IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Actualités Discussion :

Un groupe de chercheurs anonymes attaque Microsoft après l'affaire Ormandy

  1. #1
    Expert éminent sénior
    Avatar de Idelways
    Homme Profil pro
    Développeur Ruby on Rails / iOS
    Inscrit en
    Juin 2010
    Messages
    1 374
    Détails du profil
    Informations personnelles :
    Sexe : Homme

    Informations professionnelles :
    Activité : Développeur Ruby on Rails / iOS

    Informations forums :
    Inscription : Juin 2010
    Messages : 1 374
    Points : 68 549
    Points
    68 549
    Par défaut Un groupe de chercheurs anonymes attaque Microsoft après l'affaire Ormandy
    Un groupe de chercheurs anonymes attaque Microsoft
    En dévoilant une vulnérabilité de Windows pour se venger de sa campagne anti-Ormandy


    Un groupe anonyme de chercheurs en sécurité a mis en ligne, la semaine dernière, des informations sur une faille non corrigée de Windows.

    Cet acte est une réponse —selon leur communiqué— à l'hostilité chronique dont fait preuve Microsoft envers les experts en sécurité, avec récemment l'affaire Tavis Ormandy, l'ingénieur de Google qui a publié un PoC aujourd'hui exploité sur plus de 10.000 machines (Lire les détails de l'affaire).

    Ils ont également annoncé la création du MSRC, Microsoft-Spurned Researcher Collective (la convention des chercheurs méprisés par Microsoft), allusion évidente au Microsoft Security Response Center qui porte les mêmes initiales (MSRC).

    L'annonce de cette convention a été postée anonymement à partir d'un compte Hushmail. Elle liste six collaborateurs dont les noms sont tous représentés par des « X ». Le groupe invite d'autres chercheurs à s'y inscrire et assure avoir mis en place un système de contrôle anti- employés de Microsoft.

    Microsoft, de son côté, minimise la faille dévoilée. Pour la société, un hacker doit disposer d'un accès physique ou avoir réussi un autre exploit pour l'utiliser. Elle juge ainsi le risque au dessous du seuil nécessitant une alerte de sécurité, habituellement la première étape dans la correction des problèmes de sécurité.

    Reste qu'au delà du débat sur la gravité de la vulnérabilité, l'initiative du groupe d'expert est très polémique.

    Aussi, et surtout, parce qu'elle est anonyme.

    Un léger manque de courage ?


    Source : Texte du communiqué du Groupe anonyme

    Et vous ?

    Que pensez-vous de cette initiative : légitime ou plutôt lâche ?
    D'après vous, qui sont ces chercheurs ?

  2. #2
    Membre du Club
    Homme Profil pro
    Inscrit en
    Août 2008
    Messages
    34
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Belgique

    Informations professionnelles :
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : Août 2008
    Messages : 34
    Points : 56
    Points
    56
    Par défaut
    manque de courage ?

    Surement pas, car quand on voit les dérives liberticides et le traitement qu'on applique à ceux qui dévoilent des failles, il s'agit juste de se protéger un minimum et d'éviter la prison / les amendes / perte d'emploi.

    Le déroulement logique serait de contacter la société ayant la faille, si celle-ci refuse de réagir, elle est en tort selon moi et la faille devrait pouvoir être diffusée.

  3. #3
    Membre chevronné
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Juillet 2005
    Messages
    541
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 41
    Localisation : France

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Juillet 2005
    Messages : 541
    Points : 1 898
    Points
    1 898
    Par défaut
    Une faille ne devrait jamais être diffusée.
    Au pire si la société en question ne veut pas la corriger ou nie son existence, on peut diffuser le fait qu'on ait trouvé une faille exploitable et dans quelles conditions, faire des pétitions pour la correction, demander l’avis d’autres experts. Mais ne jamais jamais la diffuser publiquement.

  4. #4
    Membre confirmé Avatar de joKED
    Profil pro
    Imposteur en chef
    Inscrit en
    Février 2006
    Messages
    339
    Détails du profil
    Informations personnelles :
    Âge : 43
    Localisation : France, Isère (Rhône Alpes)

    Informations professionnelles :
    Activité : Imposteur en chef

    Informations forums :
    Inscription : Février 2006
    Messages : 339
    Points : 458
    Points
    458
    Par défaut
    Diffuser une faille est ridicule. Cela ne peut que nuire (tant à la société ciblée qu'aux utilisateurs).

