Discussion :

[pierre++]

C'est comme les vaccins : c'est une chose de rendre obligatoire les plus importants, mais de là à faire pareille pour tout c'est une autre histoire.

Je ne vois pas le rapport avec les vaccins, et bien qu'il existe des virus informatiques, ce n'est pas le sujet.
[Troll on]
Au sujet de la vaccination obligatoire je suis à 100% contre, ne serait-ce que pour les nombreux scandales associées à ceux-ci. Je ne ferai pas l'affront de recommander une petite recherche sur ce sujet. A chacun de savoir s'il veut se protéger ou non, surtout que ceux qui sont vaccinés sont du coup majoritairement porteur d'une forme de la maladie pour laquelle ils sont vaccinés et du coup risquent de contaminer ceux qui ne sont pas vaccinés.
[Troll off]
Maintenant quand on a été victime de pertes de données parce que les responsables sécurités d'une entreprise n'ont pas voulu comater les failles pour lesquelles ils ont été avertis, on ne peut qu'approuver le fait qu'ils soient "contraints" par les lanceurs d'alertes de le faire. La justice n'a rien avoir là dedans.
Quand petit votre mère(/père) vous "contraignait" à aller vous brosser les dents ou vous coucher, vous n'alliez par réclamer une décision de justice pour vous exécuter.

La justice à avoir quand une entreprise a mis en danger les données de ses clients en ne les protégeant pas des menaces connues, et du coup elle (la justice) arrive trop tard les dégâts sont faits. IMHO il est donc tout a fait légitime que quelqu'un qui découvre une faille leur mette la "pression" pour que celle-ci soit corrigée avant qu'une tierce personne mal intentionnée ne l'exploite.

[Tagashy]

Bonjour,
J'etudie la sécurité informatique depuis 3 ans et d'apres ce que j'ai lue les "hacker" ont suivie une pratique très courante en sécurité de divulgué la faille d'abord a l'entreprise puis si celle ci n'est pas corriger dans une duree aproprie (2-3 mois) de la divulgué publiquement. Ce n'est pas que ce groupe d'auditeur qui agit ainsi mais une grande partie des auditeurs procedent de cette facon, de plus ce genre de personne n'est pas intéresser par la récompense mais par l'objectif d'obtenir un écosystème sécurisé, certe comme tout le monde ils sont heureux lorsqu'ils sont rémunérés.
Pour faire une analogie:
Imaginez un marchand de serure qui fabrique les serures de tout un quartier mais avec un leger defaut qui permait en utilisant la clé de votre voisin d'ouvrir votre porte. Dans ce cas les auditeurs contacterais discrètement le fournisseur en l'informant du problème. Cependant si au bout de six mois après avoir relancer des dizaines de fois le serrurier celui-ci ne fait rien qu'est ce que vous préféré, savoir que votre porte est vulnérable et que votre serrurier n'en a rien a faire ou que vous ne sachiez rien et que n'importe qui dans votre quartier puisse rentre chez vous sans que vous ne le sachiez? Du côté des auditeurs le choix est vite fait

[Aiekick]

Bonjour,
J'etudie la sécurité informatique depuis 3 ans et d'apres ce que j'ai lue les "hacker" ont suivie une pratique très courante en sécurité de divulgué la faille d'abord a l'entreprise puis si celle ci n'est pas corriger dans une duree aproprie (2-3 mois) de la divulgué publiquement. Ce n'est pas que ce groupe d'auditeur qui agit ainsi mais une grande partie des auditeurs procedent de cette facon, de plus ce genre de personne n'est pas intéresser par la récompense mais par l'objectif d'obtenir un écosystème sécurisé, certe comme tout le monde ils sont heureux lorsqu'ils sont rémunérés.
Pour faire une analogie:
Imaginez un marchand de serure qui fabrique les serures de tout un quartier mais avec un leger defaut qui permait en utilisant la clé de votre voisin d'ouvrir votre porte. Dans ce cas les auditeurs contacterais discrètement le fournisseur en l'informant du problème. Cependant si au bout de six mois après avoir relancer des dizaines de fois le serrurier celui-ci ne fait rien qu'est ce que vous préféré, savoir que votre porte est vulnérable et que votre serrurier n'en a rien a faire ou que vous ne sachiez rien et que n'importe qui dans votre quartier puisse rentre chez vous sans que vous ne le sachiez? Du côté des auditeurs le choix est vite fait

donc dans ton cas la solution consisterait a rendre public le fait que n'importe qui peut rentrer chez toi avec la clef du voisin ? bien comme analogie! j'en rit encore.

[Matthieu Vergne]

Bonjour,
J'etudie la sécurité informatique depuis 3 ans et d'apres ce que j'ai lue les "hacker" ont suivie une pratique très courante en sécurité de divulgué la faille d'abord a l'entreprise puis si celle ci n'est pas corriger dans une duree aproprie (2-3 mois) de la divulgué publiquement. Ce n'est pas que ce groupe d'auditeur qui agit ainsi mais une grande partie des auditeurs procedent de cette facon, de plus ce genre de personne n'est pas intéresser par la récompense mais par l'objectif d'obtenir un écosystème sécurisé, certe comme tout le monde ils sont heureux lorsqu'ils sont rémunérés.
Pour faire une analogie:
Imaginez un marchand de serure qui fabrique les serures de tout un quartier mais avec un leger defaut qui permait en utilisant la clé de votre voisin d'ouvrir votre porte. Dans ce cas les auditeurs contacterais discrètement le fournisseur en l'informant du problème. Cependant si au bout de six mois après avoir relancer des dizaines de fois le serrurier celui-ci ne fait rien qu'est ce que vous préféré, savoir que votre porte est vulnérable et que votre serrurier n'en a rien a faire ou que vous ne sachiez rien et que n'importe qui dans votre quartier puisse rentre chez vous sans que vous ne le sachiez? Du côté des auditeurs le choix est vite fait

Perso, je préfère changer de serrurier.

