Discussion :

[gangsoleil]

Bonjour,

L'exemple de quelqu'un qui entre chez vous pour vous alerter que votre porte est ouverte en est tout à propos.

Pour moi, l'exemple serait plutot le suivant :
Une personne (hacker) passe devant chez toi, et voit que la porte est ouverte. Il sonne, entre en criant "Il y a quelqu'un ? Votre porte est ouverte, c'est dangeureux", mais tu n'es pas la. Et au lieu de partir, il te previent (mail, telephone, lettre, ... peu importe) que ta porte est ouverte, et que tu ferais mieux de la fermer.

Effectivement, tu peux te retourner contre lui. Ou bien lui dire merci.


Si quelqu'un te rend ton portefeuille, tu dis merci ou bien tu vas porter plainte ? Apres tout, il etait bien en possession de TON portefeuille, sans ta permission, donc c'est du vol non ?

[Uranne-jimmy]

Je trouve l'exemple de Saverok plus approprié, là il a vu que ça servait à rien de donner la faille, alors il a montré les dangers de la chose par l'exemple, dans le cas de gangsoleil, il est entrée, est venu fouillé tes comptes, a fait une copie et les a mis dans la boite au lettre.

Pour le coup une question pourrait se poser : le fautif c'est celui qui laisse sa porte ouverte ? (d'après l'assurance, il y a des chances) ou celui qui en profite ? (d'après la loi, c'est plutôt ça).

[Kreepz]

Je suis tout à fait d'accord avec l'exemple de "gangsoleil"!

Certes la méthode utilisée au final n'est pas la meilleure mais aujourd'hui pour se faire entendre certaines personnes sont "obligées" de dépasser certaines limites.

Mais bon finir avec le FBI chez soit je ne sais pas si cela en valait la chandelle !

[MiaowZedong]

Bonjour,
Pour moi, l'exemple serait plutot le suivant :
Une personne (hacker) passe devant chez toi, et voit que la porte est ouverte. Il sonne, entre en criant "Il y a quelqu'un ? Votre porte est ouverte, c'est dangeureux", mais tu n'es pas la. Et au lieu de partir, il te previent (mail, telephone, lettre, ... peu importe) que ta porte est ouverte, et que tu ferais mieux de la fermer.

Effectivement, tu peux te retourner contre lui. Ou bien lui dire merci.

En fait, ce qu'a fait le type de l'article, c'est plutot entrer, se prendre en photo avec un objet de valeur, puis repartir en laissant l'objet et mettre la photo dans la boîte aux lettres.


Ou si tu préfère, la porte était juste déverouillée, il l'a ouverte puis il a envoyé une lettre expliquant qu'il faut vérouiller la porte. La réaction du pékin lambda va être "puisque ce n'est pas sa porte, pourquoi il a cherché à l'ouvrir?".

Sur le fond je suis assez d'accord avec toi, l'attitude de l'université et de la plupart des entreprises est idiote. Mais il faut s'y attendre car c'est une réaction humaine normale.

Comme on dit souvent, il ne faut pas faire des tests de penetration sans autorisation écrite. Vous vous exposez à des poursuites pour des entreprises qui ne vous remercieront pas! S'ils se font avoir par des criminels, ce sera une leçon méritée et avec un peu de chance, ça finira par couler les boîtes aux politiques idiotes.

On peut d'ailleurs generaliser en dehors de l'informatique: ne cherchez pas à sauver les gens malgré eux, vous ne ferez que les dresser contre vous.

[Error407]

Bonjour,



Pour moi, l'exemple serait plutot le suivant :
Une personne (hacker) passe devant chez toi, et voit que la porte est ouverte. Il sonne, entre en criant "Il y a quelqu'un ? Votre porte est ouverte, c'est dangeureux", mais tu n'es pas la. Et au lieu de partir, il te previent (mail, telephone, lettre, ... peu importe) que ta porte est ouverte, et que tu ferais mieux de la fermer.

Effectivement, tu peux te retourner contre lui. Ou bien lui dire merci.


Si quelqu'un te rend ton portefeuille, tu dis merci ou bien tu vas porter plainte ? Apres tout, il etait bien en possession de TON portefeuille, sans ta permission, donc c'est du vol non ?

Pour moi l'exemple du portefeuille n'est pas valable, puisque si le gentil monsieur ne ramenait pas le précieux porte billets, le proprio serait dans le caca.

Dans le cas, les données sont intègres, et c'est lui qui s'est amusé à y aller pour foutre le bronx.

Cela n'a rien à voir

[Mr_Exal]

Il aurait mieux fait de vendre la faille

[Aiekick]

et apres on s'etonne que des sociétés de hacker vendent des failles zero day aux plus offrants....

[azmar]

C'est toujours la même histoire sur DVP !

Le ethical hacking c'est le bien, microsoft c'est pas bien, apple c'est tounaze, le libre c'est mieux ....
Et de l'autre coté les gens qui crachent systématiquement sur le libre, les donneurs d'alertes ect...

Ça moinse d'un coté ça moinse de l'autre par pur idéologie.

Il y à un moment ou il faudrait arrêter de faire de la collecte de points et essayer de faire avancer le débat !

L'exemple du hacking des cartes bancaires est un pure scandale, le gars à vraiment essayer de tirer la sonnette d'alarme, des gens comme ça sont nécessaires ce qui ne veut pas dire qu'il ne faut pas que se soit contrôlé.

Qu'un presta vienne récupérer des données confidentielles ça reste non admissibles.

L'exemple du gars qui te prévient que ta porte est ouverte est biaisé.

Là on parle d'un serrurier* que tu a fait venir chez toi et qui t'a prévenu que ta porte pouvais s'ouvrir de façon malhonnête et qui, parce qu'il à décidé que tu aurais du la changer, viens écrire sur ta glace au rouge à lèvre: "Je suis rentré chez toi"
*(bah oui désolé madame michu n'à pas accès aux données de l'université du maryland)

Qu'il soit interroger par la police ça ne me semble pas aberrant, il n'est pas à guantanamo pour autant.

Azmar

[Jon Shannow]

Je pense que l'attitude des sociétés est à rapprocher de celle des Linuxiens et des Appleliens à l'époque des PC ! Windows c'était tout pourri, la preuve, y a pas de virus sur Mac ou sur Linux.
On avait beau leur dire que s'il y avait des virus sur Windows, c'est parce que 99% des PC étaient sous windows, et donc que l'intérêt de développer un virus pour 2/3 péquins sous Linux ou Mac était nul.

Aujourd'hui que les PC ne sont plus seuls et que Microsoft a loupé le coche des Smartphones et des Tablettes, Apple et Androïd se retrouvent avec les même problèmes que Microsoft à l'époque du PC seul.

Mais on voit dans l'attitude d'Apple, par exemple, un déni absolu de l'existence d'une menace de ses iPhones.

Pour revenir à ces sociétés, elles refusent d'admettre que leur système n'est pas fiables, et donc se défendent de la pire des façons, au risque de voir de vrais attaques les impactées de méchante manière. Je préfère de loin l'attitude de Google dans ce domaine.

[Error407]

Ce mec a juste outrepassé ces droits me semble-t-il.

Il est payé pour faire des rapport et analyser les potentielles failles de sécurité, POINT.

faire mumuse en exploitant la faille pour faire flipper les décideurs, cela n'a rien d'intelligent.

Il est décideur ? non

Donc il faut son boulot et cela s'arrête là, si la faille est exploitée, ce sont aux décideurs d'en assumer les conséquences, c'est aussi simple que cela.

[Amanzitel]

Par ce qu'ils sont perçus comme des traîtres. Le problème de tous les whisle- blowers.
Dès qu'ils parlent ils sont automatiquement punis.
Comme si c'était un délit d'avoir une conscience sur cette planète.

[Jipété]

Salut,

(...) Comme si c'était un délit d'avoir une conscience sur cette planète.

C'est tout à fait ça, tu as bien tout compris, et quelqu'un s'est permis de te moinser sans donner la moindre explication à son geste : ça doit être quelqu'un qui fait partie de ceux qui n'ont pas de conscience.

Bon week-end,

[BernardOC]

Je ne doute pas un instant de la pureté des intentions de ce brave monsieur, "Ethical hacker" à ces heures.
Cependant, on peut prendre une analogie : Si vous voyez une porte ouverte, un volet disjoint ou un trou dans le grillage de la maison de votre voisin, est-ce pour autant que vous rentrerez chez lui pour prendre le portrait en pied de sa belle-mère et lui rendre en lui disant : "t'as vu, y avait un trou qui permettait de rentrer chez toi, alors j'ai pris le portrait de ta belle mère pour te montrer que c'est bien vrai, et remercie-moi car grâce à moi, tu peux réparer cette faille de sécurité" ?
De la même façon, lequel d'entre nous aimerait se retrouver à la place du voisin de mon histoire ?
Pour moi, dès lors qu'il avait vu la faille, fait un rapport et transmis l'information, il avait fait le job. Pourquoi donc a-t-il senti le besoin de prouver à toutes forces qu'il avait raison ??? Par mégalomanie ? Pour obliger l'université à combler les trous de sécurité ? Parce qu'il se sentait personnellement responsable de la protection des données personnelles de utilisateurs du réseau ?? ça reste un mystère pour moi ....

[goomazio]

Pour moi, dès lors qu'il avait vu la faille, fait un rapport et transmis l'information, il avait fait le job. Pourquoi donc a-t-il senti le besoin de prouver à toutes forces qu'il avait raison ??? Par mégalomanie ? Pour obliger l'université à combler les trous de sécurité ? Parce qu'il se sentait personnellement responsable de la protection des données personnelles de utilisateurs du réseau ?? ça reste un mystère pour moi ....

Je prie pour ne jamais vous avoir comme seul espoire, Bernard. Les résultats sont plus importants que des procédures bien respectées... Comme Hollywood me le rappel tous les jours.

[Amergin]

Cédric, ce que tu racontes est intéressant, mais s'il te plaît fais-toi relire avant de publier, on dirait de la traduction automatique...