    Si je vous avertis qu'une fenêtre de chez vous est ouverte, et que vous ne me répondez pas (manque de temps pour fermer, impossibilité de fermer car vous êtes absent), ou mal ("C'est pas vos oignons"), seriez-vous content que j'aille faire le tour de tous les voleurs du coin en leur annonçant qu'on peut rentrer chez vous sans problème?

  5. #5
    Membre expérimenté
    Profil pro
    Inscrit en
    Septembre 2009
    Messages
    1 285
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Septembre 2009
    Messages : 1 285
    Points : 1 637
    Points
    1 637
    Par défaut
    Citation Envoyé par Neko Voir le message
    Une faille ne devrait jamais être diffusée.
    Au pire si la société en question ne veut pas la corriger ou nie son existence, on peut diffuser le fait qu'on ait trouvé une faille exploitable et dans quelles conditions, faire des pétitions pour la correction, demander l’avis d’autres experts. Mais ne jamais jamais la diffuser publiquement.
    Oui, à condition aussi qu'on ne soit plus obligé d'acheter les logiciels en question.

  6. #6
    Membre éprouvé
    Profil pro
    Inscrit en
    Mai 2006
    Messages
    1 047
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Mai 2006
    Messages : 1 047
    Points : 1 042
    Points
    1 042
    Par défaut
    ils ont pas autres choses à faire par exemple créer plutot que de chercher des failles sur des systèmes anciens.

  7. #7
    Membre chevronné
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Juillet 2005
    Messages
    541
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 41
    Localisation : France

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Juillet 2005
    Messages : 541
    Points : 1 898
    Points
    1 898
    Par défaut
    Citation Envoyé par trenton Voir le message
    Oui, à conditions aussi qu'on ne soit plus obligé d'acheter les logiciels en question.
    Là pour le coup, désolé mais je ne vois pas le rapport. Les problèmes de sécurité et de divulgation de failles sont valables qu'un logiciel soit payant ou non, qu'il soit open source ou pas. Vraiment, ce n’est juste pas le même sujet quoi.

    Je ne dis pas que Microsoft avait raison de ne pas patcher la faille. Toute faille devrait être corrigée au plus vite, mais c'est un autre problème.

  8. #8
    Membre actif
    Profil pro
    Inscrit en
    Octobre 2006
    Messages
    63
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Octobre 2006
    Messages : 63
    Points : 201
    Points
    201
    Par défaut
    Citation Envoyé par Neko Voir le message
    Une faille ne devrait jamais être diffusée.
    Au pire si la société en question ne veut pas la corriger ou nie son existence, on peut diffuser le fait qu'on ait trouvé une faille exploitable et dans quelles conditions, faire des pétitions pour la correction, demander l’avis d’autres experts. Mais ne jamais jamais la diffuser publiquement.
    Très clairement, en effet.

    Aucun système, quel qu'il soit, n'est à l'abri d'une faille de sécurité. Rien ne justifie de la rendre publique et exploitable par des personnes malveillantes. Dans le cas contraire, moi j'appelle ça du "terrorisme"... Surtout si l'information est diffusée par des personnes "cagoulées".

  9. #9
    Nouveau Candidat au Club
    Inscrit en
    Juillet 2009
    Messages
    15
    Détails du profil
    Informations forums :
    Inscription : Juillet 2009
    Messages : 15
    Points : 0
    Points
    0
    Par défaut
    Dans le cas de Microsoft (Mais aussi de Apple, Adobe ..), ca a effectivement un intérêt de diffuser la faille : Les forcer à la corriger, faire bouger les choses, montrer un peu au gens l'absurdité Windows, de leur manière de faire.

    Ce genre d'action devrait en faire réagir plus d'un, mais apparemment c'est pas le cas >.< ...

  10. #10
    Expert éminent sénior
    Avatar de Marco46
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Août 2005
    Messages
    4 419
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 43
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : Août 2005
    Messages : 4 419
    Points : 19 639
    Points
    19 639
    Par défaut
    Citation Envoyé par Kalishah Voir le message
    Très clairement, en effet.

    Aucun système, quel qu'il soit, n'est à l'abri d'une faille de sécurité. Rien ne justifie de la rendre publique et exploitable par des personnes malveillantes. Dans le cas contraire, moi j'appelle ça du "terrorisme"... Surtout si l'information est diffusée par des personnes "cagoulées".
    Oh oui c'est au moins du terrorisme.

