Discussion :

[250rgv]

Je doit avouer que ces arguments sont convainquant. Mais j'ai quand même difficile a croire que il y a publiquement des méthodes permettant a un hacker de prendre le contrôle ou de pirater des système comme Sql Server, Windows Server, etc

Qu'une simple recherche sur Google me permettrais de trouver un script ou autres pour prendre le contrôle d'un serveur/pc. Et ce alors que Microsoft ou autre soit au courant depuis des mois.

(Et ca me fais bien marrer cet histoire de point sur le forum j'en dormirais pas un forum c'est fait pour échanger des avis apprendre et discuter c'est pas un examen )

Prendre le contrôle à distance d'un serveur Windows ? cela dépends de ce que tu entends par là mais si c'est aussi "large" que me connecter et pouvoir travailler dessus depuis chez moi, mes collègues du sav le font tous les jours avec au moins un outil prévu pour et fourni en standard avec ses OS par Microsoft
Une faille sur cet outil ou sur le protocole utilisé et c'est la fête du slip pour les attaquants

Ensuite, (pour ma compréhension de ce que c'est) une faille n'a forcément pour effet de te donner accès directement à ta cible mais peut simplement te permettre d'envoyer des ordres, d'obtenir des informations etc.. alors que tu ne devrais pas pouvoir, et éventuellement, à la fin te permettre d'entrer par des moyens détournés.

Pour trouver comment faire, ce n'est pas forcément facile via google (et encore), mais n'oublie pas qu'il ne remonte que la partie superficielle du net Il y a beaucoup de choses dans l'ombre

je n'ai pas compris ton histoire de points par contre.

[GTSLASH]

cela dépends de ce que tu entends par là

Principalement le vol d'informations (fichier ou donnée SQL Server) et l'utilisation du serveur piraté pour attaque DDOS ou spam. Il y a-t-il moyen de trouver facilement des faille exploitable a ces fin ? si oui c'est effrayant

je n'ai pas compris ton histoire de points par contre.

Pas important

[250rgv]

Principalement le vol d'informations (fichier ou donnée SQL Server) et l'utilisation du serveur piraté pour attaque DDOS ou spam. Il y a-t-il moyen de trouver facilement des faille exploitable a ces fin ? si oui c'est effrayant

DDSO/SPAM : il suffit juste de savoir ou chercher. Je te l'ai dit, dans l'ombre, il y a des chose plus ou moins bienveillantes.
Pour le reste, une faille ne va pas t'amener une base entière par retour de courrier en un seul coup mais elle va te permettre de progresser, te donner des informations techniques sur ta cible, etc... mais je pense que tu les trouvera dans les mêmes endroits.

Le problème avec celle-ci, c'est que entre autre, elle touche la sécurité d'une très grande partie du net, qu'elle est très facile à utiliser, que l'attaquant ne laisse pas de traces sans rien avoir à faire pour ce cacher (pour ce que j'en ai compris) et qu'elle peut retourner des informations directement utilisables (identifiants/mot de passe)...

[TiranusKBX]

la faille ne semble pas concerner tous les serveurs utilisant la lib vus que un de mes serveurs non mis à jours depuis 2 mois n'est pas affecté
quels sont donc tous les facteurs nécessaires à ces fuites ?

[250rgv]

la faille ne semble pas concerner tous les serveurs utilisant la lib vus que un de mes serveurs non mis à jours depuis 2 mois n'est pas affecté
quels sont donc tous les facteurs nécessaires à ces fuites ?

La version de ta bibliothèque, cf la source :

• OpenSSL 1.0.1 through 1.0.1f (inclusive) are vulnerable
• OpenSSL 1.0.1g is NOT vulnerable
• OpenSSL 1.0.0 branch is NOT vulnerable
• OpenSSL 0.9.8 branch is NOT vulnerable

[GTSLASH]

ok. Merci pour les info et la discutions. Je vais essayer de m'interesser et de decouvrir un peu plus sur le sujet

[250rgv]

ok. Merci pour les info et la discutions. Je vais essayer de m'interesser et de decouvrir un peu plus sur le sujet

Bon courage, sans même vouloir comprendre dans le détail la technique, il y a de quoi faire vu l'éventail des technos utilisées maintenant

[GTSLASH]

Ca vas encore me faire perdre des point et je ne dormirai pas la nuit mais bon

http://www.01net.com/editorial/61800...d-est-arrivee/

Ce bug qui a infecté +- la moitié des serveurs du monde est un bug qui est dans du code qu'une seul personne a teste. et cette personne est le développeur

Des millions et des millions de gens ont utilisé cette bibliothèque pendant 2 ans sans ce rendre compte de ce bug qui est considéré comme le bug de la décennie. A part la NSA qui je parie était au courant.

