# Le club des professionnels en informatique > Actualits >  Fallait-il publier une preuve de faisabilit sur la faille de XP ? Microsoft la colmate mardi

## Gordon Fowler

*Microsoft colmate la faille mise  jour par l'ingnieur de Google*
*Le patch mensuel de demain mettra-t-il fin  la polmique ?*

*Mise  jour du 12/07/10*


Alors que la polmique continue entre ceux qui considrent que Travis Ormandy a eu raison de publier un PoC pour forcer Microsoft  ragir  une vulnrabilit prsente dans le Centre d'Aide et de Support de plusieurs de ses OS (lire ci-avant), et ceux qui considrent ce comportement est irresponsable, le traditionnel patch de scurit du deuxime mardi du mois de Redmond arrive.

Il marque d'une part la fin du support de Windows XP SP2. Et celle, d'autre part, de cette faille mise  jour par l'ingnieur de Google et exploite - d'aprs les dires de Microsoft - sur plus de 10.000 machines.

Pas sr en revanche qu'il puisse clore  lui tout seul le dbat autour de Travis Ormandy.

Mardi dernier, un groupe anonyme a en effet dclar vouloir se venger de Microsoft et de "sa campagne anti-Ormandy" en cherchant d'autres vulnrabilits de Windows.

Travis Ormandy n'a de son cot pas ragi  l'annonce de la formation de ce groupe de soutien d'un nouveau type.


*MAJ de Gordon Fowler*





*La faille dcouverte par un employ de Google exploite sur 10.000 PC*
*Selon les chiffres de Microsoft*

*Mise  jour du 01/07/10*



Microsoft vient de rvler que la faille de Windows XP dcouverte au dbut du mois par un ingnieur de Google, Travis Ormandy, avait effectivement t exploite.

Ormandy avait dcid de publier un PoC (_Proof of Concept_, ou _preuve de faisabilit_) ce qui n'avait pas manqu de provoquer la colre de Microsoft.

Face aux critiques, Ormandy avait alors affirm qu'il avait essay de convaincre Microsoft de l'importance de cette faille pendant 60 jours.

Toujours est-il que, d'aprs Microsoft, sa dmonstration a donn des ides aux cybercriminels. Les premires attaques ont t repres vers le 15 juin, _ ces premiers exploits taient cibls et plutt limits. Mais depuis les dernires semaines ils ont atteint un pic_ , peut-on lire sur le blog de Microsoft qui avance ce chiffre de 10.000 PC attaqus avec succs.

Le PoC d'Ormandy permet de tlcharger et d'installer des logiciels malicieux, des virus et des Trojans. Un malware, baptis Obitel, permet par exemple de tlcharger encore plus d'applications malveillantes.

Le 10 juin, Micosoft avait publi un bulletin de scurit qui expliquait comment se protger en dsactivant notamment le Centre d'Aide et de Support de l'OS.

Les PC les plus touchs sont localiss en Russie et au Portugal, pays cousin du Brsil galement fortement concern (et base arrire de plus en plus active des attaques des cybercriminels). Les Etats-Unis et l'Allemagne sont galement trs cibls.

Ces chiffres relancent la polmique sur le fait de savoir si Ormandy a t inconscient de publier ce PoC, ou s'il appartenait  Microsoft de ragir en urgence.

Toujours est-il que le prochain patch de scurit pour Windows XP est attendu, de manire traditionnelle, pour le deuxime mardi de ce mois (le 13 juillet).

_Que_ pour le 13 juillet ?

*Source* : Billet de Microsoft

*Et vous ?*

 ::fleche::  Ormandy a-t-il t inconscient de publier ce PoC ou appartenait-il  Microsoft de ragir en urgence ?


*MAJ de Gordon Fowler*





*Mise  jour du 16/06/10*


*Les pirates exploiteraient dj la faille de Windows XP*
*Divulgue par un employ de Google, qui se dfend des accusations de Microsoft*


Tavis Ormandy, l'employ de Google qui a mis  jour une faille dans le Centre d'Aide et de Support de Windows XP et qui a publi un exploit montrant comment il tait possible d'en tirer profit, se dfend d'avoir eu un comportement irresponsable.

Il affirme dans un Tweet que, contrairement aux dires de Microsoft, il n'a pas laiss 5 jours mais deux mois  l'diteur de Windows (60 jours) pour colmater la faille.

Ce serait donc l'inertie de Redmond qui l'aurait dcid  rendre publique une preuve de faisabilit (lire ci-avant).

Accusation contre accusation donc, les choses risquent encore moins de se calmer depuis que Sophos, fournisseur de solutions de scurit, a publi un post dans lequel il rvle avoir repr des attaques qui utilisent ces travaux.

_ Aujourd'hui, nous avons dtect pour la premire fois un malware qui se propage via des sites compromis. Ce logiciel malicieux tlcharge et excute des composants malveillants (Troj/Drop-FS) sur l'ordinateur des victimes en exploitant cette vulnrabilit [NDR : celle du Centre d'Aide et de Support de Windows]_ .

Microsoft ne contredit pas ce constat, mais note que les attaques sont trs limites.

Pour l'instant.

Car pour la socit, il ne fait aucun doute que les choses vont empirer. La divulgation publique de cet exploit par Ormandy ne pourrait avoir que des consquences ngatives et les experts en scurit de Microsoft s'attendent  une monte en puissance des attaques.

Pour mmoire Windows Server 2003 est galement impact et un correctif sorti en urgence est disponible sur le site de Microsoft.

Il doit permettre de scuriser les deux OS dans l'attente d'une mise  jour de scurit plus complte.

Quant  la polmique, elle continue d'enfler autour de ces 60 jours et de ces attaques  in the wild .

Etait-ce la bonne manire de faire de la part d'Ormandy ? Y'a-t-il des arrires penses dans ses travaux (lire ci-avant) ?  Microsoft a-t-il t trop lent  ragir ?

Autant de questions qui devraient laisser des traces durables dans les relations, dj tendues, entre Google et Microsoft.

*Source* : Le Tweet de Tavis Ormandy et la publication de Sophos


*MAJ de Gordon Fowler*



*Fallait-il publier une preuve de faisabilit sur la faille de Windows XP*
*Comme l'a fait un ingnieur de Google ? Microsoft ne dcolre pas*


Rien ne va plus entre Microsoft et Google.

Tavis Ormandy est expert en scurit chez Google. Le 5 juin dernier, il avait mis  jour une faille dans le Centre d'Aide et de Support de Windows XP. La faille concernait galement Windows Server 2003.

Jusqu'ici tout va (presque) bien.

Le problme vient du fait que Tavis Ormandy a ensuite dcid de mettre au point un _ proof of concept_ , une preuve de faisabilit qui montre comment exploiter cette faille. Il n'y a a priori rien de choquant dans cette dmarche assez classique. Sauf que ce dbut d'exploit a t publi moins de 5 jours aprs la dcouverte de la vulnrabilit.

Un dlai beaucoup trop court et une attitude irresponsable selon Microsoft.

Ormandy justifie sa dcision en soulignant que c'tait, d'aprs lui, le seul moyen d'attirer rapidement et srieusement l'attention de Microsoft (_ Je voudrais souligner que [...] sans avoir ralis cet exploit, j'aurais t ignor_ , crit-il  la fin de sa publication). A sa dcharge, on notera galement qu'il a galement dcider de publier des pistes de corrections. 

Mais la solution qu'il propose ne convainc pas Microsoft. Au contraire, ses experts en scurit ne dcolrent pas et commencent  souponner des intentions caches chez Ormandy.

Y aurait-il une volont de Google de discrditer Windows ?

Aprs l'annonce de Google sur l'abandon progressif de l'OS en interne, Microsoft semble srieusement commencer  y croire.

On pourra rtorquer que ce n'est pas Google mais un de ses employs -  titre personnel - qui a publi la faille et le Poc. C'est d'ailleurs la ligne de communication tenue par Google.

Mais c'est surtout le dlai laiss  ses quipes qui nerve Redmond.

_ La communication publique sur les dtails de cette vulnrabilit et sur la manire de l'exploiter sans nous laisser le temps de rsoudre le problme [] augmentent la probabilit d'attaques et mettent nos clients en danger_ , crit ainsi Mike Reavy sur le blog ddi aux questions de scurit de Microsoft. _ Bien que cette dcouverte du chercheur de Google ait t une bonne chose, il s'avre que son analyse est incomplte et que la solution qu'il suggre est facilement contournable_ .

Et de conclure : _ Quelque fois, il faut plus de temps pour raliser une mise  jour efficace qui ne provoque pas des problmes de qualit_ .

Un correctif officiel (le 2219475) a ensuite t ajoute  cette rponse.

Esprons pour Google que son futur systme d'exploitation, Chrome OS (qui devient par ailleurs de plus en plus prometteur) sera au point niveau scurit.

Il y a fort  parier que de nombreux employs de Microsoft prendront beaucoup de leur temps libre pour le mettre  l'preuve.

En toute indpendance cela va s'en dire.


*Source* : La publication de la dcouverte de Tavis Ormandy et la rponse de l'quipe de Microsoft

*Lire aussi :*

 ::fleche::  Microsoft corrige 34 vulnrabilits touchant Windows, dont plusieurs critiques dans le plus gros "Patch Tuesday" de 2010
 ::fleche::  Pourriez-vous battre les hackers  leur propre jeu ? Une mise en situation sur Google Code vous permet de le savoir
 ::fleche::  Aucun antivirus ne rsiste aux attaques lances lors du concours de hackers Pwn2kill : les diteurs de scurit font-ils bien leur travail ?

Les rubriques (actu, forums, tutos) de Dveloppez :

 ::fleche::  Windows
 ::fleche::  Scurit
 ::fleche::  Systmes

*Et vous ?*

 ::fleche::  D'aprs vous, dans cette affaire, Tavis Ormandy a-t-il agit en totale indpendance par rapport  son employeur ?

 ::fleche::   Fallait-il publier une preuve de faisabilit sur la faille de Windows XP aussi rapidement ?

----------


## trenton

Je ne comprends pas. Je pensais qu'ils n'utilisaient plus Windows chez Google, pourquoi perdre du temps  chercher les failles dans Windows ?

----------


## knolz

si tu avais lu l'article tu aurais compris.  ::aie::

----------


## grunk

> Ormandy justifie sa dcision en soulignant que c'tait, d'aprs lui, le seul moyen d'attirer rapidement et srieusement l'attention de Microsoft ( Je voudrais souligner que [...] sans avoir ralis cet exploit, j'aurais t ignor , crit-il  la fin de sa publication). A sa dcharge, on notera galement qu'il a galement dcider de publier des pistes de corrections.


Avec les mise  jour hebdomadaire de Windows c'est peut tre un peu limite. Il aurait pu avertir de la faille , laisse venir un patch thuesday et effectivement si aucune raction de la part de Microsoft publier une P.O.C.

Mais forcer les diteurs  se bouger un peu en les mettant au pied du mur c'est pas plus mal.

----------


## Invit

> Un dlai beaucoup trop court et une attitude irresponsable selon Microsoft.
> 
> Y aurait-il une volont de Google de discrditer Windows ?


Le dlai est videment trop court... Mais bon c'est M$ qui veut se dbarrasser de XP au profit de W7, XP a 9 ans pourquoi faire encore une maintenance et forcement M$ traine les pieds pour faire des corrections sur XP, Google en profite.

----------


## umeboshi

Autant Microsoft devrait se retirer le doigt du cul, autant l'attitude de Tavis Ormandy n'est pas du tout constructive.

On ne sait pas s'il a fait a dans l'optique de discrditer Microsoft (ils y arrivent trs bien tout seul), ou si c'tait rellement pour faire ragir Microsoft... (une menace aurait sans doute suffit...)  ::?:

----------


## cbleas

```

```

Cette mthode est ridicule laisser moins d'une semaine pour diter un patch de scurit alors qu'il a certainement fallu plus de temps pour trouver cette faille.
N'oublions pas que xp est ancien.

Pourquoi Microsoft ne mettrait pas une partie de ses Chercheurs (hacker)  publier des failles sur les autres systmes d'exploitation ds qu'ils sont trouves.

Cette mthode est carrment lamentable car on risque de se trouver avec une bande de Hackers professionnels pays par Google, Microsoft et Apple qui donneront des mthodes  des hackers non professionnels pour destabiliser rapidement l'ensemble  des ordinateurs.

Je pense que google profiterait plus  crer un systme d'exploitation qui tienne la route plutt que de discrditer un systme d'exploitation qui a 8 ans. Rien n'est d'ailleurs dit sur seven ni server 2008.

----------


## cbleas

Nous sommes bien sur un site informatique?
En effet pour ma part il m'arrive de faire une mise  jour dans la journe mais parce que je suis seul  faire mon programme.
Comment le faire avec un programme si diffus que l'est XP?

----------


## Invit

> Pourquoi Microsoft ne mettrait pas une partie de ses Chercheurs (hacker)  publier des failles sur les autres systmes d'exploitation ds qu'ils sont trouves.
> 
> Cette mthode est carrment lamentable car on risque de se trouver avec une bande de Hackers professionnels pays par Google, Microsoft et Apple qui donneront des mthodes  des hackers non professionnels pour destabiliser rapidement l'ensemble  des ordinateurs.


Tu as raison !!!
"une bande de Hackers professionnels pays", heu j'appelle cela des informaticiens et a ne serait pas un mal.Trouver les bugs avant les pirates serait une bonne ide.

----------


## psychadelic

> [B][SIZE="4"]
> Esprons pour Google que son futur systme d'exploitation, Chrome OS (qui devient par ailleurs de plus en plus prometteur) sera au point niveau scurit.
> 
> Il y a fort  parier que de nombreux employs de Microsoft prendront beaucoup de leur temps libre pour le mettre  l'preuve.
> 
> En toute indpendance cela va s'en dire.


Dj que l'utilit d'avoir un OS de plus sur le march ne saute pas aux yeux, 
si en plus cet OS devient une cible privilgie pour les Hackeurs...

Mais qu'allait-il [Google] faire dans cette galre ???

----------


## fregolo52

Il ne faut pas oublier que l'avenir c'est les "applications distribues" sur le Web. En gros, un mega Citrix ou TSE. 
Google et Microsoft (et IBM) sont de trs gros concurrents.

----------


## GanYoshi

Moi je trouve que c'est de bonne guerre, pas sr que dans la situation inverse a se soit produit diffremment.  ::D:

----------


## trenton

> si tu avais lu l'article tu aurais compris.


Il faut croire que je suis plus bte que la moyenne car j'ai lu l'article, mais je suis sr que tu vas m'expliquer...

----------


## Louis Griffont

> Tu as raison !!!
> "une bande de Hackers professionnels pays", heu j'appelle cela des informaticiens et a ne serait pas un mal.Trouver les bugs avant les pirates serait une bonne ide.


A la condition que les bugs trouvs ne soient pas fournis aux pirates avant que le crateur n'aie eu le temps de corriger, sinon, a revient  aider les pirates. C'est ce que vient de faire ce type de chez Google !

----------


## Shirraz

> Il faut croire que je suis plus bte que la moyenne car j'ai lu l'article, mais je suis sr que tu vas m'expliquer...


Google OS...

----------


## Fenn_

> Il faut croire que je suis plus bte que la moyenne car j'ai lu l'article, mais je suis sr que tu vas m'expliquer...


Il fait peut-tre rfrence  a  :;): 




> On pourra rtorquer que ce n'est pas Google mais un de ses employs -  titre personnel - qui a publi la faille et le Poc. C'est d'ailleurs la ligne de communication tenue par Google.


En faisant abstraction de l'ironie/cynisme ventuel de ton post prcdent (et de l'hypocrisie ventuelle made in Google).

C'est tout le problme avec l'ironie crite, grosse source de troll simplement parce qu'une ou deux personnes ne voient que le premier degr (ou ne veulent voir que le premier degr, qui les arrange pour lancer des attaques).

Pour revenir au sujet, AMHA Tavis Ormandy peut trs bien avoir agi indpendamment, et pour un tas de raisons (de la btise  la malveillance). Je ne vois pas comment il serait possible de le dterminer.
Mais quelque soit la motivation, je trouve le dlai trop court.

----------


## Neko

Bien ce Tavis Ormandy est franchement entrain de se tirer une balle dans le pied. Difficile de se dire expert en "scurit" aprs avoir publi un POC avant publication du patch.

----------


## Invit

> Bien ce Tavis Ormandy est franchement entrain de se tirer une balle dans le pied. Difficile de se dire expert en "scurit" aprs avoir publi un POC avant publication du patch.


C miler avait critiqu Apple et mme crit un livre sur les problmes de Leopard...
A la sortie de Snow Leopard aucune amlioration cot Apple...
Personnellement je ne blmerais pas  Tavis Ormandy.

----------


## cbleas

```

```

je ne crois pas qu'on parle d'Apple et que la politique de Microsoft soit trs diffrente.

----------


## yoyo88

Publier un POC au bout de 5 jour, je trouve cela abuser.

En tous les cas cela rvle qu'il y a un manque de communication entre la personne qui dcouvre une faille et l'quipe qui la corrige.

----------


## antoinev2

5 jours c'est abus oui, mais s'il ne l'avait jamais publi, il aurait sans doute t ignor comme il le dit.
On verra si Google parvient  scuriser son OS, dj au lancement mais surtout, sur la distance.

----------


## delroth

Le PoC a t diffus au bout de 5 jours uniquement car Microsoft a refus de fixer le problme dans les 60 jours. Cf. http://twitter.com/taviso/status/16005411316 .

----------


## psychadelic

> Je ne comprends pas. Je pensais qu'ils n'utilisaient plus Windows chez Google, pourquoi perdre du temps  chercher les failles dans Windows ?





> si tu avais lu l'article tu aurais compris.





> Il faut croire que je suis plus bte que la moyenne car j'ai lu l'article, mais je suis sr que tu vas m'expliquer...


Simple:

1 - Suite aux attaques "Chinoises" Google se voit "contraint" d'inciter son personnel  "quitter Wnidows, et le fait savoir.
2 - Microsoft prend tres mal la chose et rtorque que "tous" les hackers font l'loge des efforts de M$ sur les questions de scurits.
2bis et corolaire la scurit en question tant uniquement sur Windows 7 Google devrait-il vraiment migrer tout son Parc sur W7 (et payer M$) ?? 

3 - un lectron libre de chez Google se pique au jeu, et montre une des failles mageures de Windows. Dis toi que l'organisation d'une boite comme Google ne ressemble pas vraiment  un camp militaire tres disciplin et tu a une partie de ta rponse.

Pour rpondre directement  ta croyance selon laquelle plus rien chez Google ne fonctionne sous Windows:
 je vois mal comment ce serait possible, ne serait-dj qu'en quelques semaines.
Google n'a pas encore invent la baguette magique, ni oblig tout son personnel  faire cette migration :sauvegarder, reformater les disques durs etc... 
Je vois trs bien la page d'accueil de Google : dsol, pas de service cette semaine : on migre tous nos serveurs et nos postes vers Mac OS et Linux,  bientt... ::mouarf:: 

Sinon, explique moi en quoi il serait interdit que chez Google, certains soient pays pour veiller  la scurit des "quelques derniers" postes ou serveurs encore sous Windows...

PS: "quelques derniers", c'est ironique bien sur.

----------


## Neko

> Le PoC a t diffus au bout de 5 jours uniquement car Microsoft a refus de fixer le problme dans les 60 jours. Cf. http://twitter.com/taviso/status/16005411316 .


Entre 5 et 60, ya une sacr diffrence. 
Il aurait pu simplement dire  MS "Bon, je vous donne 60 jours max pour faire le patch, et si rien n'est fait, je diffuse le PoC au publique". 
Si MS refuse, c'est leur problme, au moins le gars aurait t dans son bon droit; mais l, a change rien au fait que 5 jours c'est simplement pas suffisant.

----------


## psychadelic

Cela signifie tout simplement qu'il y a une guerre de communication entre Microsoft et Google;

Au passage Mcrosoft fait de la dsinformation sur ce coup la... tonnant non ?

le twit : 
_I'm getting pretty tired of all the "5 days" hate mail. Those five days were spent trying to negotiate a fix within 60 days._

J'aimerai bien savoir pourquoi M$ n'a pas voulu entendre parler de ces 60 jours...

----------


## simonlourson

Ce qui serait vraiment drle (ou ironique, plutt), a serait que google se prenne une attaque sur ses serveurs de la part de pirates qui utiliseraient la faille dcouverte par Travis... Il y en aurait un qui perdrait son job, je pense.

----------


## benzoben

J'ai toujours trouv marrant ces gens qui cherchent des failles pour "aider son prochain"!
M$ n'a certainement pas jug bon de corriger la faille car bien qu'existante, elle n'tait peut tre pas trs expose et donc dangereuse. Ce qui a vex notre bon samaritain qui a alors dcid "tout seul" de publier son PoC.

----------


## Bart-Rennes

> J'ai toujours trouv marrant ces gens qui cherchent des failles pour "aider son prochain"!
> M$ n'a certainement pas jug bon de corriger la faille car bien qu'existante, elle n'tait peut tre pas trs expose et donc dangereuse. Ce qui a vex notre bon samaritain qui a alors dcid "tout seul" de publier son PoC.