    Diffuser une faille du soft d'un éditeur parce qu'il ne veut pas la corriger je trouve ça parfaitement normal. Pour le forcer à corriger, mais à condition qu'il ait le temps de le faire. En l'occurrence sur ce qui nous préoccupe, MS n'a pas vraiment eu le temps. 4 jours c'est peu.

    Vous partez du principe que diffuser une faille va forcément mettre au courant les pirates. Mais admettez qu'il existe au moins une alternative :
    Les pirates sont déjà au courant. Et dans ce cas il s'agit d'informer les utilisateurs du je m'en foutisme de l'éditeur du logiciel.

    Pour reprendre vos analogies foireuses, trouveriez vous normal de publier dans la presse les défauts de construction des fenêtres si vous pensez qu'elles sont sécurisées alors que les voleurs savent déjà comment les ouvrir ?
    Moi oui, ne pas diffuser l'info publiquement c'est comme taire un problème de santé publique, c'est un délit.

    Ah ! ah !

    Et voilà comment on retourne l'argument à l'envers.

    Envoyez les petits +1 verts les copains

  11. #11
    Membre chevronné

    Profil pro
    Account Manager
    Inscrit en
    Décembre 2006
    Messages
    2 301
    Détails du profil
    Informations personnelles :
    Localisation : France, Savoie (Rhône Alpes)

    Informations professionnelles :
    Activité : Account Manager

    Informations forums :
    Inscription : Décembre 2006
    Messages : 2 301
    Points : 1 751
    Points
    1 751
    Par défaut
    Une petite question faisant écho à certaines réponses qui m'étonnent ci-dessus : comment expliquer que Linux n'ait pas plus de problème alors ? On est en pleine transparence, on a accès à tout et pourtant il y a moins de souci que sous Windaube. Linux n'est pas plus sûr théoriquement concernant les attaques virales. Le fait d'avoir développé un système communautaire permet d'avoir une très bonne réactivité.

    Concernant la divulgation des failles, il faudrait voir le sérieux des personnes qui ont fait cela. Si ce sont de "vrais" chercheurs, et que Microsoft les envoie chier à chaque remarque, on peut comprendre qu'il faut à un moment ou à un autre exposer les problèmes.

    Se taire et nier les problèmes, c'est s'exposer à de gros soucis. Pour mémoire, je rappellerais le cas d'un ingénieur, français je crois, qui avait eu des problèmes avec la justice pour avoir démontré une grosse faille des cartes bancaires. En faisant cela, il a soulevé un problème que d'autres auraient pu découvrir, et l'idée était de prévenir tout le monde.

    Vous êtes tous à vous indigner d'une divulgation publique mais qu'en est-il de tout ce qui circule en sous-main ?

  12. #12
    Membre chevronné

    Profil pro
    Account Manager
    Inscrit en
    Décembre 2006
    Messages
    2 301
    Détails du profil
    Informations personnelles :
    Localisation : France, Savoie (Rhône Alpes)

    Informations professionnelles :
    Activité : Account Manager

    Informations forums :
    Inscription : Décembre 2006
    Messages : 2 301
    Points : 1 751
    Points
    1 751
    Par défaut
    Marco46, je suis tout à fait d'accord avec toi.

  13. #13
    Membre éprouvé
    Homme Profil pro
    Inscrit en
    Février 2006
    Messages
    943
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Secteur : Finance

    Informations forums :
    Inscription : Février 2006
    Messages : 943
    Points : 1 156
    Points
    1 156
    Par défaut
    Citation Envoyé par cbleas Voir le message
    ils ont pas autres choses à faire par exemple créer plutot que de chercher des failles sur des systèmes anciens.
    Négatif un chercheur CHERCHE mais ne créé pas !!

  14. #14
    Nouveau Candidat au Club
    Inscrit en
    Juillet 2009
    Messages
    15
    Détails du profil
    Informations forums :
    Inscription : Juillet 2009
    Messages : 15
    Points : 0
    Points
    0
    Par défaut
    Microsoft n'a pas le temps ?? Quand ont y pense c'est normal en fait, il y a trop de procès à gérer .