Et a l'avenir ? <ModeTroll> Skynet n'est pas loin </ModeTroll>

Le but de l'Open Source était que le plus possible de développeur puisse vérifier le code. Et la en 2 ans personne n'a vu le problème ? Un problème de variable en plus ce qui n'est pas la mer a boire a découvrir. Il y a même des vérificateur de code style FXCop qui aurait trouvé ça.

De plus personne n'a vérifié le code de ce développeur ce qui montre un énorme problème dans l'organisation du développement Open Source. Et qui est responsable ? a non personne c'est du libre.

Ne pas voir qu'il y a un problème actuellement dans le code ouvert c'est vraiment avoir les yeux fermés

Quand un client me reparlera de Linux et autre pour autre chose qu'un blog ou un forum je lui sortirai tous ces articles et vidéo. Et je suis certain que je ne serai pas le seul a agir de la sorte.

[Neckara]

Bonjour,

@GTSLASH : Pourrais-tu arrêter de troller ?

Les probabilités qu'une erreur arrive n'est pas nulle mais on fait tout pour minimiser cette probabilité.
Ce n'est pas parce qu'un bug passe les mailles du filets que tout de suite, tout l'open source, tout le libre est à jeter.

Et ce genre de problème n'arrive pas que dans l'open source, je prend par exemple cette actualité.
Là le bug est bien plus critique et le code n'avait même pas dû être relu une seule fois :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
if (machin )
      goto fail;
      goto fail;

// suite du code

Et qui est responsable ? a non personne c'est du libre.

Linux Torval valide lui-même chaque propositions faites sur son dépôt. Ce n'est pas parce que c'est open source/libre qu'il n'y a pas d'organisation.

De plus personne n'a vérifié le code de ce développeur

Ce n'est pas ce que dit ta source.

[gangsoleil]

De plus personne n'a vérifié le code de ce développeur ce qui montre un énorme problème dans l'organisation du développement Open Source. Et qui est responsable ? a non personne c'est du libre.

Est-ce que tu crois vraiment que chaque ligne de code est revue chez Microsoft, Apple et consors ? Je peux t'affirmer que ce n'est bien evidemment pas le cas.

Et ce n'est d'ailleurs pas le cas dans la plupart des entreprises, meme celles qui disent avoir un systeme de revue systematique du code par au moins une autre personne que le developpeur. La raison est extremement simple, c'est une question de cout.

Et meme sur du code revu, tu peux passer a cote d'erreurs.

Si tu veux des exemples, il y en a pleins. On peut prendre le 1er vol d'Ariane 5, celle qui a explose en vol. Apres verification, "c'est normal qu'elle ait explosé", car il y a un depassement de capacite [le rapport d'enquete montre que si les simulations avaient ete faites sur ce code, elles auraient montre que l'explosion etait ineluctable -- economie theorique de 800 000 francs]. Mais c'est vrai que l'ESA, ce sont des rigolos qui font que de l'open-source sans jamais se remettre en cause.

[GTSLASH]

Est-ce que tu crois vraiment que chaque ligne de code est revue chez Microsoft, Apple et consors ? Je peux t'affirmer que ce n'est bien evidemment pas le cas.

Chez Microsoft oui. Ils écrivent le code en binôme puis il est teste par un autres binôme avant d’être approuve par le chef de projet. C'est un témoignage d'un ancien de Redmond. Chaque code passe par 5 paires d'yeux.

Et les erreurs ca arrive. Je le sais ca m'arrive aussi. Comme tous le monde. Mais celle d'OpenSSL est quand même énorme et très "Amateur" et énormément lourde de conséquences. Et ca fragilise l'internet car les gens vont se mefier de plus en plus et ca freinera l'utilisation d'internet et donc de notre travail.

