Discussion :

[Gordon Fowler]

Vupen content que des chercheurs de failles ne les livrent pas à des éditeurs « multi-milliardaires »
Et vend les 0-days de Windows 8 à ses clients sans les communiquer à Microsoft

Fin octobre, Vupen avait affirmé par la voix de son PDG - Chaouki BEKRAR - avoir découvert plusieurs failles dans Internet Explorer 10 qui permettaient de corrompre Windows 8. Et ce malgré les avancés du système de sécurité du nouvel OS.

La société basée à Montpellier n’a donné depuis aucune information sur son exploit (au sens informatique du terme). Elle a, en revanche, immédiatement fait savoir que les détails de l’attaque étaient à vendre.

Une décision – traditionnelle pour Vupen – que certains ont qualifié de « Grey Hat ». Autrement dit, entre les White Hat, qui œuvrent pour la sécurité du plus grand nombre, et les Black Hat, qui cherchent à tirer profit des systèmes en les piratant. C’est ce que regrette par exemple Jani Kallio, expert chez Luottokunta, le premier fournisseur de services de paiements finlandais.

D’après le dossier de L’Expansion de cette semaine qui fait un point sur la stratégie numérique française, la revente de ce type de découvertes peut dépasser les 150.000 €. C’est le prix qu’auraient payé des services de l'Etat français pour acquérir les détails d'un autre exploit qui s'appuie lui aussi sur des failles 0-days.

Rappelons qu’une faille 0-day n’est pas une « faille méconnue », comme l’écrit le magazine, mais une faille jusqu’ici inconnue et non patchée. Un 0-Day est par définition connu (ne serait-ce que par son découvreur) et documenté (ce qui fait sa dangerosité) mais pas encore divulgué (ou à un petit nombre) ni corrigé.

De son côté, Microsoft invite les hackers à participer à son programme maison (Coordinated Vulnerability Disclosure) et regrette donc en termes diplomatiques que Vupen œuvre de son côté, en monétisant ses découvertes, sans communiquer avec lui pour améliorer la sécurité de ses outils.

Un appel qui ne semble pas émouvoir Chaouki BEKRAR.

Chaouki BEKRAR, PDG de Vupen

Au contraire. Le hacker vient de féliciter sur Tweeter un de ses confrères qui a décidé d'adopter la même stratégie. « Content de voir qu’une start-up spécialisée dans la recherche trouve des 0-Days et refuse de livrer leur travail gratuitement à des fournisseurs multimilliardaires. Bienvenu au club », écrit-il.

Plusieurs analystes commencent néanmoins à poser la question de la légalité d'un tel commerce.

En attendant, les failles de Vupen - dont on ne sait rien - sur Windows 8 et son navigateur Internet Explorer 10 sont bel et bien à vendre au plus offrant. Tant pis pour ceux qui n'ont pas les moyens ?

Et vous ?

Pensez-vous que Vupen ait raison de ne pas communiquer ses travaux aux éditeurs ?
Ou considérez-vous que cela fait de ces chercheurs des « Grey Hat » ?

[alex_vino]

Pas beaucoup d'intéret cet article qui parle de "truant", mais je vais quand meme le commenter parce qu'il a le mérite de m'hérisser les poils.
J'utilise le mot "truant" car soit ils n'ont rien trouvé et font cela pour se faire de la publicité gratuitement, soit ils préferent travailler de l'autre coté de la frontiere et vendre leur trouvaille a des hackers sans scrupules.
Que Microsoft n'accepte pas leur "tarif de vente" est une chose et est leur droit de demander davantage, mais alors qu'ils gardent leur faille pour eux.
Imaginez des failles non-connues entre les mains des créateurs de Stuxnet par exemple, compromettant des systemes de sécurité des Etats mais aussi des domaines clés (nucléaire, défense, médecine, concurrence...) a des fins d'attaque/espionnage.
Bien triste pour notre pays de parler de nos start-up qui agissent de cette facon.

[epsilowne]

+1 Linux

[messinese]

+1 Linux

La je vois vraiment pas le rapport ...?

Inutile de déterrer les vieux troll qui, de plus, n'ont pas lieu d'être.

