Discussion :

[Pierre GIRARD]

Voilà qui est cocasse XP...

Pas cocasse, prévu (en tout cas par moi). Tout comme 2000 en son temps, XP n'intéressera bientôt plus personne et restera fiable stable et sur pendant des années. Qui investirait du temps pour développer un virus pour Windows 98 en 2015 ?

Vista, est d'ailleurs encore plus à l’abri que XP, car même encore supporté par µSoft, ça ne présente aucun intérêt de chercher et à plus forte raison exploiter des failles. Le seul danger pour XP est qu'il y a encore beaucoup d'utilisateurs ... vive Windows 10

[expertsecu]

GHetfiel, quel plaisir tu peux avoir à pourrir le topic avec tes trolls merdiques?

Gmail qui lit les emails, dis, tu l'as trouvé tout seul?

Tu es payé par Microshit?????

[Stéphane le calme]

Google divulgue trois failles dans OS X,
qui ont été répertoriées comme étant sévères

Non satisfaits d’avoir déjà révélés à plusieurs reprises des failles zero-day dans Windows, les ingénieurs de l’équipe de sécurité de Google récidive en s’attaquant cette fois-ci aux failles dans le système d’exploitation OS X d’Apple. Dans leurs collimateurs figurent trois failles qui ont été répertoriées comme étant sévères.

La première concerne NetworkD, un ensemble de processus fonctionnant en arrière-plan et permettant de les faire communiquer entre eux via le service XPC qui ne serait pas protégé par un mode sandboxing lui assurant un meilleur niveau de sécurité. La seconde se trouve au niveau de l’exécution du code au sein du kernel du framework I/O kit d’OS X à cause d’un pointeur NULL déréférencé dans IntelAccelerator. La troisième et dernière vulnérabilité qui concerne également le kernel du framework I/O kit d’OS X qui serait victime d’une corruption de sa mémoire à cause d’un mauvais paramétrage de la fonction bzero (qui sert à écrire des octets de valeur zéro dans un bloc d’octets) dans la classe IOBluetoothDevice (une instance de cette classe représente un seul dispositif télécommandé par la technologie Bluetooth).

Bien que chaque faille nécessite que la personne qui initie une attaque ait accès à un Mac ciblé, chaque vulnérabilité pourrait contribuer à faire croitre la probabilité de réussite d’une tentative d'élévation des niveaux de privilèges et de contrôle d’une machine. Chaque divulgation de vulnérabilité, comme l’avaient fait les ingénieurs Google faisant partie du Project Zero pour celles qui ont été trouvé sur le système d’exploitation de Microsoft, s’accompagnait d’un exploit visant à en apporter la preuve.

Les vulnérabilités ont été signalées à Apple, mais les failles n’ont pas été corrigées. Une fois que la date limite des 90 jours observée par les ingénieurs est passée, les détails sur les vulnérabilités trouvées dans les systèmes ont été automatiquement rendus disponibles au public.

« Afin de protéger ses clients, Apple s'interdit de divulguer, d'aborder ou de confirmer l'existence de failles de sécurité tant qu'une enquête approfondie n'a pas été menée et que des correctifs ou mises à jour ne sont pas mis à disposition. Apple distribue habituellement des informations relatives aux problèmes de sécurité liés à ses produits par l'intermédiaire de son site Web ainsi que par une liste de diffusion » a écrit Cupertino sur sa page liée à la sécurité.

Ce n’est pas la première fois que les ingénieurs du Project Zero de Google ont publié des informations sur des vulnérabilités qui n’ont pas encore reçu de correctif : au cours des dernières semaines, l'équipe de sécurité a publié trois failles de sécurité dans le système d'exploitation Windows de Microsoft qui n’étaient alors pas encore corrigées.

Source : première faille, seconde, troisième, Apple

[imikado]

C'est bien si ils ne le font pas que sur Windows
J'espère qu'ils feront de même pour Linux, c'est toujours sympa qu'une boite trouve et informe sur les failles

[Pierre GIRARD]

Oui, car du coup, on ne peut plus les accuser d'en vouloir particulièrement à µSoft ... mais à tous ceux qui mettent plus de 90 jours à apporter des solutions.

[Haseo86]

Bon, Google a réussi à déployer Android partout dans le monde, ils peinent à Imposer ChromeOS du coup ils passent par des voies détournées : ajouts constant de fonctionnalités à Chrome pour lui donner de plus en plus l'air d'un OS, et maintenant dénigrement permanent des concurrents (parce qu'il faut être honnête, si leur but était d'informer, ils ne feraient pas comme ça). Bravo Google, mais le temps ou vous aviez une bonne image est définitivement passé.

[imikado]

Bon, Google a réussi à déployer Android partout dans le monde, ils peinent à Imposer ChromeOS du coup ils passent par des voies détournées : ajouts constant de fonctionnalités à Chrome pour lui donner de plus en plus l'air d'un OS, et maintenant dénigrement permanent des concurrents (parce qu'il faut être honnête, si leur but était d'informer, ils ne feraient pas comme ça). Bravo Google, mais le temps ou vous aviez une bonne image est définitivement passé.

Les constructeurs ont le choix d'installer Android ou Windows Phone sur leur terminaux
Quand au marché des PCs, c'est plus difficile: en magasin 99% des ordinateurs sont proposés depuis des années avec Windows
Il est plus difficile à Google de gagner des parts de marché avec un OS avec son OS différent et méconnu. Comme pour GNU/LInux il souffre de son invisibilité marketing

Mais je trouve que malgré ces gros défauts, (OS assez limité par rapport à un GNU/Linux "normal") il se vend plutot bien

[Haseo86]

Les constructeurs ont le choix d'installer Android ou Windows Phone sur leur terminaux
Quand au marché des PCs, c'est plus difficile: en magasin 99% des ordinateurs sont proposés depuis des années avec Windows
Il est plus difficile à Google de gagner des parts de marché avec un OS avec son OS différent et méconnu. Comme pour GNU/LInux il souffre de son invisibilité marketing

Mais je trouve que malgré ces gros défauts, (OS assez limité par rapport à un GNU/Linux "normal") il se vend plutot bien

Les constructeurs ont le choix, c'est une question de point de vue. Ils ont des objectifs financiers, et prenant en compte l'efficacité du neuro-marketing de Google, ils se trouvent pratiquement devant le choix "Google ou échec" pour lancer des terminaux aujourd'hui.

Mais du côté PC, c'est bien ce que je dis. Google n'a aucune chance en frontal, donc ils utilisent tous les moyens détournés à leur disposition pour faire rentrer l'idée "Chrome = OS", petit à petit.

[Lutarez]

GNU/LInux il souffre de son invisibilité marketing

Je me suis toujours posé la question : pourquoi personne n'organise une collecte (ou financement participatif, c'est à la mode) pour justement financer une campagne marketing visant à promouvoir le Libre ? S
i en plus on pouvait y associer quelques grands noms comme Torvald ou Stallman, je suis sûr que ce genre de collecte serait efficace.

[youtpout978]

Ça serait marrant qu'il le fasse pour leur propre produit.

[Pierre GIRARD]

Ça serait marrant qu'il le fasse pour leur propre produit.

Si je me souviens bien, c'est pour lui-même qu'il a mis en place ce système de surveillance et de recherche des failles. Et 90 jour est le temps qu'il s'est fixé à lui-même pour résoudre ses propres problèmes.

[Haseo86]

Je me suis toujours posé la question : pourquoi personne n'organise une collecte (ou financement participatif, c'est à la mode) pour justement financer une campagne marketing visant à promouvoir le Libre ? S
i en plus on pouvait y associer quelques grands noms comme Torvald ou Stallman, je suis sûr que ce genre de collecte serait efficace.

J'ai un énorme doute sur le fait que Torvald ou Stallman, malgré toute la qualité de leurs productions et de leur apport au libre, soient efficace en tant qu'ambassadeur du libre auprès du grand public. Trop grandes gueules, trop agressifs et radicaux dans leurs propos, ils vont attirer plus de méfiance que sympathie.

[Pierre GIRARD]

J'ai un énorme doute sur le fait que Torvald ou Stallman, malgré toute la qualité de leurs productions et de leur apport au libre, soient efficace en tant qu'ambassadeur du libre auprès du grand public. Trop grandes gueules, trop agressifs et radicaux dans leurs propos, ils vont attirer plus de méfiance que sympathie.

De toutes façons, et à titre totalement personnel, la position de Linux dans les PC personnel ne me gène pas vraiment. Je vis très bien le fait de faire partie d'une minorité. Ce qui me gène, c'est la difficulté pour se procurer un PC (fixe ou portable) sans OS pour pouvoir installer ce que je veux et comme je veux.

Pour le moment, je construis mes PC moi-même, mais quand j'aurais 80 ans ou plus, je serais probablement moins enthousiaste. Donc, un grand choix de PC sans OS pré-installé ni Licence pré-payée me plairais assez.

Après, que Windows continue à dominer le marcher de postes de travail personnels, je m'en moque comme de l'an quarante.

[expertsecu]

(parce qu'il faut être honnête, si leur but était d'informer, ils ne feraient pas comme ça).

Ils feraient comment?

[Bono_BX]

Citation Envoyé par youtpout978 Voir le message
Ça serait marrant qu'il le fasse pour leur propre produit.
Si je me souviens bien, c'est pour lui-même qu'il a mis en place ce système de surveillance et de recherche des failles. Et 90 jour est le temps qu'il s'est fixé à lui-même pour résoudre ses propres problèmes.

Ils ont donné quoi les tests du concours de hack de HP ? Ha oui, Android cassé en moins de 2 heures par toutes les manières possibles, et Windows Phone a complètement résisté, tout au plus une équipe a réussi en prendre partiellement le contrôle du navigateur, sans parvenir à atteindre les données personnelles. No comment.

[frenchlover2]

google devrai plutôt s'occuper de ces failles de sécurité sur android , enfin tous systéme d'exploitation a un moment d'adpotion massifs , un moment de gloire et puis viennent les probléme , un grand nombre d'application donc un plus grand nombre de malware , le noyau se gonfle , donc les failles aussi a un tel point ou la correction de faille devient de plus en plus difficile , d'ailleur pour moi les os vieillisant tel que windows et android ou ios ou mac os , sont benefique pour un utilisateur lambda , meme si on a de plus en plus de probleme de securite quand on fait le pour et le contre , on s'apércois que ce n'est qu'avantageux .
mais pour un etat , surtout si il s'agit d'un organisme avec des données sensible , il vaut mieux opter pour un os peut repondu tel que BSD.
ou bien des solution os personnaliser conçu par des firme secrétement tel que microsoft redhat canonical ou autres.
pour les gens qui veulent bidouiller et veulent d'un os ouvert il peuvent opter pour debian ubuntu gento.
quand aux os préinstaller moi aussi je voudrai une tablette avec windows 8.1 et non android .
personnelement et sa reste qu'un avis personnel , ce que j'aime dans les produit microsoft et leur politique surtout ces derniere temps ,c'est leur organisation , il sont trés organisé ,et leur services tel que onedrive qui m'a beaucoup aidé dans mes etudes cortana , bing (qui selon moi est de trés bonne qualité , certes il n'est pas aussi puissant que google et je dis cela seulement pour les site parceque pour les images et vidéos bing est bien meilleur mais au moins avec quand je cherche des cours d'economie de mathematique , je ne me retrouve pas entrain de feuilleter un magazine de sport ,car il met trop de pages qui n'ont pas de rapport avec notre recherche a sa attire notre attention) .

[RyzenOC]

Le problème c'est que certaines failles nécessite plus de 90jours pour être réparer.

Corriger certaines failles nécessité aussi d'aussi d'assurer une rétro-compatibilité, dans le cadre d'une faille sur la cryptographie sur Windows qu'ils ont dévoilé y'a pas longtemps, sa prend plus de90jours.

Inversement certaines failles peuvent etre corriger en 1 jour, mais j'aimerais bien que Google prenne en compte la difficulté a corriger certaines failles et attende un peu parfois.

[frenchlover2]

finalement je m'excuse j'avais tord Google avait raison de mettre cela d'abord tout le monde est concérné et de plus Google a mis l'os de Redmond dans le cloud , d'autres part Google a racheter la société virustotal , donc elle est devenu un acteur majeur de produit de sécurité donc c'est sont job , au contraire Microsoft a des produits de sécurité que pour Windows ce qui n'est pas bons du tout , puisque méme si elle utilise virustotal de Google dans son cloud , elle doit faire part de son interrer pour les failles des autres produits sur son cloud (linux redhat , suze ,cent os , ubuntu , et Windows biensur ,bsd ).
donc Google fait parcequ'elle est devenus un fournisseur d'antivirus pour le cloud .

[arkhamon]

@frenchlover2 et à pas mal d'autres, pourriez vous un peu relire vos posts et supprimer ne serait-ce que la moitié de vos fautes d'orthographe, c'est très pénible à lire...

[Stéphane le calme]

Projet Zero : Google apporte des modifications à sa politique de divulgation
d'informations relatives aux failles de sécurité

L’équipe de Google faisant partie du Project Zero a dû faire face à de nombreuses critiques durant ces derniers mois après les révélations sur les vulnérabilités critiques qui ont été décelées dans les systèmes d’exploitation édités par Microsoft et Apple qui n’ont pas été corrigées par les maisons mères.

Les informations sur les failles ont été portées à la connaissance du public après un délai de 90 jours conformément à leur politique de divulgation, mais ni Microsoft, ni Apple n’avait déjà réussi à colmater les failles en questions.

Par conséquent, le numéro un de la recherche a décidé de mettre à jour sa politique de divulgation dans le cadre du Project Zero d'une manière qui pourrait aider les développeurs de logiciels à avoir une espèce de « seconde chance » afin qu’ils aient le temps de produire des correctifs pour colmater les failles découvertes sur leur logiciel. L’équipe prévoit de leur fournir plus de temps pour le faire dans certaines circonstances.

Dans un communiqué publié sur le blog officiel de Google, les responsables du projet rappellent que le Projet Zero a opté pour un délai de divulgation de 90 jours et que ce délai s’est avéré relativement raisonnable. « Pour faire un état des lieux, nous avons compilé quelques données sur les divulgations effectuées dans le cadre du Project Zero à ce jour. Par exemple, l'équipe Adobe Flash est probablement celle qui a la plus grande base installée et le plus grand nombre de combinaisons de build de tous les produits que nous avons eu à étudier jusqu'ici. À ce jour, ils ont corrigé 37 vulnérabilités du Project Zero (soit 100%) dans un délai de 90 jours. De façon plus générale, des 154 vulnérabilités du Project Zero ayant reçu des correctifs jusqu'à présent, 85% ont été corrigé dans les 90 jours. Si nous prenons en considération les 73 failles qui ont été signalées et corrigées après le 1 octobre 2014, nous obtenons 95% de correction dans les 90 jours ». En outre, l’équipe fait savoir que les récents problèmes dans la disponibilité des corrections des failles qui étaient liés aux délais demandaient généralement un peu plus de temps que ces 90 jours.

Voici les concessions que Google propose. Tout d’abord une extension du délai dans le cas où il devrait arriver à expiration un weekend ou un jour férié aux USA. Dans ce cas, le délai sera simplement prolongé jusqu’au jour ouvrable qui suit.

Google propose également ce qu’il appelle une « période de grâce » : un délai supplémentaire de 14 jours sera octroyé aux vendeurs qui en font la demande en expliquant qu’un correctif est prévu au courant des deux semaines qui doivent suivre le délai.

En dernier lieu, Google tient à s’assurer que les vulnérabilités soient identifiées de manière unique par le standard CVE pour toutes les vulnérabilités qui auront dépassé le délai des 90 jours pour être corrigées.

« Comme d'habitude, nous nous réservons le droit d’allonger ou de réduire ces délais sur la base de circonstances particulières. Nous demeurons engagés à traiter chaque vendeur de la même manière. Google s’attend à être tenu par les mêmes normes. D’ailleurs, le Projet Zero a détecté des bugs dans le pipeline pour des produits de Google (Chrome et Android) et ils sont sujets à la même politique sur les dates limites » explique l’équipe.

Source : blog Google

Et vous ?

Que pensez-vous de ces nouvelles mesures ?