Le problème est que la communauté Open Source est si certaine d'elle qu'elle ne se remettra pas en question. "On est les meilleurs et vos citriques elle nous passe au dessus." Mais la vous vous êtes planté grave.

J'utilise l'open source comme tous le monde mais quand je fais des erreurs graves dans mes programmes je me remet en question car ca fait jamais plaisir quand un utilisateur ou pire un client vous appel pour se plaindre.

[tomlev]

Est-ce que tu crois vraiment que chaque ligne de code est revue chez Microsoft, Apple et consors ? Je peux t'affirmer que ce n'est bien evidemment pas le cas.

Comment peux-tu l'affirmer ? Tu as travaillé dans ces entreprises ? Je pense au contraire que dans les très grosses entreprises comme MS ou Apple, dont les produits sont utilisés par des centaines de millions de personnes, chaque ligne de code est revue, et plutôt trois fois qu'une...

[GTSLASH]

Ce n'est pas parce qu'un bug passe les mailles du filets que tout de suite, tout l'open source, tout le libre est à jeter.

Ce n'est pas ce que j'ai dis. Mais la on ne parle pas d'un petit bug. On parle d'une faille qui a contaminé la moitier des serveurs du monde et qui aurait très facilement pu être éviter. Et qui date de 2 ans !

Si pour vous ca c'est du troll je ne sais pas ce qu'il vous faut.

On verra bien la suite mais je suis convaincu que cette histoire aura des conséquences. Et je ne suis certainement pas le seul a penser de la sorte.

Maintenant si pour vous c'est un petit truc sans importance et que rien n'est a remettre en cause vous faite une grave erreur.

Linux Torval valide lui-même chaque propositions faites sur son dépôt

Il lit tous ? Il vérifie tous ? Ca m' entonnerai. Mais alors il a fait une grave erreur et il doit être tenu pour responsable.

Et je ne dis pas que le libre est a abandonner. Si Microsoft ou IBM aurait fait cet erreur j'aurai dis la même chose.

On a fait confiance a la communauté pour chiffrer nos communication et apres 2 ans on nous dis que finalement il y avait moyen de voir tous nos mot de passe et nos num carte de credit. C'est pas grave ???

Il est évident que l'Open Source doit se remettre en question et faire évoluer sa manière de travailler. Comme l'aurai fais tout autres entreprise. Informatique ou non.

Je ne comprend même pas que vous n’êtes pas d'accord.

On verra la suite. Je vous laisse dans votre monde de bisousnours tous rose alors. Si vous n'accepter aucune critique et la responsabilités de vos erreurs vous aller dans le mur.

[tomlev]

Pour ceux qui n'ont rien compris à Heartbleed:

http://www.xkcd.com/1354/

[ticNFA]

On peut te retourner ce reproche de naïveté, GTSLASH, parce que les entreprises (cf. ci-dessus) ont montré qu'elles n'étaient responsables surtout que de leurs résultats plutôt que de leurs clients. C'est parfois concomitant, parfois opposé et dans ce cas le choix peut être vite fait.
Le problème n'est pas le principe du libre mais le manque de développeurs qualifiés pour contribuer sur certains projets.
Le fait que de plus en plus de sociétés contribuent à des projets OS montrent bien l'intérêt de la chose (voir l'étude citée sur DVP) : mutualiser et pérenniser.

[GTSLASH]

Le problème n'est pas le principe du libre mais le manque de développeurs qualifiés pour contribuer sur certains projets.

oui je suis tout a fait d'accord. Et je pense que c'est également pour ca que par exemple Microsoft se tourne de plus en plus vers l'OS. Chaque cerveau est bon a prendre. Surtout quand c'est gratuit. MAIS c'est validé par après par Microsoft et ils engage leur responsabilités et leur nom.

Si une erreur si grave arrivait 3 fois chez Microsoft ce serai fini pour eux car la confience n'y serait plus pour personne. Et la je parle de Microsoft pas d'une petite boite national. Ca arrive a une boite si petite elle serait direct finie.

Que ce soit libre ou pas le développement doit être bien organisé. Et la il y a eu un gros problème dans celui de OpenSSL. Ca aurait du etre decouvert plus tot. Il y a des outils pour ca et des test unitaire et ous le reste.

Quel est la conséquence pour le(s) développeur(s) d'OpenSSL ? aucunes c'est gratuit.Ils n'ont de compte a rendre a personne car par définition c'est libre.

Si ca arrive chez Microsoft ou Oracle les investisseurs vont leur tomber dessus et des tetes vont tombées. C'est le principe de la responsabilités. Et dans l'OS personne n'est vraiment responsable car il n'y a pas d'argent derriere.

Et puis les faits sont la. La plus grosse faille de la decenie a ete provoquee par de l'OS. Et quand je discute avec mes clients eux ca les interesse et le prenne en compte

[fredoche]

oui je suis tout a fait d'accord. Et je pense que c'est également pour ca que par exemple Microsoft se tourne de plus en plus vers l'OS. Chaque cerveau est bon a prendre. Surtout quand c'est gratuit. MAIS c'est validé par après par Microsoft et ils engage leur responsabilités et leur nom.

Si une erreur si grave arrivait 3 fois chez Microsoft ce serai fini pour eux car la confience n'y serait plus pour personne. Et la je parle de Microsoft pas d'une petite boite national. Ca arrive a une boite si petite elle serait direct finie.

Que ce soit libre ou pas le développement doit être bien organisé. Et la il y a eu un gros problème dans celui de OpenSSL. Ca aurait du etre decouvert plus tot. Il y a des outils pour ca et des test unitaire et ous le reste.

Quel est la conséquence pour le(s) développeur(s) d'OpenSSL ? aucunes c'est gratuit.Ils n'ont de compte a rendre a personne car par définition c'est libre.

Si ca arrive chez Microsoft ou Oracle les investisseurs vont leur tomber dessus et des tetes vont tombées. C'est le principe de la responsabilités. Et dans l'OS personne n'est vraiment responsable car il n'y a pas d'argent derriere.

Et puis les faits sont la. La plus grosse faille de la decenie a ete provoquee par de l'OS. Et quand je discute avec mes clients eux ca les interesse et le prenne en compte

C'est arrivé 3 fois, et des têtes sont surement tombées, mais le Billou a toujours des balloches en Au

Ca s'appelait Code Red, Code Blue et Nimda, la moitié de la planète à ma connaissance, au moins.

Tu ne te rends pas compte de ce que tu dis, tu trolles à donf parce que ça doit correspondre à la barbaque que tu vends.

regarde ici http://en.wikipedia.org/wiki/Timelin...uses_and_worms et compte le nombre de fois ou Windows apparait. Si Microsoft publie des patchs, des correctifs, des services packs tous les jours, c'est un peu parce que c'est truffé de failles en tous genres.

L'histoire des virus, c'est un peu l'histoire des failles de windows.

Et concernant Oracle, Java (version 7 si je ne m'abuse) souffre beaucoup de toutes les failles découvertes ces dernières années. Les plug-ins java sont toujours je crois considérés comme non sûrs par les navigateurs

C'est comme ça, c'est du code informatique. Un code tu peux bien mettre 10 ou 20 ingénieurs dessus, des experts, et ils vont te laisser passer des trucs nuls débiles, parce que le cerveau est comme ça, il ne peut pas en permanence évaluer tous les effets de bords, la complexité de systèmes et d'environnements de plus en plus hétérogènes.
D'ailleurs les tests unitaires servent un peu à ça.

Ouvre un jour le top ten de l'OWASP, tu vas comprendre que l'internet est un gros gruyère à trous.

Bref

[GTSLASH]

Et concernant Oracle, Java (version 7 si je ne m'abuse) souffre beaucoup de toutes les failles découvertes ces dernières années. Les plug-ins java sont toujours je crois considérés comme non sûrs par les navigateurs

Juste. Et a quand OpenSSL considérés comme non sûrs par les navigateurs ? c'est le principe. Car maintenant quand je devrais entrer mon numero de carte Visa je serai moins confiant. Et je ne serai pas le seul.

Et j'ai jamais dis que Microsoft ne ferait pas d'erreur mais de la a pouvoir decrypter tous ce qui passe a cause d'une 'erreur' d'un programmeur vielle de 2 ans c'est fort.

Et a ce que je sache Microsoft a assumer ses erreur (menu démarré qui revient). Et concernant les virus ils se sont également amélioré et remis en question en mettant l'antivirus intégrer a Windows. Et ce principe n'est pas que dans l'informatique.

D'ailleurs les tests unitaires servent un peu à ça.

Oui si ils en avaient fais ce probleme de variable aurait été trouve avant livraison. Pas 2 ans apres.

[fredoche]

Non Microsoft n'assume pas, Microsoft n'assume rien, et dans l'informatique tu ne trouveras pas beaucoup d'éditeurs à assumer quoi que ce soit.

Prends un peu de temps ici : http://www.microsoft.com/france/licences/cluf/
Choisis le produit que tu veux et lis le contrat te liant à Microsoft.

Comme par exemple win2012 R2 standard http://download.microsoft.com/Docume...07d531cddb.pdf

1er paragraphe :

En utilisant le logiciel, vous acceptez ces termes. Si vous ne les acceptez pas, n’utilisez pas le logiciel et retournez-le à votre revendeur afin d’obtenir un remboursement ou un avoir.

puis paragraphe 23 :

LIMITATION ET EXCLUSION DE RESPONSABILITÉ EN CAS DE DOMMAGES. Vous pouvez obtenir de Microsoft et de ses fournisseurs une indemnisation en cas de dommages directs uniquement dans la limite du montant que vous avez payé pour le logiciel. Vous ne pouvez prétendre à aucune indemnisation pour les autres dommages, y compris les dommages spéciaux, indirects, incidents ou accessoires et les pertes de bénéfices.
Cette limitation concerne :
· toute affaire liée au logiciel, aux services ou au contenu (y compris le code) figurant sur des sites Internet tiers ou dans des programmes tiers ; et
· les réclamations pour manquement aux termes du contrat ou violation de garantie, les réclamations en cas de responsabilité sans faute, de négligence ou autre délit dans la limite autorisée par la réglementation applicable.
Elle s’applique également, même si :
· la réparation, le remplacement ou le remboursement du logiciel ne compense pas intégralement tout préjudice subi ; ou
· Microsoft avait ou aurait dû avoir connaissance de l’éventualité de tels dommages.

enfin alinéa G :

G. AUCUNE AUTRE GARANTIE. La garantie limitée est la seule garantie directe fournie par Microsoft. Microsoft n’accorde aucune autre garantie expresse. Dans la mesure autorisée par le droit de votre pays, Microsoft exclut les garanties implicites de qualité, d’adéquation à un usage particulier et d’absence de violation.

Voilà tu utilises Microsoft ou le reste, à tes risques et périls, puisque au mieux tout préjudice ne te remboursera que du prix de la licence.

Les histoires de worms planétaires, imagine un truc comme code red :
http://www.caida.org/research/securi...2_analysis.xml
Imagine ce que ça a pu couter en temps de travail, en perte de CA, en temps d'indisponibilité.

Microsoft n'a évidemment pas assumé, ils ont patché, point.

[GTSLASH]

Voilà tu utilises Microsoft ou le reste, à tes risques et périls, puisque au mieux tout préjudice ne te remboursera que du prix de la licence.

C'est partout comme ça. Je fais moi même signe ce genre de contrats par mes clients. Tous le monde le fait. PERSONNE ne sait garantir qu'il n'y a pas de failles dans son programme. On se prend une garantie.

Et OpenSSL ne l'a pas fait non plus. Et encore bien il seraient encore + endetter que la France.

Je parle d'apprendre de ces erreurs et de mettre en place des moyens pour ne plus les faire. Pas d indemniser les causes d'une erreur. Même si un bug n'est pas vraiment une erreur c'est la tous le débat.

Et connaissant les développeurs OpenSource et leur 'fiertés' fermée au changement, ils ne sont pas près de se remettre en question et c'est vraiment dommage pour tous le monde. Car l'OS peut apporter de tres bonne choses (j'ai jamais dis le contraire d’ailleurs)