+1

----------


## mizuka

Faudrait surtout que Google arrte de tenir responsable Windows XP comme ayant des failles de scurites avec comme argument un OS vieux de 9 ans qui commence  tre dlaiss par de plus en plus d'utilisateurs. Si Google avait l'initiative de passer  Windows 7, ils pourraient moins la ramener sur ce sujet. De plus je pense que Google le fait exprs pour provoquer Microsoft car ce sont des concurrents aprs tout ! Libre  eux de passer sous Linux ou Mac, mais qu'ils arrtent de nous casser les pieds avec leur piques lancs sur un systme dpass depuis un bon bout de temps.

----------


## kaymak

> Faudrait surtout que Google arrte de tenir responsable Windows XP comme ayant des failles de scurites avec comme argument un OS vieux de 9 ans qui commence  tre dlaiss par de plus en plus d'utilisateurs. Si Google avait l'initiative de passer  Windows 7, ils pourraient moins la ramener sur ce sujet. De plus je pense que Google le fait exprs pour provoquer Microsoft car ce sont des concurrents aprs tout ! Libre  eux de passer sous Linux ou Mac, mais qu'il arrtent de nous casser les pieds avec leur piques lancs sur un systme dpass depuis un bon bout de temps.


En mme temps quand tu travailles sur internet tu es oblig de continuer de garder des OS de ce got l dans ton parc de machine afin de procder  des tests de compatibilit de tes plateformes web.

En effet, il reste encore pas mal de personnes qui utilisent cet OS, et il n'existe pas de meilleurs moyens que le test grandeur nature alors qu'aucun standard n'est respect dans ces vieilleries, (qui par ailleurs ragissent trs diffremment d'une version mineure  une autre).

Maintenant, et cela ils ne l'ont pas dit, c'est effectivement de leur tort si les machines infectes taient des machines de prod, et non de test.
En mme temps, MS laisse assez peu de possibilits pour tester ces versions bugges, et pleines de troues de scurits, que de les installer soit dans une machine virtuelle, soit sur de vritables machines.

Et connaissant le monde du marketing, je comprends tout  fait que les admins les aient laisss si longtemps sur de telles versions de windows.
1/ Les marketeurs le connaissent trs bien
2/ Les marketeurs n'ont pas de logiciels supplmentaires  excuter (L'informatique est un truc trs compliqu pour eux...)
3/ Pas de cots de transfert de comptence, ni d'administration, d au passage d'un os  l'autre

Alors que si Google avait souhait faire le ncessaire plus tt,
1/ ils auraient d payer pour effectuer les maj,
2/ payer pour maintenir des anciennes versions de tests  disposition,
3/ supporter le cot d'apprentissage de ces utilisateurs
4/ supporter les cots d'administration du nouvel OS, en plus de l'ancien
5/ supporter les cots d'incompatibilit hardware et logiciel (passer  7 n'est pas forcment la panace pour un admin, ne citons pas vista..... cela ne ferait qu'enfoncer plus encore Microsoft)
6/ c'est de toute faon tout ce qu'ils leurs restent faire.... Vu qu'ils ne peuvent pas compter sur Microsoft.

Non franchement je comprends qu'ils aient laiss une situation aussi naze aussi longtemps, mais pour autant google n'est pas le seul, cette situation est valable pour bien des entreprises.

Pour finir, c'est bien  Microsoft de grer les bugs et corrections sur les versions actuellement dployes.
Pas au admins des millions d'entreprises parpills  travers le monde de trouver des solutions de contournement cher, compliques, redondantes, et demandeuse d'argent, de temps humain.

Et que l'on ne me rtorque pas que google doit abandonner ou pousser  l'abandon de cet OS, les gens qui utilisent cet OS sont en partie le gagne pain de google, google a besoin que ces gens l aussi puissent accder  leurs services dans les meilleures conditions, d'abord et avant tout.

Pousser  l'abandon est une solution de rsignation, qui plus est, en complte contradiction avec l'ide d'accessibilit au web pour tous, du moins le plus grand nombre (et c'est dj pas mal).

L'OS n'est qu'un outil dans la chaine du web, dont les plateformes webs subissent les alas.
C'est pourtant pas faute d'avoir fait des standards.


Bon j'ai un peu driv, mais c'est pas grave, j'aime bien en remettre une couche.

.

Aprs l'autre ing-machin de chez google est un gros boulet irresponsable sans nom qui mriterait de se faire slapper cent fois en vido sur youtube.

----------


## psychadelic

> ../ Si Google avait l'initiative de passer  Windows 7, ils pourraient moins la ramener sur ce sujet.


Nimportnawak...  ::roll:: 
Windows 7 est sorti il y a mme pas 8 mois

Dans ma boite, la certification Windows Vista a t abandonne pour celle du "seven", et vu le budget que a reprsente (grosse banque) et les mauvaises expriences avec les services de soutient de M$ et ce malgr des contrats de support technique aux tarifs les plus chers, on est pas trop press.

Les conseilleurs ne sont pas les payeurs...  ::ange::

----------


## lequebecois79

en mme temps, 5 jours c'est dj norme quand on pense que sous linux c'est trs souvent dans la mme journe

----------


## kaymak

> en mme temps, 5 jours c'est dj norme quand on pense que sous linux c'est trs souvent dans la mme journe


Tu as des stats pour avancer cela ? Car cela ressemble fortement  l'ide reue qui veut que linux soit moins une passoire que windows, chose qui reste  prouver par un acharnement aussi convaincant que celui des pirates envers windows de nos jours..

5 jours a peut tre beaucoup comme trs peu, tout dpend des moyens affects, des incidences sur la chaine de production ect
Rappelons que l'on parle ici d'une entit commerciale, de windows xp un os avec lequel microsoft, et ces concurrents on beaucoup appris.... par les erreurs.

Comme bien souvent en informatique.

----------


## Archeus

> Et connaissant le monde du marketing, je comprends tout  fait que les admins les aient laisss si longtemps sur de telles versions de windows.
> 1/ Les marketeurs le connaissent trs bien
> 2/ Les marketeurs n'ont pas de logiciels supplmentaires  excuter (L'informatique est un truc trs compliqu pour eux...)
> 3/ Pas de cots de transfert de comptence, ni d'administration, d au passage d'un os  l'autre


Curieux comme exemple.

Je connais bien le monde du marketing aussi, et je ne vois pas en quoi il diffre des autres services d'une socit sur le plan informatique.

En quoi XP est-il plus adapt au marketing ?

En quoi les marketeurs sont-ils moins bien forms  l'outil informatique et plus rticents au changement ?

T'as des stats pour avancer cela ? (joke inside  ::): )

----------


## nico44

Non il ne fallait probablement pas publier cette information aussi tt...
a ne profite ni  Microsoft (bien sr), ni aux utilisateurs (exploits possibles), ni  Google (on les sent un peu gns pour le coup).

----------


## kaymak

haha pas mal. c'est pas faux. C'est du ressenti constat, ni plus ni moins, c'est vrai.

Je prends le market comme exemple, non pas pour les chtier particulirement, mais simplement parce que eux sont trs demandeurs de cette rtro compatibilit permanente vis--vis de leurs cibles.
Il ne me semble pas non plus avoir dit qu'XP tait le plus adapt.
J'aurai d prciser que par sa popularit, XP, me semble tre l'os le mieux maitris par le tout venant, o je cible  particulirement le market dans mon message prcdent. 

Je vais me prendre comme exemple, mets moi sur office 2007, je me dbrouille pour faire ce que je souhaite dans le temps impartis.
Mets moi sur la suite office 2010, et l je vais svrement galrer, pour une histoire de menus !! C'est rageant et contre productif, peut-tre me direz vous que je ne suis pas dou avec ces outils, c'est possible aussi... Mais c'est l une autre histoire.




> En quoi les marketeurs sont-ils moins bien forms  l'outil informatique et plus rticents au changement ?


Pas ncessairement rticents, mais ils aiment rester proche des habitudes de leurs clients pour en comprendre, en constater, prvoir les problmes rencontrs.
Aprs la rticence, s'il y en  une elle est partout pareil, mais c'est surtout histoire de temps dpens  r apprendre des acquis, donc ce n'est qu'une histoire d'argent.

Par contre, il ne me semble pas avoir dit qu'ils taient moins bien forms, sur ce sujet, je me contenterais simplement de dire : chacun son mtier ? : )

Aussi aurais-je peut-tre d prciser que pour une entreprise il n'y a pas que XP, il y  tout le reste autour. La messagerie, les documents, le partage, la compatibilit ect ect autant de freins au changements, autant d'acquis  re travailler / apprendre / valuer ect ect, selon le point de vu.

Par contre ce n'tait pas une joke sur la rapidit des patchs, s'il dit vrai, ce que je me souhaite tournant sous ubuntu, j'aimerais bien le voir de mes yeux.

fin voila, bien vu, merci et a plus

----------


## arno31

> ```
> 
> ```
> 
> Cette mthode est ridicule laisser moins d'une semaine pour diter un patch de scurit alors qu'il a certainement fallu plus de temps pour trouver cette faille.
> N'oublions pas que xp est ancien.
> 
> Pourquoi Microsoft ne mettrait pas une partie de ses Chercheurs (hacker)  publier des failles sur les autres systmes d'exploitation ds qu'ils sont trouves.
> 
> ...


Si vous suiviez l'actualit des MAJ de Windows, vous sauriez que Microsoft  maintes fois ngliger de corriger des failles de scurit qui avaient t portes  leur attention.
Tant que cela ne fait pas de bruit pourquoi s'embter  corriger une faille ?

----------


## pseudocode

> D'aprs vous, dans cette affaire, Tavis Ormandy a-t-il agit en totale indpendance par rapport  son employeur ?


Si Tavis Ormandy avait trouv une faille dans Android ou Chrome, aurait-il balanc un PoC au bout de 5 jours ? Hmmm ? Surement pas. 

Maintenant, est-ce une volont dlibre de Google de rabaisser Windows XP a chaque occasion ?  Ca y ressemble de plus en plus. 

Je suppose que l'objectif de Google est de prsenter ChromeOS comme une alternative  la migration XP/Seven. Le timing parrait bon, en tout cas.




> Fallait-il publier une preuve de faisabilit sur la faille de Windows XP aussi rapidement ?


Pour atteindre leur objectif : oui.   ::aie::

----------


## dams78

> Faudrait surtout que Google arrte de tenir responsable Windows XP comme ayant des failles de scurites avec comme argument un OS vieux de 9 ans qui commence  tre dlaiss par de plus en plus d'utilisateurs. Si Google avait l'initiative de passer  Windows 7, ils pourraient moins la ramener sur ce sujet. De plus je pense que Google le fait exprs pour provoquer Microsoft car ce sont des concurrents aprs tout ! Libre  eux de passer sous Linux ou Mac, mais qu'ils arrtent de nous casser les pieds avec leur piques lancs sur un systme dpass depuis un bon bout de temps.


Xp est toujours maintenu par Microsoft? Oui donc Google paye pour ce service, alors je vois pas pourquoi une entreprise devrait migrer tous ces posts ds qu'un nouveau OS sort...
Ya qu'a voir comment a se passe dans l'industrie, ici il y a encore des postes sous 2000 et la migration se fait sur Vista puisque la validation d'un OS est quelque chose de trs lourd et long donc on va pas s'amuser  changer d'OS pour tre  la mode.

----------


## peychart

> ```
> 
> ```
> 
> Cette mthode est ridicule laisser moins d'une semaine pour diter un patch de scurit alors qu'il a certainement fallu plus de temps pour trouver cette faille.
> N'oublions pas que xp est ancien.
> 
> Pourquoi Microsoft ne mettrait pas une partie de ses Chercheurs (hacker)  publier des failles sur les autres systmes d'exploitation ds qu'ils sont trouves.
> 
> ...



Certes, on peut aussi se demander pourquoi M$ ne paye pas ses programmeurs  corriger leurs propres erreurs ; en 9 ans et en plus avec disponibilit des sources, cela devrait leur laisser pas mal d'avance sur la concurrence, non ?!... 
Pour info, il y a plein de gens qui font a gratuitement en continu sur Internet pour Linux. Ceci expliquant peut tre cela quand  la stabilit compare des deux systmes ;-)

----------


## Invit1

Bonjour,

Si je me suis tourn vers Linux, c'est justement parce que Microsoft se fout de ses clients et idoltre leur porte monnaie.

Un OS vieux de plus de 9 ans avec encore des failles importantes est la preuve de ce mpris du client.

Aujourd'hui, bien que la mthode soit des plus agressives, Microsoft est oblig de travailler non pas pour lui et son compte en banque, mais pour le client (enfin la vue qu'a le client de Microsoft)

Si toutes les failles taient ainsi dvoiles avec une mthodologie quant  son utilisation, trs probable que Microsoft y aurait gagn en crdibilit.

On ne compte plus les dsinformations qu'il lance contre Linux entre autre. Pourtant, aujourd'hui son hgmonie est remis en cause directement et la notion de qualit lui est envoy en plaine face.

Le client ne peut qu'tre bnficiaire et au passage  le droit de demander des compte  Microfoft sur les autres failles depuis longtemps signal et non encore solutionn.

Microsoft rcolte, Microsoft sme...

Couik

----------


## stardeath

> Un OS vieux de plus de 9 ans ...


tu as mis le doigt sur un problme, l'os a 9 ans, et je doute que mme les diteurs de solutions linux aient des supports aussi longs (pour info ubuntu desktop lts a un support de 3 ans).

----------


## Rams7s

> tu as mis le doigt sur un problme, l'os a 9 ans, et je doute que mme les diteurs de solutions linux aient des supports aussi longs (pour info ubuntu desktop lts a un support de 3 ans).


Je pensais pas faire une rponse aussi simple un jour:
+1

http://www.sophos.com/blogs/sophoslabs/?p=10045
Si la faille avait t exploit avant, comme le dit le chercheur, sophos indiquerait peut-tre pas que c'est la premire fois qu'un de leur machines victime tombe dans le pige?  ::roll:: 
Bref, une belle btise de lcher la POC comme a.

----------


## danbo52

Bonjour,

bon, je ne suis pas un expert, loin de l, mais j'essaie de comprendre la dmarche.

Je me pose toujours la mme question dans des cas comme celui cit : "Quelle est la vritable intention du protagoniste ?"

J'ai vcu dans l'industrie High-Tech, et j'ai trouv une forme d'intelligence dans la comptition.
Des entreprises en mca de prcision, lectronique, optique, etc..., par exemple, pour s'loigner de l'informatique), sur des marchs prometteurs et juteux ont une autre approche que la descente publique aux enfers ( j'tais dedans):
1) elles ne s'occupent pas de la concurrence pour la descendre, mais pour l'analyser (leurs produits, et sous toutes les coutures), afin d'tablir une valeur technique selon une grille.
2) elles mettent sur le march un produit innovant (donc apparemment diffrent), mais font en sorte de se positionner comme des novateurs plutt que comme des concurrents, afin d'ter toute agressivit et de focaliser l'nergie sur leur propre savoir -faire.
Elles partent du principe qu'il y a une concurrence, mais que leur produit tant unique, il n'y en a pas dans le mme temps, car elle place trs haut les exigences qualitatives. elles focalisent la qualit  travers les hommes et non  travers les marchs.
3) enfin, globalement, il est quasiment inutile d'y placer une ISO quelconque tant ce guide est dpass par le niveau qualitatif apport.
J'ai connu une entreprise italienne se faire jeter par un constructeur automobile P, car elle refusait d'entrer dans le systme ISO, c'est__dire, qu'elle avait anticip , avec son dosage, aux failles de ses produits.
Elle a donc t rejete par la socit P.
Or, cette fameuse socit P n'a pas pu trouver d'quivalent qualitatif de ces produits sur le march mondial, et elle est donc revenue sur cette performante entreprise italienne.

Moralit : Quand on croit en son produit, mais surtout en ses hommes, quand on sait couter le march, rpondre au plus prs aux attentes, quand on ne se prsente pas comme un gourmand, qu'on met en place une politique marketing et qualitative de trs haut niveau (et a cote trs cher), qu'on le fait avec des passionns, on peut esprer trouver sa place sur un march sans avoir  attaquer un d'ennemi.

Que Google et Microsoft se battent pour des enjeux conomiques normes est une chose, qu'ils dveloppent en se respectant en est une autre.
Tous les intrts qui courent sous les aspects mdiatiques sont d'une dimension qui peut parfois nous dpasser. Toutefois, l'ide que je retire de ce billet (fort intressant), va au-del de la polmique, elle m'interroge sur l'tat d'esprit de ces deux entreprises, sur l'image relle qu'elles laissent (souris mignonnes quand on les caresse, mais aux dents longues comme des sabres), et elle me laisse une si mauvaise impression, que, bien que les produits qu'elles dveloppent soient intressants, j'aurais envie de courir chez d'autres concepteurs.

Plus je lis les articles de bagarres entre ces entreprises, comme Nokia contre Apple (si ma mmoire est bonne, etc...), plus je suis pour un dveloppement  diffrent, un peu comme Blender 3D face  3DS ou consorts.

... moins que je me sois tromp de raisonnement.

----------


## benzoben

> Plus je lis les articles de bagarres entre ces entreprises, comme Nokia contre Apple (si ma mmoire est bonne, etc...), plus je suis pour un dveloppement  diffrent, un peu comme Blender 3D face  3DS ou consorts.


Tu ne peux pas comparer la lutte Nokia/Apple et celle de Blender / 3DS. Dans le premier cas, c'est une lutte conomique et pas dans le second cas. Dire que Blender, c'est les "bons" n'a pas de sens car ils n'ont pas les mmes motivations que les seconds.

Pour revenir sur le problme de dpart, c'est la mme chose : dans le monde du libre, corriger un bug est plus simple puisque c'est la mme communaut qui trouve les bugs et qui les corrige, quand ce n'est pas celui qui a trouv le bug qui le corrige. En plus, ils travaillent directement sur le code puisqu'il est ouvert donc la correction est plus vidente. 
La, c'est un mec extrieur  une boite prive et qui lui dit vas-y fais-le! C'est normal qu'il y ait des rticences

----------


## Gordon Fowler

*Les pirates exploiteraient dj la faille de Windows XP*
*Divulgue par un employ de Google, qui se dfend des accusations de Microsoft*


Tavis Ormandy, l'employ de Google qui a mis  jour une faille dans le Centre d'Aide et de Support de Windows XP et qui a publi un exploit montrant comment il tait possible d'en tirer profit, se dfend d'avoir eu un comportement irresponsable.

Il affirme dans un Tweet que, contrairement aux dires de Microsoft, il n'a pas laiss 5 jours mais deux mois  l'diteur de Windows (60 jours) pour colmater la faille.

Ce serait donc l'inertie de Redmond qui l'aurait dcid  rendre publique une preuve de faisabilit (lire ci-avant).

Accusation contre accusation donc, les choses risquent encore moins de se calmer depuis que Sophos, fournisseur de solutions de scurit, a publi un post dans lequel il rvle avoir repr des attaques qui utilisent ces travaux.

_ Aujourd'hui, nous avons dtect pour la premire fois un malware qui se propage via des sites compromis. Ce logiciel malicieux tlcharge et excute des composants malveillants (Troj/Drop-FS) sur l'ordinateur des victimes en exploitant cette vulnrabilit [NDR : celle du Centre d'Aide et de Support de Windows]_ .

Microsoft ne contredit pas ce constat, mais note que les attaques sont trs limites.

Pour l'instant.

Car pour la socit, il ne fait aucun doute que les choses vont empirer. La divulgation publique de cet exploit par Ormandy ne pourrait avoir que des consquences ngatives et les experts en scurit de Microsoft s'attendent  une monte en puissance des attaques.

Pour mmoire Windows Server 2003 est galement impact et un correctif sorti en urgence est disponible sur le site de Microsoft.

Il doit permettre de scuriser les deux OS dans l'attente d'une mise  jour de scurit plus complte.

Quant  la polmique, elle continue d'enfler autour de ces 60 jours et de ces attaques  in the wild .

Etait-ce la bonne manire de faire de la part d'Ormandy ? Y'a-t-il des arrires penses dans ses travaux (lire ci-avant) ?  Microsoft a-t-il t trop lent  ragir ?

Autant de questions qui devraient laisser des traces durables dans les relations, dj tendues, entre Google et Microsoft.

*Source* : Le Tweet de Tavis Ormandy et la publication de Sophos

----------


## Paul TOTH

> Un OS vieux de plus de 9 ans avec encore des failles importantes est la preuve de ce mpris du client


Il a galement fallu 9 ans pour la dcouvrir cette faille ... elle ne doit donc pas se voir comme le nez au milieu du visage  ::): 

Quant au temps de ractivit de MS, on peut aussi le comprendre. Windows c'est des tas de machines dans le monde avec des tas de config diffrentes et des tas de langues diffrentes. On n'a dj vu des patch rendre certains soft inoprants...prendre le temps de faire un patch qui ne fait pas pire que mieux et tout  fait acceptable  mon sens.

Pour protger vos machines des attaques rseau il faut avant tout un firewall indpendant de la machine...s'il est dessus il est dj quasi trop tard.

