Ils agiront vite, c'est certain. mais agir bien... Encore faudrait-il qu'on leur donne le temps de le faire. Or si la faille a été divulguée, je doute fort que la propreté du code soit importante. Ce n'est pas comme si on leur donnait le temps de le faire proprement (ça ne veut pas dire que tous les correctifs faits avec le couteau sous la gorge - voire dedans, parfois - sont mal faits)
Enfin bon, on en a discuté en profondeur et dans tous les sens dans un autre topic.
C'est amusant de voir que quand on attaque Linux (qui est censé être le gentil), on risque sa place, alors que quand on s'en prend à Microsoft (qui est censé être le méchant), on ne risque finalement pas grand chose...
Qui sait combien de failles restent encore tapis dans les méandres du noyau Linux? Et qui osera les publier?
Au moins, avec les payants (sous entendu Microsoft et Apple), on ne risque pas sa carrière en faisant des remarques constructives...
Publier les failles de sécurité lorsque les sociétés ne réagissent pas ...
J'aimerais proposer une piste de réflexion sur cette pratique.
Pourquoi certains chercheurs cherchent-ils des failles de sécurité sur différent système ?
-> Pour rendre le système plus sur au yeux de l'utilisateur.
Qui est le premier concerné par la sécurité ?
-> L'utilisateur ( particulier, entreprises, administration etc ... ). Ils représentent surement plus de 99% des utilisateurs d'un système / logiciel.
Qui les chercheurs essayent-ils de défendre en cherchant de nouvelles failles de sécurité ?
-> L'utilisateur.
Maintenant, ma question est la suivante :
Un exploit, comme son nom l'indique, est un exploit, ce qui veut dire qu'un expert en sécurité informatique, à du travailler des journées entière sur ce genre de faille, pour, souvent, être le premier à les découvrir. Publier au grand public ( malveillant, et autres experts ) n'est-il pas le meilleur moyen de justement, rendre dangereuse une faille qui aurait peut être mis plusieurs mois a être découvertes par des pirates, plutôt que de le divulguer uniquement aux société éditrice. Je ne critique en rien le comportement de ces braves hommes, mais, en faisant ça, ils mettent en jeu la sécurité de l'utilisateur ...
Mais ...
Reprenons mes questions de base :
Qui les chercheurs essayent-ils de défendre en cherchant de nouvelles failles de sécurité ?
A méditer.
En fait, ce qui se passe, à mon avis, comme pour le gros problème sur le protocole DNS l'année dernière par exemple, c'est que le chercheur confie sa trouvaille aux éditeurs, et probablement les 2 parties essaient de trouver une solution.
Maintenant, le problème est que souvent, probablement par fainéantise, ou par manque de ressource, les éditeurs préfèrent ignorer la faille tant que celle ci n'est pas exploitée. Donc un ultimatum sur la publication est le seul moyen de secouer un peu les éditeurs.
Et bien entendu, il ne faut pas oublier le moment de gloire lors de la publication de la faille. Ca fait bien sur un CV de sécurité on va dire.
The Big Bang theory : In the beginning there was nothing, and it exploded. (Terry Pratchett)
IT Quote : "Unix is user-friendly. It's just very selective about who its friends are."
Pour compléter SYL666, ne pas oublier non plus qu'il y a des criminels qui vivent d'activités criminelles via Internet. Et je parle pas seulement du spammeur qui fait ça de son garage mais bien de mafias qui font de la rançon à la DOS attack, etc ... . Ça existe, et eux ont les moyens de payer des équipes de recherche de failles de sécurité pour trouver un bon mode de contagion pour la prochaine version du BotNet qui va bien ...
Ne pas négliger cet aspect là non plus.
Un problème avec Git ? Essayez la FAQ, sinon posez votre question sur le forum.
"Toute personne croyant qu'une croissance exponentielle peut durer indéfiniment dans un monde fini est soit un fou, soit un économiste."
Kenneth E. Boulding
"Les richesses naturelles sont inépuisables, car, sans cela, nous ne les obtiendrions pas gratuitement. Ne pouvant être ni multipliées ni épuisées, elles ne sont pas l’objet des sciences économiques."
Jean-Baptiste Say, Traité d'économie politique, 1803.
"/home/earth is 102% full ... please delete anyone you can."
Inconnu
Salut,Et pourtant: je me rappelle d'un sérieux "black out" généré par une faille sur dans le noyau windows de l'époque qui avait été clairement identifiée depuis... deux ans sans être colmatée.
Un "petit malin" avait en effet décidé de l'utiliser pour infester un maximum de pc et les faire lancer une attaque DOS
Comme par hasard, le correctif est sorti la semaine qui a suivi l'attaque
Je n'ai rien contre les failles qui sont découvertes aujourd'hui sur un ancien noyau, cela peut arriver... Mais quand une faille est découverte, la moindre des choses est... de tout mettre en oeuvre pour la colmater, si possible, avant que quelqu'un n'essaye d'en profiter réellement, non
A méditer: La solution la plus simple est toujours la moins compliquée
Ce qui se conçoit bien s'énonce clairement, et les mots pour le dire vous viennent aisément. Nicolas Boileau
Compiler Gcc sous windows avec MinGW
Coder efficacement en C++ : dans les bacs le 17 février 2014
mon tout nouveau blog
Je pense que tout dépend du contexte, pourquoi une entreprise irait perdre de l'argent à colmater une faille? Si cette faille est rendue publique ou très utilisée cela va entacher son image de marque donc là effectivement elle va pouvoir débloquer des ressources, mais sinon quel bénéfice elle va en tirer?
dam's
The Big Bang theory : In the beginning there was nothing, and it exploded. (Terry Pratchett)
IT Quote : "Unix is user-friendly. It's just very selective about who its friends are."
La confiance du consommateur
Si microsoft a le quasi monopole sur PC, certains peuvent croire (je n'exprimerai pas mon opinion personnel à ce sujet) que c'est uniquement... parce qu'il a su "surfer sur une vague" il y a plus de vingt ans, et sans doute pris quelques accords qui seraient aujourd'hui dénoncés publiquement.
Mais l'utilisateur averti n'a pas forcément confiance en l'outil et subit peut être cette situation de monopole et de battage médiatique car la décision de l'OS ne dépend pas de lui
A méditer: La solution la plus simple est toujours la moins compliquée
Ce qui se conçoit bien s'énonce clairement, et les mots pour le dire vous viennent aisément. Nicolas Boileau
Compiler Gcc sous windows avec MinGW
Coder efficacement en C++ : dans les bacs le 17 février 2014
mon tout nouveau blog
Si on prend effectivement l'exemple de Microsoft, en quoi la divulgation d'une faille de sécurité va avoir un impact sur son chiffre d'affaires? Les gens vont ils arrêter d'acheter Windows parce qu'une faille a été découverte, voire mieux, le gens vont ils être retissants à acheter le nouveau Windows parce que sur l'ancien ils ont eu un virus?
dam's
S'il y avait un choix qui offre autant de facilité, mais plus de sécurité que windows (car j'ai beau aimer linux, il n'est pas encore aussi "user friendly" que windows ... mais il s'améliore ), et si les nouveaux pc n'étaient pas systématiquement vendu avec windows, on serait effectivement en droit d'en douter
A méditer: La solution la plus simple est toujours la moins compliquée
Ce qui se conçoit bien s'énonce clairement, et les mots pour le dire vous viennent aisément. Nicolas Boileau
Compiler Gcc sous windows avec MinGW
Coder efficacement en C++ : dans les bacs le 17 février 2014
mon tout nouveau blog
Oui, justement. Je crois que Suttleworth (euh... le gars de Canonical, je ne sais plus l'orthographe exacte), avait publiquement et humoristiquement remercier Microsoft car ils sont en bonne partie considéré comme responsable du succès de la distribution
Maintenant, il faut aussi prendre en compte les serveurs : sur un serveur, la sécurité est cruciale, et le marché fait rage entre Linux et Windows (et les Unix sont maintenant à la traine). Sur ces points, je pense que Microsoft perd une grosse part de marché à chaque faille qui fait du bruit.
The Big Bang theory : In the beginning there was nothing, and it exploded. (Terry Pratchett)
IT Quote : "Unix is user-friendly. It's just very selective about who its friends are."
Parce que dans toute entreprise commerciale, il arrive un moment ou il faut savoir perdre un petit peu d'argent aujourd'hui, pour ne pas prendre le risque d'en perdre beaucoup demain.Je pense que tout dépend du contexte, pourquoi une entreprise irai perdre de l'argent à colmater une faille?
Pas du jour au lendemain, mais si la faille est importante et retentissante, ça peut engendrer une perte de confiance croissante.Si on prend effectivement l'exemple de Microsoft, en quoi la divulgation d'une faille de sécurité va avoir un impact sur son chiffre d'affaires? Les gens vont ils arrêter d'acheter Windows parce qu'une faille a été découverte, voire mieux, le gens vont ils être retissants à acheter le nouveau Windows parce que sur l'ancien ils ont eu un virus?
Et tout le monde sait qu'une confiance qui a mis des années à être gagné peut être perdu en quelques minutes. Elle est ensuite quasiment irrécupérable.
--- Sevyc64 ---
Parce que le partage est notre force, la connaissance sera notre victoire
+1...
J'ai la conviction que chaque faille retentissante incite un certain nombre de gens à voir si "l'herbe n'est pas plus verte ailleurs".
C'est parfois un processus qui demande plus qu'une faille, mais, lorsque l'on se trouve confronté trois fois en six mois à l'exploitation (retentissante) de failles connues qui, comme par hasard, sont colmatées dans les jours qui suivent, il y a vraiment de quoi être tenté.
Je n'ai aucun chiffre en terme de failles exploitée ni en terme de "déserteurs" d'un OS que chaque faille implique, mais, quand on voit le grand nombre de serveurs et d'ordinateurs personnels qui sont en circulation, et les revenus que peuvent générer la vente d'un OS, on peut se dire que, si chaque faille ne fait fuire "que" 0.1% des utilisateurs, cela peut représenter une perte importante
A méditer: La solution la plus simple est toujours la moins compliquée
Ce qui se conçoit bien s'énonce clairement, et les mots pour le dire vous viennent aisément. Nicolas Boileau
Compiler Gcc sous windows avec MinGW
Coder efficacement en C++ : dans les bacs le 17 février 2014
mon tout nouveau blog
Spengler fait du bon boulot selon moi pour l'amélioration de la sécurité du sytème. Je pense que c'est d'ailleurs le but des logiciels sous licence GNU/GPL
Aucune question n'est bête quand on veut apprendre.
Quand tu dis perdre un peu d'argent, c'est ce que je disais en allouant un budget pour le service qui s'occupe des bug et failles mais sans forcément mettre les moyens pour colmater toutes les failles. En gros on fait le minimum afin de maximiser l'investissement.
C'est comme les opérateurs téléphoniques : ils savent très bien qu'ils vont avoir un certain pourcentage de mécontent qui vont aller chez la concurrence, mais d'un autre côté ils vont récupérer un certain pourcentage de mécontents de la part de leurs concurrents, à partir de ce constat on s'en rend compte qu'investir plus de moyen à la satisfaction client n'est pas forcément si bénéfique.
Je pense qu'il en va de même pour les éditeurs de logiciel, dès l'instant où il y a derrière un plan business.
dam's
Vous avez un bloqueur de publicités installé.
Le Club Developpez.com n'affiche que des publicités IT, discrètes et non intrusives.
Afin que nous puissions continuer à vous fournir gratuitement du contenu de qualité, merci de nous soutenir en désactivant votre bloqueur de publicités sur Developpez.com.
Partager