[Kapeutini]

En fait c'est comme si je disais à mon voisin, la porte de derrière dans ton jardin n'est pas fermée à clé tu devrais la corriger
puis comme il ne fait rien, j'affiche une pancarte devant chez moi indiquant cette faille.

Éthique ? je ne sais pas, cela demande réflexion.

Il est possible qu'ils aient trouvé des failles de sécurité gouvernementale et que ce dernier effrayé que cela devienne publique
comme pour les entreprises.

Dommage qu'il se soient fait arrêté, je serais Américain, je ferais tout pour introduire un espion parmi eux et chercher
les failles qui permettrait de révéler au monde, la corruption des dirigeants au plus haut niveau et bien sur tous les
autres renseignements militaires etc ... :-)

Big brother à encore frappé dans l'empire du milieu

[pierre++]

En fait c'est comme si je disais à mon voisin, la porte de derrière dans ton jardin n'est pas fermée à clé tu devrais la corriger
puis comme il ne fait rien, j'affiche une pancarte devant chez moi indiquant cette faille.

En fait là non plus la comparaison n'est pas terrible car le fait de tout laisser ouvert ne concerne que moi,et mon voisin à la limite qui risque de s’inquiéter de voir que cela peut attirer les voleurs.
Je pencherais plutôt sur la comparaison avec un problème de sécurité dans la fabrication de jouets ou de nourriture, qui malgré qu'il soit signalé au fabricant, celui-ci ne rappelle pas tous ses produits et n'informe pas tous ces clients

[sarnikoff]

Cherche desespérément communauté de hackers esthétiques

NB: En 2004 j'ai eu à m'occuper du piratage de "notre" serveur.
Et après avoir trouvé le formulaire mis à disposition de tout hacker en herbe
dans un sous dossier de site (du côté Sud Est de la France)
j'ai compris qu'il s'agissait alors là d'une l'invasion de limbiques
car dans les fichiers de log, il y avait "de tout et n'importe quoi",
des commandes système innopérandes ,
des requettes SQL Abra Ka Da Bran ....
Finalement le serveur n'avait explosé que par la saturation de ses fichers de log.

Le site n'avait jamais eu autant de visites ...

[Guiliguili]

Bonjour,

Il n'y a pas eu Google qui avait publié une faille de Microsoft pour lui imposer de corriger cette dite faille dont Microsoft ignorait volontairement au mépris de la sécurité de ses clients ?

Je n'ai pas vu Google condamné...

Mais Microsoft oui par la vindict populaire

A mon sens, sens autres éléments concernant ce hacker, il me semble complexe de debattre sur ses motivations...

Par contre, il est tout à fait possible de débattre sur le manque de réactivité des société qui refusent de se mettre à jour pour protéger ses clients.

Voilou
Guiliguili

[pascaldm]

Il y a quelques années (entre 1981 et 2000), le simple fait de prendre contact avec un éditeur pour lui notifier une vulnérabilité vous désignait comme coupable et vous étiez poursuivi ou, à tout le moins, inquiété (perquisition à l'aube, convocation au commissariat, interpellation sur le lieu de travail, ...). Cela a été le cas de plusieurs chercheurs de failles de la liste vuln-dev dans les années 1990s (du temps ou elle était indépendante). En fait, il est plus simple pour une entreprise de s'en prendre au messager que de mettre en place une procédure efficace de correction des vulnérabilités (incluant la notification aux utilisateurs des mises à jour).

Sans correction, c'est l'utilisateur qui est exposé et c'est la responsabilité de l'éditeur qui devrait être engagée mais dans la pratique, c'est le contraire qui se passe à cause des forces en présence. Néanmoins, depuis peu les choses commencent à bouger... Aujourd'hui, on voit fleurir des programmes de bug bounty avec des récompenses (financières ou symboliques) aussi bien aux US qu'en France.

Pour la partie éthique, je dirai qu'un chercheur s'inscrivant dans un programme de bug bounty ou notifiant un éditeur sans full-disclosure publique est un hacker éthique. Par contre, s'il s'adonne au marchandage de 0-day alors il bascule du côté obscur de la force. A noter qu'en France, un professionnel de la cybersécurité qui découvre une vulnérabilité inconnue doit en informer l'ANSSI.

Le comportement malheureux de certains acteurs de l'IT réagissant mal à la divulgation de vulnérabilités (partielle ou totale) a produit un essor du marché du 0day ces dernières années. Le vendeur est classiquement un chercheur en cybersécurité indépendant ou une société spécialisée comme feu Vupen ou maintenant Zerodium ou Hacking Team. Les acheteurs sont principalement des cybercriminels ou des Etats. Par exemple, Zerodium a proposé 1 000 000 $ pour une faille spécifique sur IOS 9, tandis que Hacking Team payait de 30 à 40 K€ un exploit distant effectif sur une version de Windows majeure. Ces niveaux de rémunération ont conduit de nombreux experts en recherche de vulnérabilités à travailler exclusivement pour ces canaux. La demande vient des cyberdélinquants et des gouvernements qui utilisent les 0days dans un cadre de sécurité offensive. Cette facette non éthique est nocive, car aussi bien l'éditeur que l'utilisateur sont des victimes et ceux qui en tirent profit sont les chercheurs de vulnérabilités (personnes ou organisation) non éthique et ceux qui exploitent les vulnérabilités (cybercriminels et agences de renseignement).

Le cas des hackers chinois est troublant car il s'agit d'une communauté de whitehats donc de hackers éthiques. Je suis curieux de connaître le mobile des arrestations.