----------


## Invit

> Etait-ce la bonne manire de faire de la part d'Ormandy ?
> 
> Pour mmoire Windows Server 2003 est galement impact et un correctif sorti en urgence est disponible sur le site de Microsoft.


On dirait bien!!!

----------


## loufab

Laisser 5 jours, 1 mois ou 10 ans le constat est le mme ; il a publi la mthode. Son irrsponsabilit permet  un plus grand nombre de nuisibles de l'exploiter.

Bizarrement au mme moment ou son employeur dcide de lancer son propre SE. On nous prend pour des buzes.

La prochaine fois que To voudra faire une publication qu'il le fasse avec du constructif, mais en a-t-il la capacit ?

----------


## Flaburgan

Je pense qu'on ne peut pas rpondre  "pourquoi a-t-il publi un descriptif de l'attaque". Rellement pour forcer Microsoft  agir ? Pour le dcrdibiliser ? Avec ou sans l'appui rel de Google ?

Mais la vraie question n'est pas forcment pourquoi, mais plutt quelles sont les consquences pour les utilisateurs.
Certes, en agissant de cette manire, un patch de scurit est sorti. Mais en consquence, les lammers sont au courant de la faille, et savent comment l'exploiter.
Nous savons aussi que la majorit des utilisateurs mettent trs longtemps avant de mettre  jour leur systme d'exploitation. C'est encore plus vrai dans notre cas puisque nous parlons d'utilisateurs d'XP, ce qui est bien une preuve qu'ils ne mettent pas  jour rgulirement, 2 OS tant sortis depuis.

L'essentiel pour l'utilisateur est que la faille ne soit pas exploit. La question finale est donc, vaut-il mieux une faille connue et patche, ou une faille inconnue et donc inutilise ?
Certes, un pirate aurait pu trouver la faille avant que Microsoft ne sorte le patch, mais si cette faille est reste introuve depuis 9 ans, cette situation n'aurait srement pas eu lieu.

Nous sommes donc d'accord je pense pour dire qu'il vaut mieux une faille inconnue non patche qu'une faille connue patche mais dont la majorit des utilisateurs n'appliquent pas le patch...

Les utilisateurs sont donc les grands perdant de l'histoire, leur systme n'est pas plus  jour avant qu'aprs la POC, mais les pirates sont par contre au courant de l'existence du problme...

----------


## yoyo88

> Certes, en agissant de cette manire, un patch de scurit est sorti. Mais en consquence, les lammers sont au courant de la faille, et savent comment l'exploiter.


non justement il n'y a pas de patch de scurit de sortie... et c'est bien l le problme...

----------


## lequebecois79

> Tu as des stats pour avancer cela ? Car cela ressemble fortement  l'ide reue qui veut que linux soit moins une passoire que windows, chose qui reste  prouver par un acharnement aussi convaincant que celui des pirates envers windows de nos jours..
> 
> 5 jours a peut tre beaucoup comme trs peu, tout dpend des moyens affects, des incidences sur la chaine de production ect
> Rappelons que l'on parle ici d'une entit commerciale, de windows xp un os avec lequel Microsoft, et ces concurrents ont beaucoup appris.... par les erreurs.
> 
> Comme bien souvent en informatique.


Tu regardes les sites de red hat, Novell quand ils font les mises  jour vs quand la faille a t annonce ou bien tu suis les mailing list.

----------


## lequebecois79

> Il a galement fallu 9 ans pour la dcouvrir cette faille ... elle ne doit donc pas se voir comme le nez au milieu du visage 
> 
> Quant au temps de ractivit de MS, on peut aussi le comprendre. Windows c'est des tas de machines dans le monde avec des tas de config diffrentes et des tas de langues diffrentes.


Rien d'exceptionnelle...

Regarde linux, autant de langues voire plus, encore plus d'architecture supporte. Tu peux compter tous les systmes embarqus de la laveuse en passant par les baladeurs, l'imprimante au super calculateur....

----------


## ferber

Chaque System a des failles, y compris les serrures de nos portes d'entre et les System de scurit des maisons (quand il y en a ), et dans l'absolu quelqu'un qui fournit des mthodes pour faire des passes partout et violer les systmes de scurit de nos lieux d'habitation, entrainant  coup sur des vols et autres faits divers lugubre... est un criminel qui mrite la prison.

----------


## Haress

Un type trouve un moyen pour reproduire les cls de vos maisons. Il vous laisse 5 jours pour changer la serrure, aprs quoi, il filera  tout un chacun le moyen de les reproduire lui aussi, vous allez franchement trouver ce mec super honnte?
Soit disant que s'il incite les gens  venir vous voler en toute impunit, c'est uniquement pour votre scurit future! Va raconter a au mec qui aura perdu tout son matos, car pas assez rapide !  ::ccool::

----------


## ferber

Je rajouterais que le patch risque possiblement de rendre instable mon systme. Et si c'est pire qu'avant.... les conditions d'utilisation stipulent a :



> Limitation et Exclusion de recours et de dommages. Vous pouvez obtenir de Microsoft et de ses fournisseurs une indemnisation en cas de dommages directs limits uniquement  hauteur de 5,00 $ US. Vous ne pouvez prtendre  aucune indemnisation pour les autres dommages, y compris les dommages spciaux, indirects ou accessoires et pertes de bnfices.


Ma question et la suivante : Tavis Ormandy a-t-il prvue un fond indemnisation pour les victimes de sa dcouverte ? ::arf::

----------


## kain_tn

> tu as mis le doigt sur un problme, l'os a 9 ans, et je doute que mme les diteurs de solutions linux aient des supports aussi longs (pour info ubuntu desktop lts a un support de 3 ans).


Sur ce point tu as raison, sauf que pour Ubuntu, tu peux passer  la version suivante:
gratuitement (mais a c'est vident, donc ce n'est pas vraiment un argument)de faon automatique directement au niveau du systme de mises  jour, (et s'il est vrai que le tout premier fonctionnait mal, aujourd'hui, aprs X version, a passe tout seul)lorsque tu passes  la version suprieure, tu n'as pas besoin d'aller te racheter un PC et tu gardes la compatibilit avec tous tes logiciels. a c'est un argument, plus fort que le (1). En effet, si les gens restent sur un OS vieux de 9 ans, ce n'est pas une question de prix de l'OS mais de lourdeur du bouzin (eh, oui, c'est gourmand en ressources ces petites btes l) et aussi de compatibilit de logiciels, mme si je dois reconnaitre que M$ a fait des progrs de ce ct l (si on compare la compatibilit entre 95 et 2000 par exemple).

PS: Ce n'est pas un troll mais juste le point de vue personnel de quelqu'un qui utilise quotidiennement plusieurs OS dont Windows... C'est juste lourd de voir les gens cracher sur un OS ou sur un autre alors qu'ils y ont  peine touch ou tout juste entendu parler.

Etait-ce la bonne manire de faire de la part d'Ormandy ?
--> Il aurait pu arriver au rsultat sans prciser au passage qu'il bossait pour Google... C'est juste un gros coup de buzz. Aprs, s'il a pay pour acheter cet OS et que ce n'est pas contre les conditions d'utilisation eh bien il fait ce qu'il veut mme si c'est critiquable.

----------


## Joker-eph

> Sur ce point tu as raison, sauf que pour Ubuntu, tu peux passer  la version suivante:


Et j'ajouterais  ta liste : "Tous les 6 mois" ;-)

----------


## Joker-eph

> Laisser 5 jours, 1 mois ou 10 ans le constat est le mme ; il a publi la mthode. Son irrsponsabilit permet  un plus grand nombre de nuisibles de l'exploiter.
> 
> Bizarrement au mme moment ou son employeur dcide de lancer son propre SE. On nous prend pour des buzes.
> 
> La prochaine fois que To voudra faire une publication qu'il le fasse avec du constructif, mais en a-t-il la capacit ?


Toi, t'as tout compris aux principes habituels dans le monde de la scurit :

"In the case that a vendor is notified and a fix is not produced within a reasonable time, disclosure is generally made to the public. Opinions differ on what constitutes a reasonable time. Fourteen to thirty days is typical [...]"

14  30 jours c'est typique comme dlai raisonnable laiss  l'diteur pour corriger le problme.

http://en.wikipedia.org/wiki/Full_disclosure
http://en.wikipedia.org/wiki/Responsible_disclosure

----------


## umeboshi

> Un type trouve un moyen pour reproduire les cls de vos maisons. Il vous laisse 5 jours pour changer la serrure, aprs quoi, il filera  tout un chacun le moyen de les reproduire lui aussi, vous allez franchement trouver ce mec super honnte?
> Soit disant que s'il incite les gens  venir vous voler en toute impunit, c'est uniquement pour votre scurit future! Va raconter a au mec qui aura perdu tout son matos, car pas assez rapide !


j'aime bien la mtaphore  ::):  mais c'est encore pire : c'est comme ci un mec reproduit les cls de ta maison et que de ta maison on puisse passer par un sous-terrain pour rejoindre celles des voisins  ::ccool::

----------


## yoyo88

> Toi, t'as tout compris aux principes habituels dans le monde de la scurit :
> 
> "In the case that a vendor is notified and a fix is not produced within a reasonable time, disclosure is generally made to the public. Opinions differ on what constitutes a reasonable time. Fourteen to thirty days is typical [...]"


sauf qu'on parle de Windows, pas du petit site web de l'association des retraits de St jean sur gneugneu.

Corriger une faille dans Windows c'est quand mme plus ardu que de balancer un correctif sans l'avoir tester sous prtexte que c'est urgent.




> 14  30 jours c'est typique comme dlai raisonnable, laisser  l'diteur pour corriger le problme.
> 
> http://en.wikipedia.org/wiki/Full_disclosure
> http://en.wikipedia.org/wiki/Responsible_disclosure


surtout que la publication est sortie 5 jour aprs sa dcouverte...

----------


## stardeath

> ...





> Et j'ajouterais  ta liste : "Tous les 6 mois" ;-)


Sauf que personne de sens ne met  jour une machine sensible (serveur, machine de prod, etc) tous les 6 mois, a serait juste suicidaire.

----------


## Louis Griffont

> lorsque tu passes  la version suprieure, tu n'as pas besoin d'aller te racheter un PC et tu gardes la compatibilit avec tous tes logiciels. a c'est un argument, plus fort que le (1). En effet, si les gens restent sur un OS vieux de 9 ans, ce n'est pas une question de prix de l'OS mais de lourdeur du bouzin (eh, oui, c'est gourmand en ressources ces petites btes l) et aussi de compatibilit de logiciels, mme si je dois reconnaitre que M$ a fait des progrs de ce ct l (si on compare la compatibilit entre 95 et 2000 par exemple).


Je ne suis pas sr que le dernier Ubuntu tourne super bien sur une machine vieille de 9 ans !  :;):

----------


## lukeni2

Je pense que publier cette faille 5 jours aprs est une preuve suffisante de la mauvaise  foi dont a fait preuve tavis ormandy. En plus, je suis convaincu qu'il l'a fait avec la bndiction de google.

----------


## kain_tn

> Sauf que personne de sens ne met  jour une machine sensible (serveur, machine de prod, etc) tous les 6 mois, a serait juste suicidaire.


On ne parle pas de mettre  jour la machine tous les six mois. Non, les mises  jours dites de scurits ("update") se font bien plus souvent que a (heureusement).

En revanche, on ne fait pas "d'upgrade" tous les six mois, c'est vident  ::): . C'est bien pour cette raison qu'il existe des versions dites "LTS (Long Term Support)" avec un support de 5 ans pour la version "server". Aprs, mettre  jour l'OS d'un parc (quasi-automatiquement) tous les trois ans quand tu n'as pas le cot de licence  payer et pas  changer ta configuration, c'est assez raisonnable  mon got.




> Je ne suis pas sr que le dernier Ubuntu tourne super bien sur une machine vieille de 9 ans !


Fais le test si tu es prt  mettre ta mauvaise foi lgendaire de ct  ::P: 
(non, plus srieusement, si tu as besoin d'aide pour a, n'hsites pas)


Mais on dvie un peu du sujet l...

----------


## stardeath

> ...


non je parlais justement des mises  jour, et pas du passage  la version suprieure. c'est extrmement rare (pour ainsi dire, j'ai jamais rencontr personne le faisant) qu'un admin mette  jour rgulirement une machine sensible. mais aprs ce n'est pas parce que je connais personne qui le fait que c'est comme a partout.

----------


## singman

Je pense que tout le monde est d'accord sur un point :
Publier un PoC 5 jours c'est une mauvaise chose, le publier aprs avoir laiss 30  40 jours pour une correction c'est ncessaire.

La seule question valable est donc : quel dlai a eu Microsoft pour corriger la faille ? 5 jours ou 40 jours ?

----------


## Mdinoc

Si j'ai bien compris le tweet, ils ont eu 5 jours pour _accepter de corriger la faille dans les 60 jours_.

----------


## pascalfares

Bonsoir

De toute manire il faut bien admettre de vivre avec les dfauts des systmes informatique! Nous acceptons bien de vivre avec des Humains malades!

----------


## badabadoo

> *Source* : La publication de la dcouverte de Tavis Ormandy


Est-ce normal que le lien renvoie vers un EXPLOIT.CVE-2010-1885.b ?

----------


## henolivier

> Sur ce point tu as raison, sauf que pour Ubuntu, tu peux passer  la version suivante:
> lorsque tu passes  la version suprieure, tu n'as pas besoin d'aller te racheter un PC et tu gardes la compatibilit avec tous tes logiciels. a c'est un argument, plus fort que le (1). En effet, si les gens restent sur un OS vieux de 9 ans, ce n'est pas une question de prix de l'OS mais de lourdeur du bouzin (eh, oui, c'est gourmand en ressources ces petites btes l) et aussi de compatibilit de logiciels, mme si je dois reconnaitre que M$ a fait des progrs de ce ct l (si on compare la compatibilit entre 95 et 2000 par exemple).


Tiens, c'est marrant, 
je suis pass de 9.04 a 9.10 hier (en attendant de passer en 10.04 aujourdhui) 
et donc le passage de l'un a l'autre m'a fait planter mysql sur ma machine (car une librairie obsolte avait t dsinstalle). 
La correction tait assez aise (une fois que l'on a trouv le problme) mais pas automatique...

----------


## Invit1

Bonjour,

Je pense qu'il y a deux faons de voir la chose :

1 - Le publicateur annonce qu'il a laiss plus de temps que les 5 jours pour faire un patch (vrai ou faux ?), le fait indpendamment de son employeur (vrai ou faux). N'oublions pas que l'un comme l'autre utilise le public en tmoin via des affirmations, dsinformations, contre-vrit pour tre soit pour une cause, ou contre une autre...

2 - Il est  noter que Microsoft n'a pas l'habitude de ragir vite. Peut-tre est-ce l'occasion de se mettre un peu plus au service des clients. N'oublions pas ses habitudes de vendre des produits non finis qui au nom des bugs impossibles  viter se moque des consquences pour ses clients. Se moque galement des compatibilits des logiciels onreux du clients en les rendant inoprant.

Ainsi, s'il est anormal que l'on publie ce qu'il faut pour exploiter une faille, il est aussi anormal de prendre son temps pour corriger des failles importantes. Microsoft a les moyens d'avoir une quipe spcialis pour les correctifs au mme titre qu'il a les moyens d'tre condamner pour vole de brevet, copie etc...

Franchement, condamner l'un sans l'autre n'a pas de sens. La mauvaise foi de l'un utilisant la mauvaise foi de l'autre

Moralit : plus la concurrence est forte, plus la morale se fait discrte et moins le client a de valeur (sauf son porte monnaie)

Les deux sont  condamner !

Couik

----------


## OWickerman

Le problme de base c'est peut-tre que des gens continuent  utiliser un os sorti en 2001, non ?

----------


## Invit1

> Le problme de base c'est peut-tre que des gens continuent  utiliser un os sorti en 2001, non ?


En changeant de version, il est souvent ncessaire de changer le matriel, les logiciels  cot etc...

On ne peut pas dire que Microsoft soit performant pour la compatibilit

Son OS tant utilis tant par les professionnels que par les particuliers, ces derniers (les particuliers) ne voient pas forcment l'intrt de changer d'OS avec tous les soucis que cela comporte et qu'ils n'ont pas ncessairement la comptence pour grer.

Sachant de plus que changer d'OS, en particulier Microsoft, c'est risquer d'ouvrir son PC  l'extrieur tant il est notoire qu'il y ait un nombre inimaginable de faille. On comprend la rticence du particulier (moi par exemple)

Enfin, ma voiture fonctionne, elle fait ce dont je lui demande... Une nouvelle sort... ben pourquoi en aurais-je plus besoin ?

L'volution technologique va peut-tre plus vite que la mentalit des utilisateurs.

Couik

----------


## cbleas

```
On ne peut pas dire que Microsoft soit performant pour la compatibilit
```

Est-il possible d'utiliser office 97 sur seven?
Est-ce microsoft qui ne permet pas la compatibilit ou les dveloppeurs qui utilisent les dernires technologies?
Regardez les jeux qui demandent la carte graphique spcifique.
Tout n'est pas la faute de microsoft.

----------


## hager55

[CODE]salt,
pour ma part, j'aimerais voir  Tavis Ormandy piloguer sur win7 et win 2008 que sur un vieux systme, il est en manque de Pub et il met Google en mauvaise posture face  Microsoft.
take care [CODE]

----------


## Invit1

> est il possible d'utiliser office 97 sur seven?
> est ce microsoft qui ne permet pas la compatibilit ou les dveloppeurs qui utilisent les dernires technologies.
> Regardez les jeux qui demandent la carte graphique spcifique
> Tout n'est pas la faute de microsoft



Oui, m'enfin bon, je veux bien que les produits internes  Microsoft soit compatible (quoique) mais pour le reste, dans la mesure o il faut payer une dime pour avoir le droit de dvelopper sur cet OS... 

J'ai trop l'exprience des changements d'OS avec  chaque fois des obligation de changement des soft non MS...

On ne me fera pas croire que changer de version d'OS se fait sans douleur.

Quant aux jeux avec les cartes graphiques, c'est une question intressante.
 l'extrme, un jeu impose une marque de carte, de l'autre, conseil fortement mais reste jouable avec des paramtres adapts

Chacun jugera de la pertinence de chacune des mthodes.

----------


## Porkepix

> En changeant de version, il est souvent ncessaire de changer le matriel, les logiciels  cot etc...
> 
> On ne peut pas dire que Microsoft soit performant pour la compatibilit.


C'est peut-tre vrai avec Windows qui a chaque nouvelle version alourdi considrablement le systme (passage XP -> Vista entres autres, au tout dbut de Vista mme les PC vendus avec ramaient comme pas permis). Vista  limite tripl les perfs bouffes par le systme, et a je suis dsol mais a se voit sur strictement aucun autre OS.....

Microsoft et compatibilit? Tu veux du vieux tu gardes ton viel ordi/OS tu veux du neuf? Tu achtes un nouvel ordi/OS.

----------


## yoyo88

> dans la mesure o il faut payer une dime pour avoir le droit de dvelopper sur cet OS...


Tu as d faire beaucoup de dveloppement sous Windows toi...  :;):

----------


## Louis Griffont

> Fais le test si tu es prt  mettre ta mauvaise foi lgendaire de ct 
> (non, plus srieusement, si tu as besoin d'aide pour a, n'hsites pas)


Aucune mauvaise foi. En plus, le fait que le dernier Ubuntu tournerait moins bien ou pas sur une machine vieille de 9 ans ne me choquerais pas plus que a. Mais, non je ne ferais pas le test, pour 3 raisons (2 bonnes et une mauvaise).
La premire c'est que je n'ai pas le temps.
La seconde c'est que je n'ai pas de machine de ce type pour faire le test
La troisime est que je ne suis pas prt  r-essayer un Linux, car certaines personnes ici prsentes m'en ont carrment dgout, et pour longtemps.

Par contre si quelqu'un (de crdible) a essay, c'est peut tre intressant  savoir, non ?

----------


## yoyo88

> Aucune mauvaise foi. En plus, le fait que le dernier Ubuntu tournerait moins bien ou pas sur une machine vieille de 9 ans ne me choquerais pas plus que a. Mais, non je ne ferais pas le test, pour 3 raisons (2 bonnes et une mauvaise).
> La premire c'est que je n'ai pas le temps.
> La seconde c'est que je n'ai pas de machine de ce type pour faire le test
> La troisime est que je ne suis pas prt  r-essayer un Linux, car certaines personnes ici prsentes m'en ont carrment dgout, et pour longtemps.
> 
> Par contre si quelqu'un (de crdible) a essay, c'est peut-tre intressant  savoir, non ?


Je te rejoins, sur le fait que le dernier Ubuntu n'a pratiquement aucune chance de tourne sur une machine vieille de 9 ans.
Car rien qu'au niveau de la ram ou du processeur ce dernier ne serait compltement  la ramasse.

Cependant faut pas voir a comme un affront, le dernier SP de XP n'a lui aussi aucune chance de tourne sur ce genre de machine. (dj que sans les SP c'tait limite...)

----------


## Louis Griffont

> Cependant faut pas voir sa comme un affront, le dernier SP de XP n'a lui aussi aucune chance de tourne sur ce genre de machine. (dj que sans les SP c'tait limite...)