    Pour le noyau Linux, 1 jour c'est déjà trop. Une faille corrigée dans l'heure qui suit après son annonce, c'est se qui ce passe le plus généralement.

  15. #15
    Membre à l'essai
    Inscrit en
    Juin 2010
    Messages
    6
    Détails du profil
    Informations forums :
    Inscription : Juin 2010
    Messages : 6
    Points : 13
    Points
    13
    Par défaut
    <cynisme>
    Gloire à la communauté scientifiques, à ces infatigables cerveaux d'élites qui dévoilent publiquement des failles pouvant nuire à des utilisateurs totalement innocents et pourtant premières victimes d'un puéril réglement de compte....
    Cracher sur Microsoft n'est toujours pas passé de mode (comme quoi, être professionnel en informatique ne veut pas dire qu'on s'interesse à l'informatique mais qu'on suit le troupeau...), donc je dirais que cautionner la divulgation d'une faille non patchée pour bouger Microsoft reviendrai à encourager les voleurs à continuer à voler (ainsi que les assurances à ne pas rembourser) afin que chacun d'entre nous vive dans un bunker ultra sécurisé entouré d'une paranoïa somme tout à fait sympathique n'est-ce pas?
    </cynisme>
    Forcer quelqu'un à réagir en le mettant au pied du mur est stupide, surtout lorsque ce sont d'autres personnes qui en font les frais, sinon il serait légitime de dépecer vivante une petite fille en pleine rue afin de montrer que les gens ne réagissent pas pour la sauver ou que la police est trop lente à venir, donc pas de haine gratuite, le respect est plus important qu'une simple vengeance mesquine.

  16. #16
    Membre confirmé Avatar de joKED
    Profil pro
    Imposteur en chef
    Inscrit en
    Février 2006
    Messages
    339
    Détails du profil
    Informations personnelles :
    Âge : 43
    Localisation : France, Isère (Rhône Alpes)

    Informations professionnelles :
    Activité : Imposteur en chef

    Informations forums :
    Inscription : Février 2006
    Messages : 339
    Points : 458
    Points
    458
    Par défaut
    Citation Envoyé par Marco46 Voir le message
    Mais admettez qu'il existe au moins une alternative :
    Les pirates sont déjà au courant. Et dans ce cas il s'agit d'informer les utilisateurs du je m'en foutisme de l'éditeur du logiciel.
    Dans ce cas précis, oui.

    Cependant, je te laisse le soin de prouver tes dires à propos des "pirates" soit disant déjà au courant. Surtout dans le cas d'une faille trouvée par des chercheurs indépendants qui n'a a priori jamais été exploitée.

    Ah ! ah !

    Et voilà comment on retourne l'argument à l'envers.

    Envoyez les petits +1 verts les copains
    La puérilité n'est pas obligatoire.

  17. #17
    Membre du Club
    Profil pro
    Inscrit en
    Juin 2008
    Messages
    13
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Juin 2008
    Messages : 13
    Points : 40
    Points
    40
    Par défaut
    Je suis de ceux qui pensent que divulguer est + bénéfique.

    Diffuser une faille permet d'informer les utilisateurs plus précisément sur la nature du danger. Ils peuvent à partir de cette information, prendre des décisions :
    1) ils s'en foutent parce que la faille concerne un éléments qu'ils n'utilisent pas
    2) ils s'en foutent parce que la faille ne peut être exploitée que dans certaines conditions qui ne sont pas remplies dans leur environnement. Pour reprendre l'exemple de la "fenêtre ouverte" cité plus haut=>si la fenêtre possède des barreaux c'est pas très grave de dire à tout le monde que la fenêtre est ouverte.
    3) La faille les touche pleinement=>si l'éditeur n'agit pas il est peut-être possible en attendant de mettre en place des rustines visant à limiter le danger, le temps que l'éditeur corrige (une faille sur un serveur web peut se corriger via une règle de pare-feu spécifique par exemple).

  18. #18
    Membre expérimenté
    Profil pro
    Inscrit en
    Septembre 2009
    Messages
    1 285
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Septembre 2009
    Messages : 1 285
    Points : 1 637
    Points
    1 637
    Par défaut
    Citation Envoyé par Neko Voir le message
    Là pour le coup, désolé mais je ne vois pas le rapport. Les problèmes de sécurité et de divulgation de failles sont valables qu'un logiciel soit payant ou non, qu'il soit open source ou pas. Vraiment, ce n’est juste pas le même sujet quoi.