[kolodz]

@alex_vino : On parle ici principalement de la rémunération des entreprises travaillant dans la sécurité informatique.

Pour rappel un fail 0-days, ne se trouve pas tout les jours et nécessite des ressources pour être trouver et documenté.

Que Microsoft n'accepte pas leur "tarif de vente" est une chose et est leur droit de demander davantage, mais alors qu'ils gardent leur faille pour eux.

Pour le moment, très peu de personne accepte d'acheter ce type d'information. En effet, on considère que ces informations doivent être donner à titre gracieux pour la sécurité des utilisateurs.
Ce qu'on oublie c'est que cette sécurité est la responsabilité du producteur / distributeur. C'est à eux de faire l'investissement pour protéger leur produit pour leur client.
D'ailleurs certains sociétés et fondations propose déjà une rémunération pour ce genre d'information :

http://www.mozilla.org/security/bug-bounty.html
http://www.google.com/about/appsecurity/reward-program/
http://www.facebook.com/whitehat/bounty/

Pour rappel, Microsoft comme d'autre compagnie vends des licences où il assure le support et la sécurité. Si il y a un problème de sécurité (ou autre), alors leur clients exigent un dédommagement...

Donc considérer qu'une faille découverte sur un logiciel Microsoft ne peut-être acheter que par Microsoft, qui ne veux pas les acheter n'est une bonne approche.

Dès banques et des états qui utilisent des logiciels Microsoft sont potentiellement de très bon client pour ce genre d'information. Eux accepteront de payer. Et demanderont poliment à Microsoft de les rembourser, lors de leur prochain achat de licence.

Pensez-vous que Vupen a raison a de ne pas communiquer ses travaux aux éditeurs ?

Vupen pense à l'avenir de sa boite, la vente de cette faille peut assurer la survie de sa boite pour plusieurs années.

Ou considérez-vous que fait de ses chercheurs des « Grey Hat » ?

Non, c'est certes demander quelque chose que peu de personnes demande.

Pour rappel, le coût de développement de windows 8 est inférieur au budget marketing. Vous pensez sérieusement que Microsoft ne devrait pas dédommager les personnes qui s'occupent de la sécurité de leurs logiciel ?

Surtout qu'aujourd'hui en France un défaut de sécurité de sa connexion internet est un délit... (Si troll que ça ?)

Plusieurs analystes commencent néanmoins à poser la question de la légalité d'un tel commerce.

Si on demande demande aux mêmes que pour SOPA/PIPA et HADOPI. Cela le deviendra pour une certains catégorie de la population/société.

Cordialement,
Patrick Kolodziejczyk.

[alex_vino]

@kolodz: Je te donne un exemple concret pour te faire oublier le monde virtuel.
Tu trouves le moyen de braquer une banque. Va-t'us livrer la stratégie du braquage au plus offrant des bandits (en passant le message au journal de 20h de TF1) tout en faisant tout que la banque ne puisse pas acheter?
Certains croient que l'informatique permet toutes les dérives, heuresement que toutes les entreprises et les utilisateurs ne fonctionnent pas tous de cette facon. Il n'y a qu'a regarder l'attitude des Kasperky et Cie et ce "Vupen" pour comprendre.

Surtout qu'aujourd'hui en France un défaut de sécurité de sa connexion internet est un délit...

Il n'y a pas qu'en France, et le délit n'est pas le défaut de sécurité mais plutot son utilisation par une personne tierce. D'un point de vue juridique c'est a l'accusé de prouver son innocence. Si tu estimes avoir fait tout ton possiblealors ensuite tu peux toujours mener une action contre ton fournisseur internet ou qui tu veux.

[Totony]

@kolodz: Je te donne un exemple concret pour te faire oublier le monde virtuel.
Tu trouves le moyen de braquer une banque. Va-t'us livrer la stratégie du braquage au plus offrant des bandits (en passant le message au journal de 20h de TF1) tout en faisant tout que la banque ne puisse pas acheter?
Certains croient que l'informatique permet toutes les dérives, heuresement que toutes les entreprises et les utilisateurs ne fonctionnent pas tous de cette facon. Il n'y a qu'a regarder l'attitude des Kasperky et Cie et ce "Vupen" pour comprendre.

Premièrement, un ordinateur n'es pas une BANQUE... Quand même... Et ne sortez pas la comparaison avec les trucs super-top-secret ou les trucs qui doivent être le moins compromis possible, on parle de Windows 8 et d'Internet Explorer.
Aussi, je crois que la banque a la responsabilité d'être la plus sécuritaire possible et, si jamais elle se fait vendre des informations quant à cette sécurité, elle a la responsabilité de faire tout en son pouvoir pour l'obtenir.

[erwanlb]

Pour rappel un fail 0-days, ne se trouve pas tout les jours et nécessite des ressources pour être trouver et documenté.

Si cela coûte des ressources et qu'ils veulent être dédommagés à hauteur de leur boulot, 2 choix très simples :

- Bosser pour Microsoft
- Ne pas chercher ces failles, cela ne leur coûtera rien !

Encore une fois le domaine informatique se démarque par sa relative virtualisation...imaginez qu'une société dise, j'ai trouvé une faille dans votre voiture, vous risquez d'avoir un accident si vous ne me payez pas....j'ai trouvé une faille dans votre tv, elle risque d'exploser à tout moment, payez moi....etc...

[fregolo52]

Si cela coûte des ressources et qu'ils veulent être dédommagés à hauteur de leur boulot, 2 choix très simples :

- Bosser pour Microsoft
- Ne pas chercher ces failles, cela ne leur coûtera rien !

Encore une fois le domaine informatique se démarque par sa relative virtualisation...imaginez qu'une société dise, j'ai trouvé une faille dans votre voiture, vous risquez d'avoir un accident si vous ne me payez pas....j'ai trouvé une faille dans votre tv, elle risque d'exploser à tout moment, payez moi....etc...

Dans ce cas, pourquoi Kapersky ne nous donne pas gratuitement une solution complètement gratuite ?

Donc, on doit payer un éditeur (antivirus & co) pour qu'on se protège, mais les éditeurs, eux, ne devraient pas payer pour mieux sécuriser leurs solutions ?

Le cas de Chaouki BEKRAR est peut-être un peu différent, vu qu'il menace de divulguer la faille s'il n'est pas payé.

+1 Linux

Rootkit est un terme à la mode aussi sous Linux.

[erwanlb]

Dans ce cas, pourquoi Kapersky ne nous donne pas gratuitement une solution complètement gratuite ?

Donc, on doit payer un éditeur (antivirus & co) pour qu'on se protège, mais les éditeurs, eux, ne devraient pas payer pour mieux sécuriser leurs solutions ?

Le cas de Chaouki BEKRAR est peut-être un peu différent, vu qu'il menace de divulguer la faille s'il n'est pas payé.

Rootkit est un terme à la mode aussi sous Linux.

L'intêret de Vupen n'est pas que le produit soit sécurisé, au contraire....

[Tryph]

ce gars n'a pas complètement tort.

Microsoft fait assez d'argent avec ses différentes version de Windows, et c'est Microsoft qui devrait faire de travail de sécurisation.

Hors, comme on dit chez nous: "tout travail mérite salaire".
et faut pas prendre Microsoft pour une pauvre boite sans ressource aussi, ils ont largement de quoi rémunérer les découvertes de failles.

Alors on peut déplorer le fait que le gars envisage de vendre sa faille au plus offrant, mais on ne peut pas lui reprocher de ne pas livrer son travail gratuitement a une boite qui brasse des milliards de dollars.

[Nathanael Marchand]

Pour le moment, très peu de personne accepte d'acheter ce type d'information. En effet, on considère que ces informations doivent être donner à titre gracieux pour la sécurité des utilisateurs.
Ce qu'on oublie c'est que cette sécurité est la responsabilité du producteur / distributeur. C'est à eux de faire l'investissement pour protéger leur produit pour leur client.
D'ailleurs certains sociétés et fondations propose déjà une rémunération pour ce genre d'information :

http://www.mozilla.org/security/bug-bounty.html
http://www.google.com/about/appsecurity/reward-program/
http://www.facebook.com/whitehat/bounty/

Faudrait p'tet voir à lire l'article aussi:

De son côté, Microsoft invite les hackers à participer à son programme maison (Coordinated Vulnerability Disclosure) et regrette donc en termes diplomatiques que Vupen œuvre de son côté, en monétisant ses découvertes, sans communiquer avec lui pour améliorer la sécurité de ses outils.