Mais c'est exactement le sens de mon message. 
Dire que changer de Windows, c'est chang de PC, est aussi vrai que de changer de Linux, c'est changer de PC, et, mme si je connais moins, je pense que c'est aussi applicable  MAC OS et ses MAC PC.

----------


## Porkepix

> Je te rejoins, sur le fait que le dernier Ubuntu n'a pratiquement aucune chance de tourne sur une machine vieille de 9 ans.
> car rien qu'au niveau de la ram ou du processeur ce dernier ne serait compltement  la ramasse.



Je suis pas si sr que a personnellement, en grant la chose comme il faut (dsactivation de Compiz) etc. a pourrait passer, a serait par contre ralenti et pas extrmement fluide, je te le concde.

(Experience faite il y a quelques mois d'une debian avec Gnome sur un PIII 700 et quelques Mhz, 128Mo de ram et un DD sacrment lent), a tournait mme si un peu ralenti, et encore je m'attendais  pire vu la config.
Alors oui Ubuntu est plus lourd que Debian par dfaut, mais a se rgle  :;):

----------


## eldran64

+1  ::ccool:: 

Chaque systme d'exploitation a besoin d'une puissance minimum spcifique.
Vous avez juste  lire les configurations recommands pour chaque os pour vous en rendre compte. :;):

----------


## trenton

> Par contre si quelqu'un (de crdible) a essay, ce peut tre intressant  savoir, non ?


J'ai pas essay personnellement mais a la dernire install party  laquelle j'ai particip, on a mis une Debian avec LXDE sur une machine vieille de plus de 9 ans. C'est pas ultra rapide mais c'est utilisable.

----------


## Invit1

> Vista a limite tripl les perfs bouffes par le systme, et a je suis dsol mais a se voit sur strictement aucun autre OS.....


Pour avoir des performances quivalentes au mme OS ou pour tre plus rapide ?
Grande discussion sur ce sujet...  :;): 





> tu a du faire beaucoup de dveloppement sous Windows toi...


Il y a du vrai  :;): 
Ceci dit, pour avoir des donnes spcifiques et dvelopper au mieux, c'est gratuit ?
Ne serait-ce que d'avoir une certification

----------


## stardeath

> Ceci dit, pour avoir des donnes spcifiques et dvelopper au mieux, c'est gratuit ?
> Ne serait-ce que d'avoir une certification


selon ce que tu appelles au mieux,  mon staff je suis sur vs express, donc  part la licence windows, a a rien cout  la boite.

une certif c'est loin d'tre obligatoire pour dvelopper.

----------


## yoyo88

> Il y a du vrai 
> Ceci dit, pour avoir des donnes spcifiques et dvelopper au mieux, c'est gratuit ?
> Ne serait-ce que d'avoir une certification


T'as pas besoin d'avoir une certification pour dvelopper sous Windows. 


Pour les connaissances il y a : les tudes, des livres, dveloppez.com, et les diffrentes aides en ligne type MSDN etc...


Et pour le dveloppement il y a  plein de logiciel entirement gratuit.


Bref j'ai l'impression que tu parles de chose que tu ne connais pas.

----------


## Porkepix

> Pour avoir des performances quivalentes au mme OS ou pour tre plus rapide ?
> Grande discussion sur ce sujet...


Je parle de la config ncessaire  un Vista pour garder la mme fluidit qu'un XP.
Exemple bte, mon dernier laptop achet, sous Vista d'origine, j'ai vu entre 1,3Go et 1,4 de Ram consomme au tout premier dmarrage, encore rien install. CPU (pas petit cpu, un dj pas mal)  20% en idle, normal?
XP sur le laptop prcdent consommait entre 300 et 400 au dmarrage, entre 2 et 3% de cpu en idle (XP SP2 et Vista SP1), voil de quoi je parle comme diffrence de perf notable au niveau de ce que consomme l'OS  ::): 

(Inutile de prciser que le Vista a bien vite dgag  :;):   ::ccool:: )

----------


## Louis Griffont

> Je parle de la config ncessaire  un Vista pour garder la mme fluidit qu'un XP.
> Exemple bte, mon dernier laptop achet, sous Vista d'origine, j'ai vu entre 1,3Go et 1,4 de Ram consomme au tout premier dmarrage, encore rien install. CPU (pas petit cpu, un dj pas mal)  20% en idle, normal?
> XP sur le laptop prcdent consommait entre 300 et 400 au dmarrage, entre 2 et 3% de cpu en idle (XP SP2 et Vista SP1), voil de quoi je parle comme diffrence de perf notable au niveau de ce que consomme l'OS 
> 
> (Inutile de prciser que le Vista a bien vite dgag  )


Je pense qu'on est tous d'accord pour reconnaitre que Vista n'tait pas la panace, et pas du tout optimis. 
Bon, aujourd'hui on est avec Seven, et l, la donne a vraiment chang !

----------


## Haress

Je doute qu'il y ait d'ardents dfenseurs de vista, donc je ne vois pas vraiment l'intrt de cette comparaison. Cet OS tait une perle de lenteur pour un pc non adapt (ce qui est un comble certes, pas la peine de troller sur ce que j'ai dit!).

Et pour les remarques " peine ralenti", c'est justement ce qu'il voulait vous faire dire je pense,  peine ralenti, a prouve dj que ce n'est plus vraiment adapt, Seven passe aussi sur des vieilles btes, j'avais vu des test sur le net (si je retrouve le lien, j'diterais). Chaque changement d'OS, et quelqu'en soit le constructeur, se fera en fonction des machines actuelles, tant mieux si a passe sur des vieilles, tant pis sinon!

Plus on a de perf dispo, moins on optimise hein? C'est comme pour les histoires d'octets, de variables, dans les vieux pc, il fallait faire attention  tout, et actuellement on se retrouve tous parfois avec une variable: bufferFromMyHardDiskAndNotEfficientHere ! (qui sont trs pratiques niveau lisibilit, mais un peu moins en terme de gain de place  ::mrgreen:: )

----------


## Invit

> Microsoft et compatibilit? Tu veux du vieux tu gardes ton viel ordi/OS tu veux du neuf? Tu achtes un nouvel ordi/OS.


Justement c'est M$ qui veut que les ordinateurs sous XP passe  W7 (vu qu'il y a eu un manque  gagner  cause du non passage  VISTA) et les boites/particuliers ne veulent pas.
Google lui veut une part du gteau.



> et donc le passage de l'un  l'autre m'a fait planter mysql sur ma machine (car une librairie obsolte avait t dsinstalle). 
> La correction tait assez aise (une fois que l'on a trouv le problme) mais pas automatique...


La majorit des utilisateurs ne savent mme pas ce qu'est MYSQL ni sous W7 ni sous ubuntu. C'est pour les dev, admin sys bref des gens qui savent grer.



> mme si je connais moins, je pense que c'est aussi applicable  MAC OS et ses MAC PC.


Bah sur mon imac de deux ans le passage de Leopard  snow leopard l'a rendu plus ractif sans problme de compatibilit logiciel.

edit : je sais louis mais comme tu connais pas mac je fais un petit retour d'exprience. De toute faon les mac d'il y 4 ans ou plus taient des power pc incompatible avec les versions actuelles pour intel...
Quant  l'OS c'est interdit mais il tourne trs bien sur un pc (j'ai pas test) et inversement ubuntu tourne trs bien sur mon mac !

----------


## Louis Griffont

> Bah sur mon imac de deux ans le passage de Leopard  snow leopard l'a rendu plus ractif sans problme de compatibilit logiciel.


On parlait de neuf ans, pas de 2. Mais MAC est un peu particulier, puisque l'OS n'est destin qu'une architecture prcise de machines.

----------


## dams78

> tu as mis le doigt sur un problme, l'os a 9 ans, et je doute que mme les diteurs de solutions linux aient des supports aussi longs (pour info ubuntu desktop lts a un support de 3 ans).


Comparons ce qui est comparable... Ca veut rien dire un Linux de 9 ans, puisque si tu prends une Debian par exemple elle va se mettre  jour progressivement (et encore selon les versions : stable / testing / unstable).




> Aucune mauvaise foi. En plus, le fait que le dernier Ubuntu tournerait moins bien ou pas sur une machine vieille de 9 ans ne me choquerais pas plus que a. Mais, non je ne ferais pas le test, pour 3 raisons (2 bonnes et une mauvaise).
> La premire c'est que je n'ai pas le temps.
> La seconde c'est que je n'ai pas de machine de ce type pour faire le test
> La troisime est que je ne suis pas prs  r-essayer un Linux, car certaines personnes ici prsentes m'en ont carrment dgout, et pour longtemps.
> 
> Par contre si quelqu'un (de crdible) a essay, ce peut tre intressant  savoir, non ?


J'ai un portable ThinkPad X24 que j'ai rcuprer alors qu'il tait dj vieux il y a 5 ans et j'ai dessus une Debian stable qui tourne trs bien. Avant j'utilisais kde que certain trouve gourmand, il tournait pourtant bien, depuis je suis pass  xfce histoire d'essayer et surtout pour gagner de la place et c'est vrai que c'est encore plus fluide. Aprs ce qui peut ramer c'est certain logiciel comme Eclipse par exemple mais honntement le systme tourne nickel.




> Mais c'est exactement le sens de mon message. 
> Dire que changer de Windows, c'est chang de PC, est aussi vrai que de changer de Linux, c'est changer de PC, et, mme si je connais moins, je pense que c'est aussi applicable  MAC OS et ses MAC PC.


Je pense qu'il ne faut pas confondre les distributions, ce que tu dis est peut tre vrai pour Ubuntu puisqu'ils ont choisis d'embarquer un maximum de truc, faire du nouveaux tous les 6 mois, etc. Mais pour d'autres distributions ce n'est pas du tout le cas, je pense notamment  Debian, o l'volution du systme et des logiciels se fait progressivement.

----------


## stardeath

> Comparons ce qui est comparable... a veut rien dire un Linux de 9 ans, puisque si tu prends une Debian par exemple elle va se mettre  jour progressivement (et encore selon les versions : stable / testing / unstable).


Pas comparable en quoi? Tu prends un linux sorti il y a 9 ans et tu fais les mises  jour qui le transforme pas en une version suprieure, sinon je vois pas en quoi il y a des versions alors ...

Aprs concernant les versions testing et unstable, j'appelle a des versions pour s'amuser, pas pour bosser (sauf cas le ncessitant, mais c'est pas vraiment pour tout le monde)

Aprs si on me dit que le numro de version ne sert strictement  rien, autant garder que le numro de rvision, mais a je doute.

----------


## dragonblack

Youpi retour sur WindB10w$ $Ucks, Linux rulezz! Heureusement qu'on est sur un site pro sinon on en serait au rglement de comptes  la sortie de l'cole....

Linux est moins attaqu parce que moins de machines l'utilisent, mais la majorit des serveurs sont sous Unix/Linux, et un serveur, a s'attaque, donc la vulnrabilit de Linux est exactement la mme que celle des autres OS.

Autre chose, critiquer XP en le comparant  Ubuntu (merveilleux a...) est vraiment hors de propos. XP est vieux, totalement dpass, et ne gre pas nativement les failles de technologies qui sont apparues des annes APRES sa sortie. Vous reprochez  une 4L de ne pas avoir d'ABS, d'antipatinage, d'airbag et d'afficheur LCD permettant de naviguer sur internet pendant que vous tes sur l'autoroute,  a  ne vous choque pas?

Google critique XP et IE6 aprs avoir t hacks en 2009 ou 2010... Moi je pose de srieux doute quant  leur maitrise de la scurit informatique, ce qui est gnant pour un acteur majeur du web... On connait les risques de scurits lis  des programmes dpasss, il est ridicule de venir pleurer quand on est parmi les leaders informatiques du moment.

Les logiciels utilisent les technologies actuelles, et installer Ubuntu 10.04 sur un PC quip d'un jeu d'instruction SSE 1 va ralentir le systme, aussi fluide et pur soit il, le jeu d'instruction tant plus rduit et donc moins performant, et je ne parle pas ici de la frquence du processeur, de la vitesse de la RAM ou des optimisations de cache, a serait trop facile.

Pour finir, permettre  tout un chacun d'exploiter une faille est  mon sens inexcusable, le pwn2own permet aux diteurs de corriger leurs failles, et leurs dcouvertes ne sont publies QU'APRES les patchs correctif, et a, c'est constructif, et a ne nuit pas aux utilisateurs, de quelques systmes que ce soit.

----------


## henolivier

> On parlait de neuf ans, pas de 2. Mais MAC est un peu particulier, puisque l'OS n'est destin qu'une architecture prcise de machines.


Si je ne me trompe, les Macs, sont passs du PPC  l'intel entre ces 9 annes et (si je ne me trompe toujours pas) les nouvelles versions de Mac OS X n'acceptent pas les PPC...

Par contre, j'ai utilis un Macbook de 2004 ou 2005 (je ne sais plus trop) en fvrier dernier en utilisant la dernire version possible dessus (cela devait tre 1 ou 2 versions avant l'actuelle) et ctait lent, trop lent pour moi par rapport aux standards dont j'ai l'habitude...
(en mme temps, j'avais besoin de beaucoup de produits utilisant beaucoup de mmoire, pas sur qu'un PC de 2004-2005 soit beaucoup plus rapide que le Mac).




> La majorit des utilisateurs ne savent mme pas ce qu'est MYSQL ni sous W7 ni sous ubuntu. C'est pour les dev, admin sys bref des gens qui savent grer.


Le postulat de dpart etait que la mise a jour de version sous ubuntu tait automatique et sans problme et que l'on gardait la compatibilit avec toutes les applications installes, 
la majorit des utilisateurs ne savent ce qu'est MySQL, mais ce ntait pas demand dans l'argument auquel je rpondais.

----------


## Porkepix

dragonblack, quelques nuances :

Premirement, un outil informatique n'est pas une voiture et n'est pas comparable en cela que sauf cas particulier de voitures de sports  XXX milliers d'euros, tu ne changes pas ce qui la compose tel que le moteur etc.
En informatique tu peux aussi bien changer le hardware que le software, de faon totale ou partielle.

Google n'est pas responsable de Windows ni d'IE dont le code source est ferm, ce qui ne permet  personne d'autre que Microsoft de corriger d'ventuelles failles, de mme que pour tester le fonctionnement de ses applis pour tout le monde (donc encore beaucoup d'XP/IE6), Google a besoin d'en avoir  sa disposition.
Dans le cas prsent s'il est vrai que M$ a vraiment eu le temps ou qu'il leur a propos 60 jours pour corriger, avec les moyens financiers et humains qu'ils ont c'tait plus que largement faisable, d'autant que contrairement  quelque chose d'Open Source o celui qui trouve la faille peut prendre son courage  deux mains et s'y coller ( corriger la faille), ici impossible, puisque code ferm.

Pour le coup d'Ubuntu sur vieux matriel, c'est largement faisable/utilisable et pas forcment idiot, tout le monde n'a pas les moyens de s'acheter un ordinateur tous les ans/deux ans, et peut avoir envie de bnficier des dernires technologies disponibles (_"softwarement"_ parlant), tout est histoire d'optimisation.

PS: Les failles Windows et Linux/Unix, le plus faible nombre d'utilisateur n'est pas la seule raison, par dfaut un systme *nix reste bien mieux scuris avec sparation des utilisateurs, des droits, un user simple n'a pas le droit de tout faire, bref pleins de choses diffrent, mme si je suis d'accord que le faible nombre d'utilisateur est galement une raison.
Enfin les systmes *nix de par leur ct Open Source corrigent malgr tout leurs failles largement plus vite, pas d'attente du Thursday patch....

EDIT: Ah et pour le coup de rvler la faille, si M$ a refus de s'en occuper dans un temps raisonnable, personnellement je trouve que c'est dfendable.
Il faut qu'ils assument leur position d'OS le plus rpandu sur le march. Je vois pas pourquoi des OS justement bien moins utiliss seraient plus fiables et patchs plus rapidement....

----------


## ferber

> EDIT: Ah et pour le coup de rvler la faille, si M$ a refus de s'en occuper dans un temps raisonnable, personnellement je trouve que c'est dfendable.
> Il faut qu'ils assument leur position d'OS le plus rpandu sur le march. Je vois pas pourquoi des OS justement bien moins utiliss seraient plus fiables et patchs plus rapidement....


Ce n'est pas dfendable ! Ce mec et un danger public et mrite la prison.
Un utilisateur qui tourne sur xp, doit-il payer la lenteur de Ms, car une seule personne en a dcid, sans consulter personne, pour se faire mousser ?
La faille c'est les utilisateurs de xp et ms qui la subisse.
Cela prouve un grand mpris des utilisateurs d'xp de la part de ce googleur.
Et une belle vision de l'open sources :<< il faut faire payer tous ceux qui ne sont pas d'accord avec nous.>>
Le message est clair : <<restez sur windows et ont fera en sorte que votre pc finisse  la poubelle.>>
Ce sont des mthodes de mafieux.
Du coup qui met les utilisateurs d'xp en danger : Google, ces employs, et les personnes  la vision "open" qui trouve que ce comportement est normal.
Mais qui protge les utilisateurs d'xp : MS.

----------


## Ptigrouick

> Car pour la socit, il ne fait aucun doute que les choses vont empirer. La divulgation publique de cet exploit par Ormandy ne pourrait avoir que des consquences ngatives et les experts en scurit de Microsoft s'attendent  une monte en puissance des attaques.


Consquences ngatives ? Si a oblige MicroMou  se bouger un peu pour colmater la faille, je dirai plutt le contraire...

----------


## dragonblack

> dragonblack, quelques nuances :
> 
> Premirement, un outil informatique n'est pas une voiture et n'est pas comparable en cela que sauf cas particulier de voitures de sports  XXX milliers d'euros, tu ne changes pas ce qui la compose tel que le moteur etc.
> En informatique tu peux aussi bien changer le hardware que le software, de faon totale ou partielle.


Techniquement rien ne l'empche sur une voiture (cf: voitures de rallye), c'est juste qu'il faut des comptences qui sortent de notre domaine professionnel (bienvenu dans le rle du nophyte). 




> Google n'est pas responsable de Windows ni d'IE dont le code source est ferm, ce qui ne permet  personne d'autre que Microsoft de corriger d'ventuelles failles, de mme que pour tester le fonctionnement de ses applis pour tout le monde (donc encore beaucoup d'XP/IE6), Google a besoin d'en avoir  sa disposition.
> Dans le cas prsent s'il est vrai que M$ a vraiment eu le temps ou qu'il leur a propos 60 jours pour corriger, avec les moyens financiers et humains qu'ils ont c'tait plus que largement faisable, d'autant que contrairement  quelque chose d'Open Source o celui qui trouve la faille peut prendre son courage  deux mains et s'y coller ( corriger la faille), ici impossible, puisque code ferm.


MicroSoft a annonc qu'il ne maintiendrait plus IE6, si Google dcide de continuer  les intresser c'est un choix personnel, MS n'est en rien responsable alors qu'eux mme disent qu'IE6 doit tre abandonn.
De plus, on parle ici d'un suivi sur du long terme, avec une quipe qui doit tre relativement rduite, car je doute qu'une entreprise consacre beaucoup de moyen  un produit logiciel de 9 ans... Cette quipe doit donc tre sur tout les fronts via les nouvelles technologies que XP doit prendre en compte. 
Tout le monde critique le modle ferm de MicroSoft mais il semble pourtant que les logicles propritaires et ferms de Mac soit de bons gots, alors que je ne vois pas de diffrence fondamentale dans le modle: vendre un logiciel, et donc par la mme empcher qu'on puisse y toucher ou le copier afin d'assurer des bnefices et d'assurer un suivi.




> Pour le coup d'Ubuntu sur vieux matriel, c'est largement faisable/utilisable et pas forcment idiot, tout le monde n'a pas les moyens de s'acheter un ordinateur tous les ans/deux ans, et peut avoir envie de bnficier des dernires technologies disponibles (_"softwarement"_ parlant), tout est histoire d'optimisation.


Il n'est pas interdit de s'intresser  un OS autre que Linux pour savoir quoi dsactiver ou comment configurer pour amliorer les performances... Utiliser Aero sous Windows 7 est clairement un gaspillage de ressource, tout comme compiz, pour les vieilles configs. Les services windows se dsactivent aussi ( heureusement opur certains d'entre eux d'ailleurs).




> PS: Les failles Windows et Linux/Unix, le plus faible nombre d'utilisateur n'est pas la seule raison, par dfaut un systme *nix reste bien mieux scuris avec sparation des utilisateurs, des droits, un user simple n'a pas le droit de tout faire, bref pleins de choses diffrent, mme si je suis d'accord que le faible nombre d'utilisateur est galement une raison.
> Enfin les systmes *nix de par leur ct Open Source corrigent malgr tout leurs failles largement plus vite, pas d'attente du Thursday patch....


Windows indique clairement dans les paramtres de compte de ne pas rester sur le compte admin et de se crer des comptes utilisateurs avec des droits plus restreints, si les gens ne le font pas c'est leur problme, la possiblit est laisse, et l'OS n'est en rien responsable de a. 
Il s'agit plutt du manque de connaissance de la majorit des utilisateurs qui est responsable de cet tat de fait.




> EDIT: Ah et pour le coup de rvler la faille, si M$ a refus de s'en occuper dans un temps raisonnable, personnellement je trouve que c'est dfendable.
> Il faut qu'ils assument leur position d'OS le plus rpandu sur le march. Je vois pas pourquoi des OS justement bien moins utiliss seraient plus fiables et patchs plus rapidement....


a serait reprocher aux gens d'avoir le mme code de carte bleu durant un an, d'avoir les mmes serrures durant un an, d'avoir une voiture obsolte et donc moins sure... 
Il est  mon sens inadmissible de donner le moyen de nuire  autrui sous prtexte qu'une personne a t "trop lente  ragir". Aprs tout, le voleur de sac  main est dans ce cas l dans son bon droit, il serait temps de passer  la cl USB contenant tous les documents utiles ou encore le coffre numrique en ligne, et si la victime a t trop lente  adopter cette solution (et  le rattraper), et bien a lui apprendra, le voleur avait donc raison? 
CQFD mon cher, mais je considre que la loi de la jungle ou du tallion est fort peu adapte  la vie en communaut.
Respecter les autres c'est ne pas leur nuire, et ceci est clairement un acte insultant envers une entreprise ET les utilisateurs (victimes involontaires).

----------


## Louis Griffont

> M$


Voil, tu t'es dcribilis en 2 caractres !




> MicroMou


Et hop, un autre dans le sac !
 ::roll:: 




> Comparons ce qui est comparable... a veut rien dire un Linux de 9 ans, puisque si tu prends une Debian par exemple elle va se mettre  jour progressivement (et encore selon les versions : stable / testing / unstable).


Heu, ! T'es sr ? Le noyau Linux se met  jour automatiquement ? Pourquoi mon serveur Dbian ne se met pas  jour ? 



> uname >>> 2.6.18-4-686


Est-ce la dernire version ? 
L'installation date de 2007 !

J'ai l'impression que ce sujet tourne  nouveau  la gueguerre entre Windowsiens et Linuxiens. Merci  tous de rester objectifs !  ::roll::

----------


## Haress

Surtout que la question de base est bien:
Est-il intressant ou nous de mettre en ligne un PoC, dans un dlai si court, sachant que la dite faille n'est pas patche?

Et je persiste  dire, malgr les arguments: "le rentre dedans a fait ses preuves". S'il veut blamer la socit (Microsoft donc), il n'a qu' faire une longue numration des failles corriges, ainsi que de la date de correction, pour en dduire que cet OS n'est pas fiable. C'est pas en mettant au pieds du mur des entreprises, et des particuliers, que les mentalits vont changer. Tu vas pas expliquer  quelqu'un que conduire saoul est dangereux en provoquant, un accident impliquant un conducteur saoul, si?
Si c'est pas une preuve d'irresponsabilit...

Taper les clients, avec pour objectif la bote qui fournit l'OS, c'est des dommages collatraux?

----------


## dams78

> Heu, ! T'es sr ? Le noyau Linux se met  jour automatiquement ? Pourquoi mon serveur Dbian ne se met pas  jour ? 
> 
> Est-ce la dernire version ? 
> L'installation date de 2007 !
> 
> J'ai l'impression que ce sujet tourne  nouveau  la gueguerre entre Windowsiens et Linuxiens. Merci  tous de rester objectifs !


Tu as raison a va encore partir en troll avec des gens qui raconte n'importe quoi (dans les deux sens d'ailleurs), du coup je ne relverai pas (ou presque pas) parce que oui ton noyau Linux se met  jour sous Debian.

Moi j'tais juste partie sur "comparons ce qui est comparable", Windows et Linux qu'on aime ou pas sont diffrents sur de nombreux points, notamment sur le systme de mises  jour, des versions, etc.

----------


## Porkepix

@dragonblack:
Il est peut-tre prconis de crer d'autres compte, je ne sais pas je ne lis pas leurs prconisation et l n'est pas la question: un utilisateur nophyte, justement, ne les lira jamais et fera tout ce qu'il est possible de faire sur un ordi aussi con cela puisse-t-il tre, il faut donc ncessairement mettre des barrires que l'utilisateur lambda ne peut franchir mais qu'un connaisseur pourra contourner comme il le souhaite faire ce qu'il veut comme il veut. (Principe du compte root pour faire tout ce qui touche au systme sur les *nix, et pas besoin de me le dire, je sais qu'Ubuntu drroge  la rgle, et ils ont  mon sens tort.)

Le choix de Google envers IE6 ==> comme tout crateur de site, il faut tester le rendu sur toutes les plate-forme (quand on fait bien son taff), et patcher pour ceux ne respectant pas les standards (suivez mon regard). Google n'est pas crateur de site, mais eu-del crateur de webapps en tout genre et donc DOIT tester pour toute plate-forme pour pouvoir toucher tout le monde, ils pourront donc abandonner IE6 si et seulement si les utilisateurs eux-mmes l'abandonnent.
Microsoft, malgr que mme eux veuillent dornavant dgager IE6 ont une politique de l'immobilisme, ils ont longtemps voulu respecter leurs standards  eux seuls dfinis par eux et pour eux. C'est seulement en train de changer avec IE9 parce qu'ils se sont rendus compte qu' ce tarif ils perdaient tout le monde, grand bien leur fasse d'enfin ragir.
Quand je parle de politique de l'immobilisme, je veux surtout parler du fait qu'ils laissent trop faire ce qu'ils veulent aux dveloppeurs quitte  ce que ces derniers fassent n'importe quoi en terme de scurit? C'est  eux et eux seuls de dfinir des rgles  respecter, sans pour autant tomber dans les travers d'Apple qui verrouille tout. Combien d'applications Windows tournent systmatiquement en administrateur alors que a n'est pas ncessaire? Elles sont lgions, et a ne devrait pas. Ce n'est qu'un exemple parmi d'autres, mais qui devraient vraiment changer.

@Louis Griffont: Et toi en traduisant ainsi, tu ne penses pas te discrditer? Ce raccourci est maintenant un raccourci connu de tous pour peu que l'on soit un minimum avertis, ce qui est en gnral le cas ici. Raccourci facile s'il en est, certes, mais ne pas reconnatre que Microsoft (puisque tu n'aimes pas mon raccourci  :;): ) est une bote  fric ne se souciant que fort peu de ses utilisateurs, sauf quand il s'agit de les garder pour engranger de l'argent serait tre quelque peu malhonnte  ::): 

PS: "dcribiliser" n'existe pas dans mon dictionnaire, puisque tu n'aimes pas mes raccourcis, chez moi c'est discrditer ou dcrdibiliser  ::mrgreen::  (encore que ce dernier je n'en sois pas sr  ::?: )

----------


## cbleas

```

```

C'est vraiment bien ce que tu dis.
Hypothse:
Si Microsoft met ces chercheurs  chercher les failles des concurrents.
Pour linux la meme chose Google fait dja et pourquoi pas Apple Chacun diffuse dans les 5 jours.
Je pense qu'il faudra moins d'une semaine pour foutre un bordel tel que l'internet ne fonctionnera plus car il y trop de risque

----------


## Louis Griffont

> Tu as raison a va encore partir en troll avec des gens qui raconte n'importe quoi (dans les deux sens d'ailleurs), du coup je ne relverai pas (ou presque pas) parce que oui ton noyau Linux se met  jour sous Debian.
> 
> Moi j'tais juste partie sur "comparons ce qui est comparable", Windows et Linux qu'on aime ou pas sont diffrents sur de nombreux points, notamment sur le systme de mises  jour, des versions, etc.


Je ne sais pas ce que tu veux dire exactement. Mon Dbian est-il  jour selon toi, moi je n'y connais rien. Je t'ai donn la version actuelle que me fournit la fonction uname, est_ce la dernire ? 




> @Louis Griffont: Et toi en traduisant ainsi, tu ne penses pas te discrditer? Ce raccourci est maintenant un raccourci connu de tous pour peu que l'on soit un minimum avertis, ce qui est en gnral le cas ici. Raccourci facile s'il en est, certes, mais ne pas reconnatre que Microsoft (puisque tu n'aimes pas mon raccourci ) est une bote  fric ne se souciant que fort peu de ses utilisateurs, sauf quand il s'agit de les garder pour engranger de l'argent serait tre quelque peu malhonnte


Pour toi, peut-tre que M$ est entr dans les murs, mais pour moi, c'est une manire de faire qui est nulle et non avenue ! Toutes les socits ont pour but de gagner de l'argent, la socit qui t'emploie galement. Et tes propos sur Microsoft montre toute l'tendue de ton intelligence !




> PS: "dcribiliser" n'existe pas dans mon dictionnaire, puisque tu n'aimes pas mes raccourcis, chez moi c'est discrditer ou dcrdibiliser  (encore que ce dernier je n'en sois pas sr )


Faute de frappe en effet, mais relis-toi. Ton post est quasiment illisible !  ::roll::

----------


## dams78

> Je ne sais pas ce que tu veux dire exactement. Mon Dbian est-il  jour selon toi, moi je n'y connais rien. Je t'ai donn la version actuelle que me fournit la fonction uname, est_ce la dernire ?


Ah d'accord c'tait une question, a change tout dans ce cas l.

Alors ton serveur est  jour oui et non  ::): 
En fait je suppose que tu es sous une Debian Stable (logique pour un serveur), du coup lorsque tu mets  jours ton systme il se met  jour par rapport aux dpts stables de Debian. Or dans ces dpts on ne trouve que des soft ayant t tests et valids par la communaut Debian (peut tre par d'autre aussi), du coup on peut dire que tu as la dernire version du noyau d'une Debian stable.
Par contre tu n'as pas la dernire version du noyau Linux tel qu'on peut le trouver sur kernel.org car elle n'a pas encore t descendue dans la version stable, mais tu peux la trouver dans la branche testing et autre.
C'est l'inconvnient de la branche stable de Debian c'est qu'il faut attendre un peu pour avoir les dernires versions des logiciels, mais d'un autre ct tu as quelque chose de stable (on peut pas tout avoir).

----------


## Porkepix

Oui M$ est entr dans les murs pour moi, aprs je peux me tromper, mais c'est l'impression que j'en ai. Et je suis d'accord, toute entreprise a vocation  gagner de l'argent, mais pas toutes de la mme manire, et on peut formuler  l'gard de certaines des remarques sur leur manire de faire, et leur manire de considrer le client.

Or, _selon moi_, Microsoft est loin de faire partie de ceux qui respectent le plus leur client.

Tu parles de la bote dans laquelle je "bosse", justement, il se trouve que je ne travaille pas encore, mais je suis actuellement en stage, et la bote o je suis stagiaire est justement spcialise dans l'Open Source, s'en sort avec une croissance plus que correcte et reprsente, encore une fois _ mes yeux_ une manire de voir les choses plus "thique", mme si ce n'est pas exactement le terme appropri. Enfin je me perds un peu dans ce que je dis l  ::roll:: , mais pour faire simple toutes les botes ne traitent pas leurs clients de la mme manire, voil.

----------


## dragonblack

@porkepix

Vu ton ge tu dois en tre  ton 1er stage. Je dirais donc que tu fais une formation courte (BTS ou DUT surement, corrige moi si je me trompe).
L'informatique est vaste et nous sommes tous conscients du fait que c'est un sujet trop vaste pour une personne, nous nous cantonnons juste a une spcialit pour chacun d'entre nous.

(Partie "M$")

L'OpenSource est certes une optique communautaire, qui peut (parfois) ragir bien plus vite qu'une entreprise, gratuite et pleine de bonnes intentions. 
Nanmoins tu ne devrais pas cracher sur le travail qui a t fait par des entreprises. MicroSoft vend des logiciels, ils ont aussi fait partie des premiers diteurs  tenter de crer des OS pour grand public, simple d'utilisation, normal qu'ils aient rafl le march. 
Compare la simplicit d'utilisation d'une version Linux en 1995 et de Windows 95, tu comprendras pourquoi la majorit a connu Windows et reste dessus...
Ils possdent toute une gamme de produits pour pro tels que l'active directory qui semble plaire aux admins rseau (pas ma branche donc je reste au conditionnel) ainsi que visual studio qui lui plait aux developpeurs. MicroSoft ne se limite pas  Windows.

(partie "traitement client")

Google se fout de la vie prive de ses utilisateurs (scan des mails, problme des paramtres de confidentialits par dfaut, google Health...), Apple verouille ses systmes et filtre ce que les diteurs fournissent, <troll> *nix t'apprends la solitude avec ses innombrables manuels dissmins partout </troll>, Adobe nglige les mises  jour de scurits pendant plus de 2 ans (Acrobat Reader) et fournit des produits bugus sans volonts d'y remdier (Flash). 
MicroSoft n'a pas beaucoup de diffrence avec la majorit des leaders du domaine tu sais... La seule diffrence tant que <troll> cela fait plus de 40 ans que "l'lite" des informatitiens, ceux qui aiment que leurs systme soit bidouills par leur soin, crachent sur MicroSoft, et que donc c'est devenu un signe de fortes comptences, ou un effet de mode, allez savoir </troll>.

Nous devons avoir un point de vue de professionnels, et chercher les aspets positifs et negatifs dans chaque domaine, logiciel ou autre, car c'est comme cela qu'on innove, en rejetant tout en bloc on atteint les extrmes, et je souhaiterais viter un point Godwin  ::):

----------


## Porkepix

Premier stage srieux, oui.

Il n'y a pas de raison que tu fasses un point Godwin hein  ::aie:: 

Pour le traitement des utilisateurs, tu sembles oublier que des boites vivent de l'Open Source et certaines le soutiennent, et pour certaines d'entre elles il n'y a me semble-t-il jamais eu de problme d'thique ou autres (aprs je peux me tromper), je pense notamment  Red Hat, Novell, Sun avant son rachat.
Berkeley mme si ce n'est pas une entreprise a fait beaucoup aussi.
Canonical, on vitera d'en parler....  ::roll:: 

Concernant le comportement envers Microsoft,  titre personnel je sais garder du discernement sur certaines choses, il y en a qui oui ne sont pas trop mal (pas de Visual Studio par contre par piti, j'ai support cette horreur de nombreux mois en cours :'(   ). Quand je critique Microsoft, j'argumente et justifie dans la mesure de mes connaissances ce qui, il faut bien l'avouer, n'est pas le cas de nombre de personnes moins inities envers l'informatique parce que comme tu le dis a fait bien (et bien souvent beaucoup d'entre eux sont Apple fanboy alors que ces derniers sont quasiment en tous points pire que Microsoft) parce qu'au contraire tre fan d'Apple est l aussi quelque chose  la mode (malheureusement), voir la cohue sur les iPhone et iPad parfois extrmement injustifie (iPad.....)

Il faut tout de mme savoir justifier ce qu'on leur reproche, pour prendre un exemple parmi d'autres, le fait de jouer sur ses positions dominantes pour craser Open GL avec Direct X crasant ainsi les jeux sur d'autres OS (et ce n'est qu'un exemple parmi de nombreux autres). Je n'aime pas certaines de leurs pratiques, a c'est certain mais a ne reste qu'un avis personnel et pour certains points purement subjectif.

----------


## stardeath

> Pour le traitement des utilisateurs, tu semble oublier que des boites vivent de l'Open Source et certaines le soutiennent, et pour certaines d'entre elles il n'y a me semble-t-il jamais eu de problme d'thique ou autres (aprs je peux me tromper), je pense notamment  Red Hat, Novell, Sun avant son rachat.
> Berkeley mme si ce n'est pas une entreprise a fait beaucoup aussi.
> Canonical, on vitera d'en parler....


juste que ces boites l ont choisi un autre plan pour faire de l'argent, on peut pas reprocher  une boite de garder son savoir faire pour elle.




> pas de Visual Studio par contre par piti, j'ai support cette horreur de nombreux mois en cours :'(


a par contre a m'intresse de savoir ce que tu lui reproches (par mp si tu prfres)




> Il faut tout de mme savoir justifier ce qu'on leur reproche, pour prendre un exemple parmi d'autres, le fait de jouer sur ses positions dominantes pour craser Open GL avec Direct X crasant ainsi les jeux sur d'autres OS (et ce n'est qu'un exemple parmi de nombreux autres). Je n'aime pas certaines de leurs pratiques, a c'est certain mais a ne reste qu'un avis personnel et pour certains points purement subjectif.


a a dj t mainte fois dit, si directx n'avait pas t l, on serait encore avec un opengl 1.* poussif, des gens tels que Carmack on dit que directx (au moins pour la 9) est une api de qualit, faut pas trop pousser non plus.
heureusement qu'il y a de la concurrence sur les apis graphiques ><

----------


## yoyo88

> a par contre a m'intresse de savoir ce que tu lui reproches (par mp si tu prfres)


mme chose  :;):

----------


## cbleas

```
Concernant le comportement envers Microsoft,  titre personnel je sais garder du discernement sur certaines choses, il y en a qui oui ne sont pas trop mal (pas de Visual Studio par contre par piti, j'ai support cette horreur de nombreux mois en cours :'( ). Quand je critique Microsoft, j'argumente et justifie dans la mesure de mes connaissances ...
```

 c'est peut-tre l le problme la limite des connaissances.

----------


## Porkepix

Ce que je lui reproche (jvais pas faire plusieurs MP)

Alors  l'arrache dans le dsordre et yaura srement pas tout:

- Compile le C avec un compilateur C++ mme quand on rgle dans le projet pour bien lui demander du C, pose de nombreux problmes.

- Redfinit certaines fonctions standards, je m'explique, la fonction existe "normalement", est standard, passe sur 4 autres compilateurs mais dans VS a me dit "fonction inconnue". Aprs recherche Microsoft a recr sa fonction  eux qui fait la mme chose mais s'appelle pas pareil....assez stupide je trouve. J'ai t oblig de faire appel  des directives prprocesseurs pour avoir un programme portables pour de la copie de chane, pas gnial.... -_-"

- Est extrmement lourd comme programme et extrmement long  compiler. En cours on utilise du P4 avec 512 Mo de ram, machine relativement correcte pour des petits programmes, rsultats jusqu' deux bonnes minutes pour compiler quinze malheureuses lignes de C.
Mon portable de puissance quivalente (Centrino sonoma) avec autant de ram mais avec GCC me fait de la compilation instantane sur plusieurs centaines de lignes.
En outre quand je parle de lourdeur, en plus du temps de compilation VS se mettait rgulirement  faire des freezs sans raison rendant toute action impossible sur lui-mme et les autres programmes galement.

J'oublie srement des choses, mais voil le plus marquant.

PS: Ah et aussi du code pas de moi mais d'un prof assez simple, standard posant problme dans le compilateur de VS alors que ce n'tait que de btes affichages et calculs sur du tableau de pointeurs....

----------


## Louis Griffont

> Ah d'accord c'tait une question, a change tout dans ce cas l.
> 
> Alors ton serveur est  jour oui et non 
> En fait je suppose que tu es sous une Debian Stable (logique pour un serveur), du coup lorsque tu mets  jours ton systme il se met  jour par rapport aux dpts stables de Debian. Or dans ces dpts on ne trouve que des soft ayant t tests et valids par la communaut Debian (peut tre par d'autre aussi), du coup on peut dire que tu as la dernire version du noyau d'une Debian stable.
> Par contre tu n'as pas la dernire version du noyau Linux tel qu'on peut le trouver sur kernel.org car elle n'a pas encore t descendue dans la version stable, mais tu peux la trouver dans la branche testing et autre.
> C'est l'inconvnient de la branche stable de Debian c'est qu'il faut attendre un peu pour avoir les dernires versions des logiciels, mais d'un autre ct tu as quelque chose de stable (on peut pas tout avoir).


Merci de ta rponse. Je n'ai hlas pas tout compris, seulement, que je ne vais pas toucher  mon serveur.
Une autre question, si je n'abuse pas. Y a t-il un moyen d'tre sr que les mises  jour se font bien ?





> Pour le traitement des utilisateurs, tu semble oublier que des boites vivent de l'Open Source et certaines le soutiennent, et pour certaines d'entre elles il n'y a me semble-t-il jamais eu de problme d'thique ou autres (aprs je peux me tromper), je pense notamment  Red Hat, *Novell*, Sun avant son rachat.


Permets moi de douter de Novell !

----------


## dams78

> Merci de ta rponse. Je n'ai hlas pas tout compris, seulement, que je ne vais pas toucher  mon serveur.
> Une autre question, si je n'abuse pas. Il y a t-il un moyen d'tre sr que les mises  jour se font bien ?


T'inquites avec une Debian stable il y a quasiment aucun souci  la mettre  jour. Aprs je sais que les admin sont en gnrale assez prudents quand il s'agit de passer d'une version  l'autre, mais c'est normal c'est leur boulot.

Pour savoir si les mises  jour sont faite, il doit certainement exister des outils orient serveur, mais sinon tu peux dj regarder tes logs (au hasard /var/log/apt) mais sinon un : aptitude update, va juste recharger la liste des paquets et si je ne m'abuse, va t'indiquer si des mises  jours sont possible. Au pire un aptitude safe-upgrade va lancer la mise  jour mais comme il va te demander de valider, a permet de voir la liste des mises  jours possible et de l'annuler (ou pas).

----------


## yoyo88

> Ce que je lui reproche (jvais pas faire plusieurs MP)
> 
> Alors  l'arrache dans le dsordre et il y aura srement pas tout:
> 
> - Compile le C avec un compilateur C++ mme quand on rgle dans le projet pour bien lui demander du C, pose de nombreux problmes.
> 
> - Redfinit certaines fonctions standards, je m'explique, la fonction existe "normalement", est standard, passe sur 4 autres compilateurs mais dans VS a me dit "fonction inconnue". Aprs recherche Microsoft a recr sa fonction  eux qui fait la mme chose mais s'appelle pas pareil....assez stupide je trouve. J'ai t oblig de faire appel  des directives prprocesseurs pour avoir un programme portables pour de la copie de chane, pas gnial.... -_-"
> 
> - Est extrmement lourd comme programme et extrmement long  compiler. En cours on utilise du P4 avec 512 Mo de ram, machine relativement correcte pour des petits programmes, rsultats jusqu' deux bonnes minutes pour compiler quinze malheureuses lignes de C.
> ...


En mme temps 512Mo de ram pour faire tourner XP c'est dj limite, alors avec visual...  ::mouarf::

----------


## Porkepix

> En mme temps 512Mo de ram pour faire tourner XP c'est dj limite, alors avec visual...


512Mo sont plus que suffisants  ::x: 

256 sur le pc de ma mre et aucun souci fin bref, la lourdeur vient plus du soft que de l'OS ici....(une partie des autres tudiants ont 1Go si tu veux partir l-dessus, et a rame tout de mme normment). Et encore, je fais avec ce qu'on me fournit, les machines personnelles tant interdites.

----------


## stardeath

> - Compile le C avec un compilateur C++ mme quand on rgle dans le projet pour bien lui demander du C, pose de nombreux problmes.


a j'avoue que a me vient pas naturellement  l'esprit de faire du c avec vs, mais les projets c que je compile passent sans problme.




> - Redfinit certaines fonctions standards, je m'explique, la fonction existe "normalement", est standard, passe sur 4 autres compilateurs mais dans VS a me dit "fonction inconnue". Aprs recherche Microsoft a recr sa fonction  eux qui fait la mme chose mais s'appelle pas pareil....assez stupide je trouve. J'ai t oblig de faire appel  des directives prprocesseurs pour avoir un programme portables pour de la copie de chane, pas gnial.... -_-"


a par contre je demande  voir, parce que si ton code est ainsi, vs (le 2008 en tout cas) est conforme et ne pose pas de problme.
un prof avait tent de se la jouer avec un code c99 en disant qu'il tait standard. (sachant que gcc non plus ne supporte pas totalement c99, alors le standard c'est bien gentil, si on peut pas s'en servir ...)
aprs c'est ce que je fais tous les jours, je dois faire des applis pour windows, linux et mac, donc les diffrences entre compilateurs, j'en mange pas mal.




> - Est extrmement lourd comme programme et extrmement long  compiler.


en mme temps je ne tue pas de fourmis avec un rouleau compresseur (bien que maintenant mme pour une dizaine de lignes, j'utilise vs), vs c'est pas qu'un compilateur, c'est un environnement de dev complet, si tes profs s'en servent pour tout et n'importe quoi, ceux sont eux le problme.
pour la vitesse de compilation, je sais pas, d'autres camarades du forum disent que a dpend pas mal de ce que tu compiles.
pour les bugs, moi y a que intelisense qui en fait  sa tte.




> PS: Ah et aussi du code pas de moi mais d'un prof assez simple, standard posant problme dans le compilateur de VS alors que ce n'tait que de btes affichages et calcul sur du tableau de pointeurs....fin bref quelque chose d'on ne peut plus normal.


a comme j'ai dit, je demande  voir, standard c'est souvent vite dit, sauf quand on regarde la doc des fonctions et qu'on voit que c'est pas ansi. (enfin ou autre, je dis ansi parce que la doc que j'ai sous les yeux en ce moment prcise si la fonction est soit ansi, bsd, etc)

mais aprs c'est surtout un problme de fond, quand tu codes, tu dpends forcment d'une version de compilateur (soit gcc, soit vs par exemple qui ont chacun pas mal de versions), de bibliothques (idem) et pas mal d'autres paramtres qu'on devrait OBLIGATOIREMENT indiquer lorsqu'un programme change de main.

----------


## yoyo88

D'ailleurs avec quelle version de VS as-tu travaill?

----------


## Porkepix

@stardeath

Je n'avais pas le choix du compilateur, on tait sur VS, on est pass  Borland, personnellement j'aime pas du tout mais je fais avec. (On a fait du C avec chaque, maintenant C++ dans Borland). il n'empche que Microsoft soutient que l'on peut faire du C avec, mais cela pose des problmes.

La fonction en question tait stricmp. Variante de strcmp mais insensible  la casse contrairement  strcmp.
stricmp fonctionnait sur Borland, CodeBlocks, Devcpp, gcc (CLI, Geany, Anjuta c'est pareil de toutes manires).
Donc cette fonction stricmp fonctionne partout sauf dans VS. VS l'a remplac par l'quivalent maison strncmp.
Plusieurs fonctions de manipulation/comparaison de chane de caractres taient ainsi supprimes et remplaces par des quivalents maison, pas terrible quoi.

Le problme du code standard qui ne passait pas, c'tait simplement des for, du printf, des malloc/free, vraiment du basique de chez basique (calcul du triangle de pascal et affichage via double pointeur, vraiment pas compliqu quoi), a compilait mais crashait aprs execution (et je prcise bien que le code tait donn par un prof, standard, et ne crashait avec aucun autre compilo).

Pour la lourdeur, j'en reviens  ce que je disais au dpart: pas le choix de la machine, pas le choix du logiciel, systme scolaire de cette cole, on ordonne,t'excutes  ::x: 

EDIT: En rponse  yoyo88, VS 2008

----------


## Louis Griffont

> T'inquites avec une Debian stable il n'y a quasiment aucun souci  la mettre  jour. Aprs je sais que les admin sont en gnrale assez prudents quand il s'agit de passer d'une version  l'autre, mais c'est normal c'est leur boulot.
> 
> Pour savoir si les mises  jour sont faites, il doit certainement exister des outils orients serveur, mais sinon tu peux dj regarder tes logs (au hasard /var/log/apt) mais sinon un : aptitude update, va juste recharger la liste des paquets et si je ne m'abuse, va t'indiquer si des mises  jours sont possible. au pire un aptitude safe-upgrade va lancer la mise  jour mais comme il va te demander de valider, a permet de voir la liste des mises  jours possible et de l'annuler (ou pas).


OK, merci !
Comme c'est le serveur de la boite, on est un peu frileux  y toucher, surtout qu'il fonctionne correctement.  ::oops:: 

Je vais quand mme essayer.

Bon, cessons de polluer ce sujet. Encore merci.  ::ccool::

----------


## stardeath

pour le c, je n'ai jamais eu de problme.

stricmp tait dj prsente dans vs 2005 (j'ai plus sous la main vc++6) et elle l'est toujours (vs 2008, je testerai vs 2010 ce soir)

strncmp n'est pas une variante spciale vs O_o elle ne fait mme pas la mme chose.

aprs si tu as encore les sources posant problmes, je suis encore curieux de voir.

pour Louis Griffont : exact, faudrait qu'on fasse un sujet, a dvie trop.

----------


## Louis Griffont

Les gars, vous dbordez un peu du sujet, non ?  ::mouarf::

----------


## Porkepix

> pour le c, je n'ai jamais eu de problme.
> 
> stricmp tait dj prsente dans vs 2005 (j'ai plus sous la main vc++6) et elle l'est toujours (vs 2008, je testerai vs 2010 ce soir)
> 
> strncmp n'est pas une variante spciale vs O_o elle ne fait mme pas la mme chose.
> 
> aprs si tu as encore les sources posant problmes, je suis encore curieux de voir.
> 
> pour Louis Griffont : exact, faudrait qu'on fasse un sujet, a dvie trop.


Aprs coup d'oeil dans des sources qu'il me reste (peut-tre pas les dernires mais au moins sources partielles), j'ai confondu le nom des fonctions, mais le problme existe bien: 
La fonction standard passant partout tait strcasecmp
La fonction dans VS est donc stricmp et strcasecmp est inconnue.

De la mme manire il existe strncasecmp, remplac (je crois) par strnicmp, sans certitude, je n'ai pas de VS sous la main actuellement l'anne tant termine, seulement mon man et mon gcc  ::P:

----------


## ferber

> La fonction standard passant partout tait strcasecmp


a premire vue strncasecmp n'est pas standard 
http://www.josuttis.com/libbook/stri...tring.hpp.html
http://bytes.com/topic/c/answers/212848-strings-h



> ANSI C does not require the functions 'strcasecmp' and
> 'strncasecmp' to be provided.

----------


## Mdinoc

> - Compile le C avec un compilateur C++ mme quand on rgle dans le projet pour bien lui demander du C, pose de nombreux problmes.


Faux, le compilo de Visual compile parfaitement le C comme du C. Par contre, _Intellisense_ se croit toujours en C++ et j'ai signal le bug




> - Redfinit certaines fonctions standards, je m'explique, la fonction existe "normalement", est standard, passe sur 4 autres compilateurs mais dans VS a me dit "fonction inconnue". Aprs recherche Microsoft a recr sa fonction  eux qui fait la mme chose mais s'appelle pas pareil....assez stupide je trouve. J'ai t oblig de faire appel  des directives prprocesseurs pour avoir un programme portables pour de la copie de chane, pas gnial.... -_-"


Ni stricmp() ni strcasecmp() ne sont standard; Visual respecte le standard C90  la lettre (mais s'asseoit sur C99, et ses "dprcations", heureusement dsactivables, sont nervantes).




> - Est extrmement lourd comme programme et extrmement long  compiler. En cours on utilise du P4 avec 512 Mo de ram, machine relativement correcte pour des petits programmes, rsultats jusqu' deux bonnes minutes pour compiler quinze malheureuses lignes de C.
> Mon portable de puissance quivalente (Centrino sonoma) avec autant de ram mais avec GCC me fait de la compilation instantane sur plusieurs centaines de lignes.
> En outre quand je parle de lourdeur, en plus du temps de compilation VS se mettait rgulirement  faire des freezs sans raison rendant toute action impossible sur lui-mme et les autres programmes galement.


Vrai. Par contre, il a le meilleur debugger don't j'aie eu l'occasion de me servir.

----------


## herzak

Salut en lisant le dbut du sujet bh je me retrouvais,
mais l brrrrrrrr je me perds dans vos discours.
Par contre j'ai une petite question  poser si vous me permettez:
< Je veux savoir si avec la faille d'un OS, le hacker peut parvenir  infiltrer notre programme tournant sur ce systme ? >
Je sais qu'avec certaines prcautions de scurits dans nos codes sources on peut bien ralentir certaines attaques. Mais est-ce suffisant quand on sait que l'os recevant notre systme est faillible ?

Merci de m'clairer

----------


## Mdinoc

a dpend  quoi l'OS est sensible.

Si l'OS possde une faille d'lvation de privilge mais qu'aucune faille dans aucun programme ne permet l'excution de code distant, alors la faille ne peut pas tre exploite  distance (par contre, ds qu'un programme compromis ou malveillant est excut... BOOM.)

----------


## lukeni2

Divulguer une faille de scurit avant la publication d'un patch  est tout simplement irresponsable.

----------


## Gordon Fowler

*La faille dcouverte par un employ de Google exploite sur: 10.000 PC*
*Sous Windows XP, selon les chiffres de Microsoft*

*Mise  jour du 01/07/10*



Microsoft vient de rvler que la faille de Windows XP dcouverte au dbut du mois par un ingnieur de Google, Travis Ormandy, avait effectivement t exploite.

Ormandy avait dcid de publier un PoC (_Proof of Concept_, ou _preuve de faisabilit_) ce qui n'avait pas manqu de provoquer la colre de Microsoft.

Face aux critiques, Ormandy avait alors affirm qu'il avait essay de convaincre Microsoft de l'importance de cette faille pendant 60 jours.

Toujours est-il que, d'aprs Microsoft, sa dmonstration a donn des ides aux cybercriminels. Les premires attaques ont t repres vers le 15 juin, _ ces premiers exploits taient cibls et plutt limits. Mais depuis les dernires semaines ils ont atteint un pic_ , peut-on lire sur le blog de Microsoft qui avance ce chiffre de 10.000 PC attaqus avec succs.

Le PoC d'Ormandy permet de tlcharger et d'installer des logiciels malicieux, des virus et des Trojans. Un malware, baptis Obitel, permet par exemple de tlcharger encore plus d'applications malveillantes.

Le 10 juin, Micosoft avait publi un bulletin de scurit qui expliquait comment se protger en dsactivant notamment le Centre d'Aide et de Support de l'OS.

Les PC les plus touchs sont localiss en Russie et au Portugal, pays cousin du Brsil galement fortement concern (et base arrire de plus en plus active des attaques des cybercriminels). Les Etats-Unis et l'Allemagne sont galement trs cibls.

Ces chiffres relancent la polmique sur le fait de savoir si Ormandy a t inconscient de publier ce PoC, ou s'il appartenait  Microsoft de ragir en urgence.

Toujours est-il que le prochain patch de scurit pour Windows XP est attendu, de manire traditionnelle, pour le deuxime mardi de ce mois (le 13 juillet).

_Que_ pour le 13 juillet ?

*Source* : Billet de Microsoft

*Et vous ?*

 ::fleche::  Ormandy a-t-il t inconscient de publier ce PoC ou appartenait-il  Microsoft de ragir en urgence ?

----------


## dams78

comment ils font pour avoir tes ces chiffres sur les pc infects?

----------


## Invit1

De par leurs attitudes irresponsables et irrespectueux de leurs clients, tant Microsoft que google mritent le bannissement de tous les PC

Hlas,  ce jour, c'est tout simplement irraliste  ::(: 

Les deux sont des voleurs d'informations personnelles, se font la guerre en utilisant les simples utilisateurs comme chair  canon !

Comment l'un comme l'autre peuvent-ils pour l'un refuser de patcher une faille et pour l'autre faire du chantage.

Avec toutes les lois liberticides amricaines, il y en aurait bien une qui condamnerait les deux pour d'une part malvaillance volontaire refus de corriger un produit avec un gros dfaut de fabrication et pour l'autre, pour incitation au piratage !

Voilou
j'ai post mon 1/4 d'heure de colre avec une bonne dose d'utopiste !

BOMBARD google et microsoft de mail de mcontentement !

la masse devrait les faire ragir (enfin peut-tre  ::P: )

Couik

----------


## ILP

> comment ils font pour avoir ces chiffres sur les pc infects?


Ils utilisent les retours de leurs anti-virus (_Forefront_ et _Security Essential_).
J'ai mme l'impression que certains virus exploitent la faille de Windows XP et celle d'Adobe Reader  ::wow::   ::aie:: .

----------


## cbleas

```

```

Tellement gros qu'il a fallu un chercheur et attendre neuf ans pour le trouver.

----------


## Invit1

> tellement gros qu'il a fallu un chercheur et attendre neuf ans pour le trouver.


Alors l, +1000  ::D: 

Ceci dit, je reste non surpris de ce qui se passe, mais je ne pensais pas que google serait aussi heu... vilain moche etc...  ::P:

----------


## bubulemaster

> Ormandy a-t-il t inconscient de publier ce PoC ou appartenait-il  Microsoft de ragir en urgence ?


En mme temps, si n'avait pas fait a comment prouver ses dires ? A ce que je sache personne ne condamne les chercheurs en physique nuclaire, parce qu'il prouve qu'une bombe atomique peut tre encore amliore ?
De mme sur ceux qui ont publi des recherches sur la manipulation mentale des sectes (et donc comment faire pour crer une secte)

----------


## Louis Griffont

> En mme temps, si n'avait pas fait a comment prouver ses dires ? A ce que je sache personne ne condamne les chercheurs en physique nuclaire, parce qu'il prouve qu'on bombe atomique peut tre encore amliore ?


Je pense qu'on les condamnerait si, pour le prouver ils en faisaient exploser une au-dessus d'une ville, non ?




> De mme sur ceux qui ont publi des recherches sur la manipulation mentale des sectes (et donc comment faire pour crer une secte)


a, c'est plus condamnable,  mon sens.

----------


## Invit1

En mme temps, plutt que de mettre au pied du mur Microsoft, dans la discrtion ; dire publiquement avec un compteur que le PoC serait publi serait plus motivant car dans ce cas, Microsoft serait face  ses clients...

La publication, comme la presse en gnral est une arme terriblement efficace... ne s'en servir qu'au final devient alors preuve de chantage avec un soupon de malhonntet du publicateur

Tout ceci est une vaste histoire de gros sous, de dstabilisation comme Microsoft (et bien d'autres) utilise rgulirement... 

Moral et affairisme ne font jamais bon mnage, et les clients seront toujours et encore victime

Lamentable...

----------


## psychadelic

La navet de certains me fait frmir.

Microsoft est loin de faire partie du monde des Bisounours, et leur politique en matire de scurit est vraiment laxiste.

Ds le dbut dinternet Microsoft a t le premier  mettre en place dans ses systmes des moyens de contrle  distance sans que les utilisateurs puissent vraiment en avoir conscience.
Les activeX et jen passe.

Ce nest seulement quaprs quils se sont rendus compte que les moyens intrusifs quils ont laisss pour eux pouvaient aussi faire le bonheur des pirates.

Et cette prise de conscience ne sest faite que trs rcemment, mme si je ne suis pas vraiment convaincu quil en ait vraiment fait le ncessaire pour que leur mentalit ait change.

Alors oui, XP est une vraie passoire, et se passer dantivirus est un suicide lectronique.
Oui, les possibilits dintrusion sur les systmes  de Microsoft semblent inpuisables, dautant plus quils sont la cible privilgie des pirates de par le parc install.

Parler de scurit avec M$ est tabou, et gare  ceux qui mettent en place publique la dficience vidente de Microsoft en matire de scurit.

Ayez une pense pour les experts en scurit, eux qui veillent vraiment au grain et font leur possible pour aider  colmater le rafiot, qui en ont par-dessus la tte du mpris que leur tmoigne Microsoft  leur gard ; sachant du peu de moyens que Microsoft attribut  la scurisation de ses systmes, alors que cette socit engrange des milliards chaque anne

Si vous vous pensez  de lirresponsabilit, je suis bien daccord : Microsoft  vraiment agit sur ce coup l encore de manire irresponsable ; elle aurait au moins pu se fendre dun petit mail de suivi aux dev de Google, pour laider  patienter indfiniment sans doute

----------


## Gordon Fowler

*Microsoft colmate la faille mise  jour par l'ingnieur de Google*
*Le patch mensuel de demain mettra-t-il fin  la polmique ?*

*Mise  jour du 12/07/10*


Alors que la polmique continue entre ceux qui considrent que Travis Ormandy a eu raison de publier un PoC pour forcer Microsoft  ragir  une vulnrabilit prsente dans le Centre d'Aide et de Support de plusieurs de ses OS (lire ci-avant), et ceux qui considrent ce comportement est irresponsable, le traditionnel patch de scurit du deuxime mardi du mois de Redmond arrive.

Il marque d'une part la fin du support de Windows XP SP2. Et celle, d'autre part, de cette faille mise  jour par l'ingnieur de Google et exploite - d'aprs les dires de Microsoft - sur plus de 10.000 machines.

Pas sr en revanche qu'il puisse clore  lui tout seul le dbat autour de Travis Ormandy.

Mardi dernier, un groupe anonyme a en effet dclar vouloir se venger de Microsoft et de "sa campagne anti-Ormandy" en cherchant d'autres vulnrabilits de Windows.

Travis Ormandy n'a de son cot pas ragi  l'annonce de la formation de ce groupe de soutien d'un nouveau type.

----------


## Invit1

Bonjour,

Preuve que Microsoft est bien capable de faire son travail.

Dans le secteur automobile, le dfaut de fabrication ne souffre pas de date limite de dcouverte. Dans le secteur informatique, les bug majeurs, impliquant un risque srieux pour les utilisateurs ne doivent pas souffrir non plus de limite de date quant  leur correction. Cela incitera les diteurs  soit publier un soft mieux fini (nouvelle habitude  prendre par Microsoft entre autre) et  se responsabiliser car il est facile de mettre dans les CGV : "Nous ne sommes tenu pour responsable en cas de perte de donnes... etc... pour le mauvais produits qu'on vous a vendu..."

Menacer de publier la faille et son mode d'exploitation au bout d'un dlai raisonnable semble porter ses fruits... mais attention : cela est  double tranchant...

Couik

----------


## cd090580

Le problme aussi c'est de maintenir le support des vieilles technologies trop longtemps. Le SP2 d'XP aurait d tre abandonn ds la sortie du SP3.

Pareil pour IE6, ds que le 7 est sorti, la mise  jour aurait d tre rendue obligatoire. Pareil pour le passage du 7 au 8. La maintenance n'en serait que plus facile.....

----------


## Fenn_

Heu... encore faut-il dfinir "trop longtemps".

Parce qu'il ne faut pas oublier que le passage d'une solution  une autre, pour une entreprise, a un cot non ngligeable. Si l'diteur fournit des dates de support, volution et maintenance garanties  l'achat, il doit s'y tenir.

On ne peut rendre obligatoire une volution impliquant de nouveaux investissements ou cassant une rtro-compatibilit de logiciels. Sinon, bonjour les drives ^^'

Il ne faut pas oublier que dans un systme, de nombreux lments sont inter-dpendants.

----------


## Invit1

J'ajouterais que le fait mme d'avoir des standards trs personnaliss  la sauce Microsoft suppose une remise en question permanente des dveloppements propre aux entreprises

Microsoft n'est pas un modle de compatibilit entre chaque version...

Il serait alors dangereux pour lui d'imposer les mises  jours...  moins de changer de mentalit pour permettre un rel choix pour l'entreprise... mais l, on en est loin.

----------


## ours_en_pluche

bonjour,

perso, je pense que les torts sont des deux cots, je pense que travis ormandy aurait d envoyer son POC auprs de M$ et de leur laisser du temps avant de le rendre public.

mais M$ aurait-il fait pour autant quoi que ce soit s'il n avait pas t rendu public ?

De plus, vous dites que la dcouverte de cette faille a eu lieu au bout de 9 ans.
Je dirais plutt qu'elle a t rendu public au bout de 9 ans.

Qu'est ce qui vous permet de dire qu elle n'tait pas connu depuis X annes par des "pirates informatiques" ?

Personnellement, je ne lui jetterais pas la pierre, car je pense que sans sa reaction, cette faille  serait encore au mme stade, c'est--dire non gre par M$.

Est-ce un coup de pub pour google ? possible, c'est vrai que cela semble ambigu.

La bonne question, c'est est-ce que la quantit totale de piratage informatique a augment ?
Est-ce que les 10000 pcs n'aurait-il pas t pirat d'une autre manire ?

mes 2 centimes

ours_en_pluche

----------


## _skip

> de plus, vous dites que la decouverte de cette faille a eu lieu au bout de 9 ans.
> je dirai plutot qu elle a t rendu public au bout de 9 ans.
> 
> qu est ce qui vous permet de dire qu elle n tait pas connu depuis X annes par des "pirates informatiques" ?


Absolument rien et et je suis d'accord avec ce propos, je pense que certains pirates doivent connatre et exploiter silencieusement des failles. Vous trouvez une faille vous permettant de vous introduire dans une machine, pourquoi la partager avec tout le monde? Vous feriez mieux de garder discrtement cet atout en main.




> J'ajouterais que le fait mme d'avoir des standards trs personnaliss  la sauce Microsoft suppose une remise en question permanente des dveloppements propre aux entreprises
> Microsoft n'est pas un modle de compatibilit entre chaque version...
> Il serait alors dangereux pour lui d'imposer les mises  jours...  moins de changer de mentalit pour permettre un rel choix pour l'entreprise... mais l, on en est loin.


Tu peux dire a pour n'importe quel OS. Si une application importante tourne dessus, tu vas pas clairement laisser un mcanisme d'auto-update mettre  jour des libs et des applicatifs serveurs de faon automatique.
Ca change rien que c'est linux, windows ou autres.

----------


## Hellwing

De plus Microsoft vend son OS (et c'est sa principale activit). S'il force les updates (donc gratuitement), il se tire une balle dans le pied. Cette mentalit va  l'encontre de son business model.

----------


## Mdinoc

> Je pense que Travis Ormandy aurait d envoyer son POC auprs de M$ et leur laisser du temps avant de le rendre public.


Si j'ai bien compris ce qui se disait, il leur a plus ou moins laiss deux mois, avec un ultimatum du style "vous avez cinq jours pour accepter de rparer a dans les deux mois".

----------


## ours_en_pluche

bonjour,




> Si j'ai bien compris ce qui se disait, il leur a plus ou moins laiss deux mois, avec un ultimatum du style "vous avez cinq jours pour accepter de rparer a dans les deux mois".


euh, je pense qu'il aurait d :

Prvenir microsoft
1 mois de dlai
faire son POC et l'envoyer  microsoft
1 mois de dlai
le rendre public

Je pense que cela aurait t plus honnte et moins prjudiciable sur la maniere de faire.

mes 2 centimes

ours_en_pluche

----------


## psychadelic

> Si j'ai bien compris ce qui se disait, il leur a plus ou moins laiss deux mois, avec un ultimatum du style "vous avez cinq jours pour accepter de rparer a dans les deux mois".


Mais non, il n'a pas fait ce genre d'ultimatum...

Il a envoy son Mail  M$, a relanc plusieurs fois pour savoir s'il y avait quelqu'un "au bout du fil", sans aucune rponse au bout de 2 mois (M$ a fait une politique de l'homme sourd ), il a finalement fait cet ultimatum de 5 jours.

Si au moins Microsoft avait ragi par un simple mail dans ces 5 jours pour dire "oui, on va s'en proccuper", mme sans corriger cette faille, il n'aurait pas publi son POC.

Son POC tait fait depuis le dbut; quand on fait de la scurit, on vrifie aussi soi-mme son travail, on s'amuse pas  dire, "au fait vous devriez regarder par la, il y a peut-tre une faille, et l, vous tes bien sr que c'est solide ?

----------


## _skip

Je me demande si ce mec risque qu'une entreprise victime de la faille l'attaque en justice.

----------


## grafikm_fr

> Je me demande si ce mec risque qu'une entreprise victime de la faille l'attaque en justice.


Sur le papier oui, il y a un risque, surtout s'il y a un prjudice important. Voil pourquoi il faut rflchir un peu avant de publier ce genre de choses...  ::P:

----------


## behe

> Mais non, il n'a pas fait ce genre d'ultimatum...
> 
> Il a envoy son Mail  M$, a relanc plusieurs fois pour savoir s'il y avait quelqu'un "au bout du fil", sans aucune rponse au bout de 2 mois (M$ a fait une politique de l'homme sourd ), il a finalement fait cet ultimatum de 5 jours.
> 
> Si au moins Microsoft avait ragi par un simple mail dans ces 5 jours pour dire "oui, on va s'en proccuper", mme sans corriger cette faille, il n'aurait pas publi son POC.
> 
> Son POC tait fait depuis le dbut; quand on fait de la scurit, on vrifie aussi soi-mme son travail, on s'amuse pas  dire, "au fait vous devriez regarder par la, il y a peut-tre une faille, et l, vous tes bien sr que c'est solide ?


L je te suis plus : la faille, il l'a dcouvert dbut juin d'aprs la news  et je cite : 
"Le problme vient du fait que Tavis Ormandy a ensuite dcid de mettre au point un  proof of concept , une preuve de faisabilit qui montre comment exploiter cette faille. Il n'y a a priori rien de choquant dans cette dmarche assez classique. Sauf que ce dbut d'exploit a t publi moins de 5 jours aprs la dcouverte de la vulnrabilit.
" .
O est ce que tu as vu qu'il a attendu 2 mois??? La notion de 2 mois est apparu au cours de la conversation comme tant un dlai raisonnable

----------


## Louis Griffont

> Mais non, il n'a pas fait ce genre d'ultimatum...
> 
> Il a envoy son Mail  M$, a relanc plusieurs fois pour savoir s'il y avait quelqu'un "au bout du fil", sans aucune rponse au bout de 2 mois (M$ a fait une politique de l'homme sourd ), il a finalement fait cet ultimatum de 5 jours.
> 
> Si au moins Microsoft avait ragi par un simple mail dans ces 5 jours pour dire "oui, on va s'en proccuper", mme sans corriger cette faille, il n'aurait pas publi son POC.
> 
> Son POC tait fait depuis le dbut; quand on fait de la scurit, on vrifie aussi soi-mme son travail, on s'amuse pas  dire, "au fait vous devriez regarder par la, il y a peut-tre une faille, et l, vous tes bien sr que c'est solide ?


Pure spculation,  moins de connaitre personnellement ce M. Ormandy.
Et de toutes les faons, la publication de la PoC n'est pas acceptable !
Ce qui ne veut pas dire que je considre Microsoft comme blanc comme neige sur ce coup, bien videmment.

----------


## psychadelic

> L je te suis plus : la faille, il l'a dcouvert dbut juin d'aprs la news  et je cite : 
> "Le problme vient du fait que Tavis Ormandy a ensuite dcid de mettre au point un  proof of concept , une preuve de faisabilit qui montre comment exploiter cette faille. Il n'y a a priori rien de choquant dans cette dmarche assez classique. Sauf que ce dbut d'exploit a t publi moins de 5 jours aprs la dcouverte de la vulnrabilit.
> " .
> O est ce que tu as vu qu'il a attendu 2 mois??? La notion de 2 mois est apparu au cours de la conversation comme tant un dlai raisonnable


Faudrait arrter cette dsinformation initie par Microsoft.
La non-info que tu cites mane du communiqu initial pondu par M$.

Depuis, d'autres infos sont arrives, contredisant notamment cette version des faits et je t'invite  lire les autres News qui ont t ajoutes (depuis) en premire page de ce sujet.

----------


## behe

C'est sr qu'un tweet c'est plus crdible....

----------


## psychadelic

> C'est sur qu'un tweet c'est plus crdible....


N'importe quoi...
D'un cot un individu agissant en son nom propre, de l'autre une multinationale.

Et n'imagine pas non plus que cette info soit passe inaperue auprs des "milliers" de journalistes qui l'ont relaye. S'ils avaient eu le moindre soupon d'une manipulation de la part de Tavis Ormandy, soit certain qu'ils n'en auraient fait qu'une bouche...

Ensuite, Tavis Ormandy c'est pas vraiment un inconnu: il a fait partie ds 2008 des 15 Personnalits les plus reconnues matire de scurit.

Twitter est loin d'tre une source d'information ngligeable, c'est mme un moyen de communication dmocratique.
Enfin c'est en gros ce qu'a dit Obama  des lves en chine. Le Prsident amricain lui mme utilise twitter.

Va dire aux manifestants de Fvrier  Thran, que Twitter c'est dbile...

le fait que Tavis Ormandy ait choisi Twitter pour rpondre n'est peut-tre pas vraiment un hasard

http://www.eweek.com/c/a/Security/Th...ecurity-Today/

http://mashable.com/2009/11/16/obama-clumsy-twitter/
http://twitter.com/BarackObama/statuses/44240662

----------


## ours_en_pluche

bonjour,

C'est vrai que a fait peut-tre lutte du pot de terre contre le pot de fer.

Maintenant, si la methode de Tavis Ormandy est critiquable, elle a aussi un autre intrt pour le grand public, c'est de prouver ( si le besoin s'en faisait encore sentir ) le "je m'en foutisme" dont fait preuve M$  l'gard de ses clients.

Google fera-t-il mieux ?

hummm pas sr  ::): 
mais  voir

mes 2 centimes

ours_en_pluche

----------


## psychadelic

N'oublions pas non plus le contexte de cet venement :
_Dbut janvier, plusieurs entreprises, dont Google, taient victimes d'intrusions informatiques attribues  la Chine. Ces attaques ont t permises par une faille dans Internet Explorer 6. Or cette vulnrabilit avait t signale  Microsoft par la socit isralienne BugSec plusieurs mois auparavant, en septembre 2009. Elle ne sera corrige finalement que le 21 janvier._

----------


## Invit1

Il serait intressant de voir quand un bug important  t dcouvert, combien de temps Microsoft met pour publier une correction....

Je pense que si Windows Xp (sp2) est abandonn, les soucis sur seven seront du mme ordre...
Une mentalit quant au respect des clients ne changent pas vite, voire pas du tout avec un changement de version...

On ne peut que souhaiter que sans publier de PoC, les dcouvreurs de faille donnent des utimatum ralistes aux dveloppeurs pour corriger une faille...

Toute la crdibilit de la socit ditrice du logiciel serait alors mis  nu... et forcerait un respect pour les clients...

Mode utopisite OFF  ::P: 

Couik

----------


## psychadelic

Allers, soyons un peu plus fair-play :

Depuis que XP existe, les hackers du monde entier ont eu largement le temps de dcortiquer cet OS ; et de part leur nombre et leur efficacit croissante, maintenir XP, hors de leurs attaques incessantes, devient chaque jour davantage : une utopie.

Je nose mme pas imaginer lorganisation idale pour combattre un tel incendie.
a me semble mme compltement infaisable.
Pendant quune quipe / personne corrige dans un coin, dautres failles sont dcouvertes et il faut mettre,  la vole, dautres dveloppeurs sur le / les nouveau(x) problme(s), tout en veillant  analyser / regrouper les actions selon les types de failles trouves.
Pendant ce temps, dautres failles sont aussi  dcouvertes , et pas forcment par le fait dexperts  bienveillants  mais tout simplement par une attaque en rgle, voire mme de grande envergure comme celle qua connu lEstonie en 2007.

Je ne sais pas  quelle frquence ces  problmes  arrivent, combien par semaine?, et mme sil faut compter sur une frquence plus lches, ce doit tre un vrai dlire  grer.

Gros incendie et peu de pompiers.

Donc dans les faits : Microsoft ne peut matriellement pas corriger les failles de ses anciens OS ; tout laisse  penser quils ont d tirer les leons de cette exprience, et que chaque nouvel OS sera de base- nettement plus scuris que ces prdcesseurs.

Pour lutter (ou plutt survivre) contre les virus et autres, la nature a invent la bio-diversit. 
En imposant de passer  Mac OS ou Linux, Google ne fait rien de moins diffrent

----------


## Invit1

Bonjour,

Je suis d'accord avec ton point de vu. Mais le fait de refuser de corriger une faille alors que les information ont t fournies  Microsoft impose hlas d'utiliser des solutions agressives.

Ainsi, le refus de correction devient alors un "je m'en fous, que les clients se dbrouillent". Cela n'est pas fair play

Le fait de rduire au passible les moyens pour corriger ces failles le prouve et jette le doute quant  la scurit des nouvelles versions ou mme des SPx qui s'ils corrigent quelques failles, en ajoutent d'autres.

Je me suis tourn vers Linux, non pas qu'il soit meilleur OS ou que j'ai une fibre "LIbre", ceci serait hors de propos. Mais j'ai une aide efficace, des correctifs plus rapides quand des faille sont dcouvertes.

Microsoft m'a du non pas pour son OS, mais pour son 'je m'en foutiste" des clients.

N'importe qu'elle Socit de service dveloppant des soft pour des entreprises, s'il veut conserver ses clients, corrige les bugs, les failles etc... Pourquoi Microsoft ne le ferait-il pas ?

Entre les faille non corrig volontairement, les abus de position dominante, les ventes forcs... Microsoft  un casier lourd de dlinquant  rptition...

Dommage

----------


## Louis Griffont

D'abord, je trouve que l'on ne prend pas le problme dans son ensemble. Une correction de faille, dans un produit comme Windows, ce n'est pas seulement 2 lignes de code et un patch mis sur un serveur, non ?

L'impact est important, et que dirait-on de Microsoft, si, pour faire vite, ils sortaient un patch gnrant plus de problmes que de solutions ? 

Je ne sais pas pour vous, mais quand je sors une mise  jour de mes logiciels, je vrifie l'impact sur l'ensemble du logiciel. Dans le cas de Windows, il faut en plus vrifier l'impact possible sur les logiciels s'appuyant sur Windows. 

Ensuite dire et redire que sous Linux les correctifs sont plus rapides, a me fait assez rire. D'abord, la rapidit n'a jamais t,  mon avis, une preuve de fiabilit, le vite et bien, c'est beau, mais c'est plus thorique que pratique. Ensuite, Linux ? Quel Linux ? Le noyau ? Une distribution ? Laquelle ? Ensuite, pondre un correctif pour Linux rapidement, c'est prendre un risque pour quelques milliers d'utilisateurs, le mme risque avec Windows, c'est des centaines de millions d'utilisateurs. On n'est pas dans la mme cour, les enfants !
Je sais dj que beaucoup vont sortir le coup des serveurs qui sont sur Linux, certes, mais franchement, je ne connais pas beaucoup d'administrateurs de rseau qui prendraient le risque de faire des mises  jour du noyau de son serveur  chaque correctif.  ::ccool::  Regardons, les choses en face. On ne met  jour son serveur que si vraiment il y a un gros problme, et une fois que le correctif a t appliqu et vrifi, pas instantanment ! :8-):

----------


## Invit1

Concernant Linux, le but n'est pas de faire l'apog de l'un contre l'autre, loin de l

D'ailleurs, je n'ai mme pas parl de virus, tant cela est hors de propos.

Je que j'ai essay de dire de faon maladroite, c'est que lorsqu'un bug est dcouvert, une quipe s'affaire  le corriger, plus ou moins vite, avec plus ou moins de succs, mais au moins, l'information du bug est pris en compte;
Tandis que pour Microsoft, sans "encouragement", le bug subsiste et rien n'ai fait, ou mme n'est tent pour palier au bug,  dfaut de le corriger.

Ainsi, la faille du MFC dcouvert, concerne aussi les soft de Microsoft. Alors l oui, tout de suite une quipe se charge de trouver une solution. Sinon, rien  faire...

C'est cette mentalit que je dnonce. Et en aucun cas je ne compare Windows et Linux. De mme, je ne compare pas de distribution ni de fiabilit.

Je compare deux mentalits et je pense que l'exemple d'agressivit en mettant au pied du mur Microsoft pour corriger une faille (mme si c'est contetable moralement et dangereux pour les utilisateur) incitera d'autres  faire de mme (hlas) en esprant que Microsoft prenne soin d'affirm la prise en compte de telle ou telle information au profit de ses clients.

Personnellement, je ne saute pas sur les changements de version dans la mesure o mon systme fonctionne correctement et me rend les services que je lui demande...

Voilou
Couik

----------


## psychadelic

> c'est que lorsqu'un bug est dcouvert, une quipe s'affaire  le corriger, plus ou moins vite, avec plus ou moins de succs, mais au moins, l'information du bug est pris en compte;


Justement, quelle quipe ?
Hop, tout d'un coup 3 ou 4 dveloppeurs de haut vol se matrialisent d'un coup de baguette magique et se lancent dans le code ?

La faille dans ls MFC par exemple; a doit avoisiner les "millions" de lignes de code, et ceux qui en connaissent les tenants et aboutissants, au niveau du code, ne doivent pas tre lgion. 
Ils sont aussi certainement occups sur d'autres projets, sur lesquels il y des planning  respecter, des enjeux conomiques, etc...

La ou je te rejoins, c'est au moins au niveau du suivi; c'en est  se demander si Microsoft utilise un logiciel pour le suivi de probleme comme Mantis ou Bugzilla...

Mais encore heureux qu'on puisse connaitre publiquement et  l'avance certaines vulnrabilits; histoire de savoir ou chercher quand on  un doute sur l'activit de sa machine...

----------


## yoyo88

> Je sais dj que beaucoup vont sortir le coup des serveurs qui sont sur Linux, certes, mais franchement, je ne connais pas beaucoup d'administrateurs de rseau qui prendraient le risque de faire des mises  jour du noyau de son serveur  chaque correctif.  Regardons, les choses en face. On ne met  jour son serveur que si vraiment il y a un gros problme, et une fois que le correctif a t appliqu et vrifi, pas instantanment !


C'est pour cela que Debian et si apprci sur les serveurs, c'est test, retest et reretest avant d'tre test  nouveau, pour enfin sortir en version instable, pour tre test...

En plus la rapidit de la correction de faille sous prtexte que tout le monde peu modifier c'est juste un bon gros mythe...

----------


## ours_en_pluche

bonjour,

euh, sans vouloir faire revenir le sujet  son depart, mais un peu quand mme (  ::):  ) , je pense que microsoft a non seulement un devoir financier mais aussi ethique face  ses clients.

une socit X produit un produit Y en 2001, 5 ans aprs, ils sortent le produit Z, et ils arrtent donc la production d Y. 5 ans aprs, ils decouvrent un vice sur le produit Y. la socit X se doit de corriger la malfacon de son produit Y, c'est normal.

Rien n'oblige le client  subir des erreurs qui ont t faites par la socit X.

Par contre, la socit X se doit d'assurer la scurit de ses clients, mme si le produit a t achet il y a un certain temps et n'est plus dans sa gamme.

De plus, si la socit X met du temps  vouloir rparer son problme, est-ce entirement de la faute  de la personne qui a mis  jour le souci?

Et de plus , combien de personnes ont t touch par cette malfacon avant qu'elle soit rendu public ?

je clos cette image, juste pour dire que mme si le comportement du crateur du POC peut tre tendancieux, le comportement de microsoft l'est tout autant.

On a pu lire que peut-tre cela a t forment par Google pour discrediter microsoft.

Mais la reflexion inverse est vrai aussi.

Qu'est-ce qui nous dit que le temps de mise  jour du patch correctif n'a pas eu pour but ( sous des pretextes de difficult ), de discrediter  google en disant : ils sont inconscients de mettre  jour a sans nous laisser le temps de le rparer alors que c'est trs long  rparer.

je pense que tous ont torts, aussi bien microsoft pour son temps de raction, que le crateur du POC pour peut-tre sa trop grande prcipitation  le rendre public.

Mes 2 centimes

ours_en_pluche

----------


## grafikm_fr

> une socit X produit un produit Y en 2001, 5 ans apres, ils sortent le produit Z, et ils arrtent donc la production d Y. 5 ans apres, ils dcouvrent un vice sur le produit Y. la socit X se doit de corriger la malfaon de son produit Y, c est normal.
> 
> rien n oblige le client a subir des erreurs qui ont t faites par la socit X.