    Je ne dis pas que Microsoft avait raison de ne pas patcher la faille. Toute faille devrait être corrigée au plus vite, mais c'est un autre problème.
    Mon point est que : d'une part la divulgation de cette faille n'est rien par rapport au scandale de la vente liée. Et d'autre part, on peut comprendre que des utilisateurs qui ont été obligés de payer un logiciel use de ce genre de stratégie pour obtenir la correction de faille de sécurité. Si on peut choisir ses logiciels, alors si on est pas content de la politique de sécurité d'un éditeur, il suffit ne pas acheter ses logiciels. Mais tant qu'on aura pas le choix...

  19. #19
    Membre chevronné
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Juillet 2005
    Messages
    541
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 41
    Localisation : France

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Juillet 2005
    Messages : 541
    Points : 1 898
    Points
    1 898
    Par défaut
    Citation Envoyé par dodelria Voir le message
    Microsoft n'a pas le temps ?? Quand ont y pense c'est normal en fait, y'a trop de procès à gérer .

    Pour le noyau Linux, 1 jour c'est déjà trop. Une faille corrigée dans l'heure qui suit après son annonce, c'est ce qui ce passe le plus généralement.
    Ouais, en une heure la faille est corrigée, le patch soumis, testé pour être sûr qu'il n'y a aucune régression. Et évidement dans la même heure tous les utilisateurs ont déjà appliqué le patch. C'est beau linux quand même.

    Citation Envoyé par trenton Voir le message
    Mon point est que : d'une part la divulgation de cette faille n'est rien par rapport au scandale de la vente liée. Et d'autre part, on peut comprendre que des utilisateurs qui ont été obligés de payer un logiciel use de ce genre de stratégie pour obtenir la correction de faille de sécurité. Si on peut choisir ses logiciels, alors si on est pas content de la politique de sécurité d'un éditeur, il suffit ne pas acheter ses logiciels. Mais tant qu'on aura pas le choix...
    Heu... oui enfin là tu reconnaitras que c'est "juste un poil" hors sujet.

  20. #20
    Expert éminent sénior
    Avatar de Marco46
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Août 2005
    Messages
    4 419
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 43
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : Août 2005
    Messages : 4 419
    Points : 19 639
    Points
    19 639
    Par défaut
    Citation Envoyé par joKED Voir le message
    Dans ce cas précis, oui.

    Cependant, je te laisse le soin de prouver tes dires à propos des "pirates" soit disant déjà au courant. Surtout dans le cas d'une faille trouvée par des chercheurs indépendants qui n'a a priori jamais été exploitée.
    Tu ne peux pas prouver que les pirates sont au courant et tu ne peux pas prouver que la faille découverte par les chercheurs n'a jamais été découverte par d'autres personnes.

    Donc tu dois partir du principe qu'il est possible que l'on soit dans ce cas. Donc la meilleure chose à faire est d'avertir l'éditeur du logiciel du problème et de lui laisser le temps de le régler. Et s'il ne fait rien tu lâches une bombe publiquement.

    C'est comme ça que ça se passe 99% du temps. Tu ne peux pas dire des choses aussi tranchées que : "Une faille ne devrait jamais être diffusée." Si on fonctionnait comme ça, la plupart des éditeurs ne feraient rien, car ça leur coûte du fric et ne leur rapporte rien.

    Citation Envoyé par joKED Voir le message
    La puérilité n'est pas obligatoire.
    Un petit brin d'humour ne fait jamais de mal. Surtout à 17h00.

Discussions similaires

  1. Oracle sort une nouvelle version majeure de WebCenter Suite 11g et s'attaque à Microsoft Sharepoint
    Par Idelways dans le forum Forum général Solutions d'entreprise
    Réponses: 3
    Dernier message: 05/07/2011, 14h29
  2. Réponses: 0
    Dernier message: 26/01/2011, 11h45
  3. Réponses: 51
    Dernier message: 26/11/2010, 09h44
  4. Réponses: 3
    Dernier message: 09/11/2010, 15h35
  5. [Joomla!] Quel CMS choisir pour un groupe de chercheurs ?
    Par Garra dans le forum EDI, CMS, Outils, Scripts et API
    Réponses: 1
    Dernier message: 22/03/2007, 18h09

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo