Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter
Oh la vache dis donc hé, j'étais pas au courant de tout ça mouè , et quj'ai bien fait hé d'venir d'jourd'hui...Envoyé par psychadelic
Au hasard je dirais... Toi ?Alors, lequel est le plus naif ??
Allez, tu n'as pas encore cité Wikipédia, mais là on va s'attendre à tout du coup
RogerBower, tes messages prouvent que tu n'as pas saisi la problématique. Il y a deux trois chose à changer dans ton exemple:
Pour commencer tu n'est pas le propriétaire de la voiture, mais le constructeur et concessionnaire qui l'es vend. Maintenant disons que Google est un de tes client et qu'il a de grosse exigence en matière de sécurité, il va donc essayer de voir si ses nouvelles voitures sont fiables. De la il découvre que le système de fermeture des portières est défaillantes, il te prévient donc pour que tu puisse faire les modifications qui s'imposent. Mais voila, au bout de trois mois leurs portières et celles de tous les autres utilisateurs, qui pensent eux qu'elles fonctionnent parfaitement, n'ont pas été améliorée. (à ce stade là, on voit que faire des parallèles entre des biens physiques et numériques est un peu bancal puisque changer des portières c'est pas aussi simple que de balancer un patch)
C'est à partir de ce constat, que Google décide de prévenir l'ensemble des utilisateurs, que n'importe qui peut rentrer dans leur voiture, et que toi, vendeur de ces voitures, tu t'en branle car tu es au courant depuis un trimestre et t'as rien fait !
Et quitte à être honnête, il y a pas besoin de trois mois pour corriger une faille de sécurité (surtout pour microsoft), Google à même du prendre en compte le temps de propagation du correctif dans le calcul de ces trois mois !
J'ajouterai, que pendant ces 90 jours, il y a sans doutes un mec moins bien intentionné qui a découvert la même faille et à pu l'exploiter sans problème.
D'un côté, j'estime que 90 jours est un délai plus que raisonnable pour réparer des failles potentiellement dangereuses pour l'utilisateur.
D'un autre côté, j'ai du mal à y voir autre chose qu'un gros coup de pub pour Google qui se présente en grand défenseur de l'intérêt des utilisateurs alors que les failles de sécurité d'Androïd font régulièrement l'actualité.
Le coup de pub peut-être, mais ils n'ont pas besoin de ça.. En revanche cela leur apporte une bonne base de connaissance pour ne pas reproduire le même genre de faille. Ce n'est que supposition, je ne maitrise point du tout le sujet ^^
A partir du moment où Google s'impose également ce même délais de 90 jours pour corriger les failles d'Android, je n'y vois aucun problème.
En fait, pour une fois, j'adhère assez bien au discours de Google sur ce sujet qui ne critique en rien le fait qu'il y ait des failles dans les autres systèmes et softs à conditions qu'elles soient corrigées rapidement.
Il n'y a pas de double discours comme d'autres peuvent l'avoir.
Là, c'est assez clair.
Toutes failles doit être corrigées dans les délais le plus court possible à partir du moment où elles sont connues.
Cela s'applique autant à Google qu'aux autres.
Et Google le met bien en oeuvre au travers des hackatons et autres événements de ce type
Si la faille est corrigée avant les 90 jours, elle est intégrée dans un patch. Les utilisateurs moyens laissent en général la configuration par défaut. Les éléments critiques (OS, navigateur, Flash, Java...) ont par défaut des mises à jour automatiques. Les éditeurs ont aussi une grande responsabilité en devant mettre en place des mises à jour de sécurité automatiques. Et les gens qui les désactivent savent ce qu'ils font.Ceux qui estiment que publier une faille après un délai permet aux utilisateurs de se protéger, j'aimerai bien que vous m’expliquiez comment tous les utilisateurs "moyens" sont censés se protéger, tous seuls ? Ils sont déjà harcelés de faux messages jouant sur le peur du virus et du piratage, comment vont-ils faire le tri ? S'ils le font, comment savoir quoi faire ? D'autant plus avec des logiciels propriétaires fermés ??
Il y a pas mal de ressemblances avec la problématique des lanceurs d’alertes.
En France Serge Humpich à été condamné pour avoir fait la démonstration des erreurs de conception des cartes Bancaires…
Et malheureusement d’autres exemples ne manquent pas, comme celui d' Antoine Dumas-Martin.
Il à découvert par hasard que dans son université, il était très facile de collecter toutes les informations privées de tous les étudiants et les enseignants ; l’idéal pour vider une palanquée de comptes bancaires, sans oublier l’usurpation d’identité.
Il a prévenu sa hiérarchie, mais il s’est rendu compte au bout de quelques mois que rien n’avait été fait, il a incisté, ...
Au bout d'un moment il a finit par prévenir un journaliste, etc… Ce qui lui a valu plusieurs années de procès.
Aujourd’hui encore, nombre de sites internet avec des données sensibles sont toujours facilement accessibles, car écrites par des informaticiens du dimanche, avec une sécurité dérisoire.
De l’autre coté du monde, aux USA, les Hackeurs sont conviés à des concours [avec récompense] de toutes sorte pour éprouver la sécurité des systèmes, réaliser des pots de miels, etc…
Les meilleurs d’entre eux se font embaucher avec des salaires mirobolants…
Chaque année à Las Végas et ailleurs se tiennent des conférences sur le hacking, et nombre d'entre eux rivalisent de "virtuosité", comme par exemple Barnaby Jack qui est quasiment devenu une star : il à fait la démonstration de son savoir faire en vidant complétement un distributeur bancaire; ou encore comment un simple pace maker pouvait devenir mortel, via une commande à distance (l'idée à ensuite été reprise dans un film, un série ?).
Alors, oui, on est dans un monde rempli d'informatique et d'électronique, et croire qu'on puisse tout simplement se fier à la seule "bienveillance" des constructeurs / fabricants est une utopie suicidaire.
Même aux USA, il y a des lanceurs d'alertes qui se prennent des procès (exemple : http://www.developpez.com/actu/70019...-frais-du-FBI/)Il y a pas mal de ressemblances avec la problématique des lanceurs d’alertes.
En France Serge Humpich à été condamné pour avoir fait la démonstration des erreurs de conception des cartes Bancaires…
Et malheureusement d’autres exemples ne manquent pas, comme celui d' Antoine Dumas-Martin.
Il à découvert par hasard que dans son université, il était très facile de collecter toutes les informations privées de tous les étudiants et les enseignants ; l’idéal pour vider une palanquée de comptes bancaires, sans oublier l’usurpation d’identité.
Il a prévenu sa hiérarchie, mais il s’est rendu compte au bout de quelques mois que rien n’avait été fait, il a incisté, ...
Au bout d'un moment il a finit par prévenir un journaliste, etc… Ce qui lui a valu plusieurs années de procès.
Aujourd’hui encore, nombre de sites internet avec des données sensibles sont toujours facilement accessibles, car écrites par des informaticiens du dimanche, avec une sécurité dérisoire.
De l’autre coté du monde, aux USA, les Hackeurs sont conviés à des concours [avec récompense] de toutes sorte pour éprouver la sécurité des systèmes, réaliser des pots de miels, etc…
Les meilleurs d’entre eux se font embaucher avec des salaires mirobolants…
Ce n'est pas parce que certaines entreprises US sont ouvertes à ce type d'alertes que toutes le sont
Après, quand on est un indépendant, on prend de gros risque à rendre publique une faille de sécu
Je pense que le mieux est encore de contacter la CNIL dont c'est le rôle de faire respecter des principes de base de la sécu des données (c'est moins risqué que de contacter la presse)
@Saverok
Dans le cas Helkowski, il s'y est vraiment pris de la mauvaise manière...
De l'autre coté, on est vraiment face à un problème d'évolution culturelle.
J'ai cru comprendre que le Canada s'était doté de loi pour protéger les lanceurs d'Alerte.
Dans l'idéal, Helkowski aurait du être dans un monde ou l'on puisse porter plainte pour mise en Danger de biens d'autruit, via des information privées.
Comme ça le FBI aura un Os à ronger pour "chasser les méchants", la justice aura un cadre légal à appliquer, car l'éthique n'est pas son problème.
Les états auront une justification de prélever leur dime au passage, ...
Et les entreprises feront attention de payer un peu mieux des informaticiens compétents
Et pendant ce temps là en France on a la loi Macron qui protège les entreprises contre les journalistes et les lanceurs d'alertes...
Exemple pratique: The GHOST Vulnerability
Un exemple concret tout chaud: The GHOST Vulnerability
Je ne pense pas que ce soit spécialement un problème pour Microsoft, leurs produits se vendront de toute façon, je ne vois pas non plus des millions d'utilisateurs passer sous Linux ou MacOS comme ça, pour les produits d'entreprise, vu le coût en temps et en argent qu'il faut pour une migration, ils ne devraient pas trop être inquiétés non plus.
Je suis bien d’accord, les problèmes de fiabilité et de sécurité sont les mêmes pour tout le monde, et vouloir rendre « coupable » une entreprise de défauts non volontaires ne résoudra aucun problèmes.
VOTEZ GOOGLE
Bonjour,
je suis POUR rendre public ces failles de sécurité.
Dans un monde gouverné par l'argent et le business, la réduction des coûts et la gestion des risques, une entreprise, commercialisant un produit informatique (ou autre produit) prendrait-elle le risque de voir son business s'écrouler et ses clients partir si on lui force la main en révélant QU'ELLE A FAIT DU TRAVAIL DE MERDE !
Un produit informatique (et autre produit), commercialisé, devrait engager l'entreprise à fournir une maintenance jusqu'à la fin du produit, et à ne pas mettre sous le tapis des failles et bugs pour la simple raison que :
- ça coute trop cher de fixer les bugs
- ça retarde la mise en production et la commercialisation
- ça nous donne un argument pour virer 1 / 3 de nos consultants puisqu'il n'y aura pas de phase de tests / maintenance approfondie
- ça nous permet d'augmenter les bénéfices puisque le chiffre d'affaire reste le même mais on fait tout pour réduire le coût de maintenance / tests
Toutes les entreprises, et pas seulement Google, devraient faire de même et balancer les détails des failles 0-day de leurs concurrents (Nouvelle arme économique). De cela, seules les entreprises ayant le moins de failles révélées ou ayant le potentiel de les fixer rapidement pourront :
- être représentées comme les meilleures entreprises de leurs marchés respectifs
- pourront assurer une meilleure qualité + sécurité à leurs utilisateurs
- montreront aux yeux de tous qu'ils tiennent autant à leurs clients qu'à leurs sous
- indiqueront leur degré de compétence et leur sérieux
C'est une révolution avant l'heure et je pense que ça va bouleverser l'équilibre économique si cela s'applique sur d'autres marchés (Macdo qui balance Quick car ils développent mal leurs double-cheese burger)
On devrait dès maintenant garantir qu'aucun Etat, pays, gouvernement, ne vienne mettre des batons dans les roues de cette machinerie puissante qu'est l'évolution technologique. Un bon en avant pour grandement améliorer notre système et se débarasser des entreprises qui font du travail de m**de !
Votez GOOGLE à la prochaine élection !
@zaza576: je suis globalement d'accord avec toi, il faut un peu forcer la main à des grands groupes pour qu'ils corrigent rapidement leurs bugs de sécurité.je suis POUR rendre public ces failles de sécurité.
Dans un monde gouverné par l'argent et le business, la réduction des coûts et la gestion des risques, une entreprise, commercialisant un produit informatique (ou autre produit) prendrait-elle le risque de voir son business s'écrouler et ses clients partir si on lui force la main en révélant QU'ELLE A FAIT DU TRAVAIL DE MERDE !
Par contre, je suis moins d'accord avec cette vision là.Votez GOOGLE à la prochaine élection !
Je préférais que ces failles de sécurité soient levées et gérées par une organisation non commercial.
Un fondation informatique par exemple (Mozilla, Apache, ...) serait plus neutre à avoir cette petite casquette de garant de la sécurité informatique mondiale.
Je me méfie quand même un peu de ces gentilles compagnies qui s'occupe de notre sécurité pour "notre bien" et pour nos beaux yeux et contre l'avis de leurs actionnaires
Mais Google n'a absolument rien avoir avec un "Big Brother" moderne et heureusement nous ne sommes plus en 1984
Le plus drôle c'est que Google ne corrige (volontairement) pas certaines failles de ses logiciels car ce serait trop compliqué à faire !
Mais annoncer une faille publiquement au bout quelques semaines est, à mon avis, une bonne chose. On n'est pas obligé d'en divulguer tous les détails. Mais pouvoir annoncer "attention : tel logiciel est une bouse" a plus d'impact sur un éditeur que de ne rien dire.
Et une faille soi-disant secrète & jamais corrigée aura toutes les chances d'être exploitée par un pirate, car, tôt ou tard, quelqu'un la découvrira & la publiera sur des forums spécialisés. Donc, le secret est la pire des attitudes.
D'ailleurs, pendant très longtemps, ce fut l'argument de Microsoft pour ne rien corriger. Coïncidence, depuis qu'ils se sont inquiétés de sécurité, leurs logiciels sont plus stables.
Rien n'est également impossible même quand elle est rendue publique
Mais quand elle est publique, ça permet justement aux gens qui n'ont pas la possibilité de la corriger de réagir quand même, et non d'être à la merci de ceux qui ont l'info.
Site perso
Recommandations pour débattre sainement
Références récurrentes :
The Cambridge Handbook of Expertise and Expert Performance
L’Art d’avoir toujours raison (ou ce qu'il faut éviter pour pas que je vous saute à la gorge {^_^})
L'avantage de la découverte de la faille par Google, c'est que le premier informé est l'éditeur (µSoft ou Apple dans les cas présent). Car le problème est : que se passe-t-il si bien avant Google, quelqu'un de mal intentionné découvre cette faille ? Combien de temps lui faut-il pour développer un Malware, Cheval de trois ou autre ?
En fait, quand Google découvre une faille, c'est peut-être déjà trop tard, et dans ce cas, le délais de 90 jours n'est pas vraiment aussi scandaleux que ça. Et au delà, informer les utilisateurs des risque me semble plutôt une bonne chose.
Ouais si ils sont vraiment réactifs
Répondre avec citation
Partager