[jfduflot]

La raison pour laquelle nous nous faisons régulièrement rouler par les anglo-saxons est que nous respectons non seulement la loi mais également l'éthique, alors que pour eux, "tout ce qui n'est pas interdit est autorisé". Les spécialistes de la cyberdéfense de la DGSE alertent régulièrement les entreprises française sur ce point.
C'est par exemple en utilisant des méthodes à la limite de la légalité mais pas du tout éthiques que les américains ont pris le contrôle de Gemplus et des méthodes de cryptage de la carte à puces, malgré les avertissements de la DGSE.
VUPEN respecte certainement la légalité, sans doute pas l'éthique. D'ailleurs ils vont sans doute devoir surveiller leurs arrières dans les semaines qui viennent... Personnellement leur dangereuse tactique me plait assez, pour une fois que l'on s'attaque aux américains.

[_skip]

J'ai lu il y a quelques années que google avait aussi un programme de reward pour les vulnérabilités, mais on parlait de montants de 500$ à 3000$ suivant la gravité. Pas pu trouver d'info sur celui de microsoft.

Là le bonhomme qui a trouvé cette faille 0day, s'il est à la tête d'une boîte qui fait dans ce business, il a surement l'intention de se faire plus de fric que ça parce qu'en terme de temps passé dans la recherche, c'est pas avec ce genre de montant qu'il paiera son loyer.
La seule question qu'on peut se poser c'est à quel point c'est éthique ou non comme procédé? Quand on voit que des gouvernements se portent ouvertement acquéreurs de données bancaires volées soit disant pour lutter contre la fraude fiscale, on peut se dire que ce qu'il fait avec sa société n'est pas finalement ce qu'il y a de pire?

Son travail ne devrait pas être gratuit, mais cependant j'ai un peu de mal avec le procédé. C'est un peu comme si une personne constatait une faille de sécurité dans un garde-meuble avec possiblement des conséquences, et qu'il essayait de vendre l'info au gérant en faisant peser le "préjudice aux clients si par malheur"...

Quant à ceux sur ce forum qui développe des logiciels, vous êtes à ce point sûrs de vos talents que vous estimez que vos produits sont infaillibles? Comment réagiriez-vous si on voulait vous faire casquer pour des informations concernant votre soft en faisant un buzz sur une faille importante? Perso je trouverai pas ça super cool et je ne pense pas que j'apprécierai qu'on me dise que j'ai qu'à sortir mon produit mieux testé puis que c'est à moi de faire ce boulot sans quoi je ne suis pas légitime de proposer ce sur quoi je travaille et j'investis.
Donc oui les microsoft il a qu'à tester, microsoft il a qu'à chercher lui-même des failles (ils ne le font pas vous croyez?) microsoft il a des sous, microsoft c'est des profiteurs, merci bien. N'empêche que cette société agit sans mandat et sans contrat avec MS, donc est-ce que c'est vraiment si légitime que ça de vendre des informations en prenant quelque peu en otage les utilisateurs?

Bref, je sais pas, j'aime pas trop cette démarche. Je reconnais que c'est un boulot, mais un boulot intéressé que personne lui a demandé de faire. Après si les conditions de rémunération ne lui conviennent pas il a qu'à aller s'attaquer à des autres logiciels. Mais bon, pour que ça paie faut taper sur les gros qui ont plein d'utilisateurs pour faire pression, je suppose...
Donc non en fait j'aime pas ça du tout.

[alex_vino]

@_skip: Je sais que Google a déja donné plusieurs fois $60.000 pour Chrome.

[kolodz]

T’inquiètes je sais qu'il existe des entreprises comme Vupen qui exploite les faiblesses des entreprises et font du chantage avec

Pou rappel la définition de chantage :

Selon le Code pénal, le délit de chantage est le fait d'obtenir, en menaçant de révéler ou d'imputer des faits de nature à porter atteinte à l'honneur ou à la considération, soit une signature, un engagement ou une renonciation, soit la révélation d'un secret, soit la remise de fonds, de valeurs ou d'un bien quelconque (Art. 312-10 Code pénal).

Ordonnance nº 2000-916 du 19 septembre 2000 art. 3 Journal Officiel du 22 septembre 2000 en vigueur le 1er janvier 2002)

Lorsque l'auteur du chantage a mis sa menace à exécution, la peine est portée à sept ans d'emprisonnement et à 100 000 euros d'amende.

Ici, il y aurai eu chantage si Vupen avait demandé de l'argent en échange de la non divulgation de l’existence de la faille 0-days au publique.
Ce que ne fait pas Vupen. Ce n'est donc pas du chantage.

De la à faire du chantage avec le boulot (et les faiblesses) des autres pour les revendre à prix d'or....bon soit...ils ont le droit, ils le font....mais de la à trouver ça normal......je pense que c'est une opinion versatile...

Même définition du mot chantage (je ne re-cite pas...), même conclusion dans le cas Vupen. Ce pendant, il est vraie que le positionnement de Vupen est "moralement" discutable.

Oui parce que toi tu fais dire des choses que je n'ai pas dit et manque d'arguments (je ne comprend pas ta réaction pour une petite erreur humaine faite par des collegues, mais bon j'imagine que tu développes tous les jours des OS avec 0 failles).

Premier point : il te cite et fait son commentaire
Second point : ne pas être parfait, n'implique pas la générosité envers l'imperfection des autres.

C'est bien ce que je pensais, tu reste figé sur tes positions.
Je ne comprend pas trop ton exemple sur les greves, mais bon tant qu'a parler de Vurspen qui est une société basée en France et le fonctionnement francais je dirais ca fonctionne toujours aussi mal. Tu dois vivre en dehors des grandes ville et ne jamais bouger de chez toi pour n'avoir jamais été emmerdé par toutes ses greves en France qui nous "emmerde" et nuisent a l'image de notre pays. Je ne vais pas m'étendre sur le sujet car on va s'éloigner du topic.
Tu parles d'aider gratuiement, mais qui a dit que Microsoft ne paierais pas pour qu'il puisse colmater la faille? Quand mon client trouve une faille dans mon travail il ne va pas me faire du chantage mais plutot tout mettre en place pour corriger cette derniere. Et mon client ne me blamera pas non plus car il est humain et sait que rien n'est jamais parfait.

Microsoft lui-même à déjà dit qu'il ne rémunérait pas la découverte de faille. Sauf pour des concours, plus orienté marketing qu'autre chose :
http://www.computerworld.com/s/artic...curity_contest
Hors le gagnant de ces concours épisodique, Microsoft ne rémunère pas la découverte de faille.

Ton client y gagne la correction du bug. Et si ta boite a un minimum d'esprit commercial, elle lui enverra une belle boite de chocolat d'ici un mois.
Et je suppose que ton client n'as pas passé sa semaine à cherche le bug qu'il ta rapport sans rien produire d'autre de la semaine.

HS : Les grèves sont un droits durement acquis, qui ont permis d’acquérir de beaucoup de droit social qu'on considère comme normal en France, mais qui ne le sont pas. Et permettent encore de défendre ces mêmes droits. Même si on a tendant à stigmatiser cela...

J'ai lu il y a quelques années que google avait aussi un programme de reward pour les vulnérabilités, mais on parlait de montants de 500$ à 3000$ suivant la gravité. Pas pu trouver d'info sur celui de microsoft.

Là le bonhomme qui a trouvé cette faille 0day, s'il est à la tête d'une boîte qui fait dans ce business, il a surement l'intention de se faire plus de fric que ça parce qu'en terme de temps passé dans la recherche, c'est pas avec ce genre de montant qu'il paiera son loyer.
La seule question qu'on peut se poser c'est à quel point c'est éthique ou non comme procédé? Quand on voit que des gouvernements se portent ouvertement acquéreurs de données bancaires volées soit disant pour lutter contre la fraude fiscale, on peut se dire que ce qu'il fait avec sa société n'est pas finalement ce qu'il y a de pire?

