touche la ville, et plus précisement les propriétaires de serrure 'LAMBDA'.

Commentaire : Bin oui je la joue réglo, j'aurais pu aller la vendre à un tueur en série (... a ba oui maintenant que je l'ai dit, de 1) les tueurs le sauront et 2) j'ai même pas gagné d'argent ).

Question : qui est responsable de ces cambriolages ? (réflechissez bien !)

[GanYoshi]

On sent vraiment une mûre réflexion.

Décidément, toi et grafikm_fr avez vraiment du mal avec l'ironie

Je disais la même chose grosso modo que dams78 à propos de Hellwing.

[dams78]

Qestion : qui est responsable de ces cambriolage ? (réflechissez bien !)

Honnêtement c'est une bonne question, est-ce celui qui trouve comment faire, ou celui qui le fait?
De la même manière, hier j'ai trouvé comment tu pouvais tuer quelqu'un... blabla. Qui est responsable le tueur ou le vendeur d'armes? etc.

[Hellwing]

Sans déconner, on va interdire les comparaisons avec d'autres domaines que l'informatique, ça devient n'importe quoi.

(soit dit en passant, le rapport entre "comment tuer" et une faille de sécurité est vachement moins évident qu'entre "comment pénétrer chez autrui" et ladite faille)

[cs_ntd]

Honnêtement c'est une bonne question, est-ce celui qui trouve comment faire, ou celui qui le fait?
De la même manière, hier j'ai trouvé comment tu pouvais tuer quelqu'un... blabla. Qui est responsable le tueur ou le vendeur d'armes? etc.

En effet, et si j'ai dit ça, c'est que cela commençait à dériver vers "C'est la faute à l'ingénieur si ya eu des PC infectés, etc...".

Ce qui est sûr, c'est que la faute directe de l'infection incombe aux pirates eux-mêmes, qui sont tout de même responsables de leurs actes.
Après, sachant que dehors pleins de gens cherchent des failles pour rentrer dans windows, devait-il vraiment publier le POC ? Il pouvait certainement se douter de ce qui arriverait. On pourrait même dire qu'il a publié le POC en connaissance de cause, en sachant ce qui allait arriver.
Est-ce que cette attitude est une attitude responsable et "citoyenne" ? Plutôt le contraire je dirais. Donc non, l'attitude de l'ingénieur est totalement irresponsable à mon sens, et n'aurait pas dû, rien que pour cela, publier le POC.

Après, il peut y avoir des 'circonstances aténuantes', j'entends par là que la faille qu'il avait découverte allait peut-être mettre du temps à être corrigée sans son intervention, etc, néanmoins, il a essayé de se positionner en défenseur de la sécurité, alors que c'est plutôt le contraire qu'il a fait.

Donc à mon sens, pour répondre pleinement à la question du topic : Fallait-il publier une preuve de faisabilité ? , je réponds non, bien sur que non, ou du moins certainement pas si tôt. Attendre que MS la corrige pour ensuite mettre l'histoire sur le tapis, et dire que MS a été lent, que c'était inadmissible & co. Là, ça aurait pu être bénéfique pour la sécurité.

Je pense que les POC ne devrait exister qu'a but "scientifique" ou "historique", un peu comme des démonstrations mathématiques.
Le mathématicien qui trouve comment casser RSA (système de crytage le plus utilisé, et notement par les banques, assurances...) doit-il le publier ? Ou attendre un peu que les choses aient changées, et que RSA ne soit plus si impliqué dans la sécurité, quitte à travailler pour l'écartement de RSA.

Sans déconner, on va interdire les comparaisons avec d'autres domaines que ol'informatique, ça devient n'importe quoi.

(soit dit en passant, le rapport entre "comment tuer" et une faille de sécurité est vachement moins évident qu'entre "comment pénétrer chez autrui" et ladite faille)

1) Les comparaisons : Si, utilisées à bon essient, elles peuvent permettre d'apporter de l'ouverture dans le débat, en mettant en avant de nouveaux éclairages.
2)Le rapport découle de l'enchainement des topics. Entrer chez autrui par effraction et le voler => délit. Entrer chez quelqu'un par effraction et le tuer => crime. Les failles de sécurité peuvent permettre les 2 (Gagner de l'argent avec des bots, des spams, des spywares, ou alors espionner une compagnie, un pays, détruire une société...)