Son travail ne devrait pas être gratuit, mais cependant j'ai un peu de mal avec le procédé. C'est un peu comme si une personne constatait une faille de sécurité dans un garde-meuble avec possiblement des conséquences, et qu'il essayait de vendre l'info au gérant en faisant peser le "préjudice aux clients si par malheur"...

Quant à ceux sur ce forum qui développe des logiciels, vous êtes à ce point sûrs de vos talents que vous estimez que vos produits sont infaillibles? Comment réagiriez-vous si on voulait vous faire casquer pour des informations concernant votre soft en faisant un buzz sur une faille importante? Perso je trouverai pas ça super cool et je ne pense pas que j'apprécierai qu'on me dise que j'ai qu'à sortir mon produit mieux testé puis que c'est à moi de faire ce boulot sans quoi je ne suis pas légitime de proposer ce sur quoi je travaille et j'investis.
Donc oui les microsoft il a qu'à tester, microsoft il a qu'à chercher lui-même des failles (ils ne le font pas vous croyez?) microsoft il a des sous, microsoft c'est des profiteurs, merci bien. N'empêche que cette société agit sans mandat et sans contrat avec MS, donc est-ce que c'est vraiment si légitime que ça de vendre des informations en prenant quelque peu en otage les utilisateurs?

Bref, je sais pas, j'aime pas trop cette démarche. Je reconnais que c'est un boulot, mais un boulot intéressé que personne lui a demandé de faire. Après si les conditions de rémunération ne lui conviennent pas il a qu'à aller s'attaquer à des autres logiciels. Mais bon, pour que ça paie faut taper sur les gros qui ont plein d'utilisateurs pour faire pression, je suppose...
Donc non en fait j'aime pas ça du tout.

J'aime bien ta réflexion qui mets en avant les deux points de vue.
Je vais répondre directement à tes deux questions :

Quant à ceux sur ce forum qui développe des logiciels, vous êtes à ce point sûrs de vos talents que vous estimez que vos produits sont infaillibles ?

Tout ce que j'ai écris est faillible.

Comment réagiriez-vous si on voulait vous faire casquer pour des informations concernant votre soft en faisant un buzz sur une faille importante ?

Ça dépends le contexte, mais probablement que je tenterai la médiation. Quand j'ai fait le "buzz" avec un faille, c'est ce qu'on m'avait fait et ça c'est bien fini pour tout le monde. Certains boite vont jusqu'à engager...

Pour le reste, je ne peux qu'apprécier ton point de vue. J'avoue ne pas avoir le même résonnent, mais j'arrive à une conclusion similaire. (J'avoue que je préférai entant que acheteur et consommateur que Microsoft dépense un peu d'argent en bug bounty.)

Cordialement,
Patrick Kolodziejczyk.

[Grisou]

Tout travail mérite salaire.
Microsoft rémunère ses employés pour 'normalement' trouver ces failles. Donc je trouve qu'il est normal de rémunérer une personne qui travaille à l'amélioration du produit, même si elle est étrangère a l'entreprise.

Le but de chaque entrepreneur de faire pérenniser son entreprise, et ce, pour se développer et pour faire vivre ses collaborateurs.

Maintenant le prix est peut être excessif ! ça !

[maxou42000]

Il se trouve que l'Ethique et une chose et la lois en est une autre je reprend les propos d'un post précédent.
Les entreprises Américaines se fouttent royalement de l'éthique. Sinon vous m'expliquerez pourquoi Microsoft est imposé en France sur 16% de son chiffre d'affaire. Pourquoi Microsoft paie l'impot en Irlande sur 84% du chiffre d'affaire réalisé en France.
Pourquoi y aurait-il une filliale sur les iles Caimans qui réaliserait 50% du chiffres d'affaire mondiale du groupe pour une iles 10 fois plus petite que la corse.
Ça me rappelle le film la ligne verte ou celui qui a tué les deux fillettes pour le lequel John Café ( je sais ça se prononce comme le café mais ça ne s'écrit pas pareil ) est condamné. Le tueur les a tué a cause de leur amour il les a attrapé toutes les deux et leur a dit si tu crie je tue ta soeur et toi si tu cris je tue ta soeur. Il les a emmené et finalement les a tué.
Tout ça pour dire que lorsque vous partez en guerre et l'économie et une guerre c'est le profit ou la mort. Je vois bien l'adversaire en face dire à ben non c'est pas bien d'utiliser ça comme arme. Moi j'utilise ça comme arme ( un tank ) toi aussi tu peux utiliser un tank ( ok mais j'ai pas les moyens pour un tank ) mais tu n'as pas le droit d'utiliser de lance roquette. Tu gardes juste ta fourche et ta pelle.
Je prend l'exemple de Microsoft mais c'est valable pour toutes les grosses entreprises Américaines ( Apple, etc. au passage des groupes comme Total font la même chose )
Et la fuite de capitaux va s'accélérer exponentiellement grâce à l'intégration totale à Windows 8 des markets ( musique, vod, logiciels, etc. ) Ce type de marché et complètement délocalisé et délocalisable aucun frais de transport insensible à la hausse du pétrole, aucun contrôle douanier pour les taxes.
Et l'argent qui s'en va il ne revient pas. Et là je vous garantie que si vous vous plaigniez de payer trop d'impôt ça va pas s’arranger.

Alors l'éthique il faudrait qu'on arrête de se faire prendre pour des idiots ça me fait penser au gouroux dans les sectes.
Faites voeux de pauvreté, de chasteté, etc. mes bons fidèles.
A coté de ça il s'envoie en l'air avec toutes les femmes de la communauté, et vie dans le luxe.

Quand à ceux qui ne sont pas content je leur suggère de se plaindre à leur éditeur de logiciel avec qui ils ont signé un contrat, accord de licence ou mieux encore de passer sur du logiciel libre ou le code est ouvert et ou le service lui est plus difficilement délocalisable.

Alors je conclue qu'il a raison, il reste dans le cadre légale donc qu'il continue... Jusqu'au jour ou les lobbies feront pression pour faire modifier la lois pour la sois disant protection des consommateurs ( là je me marre !!! faite voeux de pauvreté donner tout votre argent à la communauté c'est pour vous, c'est pour le salut de votre âmes )

Bien à vous messieurs ( moutons ou non )
PS: pour le mouton ça n'est pas méchant mais comprenez que si nos comportement moutonnier continue à défendre bêtement de la sorte des gros groupes ceux ci vont continuer à nous siphonner et on finira par le payer chère très chère. Façon Grèce !!!

[GruntZ]

Je ne sais pas ce qui est le plus "moralement discutable" :
- Vouloir faire payer à Microsoft pour un travail de déverminage qui aurait du être réalisé par ses équipes,
- Regarder Microsoft dépenser plusieurs millions d'Euros par an en lobbying auprès des députés européens pour faire voter des lois qui l'arrangent, en frais d'avocat pour défendre son business, ou en frais de marketing pour faire accepter un OS vendu de force avec les machines.

Vupen n'agirait peut être pas de la même façon s'il découvrait une faille dans Firefox ...

[talvins]

Microsoft a toujours fait ainsi avec ses produits : sortir une version équivalente béta et attendre les remontées. Ensuite, on sort un SP1 puis un SP2, entrecoupés de tonnes de correctifs critiques.

Certaines distribs linux font pareilles ? Certes, mais GNU/linux n'est pas Microsoft. Si Vupen avait trouvé des failles critiques sur Firefox, les aurait-il vendu ? J'en doute.

IE10 est gratuit, ok. Mais c'est parce qu'il ne peuvent faire autrement pour survivre. Par contre IE9 et IE10 ne sont pas dispo sur XP : et puis quoi encore ? On va quand même pas s'e**erder avec des nases qui n'achètent même pas nos nouveaux produits !

Bref, ils ont bien raison chez Vupen.