Ca dpend comment est rdige la licence. Si le support n'est plus assur, rien n'oblige l'diteur  corriger les failles dcouvertes.

En revanche, XP Pro tant encore support par Microsoft, ce dernier y est effectivement tenu. Mais c'est pas une question d'thique, juste de ce qui est crit sur la licence.

----------


## Invit1

Je ne sais pas combien ni dans le monde Linux, ni chez Microsoft, ni chez Google ou autres pontes de l'informatique, combien de personnes s'affairent. De mme que je n'ai fait aucunement notion d'une dure pour corriger tel ou tel bug.

En effet, si un bug simple (un plus  la place d'un moins" peut supposer une bonne rapidit, cela serait faire preuve de navet. Trouver o dans le code de millier se trouve le bug n'est certainement pas une mince affaire.

L'objet de mon propos est d'affirmer que pour Microsoft, trouver une faille, le lui signaler n'implique pas pour lui de corriger une malfaon. Car un bug est bien une malfaon qui suppose une obligation de correction.

Je n'achte pas un produit en acceptant des malfaons. Quand j'en vois une, je demande  ce qu'elle soit corrige. Mme si cela est dcouvert bien longtemps aprs la fin de sa production.

Microsft se fout de ses clients, google aussi de par la collecte de donne personnel et bien d'autre suivent s mauvais exemples.

L'informatique est-il aussi pourrit, les informaticiens aussi incrdules pour que l'on nous fasse croire qu'il est normale qu'une Socit numro 1 mondiale sorte des produits avec autant de mal faon sans obligation de correction et qu'il se permette de critiquer, diffamer, ne pas respecter les loi en vigueur ?

Je ne le pense pas.

Microsoft, Google, Apple et consor ne valent pas mieux. L'argent attire l'argent. Quelque soit le problme, risques qu'ils font courir  leur client !

Qu'ils prennent leur temps pour sortir un nouvel OS, qu'ils financent rellement la recherche de failles pour les corriger.

Montrer tel ou tel faille au grand jour, c'est montrer la mauvaise qualit des soft et imposer  l'diteur de sans occuper. Le tout est de le faire intelligemment.

N'oublions pas la notion de surprofit en sortant un produit mal fini




> Ca dpend comment est rdige la licence. Si  le support n'est plus assur, rien n'oblige l'diteur  corriger les  failles dcouvertes.
> 
> En revanche, XP Pro tant encore support par Microsoft, ce dernier y  est effectivement tenu. Mais c'est pas une question d'thique, juste de  ce qui est crit sur la licence.


Je n'ai plus de licence Microsoft. Quelqu'un pourrait citer la partie en question ?

Couik

----------


## psychadelic

Je vois mal en quoi le fait de chopper des virus dans sa machine pourrait choir  Microsoft ; sinon a se saurait depuis longtemps.

Prenons le cas dune voiture, si un petit malin samuse  mettre du sucre dans le rservoir de ma voiture, et que cela finisse par bousiller mon moteur.

Avec votre raisonnement, je pourrais me retourner contre le constructeur pour la malfaon sur le moteur quil ma vendu, puisque celui-ci  na pas su se protger du sucre plac dans lessence ?

----------


## Mdinoc

Si le gars n'a pas su mettre une serrure sur l'ouverture du rservoir  une poque o c'est systmatique, OUI.

----------


## ours_en_pluche

bonjour,




> Je vois mal en quoi le fait de chopper des virus dans sa machine pourrait choir  Microsoft ; sinon a se saurait depuis longtemps.
> 
> Prenons le cas dune voiture, si un petit malin samuse  mettre du sucre dans le rservoir de ma voiture, et que cela finisse par bousiller mon moteur.
> 
> Avec votre raisonnement, je pourrais me retourner contre le constructeur pour la malfaon sur le moteur quil ma vendu, puisque celui-ci  na pas su se protger du sucre plac dans lessence ?


ton exemple est faux.
l erreur vient bien de microsoft, puisqu il utilise une faille du systeme pour son POC.

de plus, M$ qui fait tant de pub pour la scurit d Internet Explorer et qui laisse une faille de scurit sur ses os sans les reparer, est ce crdible ?

cordialement

ours_en_pluche

----------


## grafikm_fr

> Je n'ai plus de licence Microsoft. Quelqu'un pourrait citer la partie en question ?


Voila ce que dit l'EULA Microsoft (j'ai pris celui d'un XP2 SP2 Pro version OEM):




> Sauf en ce qui a trait  la garantie limite et dans la mesure maximale permise par le droit applicable, le Fabricant et ses fournisseurs [...] fournissent le Logiciel et les services de soutien technique (le cas chant) TELS QUELS ET AVEC TOUS LES DFAUTS et par les prsentes ils dnient toutes autres  garanties et conditions
> [...]
> 
> DANS LA MESURE MAXIMALE PERMISE PAR LE DROIT APPLICABLE, EN
> AUCUN CAS LE FABRICANT OU SES FOURNISSEURS (Y COMPRIS MS, MICROSOFT CORPORATION (Y COMPRIS LEURS FILIALES) ET LEURS FOURNISSEURS RESPECTIFS) NE SERONT RESPONSABLES DES DOMMAGES SPCIAUX, INCIDENTS, PUNITIFS, INDIRECTS OU ACCESSOIRES DE QUELQUE NATURE QUE CE SOIT.


En clair, s'il y a un bug, et ben tu te dmerdes.
Bienvenue dans le monde merveilleux des diteurs de logiciels. Parce que c'est pas propre que  Microsoft.  ::roll::

----------


## psychadelic

Ca alors, quel tonnement, mon argument sur la voiture et lessence ne semble pas en convaincre certains  ::P: 
Et entre nous une serrure cest loin dtre une protection efficace.

Un autre aspect que vous semblez aussi ignorer, cest que lachat dun logiciel comme Windows nest en aucun cas un acte de proprit. On signe une licence dutilisation-

Et  ce titre dailleurs, Windows correspond parfaitement  cet acte dachat (de licence dutilisation) :

Cest un logiciel graphique, permettant de grer le systme de vos machines ; je ne vais pas vous faire larticle sur toutes les possibilits techniques de Windows, mais cest prcisment cela que vous achetez, et il le fait "parfaitement".

Par exemple le dragn drop dun fichier dans un dossier, place le dit fichier dans larborescence de votre disque dur, sous la tutelle du dit dossier.

Si ce dragn drop faisait autre chose, comme "ouvrir" le fichier par exemple, la, on pourrait parler de dysfonctionnement (ou de mal faon), et la responsabilit de Microsoft serait engageable.

----------


## Invit1

Oui, je vois, mais je ne vois pas de limite de temps dans ce que tu cites ?

De mme, s'il n'est pas responsable des dgts causs par une mauvaise utilisation (ce qui me parat normal), il dit en traduction :




> Je te vends un produit qui est on le sait mal fini avec plein de bug. Tu as pay alors maintenant, on s'en fout, je te prends pour une m...


De mme, le fait de dire qu'une malfaon soit sans obligation de correction, c'est dire qu'il vend un produit sans assurance qu'on pourra s'en servir comme le produit est cens le permettre...

Imaginons un soft de gestion o en comptabilit, dans une balance (liste des comptes avec les cumuls de dpenses et recettes) soit faux et que le compte banque indique systmatiquement un solde ngatif...

Le soft serait inutilisable et pourtant, selon ce genre de licence, ben l'diteur n'aurait aucune obligation de corriger ?

J'achte une voiture avec laquelle je ne peux fermer les portires  cl alors que cela est cens tre possible... ben la construction corrige. De mme qu'il rappel les vhicules concernes par ce problme (bug)

Donc dans ce cas, afin de susciter l'envie de montrer une image plus respectueuse des clients, la publication des failles semble alors une mthode efficace pour dnoncer le _j'm'enfoutisme_ de Microsoft avec en citation la preuve de cet tat d'esprit via la licence...

Cela est  mon sens pas trs sympa pour les utilisateurs, mais trs incitatif pour l'diteur. D'autant qu'entre nous, au vue des rsultats de la firme de Redmond, je doute que le cot engendrer lui soit prjudiciable, bien au contraire.

Tout ceci prouve la dangerosit des monopoles. Vente forc, produits sortie avant contrle, et mal finis... la liste est longue...

Bref, je ne redeviendrais pas client de >Microsoft tant que sa politique d'irrespect envers ses clients sera ainsi. De mme pour Google et consor...

Je ne me sens pas client-roi, mais j'estime que j'ai le droit d'avoir un produit  dfaut d'tre exempt de bug, corrig conformment au devoir de fournir un produit fiable.

Microsoft n'est pas fiable puisqu'il garanti de pas devoir corriger les mal faon.

Couik

----------


## stardeath

> ...


et ben y a juste que ce que tu demandes est totalement impossible, je sais pas ce que tu fais dans la vie, mais un produit informatique exempt de bug est tout simplement une utopie.

vive les drives si jamais un diteur garantissait une perfection de fonctionnement ...

quand tu achtes une voiture, de a  z les pices sont (normalement) vrifies par le constructeur.
sachant que sur un ordinateur tu installes ce que tu veux, tu ne peux pas tout bonnement avoir les mmes garanti, ou sinon tu te retrouves dans un monde o chaque soft que tu installes est contrl par microsoft dans ce cas.
en plus microsoft ne peut pas garantir contre une panne matrielle qui endommagerait l'os.

----------


## grafikm_fr

> Oui, je vois, mais je ne vois pas de limite de temps dans ce que tu cites ?


Bah tu as bien vu, il y a aucune responsabilit de l'diteur engage. Le seul pays pour lequel je connais une dure de garantie (90 jours) c'est le Canada.

Donc les corrections relvent du "bon vouloir" de l'diteur et il peut couper le support quand il veut (sauf si tu paies pour videmment, auquel cas c'est le contrat qui prvaut). Et le moins qu'on puisse dire, c'est que MS supporte ses produits sur une trs longue dure.




> J'achte une voiture avec laquelle je ne peut fermer les portires  cl alors que cela est sens tre possible... ben le construction corrige. De mme qu'il rappel les vhicules concernes par ce problme (bug)


Il y a un gros problme de mthode l. Tu n'achtes pas un logiciel. Tu achtes un droit d'utiliser un logiciel. C'est a qui s'appelle une licence. Le logiciel ne t'appartient pas, mme si dans quelques cas et sous certaines conditions, tu as le droit de le cder. Trs grosse nuance.




> Tout ceci prouve la dangerosit des monopoles. Vente forc, produits sortie avant contrle, et mal finis... la liste est longue...


Tain mais c'est pas une question de monopole, enfin! Lis n'importe lequel EULA, ce sera toujours la mme chose. Le problme n'est pas dans un monopole, mais dans le fait que tant que le logiciel occupera dans le droit une position btarde (au sens premier de ce mot) entre uvre d'esprit et outil industriel, on aura droit  ce genre de termes d'usage.

----------


## Invit1

@stardeath : je n'ai jamais dit que je voulais un systme sans bug (quoique  ::D:  ) mais que si un bug important tait dcouvert, alors une correction s'implique et ce, que la correction arrive avec plus ou moins de temps car je me doute des complications que cela peut engendrer

Sinon, si je rsume : On achte le droit d'utiliser un soft (la licence) et du coup mme s'il y a un bug, le loueur (l'diteur)  le droit de nous envoyer pter, il s'en fout...

Bref, la mentalit des diteurs est remplie de m....

Il convient donc de le dmontrer en publiant les PoC (en laissant le temps de raction avant aux diteurs) imposant alors de fournir des correctifs.

Mentalit de m... pour mentalit de m..., je ne vois donc plus o est le souci si ce n'est de casser l'image des gros diteurs et donc  terme d'avoir pour le client plus de respect.

Quant au situation de monopole, elle est gnratrice de mauvaises actions, de non respect des lois, de non respect des clients...
Mais il est vrai que l'on risque le hors sujet.

PUBLIONS ALORS LES FAILLES aprs avoir averti l'diteur puis les PoC si ces failles ne sont pas pris en compte.

Ce sujet dmontre le manque de volont de Microsoft envers ses clients...
Ici, il est question de Microsoft, ailleurs ce sera un autre... mais en faisant ainsi d'une part on peut esprer (sans garantie hlas) avec un correctif, en crivant  nos chers dputs pouvoir voir le jour d'une dfinition juste de ce qu'est un logiciel...

Voilou
Couik

----------


## stardeath

> Ce sujet dmontre le manque de volont de Microsoft envers se clients...
> Ici, il est question de Microsoft, ailleurs ce sera un autre... mais en faisant ainsi d'une part on peut esprer (sans garantie hlas) avec un correctif, en crivant  nos chers dputs pouvoir voir le jour d'une dfinition juste de ce qu'est un logiciel...


volont de quoi? que des guignols aux mauvaises intentions pourrissent ses logiciels, c'est pas la faute  micrososft a.
d'ailleurs sans la dcouverte du bug, windows fonctionne sans problme.

quant aux bugs normaux, microsoft les corrige assez rapidement.

tu essaies juste d'obtenir des garanties l o il ne sera jamais possible d'en avoir.

----------


## GanYoshi

Tout est une histoire de mesure. 

On attaque pas un maon parce que le mur a t dtruit par un tank. 

Par contre, on attaque le maon si le mur est tomb lorsqu'on s'appuie dessus. 

Tout le dbat tourne autour de a, il y en a qui disent qu'une faille est un dfaut de fabrication, alors que d'autres rpondent que c'est pas  l'diteur de prvoir les mauvaises intentions.

Pour revenir mon mur, je demande  ce qu'un mur ne tombe pas seulement  cause d'un coup de poing, et que n'importe quel charlot de puisse pas le casser. 
Maintenant je sais trs bien que si l'arme s'attaque  mon mur, elle le cassera.  ::aie:: 

Tout a pour dire, que les experts c'est normal qu'ils trouvent des failles, ce qu'on veut, c'est que les clampins de base ne puisse pas les trouver. 

Si les experts dcident d'aider les clampins  faire exploser des murs, c'est en effet un problme d'thique, mais j'ai envie de dire que c'est le jeu.

----------


## grafikm_fr

> Sinon, si je rsume : On achte le droit d'utiliser un soft (la licence) et du coup mme s'il y a un bug, le loueur (l'diteur)  le droit de nous envoyer pter, il s'en fout...
> 
> Bref, la mentalit des diteurs est remplie de m....


C'est pas la mentalit des diteurs, c'est la loi qui fait a. Un logiciel est ger par le droit du copyright, c'est une "uvre de l'esprit" tout comme le dernier CD  la Fnac. Par consquent, de la mme faon que tu ne peux pas reprocher  l'diteur du CD que la musique qui est dessus est  chier, tu ne peux pas reprocher  l'diteur d'avoir des bugs dans son systme. Tu peux tout juste gueuler parce que le logiciel fait pas tout ce que tu pensais qu'il faisait (et encore parce que tu fais valoir la possibilit mensongre). Et de la mme faon qu'en achetant le CD "ma BMW" du dernier rappeur "500.000$" tu ne deviens pas propritaire du CD, tu n'acquiers pas le logiciel en achetant la boite.




> Mentalit de m... pour mentalit de m..., je ne vois donc plus o est le souci si ce n'est de casser l'image des gros diteurs et donc  terme d'avoir pour le client plus de respect.


Le souci, c'est que si tu publies un POC et que derrire y a un script kiddy qui s'en sert pour casser un rseau et causer des dgts (matriels ou non), c'est TOI qui sera directement responsable et que tu vas te ramasser un procs de la part de la victime (et non de l'diteur). 

Tu es sr de vouloir prendre le risque?  ::mouarf:: 




> Quant  la situation de monopole, elle est gnratrice de mauvaises actions, de non respect des lois, de non respect des clients...
> Mais il est vrai que l'on risque le hors sujet.


Pour la 3e fois: C'est pas le quasi monopole de MS sur le march des OS qui fait a, ce sont d'autres facteurs.

----------


## Invit1

> tu essaies juste d'obtenir des garanties l o il ne sera jamais possible d'en avoir.


En aucun cas je n'essaie d'avoir des garanties, cela est impossible tant la complexit est norme, et j'en suis parfaitement conscient.

Concernant les mauvaises actions, bien sr que l'diteur n'est pas responsable. Mais sa responsabilit arrive quand il refuse de trouver une solution pour palier  un trou trouv soit par des imbciles experts et des experts concurrents.

Comme pour reprendre l'exemple du maon, tant que le mur tient, pas de soucis. Si c'est un tank qui le dfonce, videmment, le maon n'est pas responsable, mais si les joints sont de mauvaise qualit et qu'un passant gratte un peu le mur et qu'il s'croule, alors le maon devient responsable de la mauvaise fabrication et le gratter responsable de l'avoir fait tomb.

Par contre si le gratteur prvient le maon que le mur peut s'crouler dans tel ou tel cas envisageable, et que le maon n'en n'a cure... ?

Comme dit : tout est affaire de mesure mais aussi de moral. On ne peut ignorer les mchants abusant des failles (aujourd'hui de Microsoft, demain d'un autre) pour faire le mal.

Ds que l'on parle d'thique, de moral... cela devient difficile de s'exprimer car tout de suite la traduction se fit en supposant que l'on exige la perfection. Je ne demande pas l'impossible. Juste de pouvoir utiliser le logiciel en toute srnit. Et que si d'aventure un souci, un risque est dcouvert. Le fait de savoir qu'une quipe s'en occupe. Cela me parait normal et je n'en voudrais pas  l'diteur;

Mais si j'apprends que l'diteur refuse de corriger un risque qu'il vient d'apprendre, alors ma confiance est perdue. C'est le cas aujourd'hui. Cela est vrai pour MS Windows, mais aussi pour n'importe quel systme ou logiciel et mme produit fabriqu.

Tous ont le droit  l'erreur, mais tous ont devoir d'humilit et reconnaitre une faille en la corrigeant au mieux dans les meilleurs dlais (sans impos ncessairement un dlais). Cela s'appelle pour moi le respect du client.

Voilou
Couik

----------


## psychadelic

Dans les fonctionnalits de Windows XP, il nest crit nulle part que ce logiciel est cens rsister aux attaques de virus et autres troyens.

Microsoft na aucune obligation de publier ces mises  jours de scurit, (ce ne sont pas des correctifs) ;, il le fait uniquement comme un service gratuit pour sa clientle (et pour sa rputation).

Pour Windows 7 et suivants, M$ commence  intgrer des notions de scurits, mais, et je m'avance peut-tre un peu, il nest pas impossible qu lavenir il finisse par facturer les mises  jours de scurit, tant elles gnrent un surcout dans lamortissement des produits.

----------


## Invit1

Justement, peut-tre que si la loi est si minimaliste, faudrait-il la complter...

Je doute fortement que Microsoft fasse payer des mises  jour au manquement  la scurit (failles). Par contre qu'il fasse payer un antivirus, cela me paraitrait plus logique tant les utilisateurs sont dangereux avec eux-mmes.

Par contre, demander que lorsque qu'une faille soit dcouvert que l'diteur (pas que Microsoft) soit dans l'obligation d'y pallier me parait raliste sans pour autant et l j'insiste imposer un dlai qui risquerait alors d'tre irraliste.

Quant au cot engendr, franchement quand on voit les chiffres des profits de Microsoft, ou de Google, cela serait absorbable...

Bien que faisant fonctionner  plein les claviers, la publication a permis d'avoir un correctif. Cette action, bien sr je la condamne, mais Microsoft s'est vu jeter en pture devant les mdia, et son image quelque peu bouscul. Ainsi, un patch a t fait.

Il est franchement dommage d'en arriver l  ::(: 

Mais cela suppose une sorte de rvolution dans les mentalits des diteurs, des informaticiens, des dveloppeurs (pas forcment tous, il est dangereux de gnraliser)

Voire mme revoir dans son entier le monde informatique.

Ce sera long, mais une voie a t ouverte et un diteur se trouve fasse  ses clients... je m'occupe de vous ou je vous lance dans la tronche l'extrait de la licence qui dit que j'en ai rien a faire, ce n'y suis pour rien.

C'est  chacun de voir...

Il ne reste plus qu' revoir les lois... (je sais, c'est facile  crire  ::|: )

Un long chemin...

Pour toutes raisons, sachant que d'office je ne serais pas sr de compter sur les diteurs payants, je prfre le gratuit (GPL ou non, l n'est pas la question) tant qu' courir les mmes risques. Au moins, l'conomie me permettra de financer les consquences des failles.

Couik

----------


## ours_en_pluche

bonjour,

je pense que la principale manne financire de M$ vient du neuf, du au fait qu'ils ont le monopole.

La sortie de l'os google devrait, esprons-le, a moyen terme changer la donne.

car mme si ses 2 socits ne sont pas hyper crdibles, elles ont la toutes les 2 une manne financire enorme, et ce sera  celui qui fera le mieux.

je pense ( enfin, plutt j'espre ) qu'au final ce sera l'utilisateur qui sera le plus gagnant.

plus grande comptitivit, plus grande reactivit, moins d'insouciance, plus de respect pour l'utilisateur.

ah lalalala, c'est beau de rver  ::): 

mais pour en revenir au sujet initial, la correction d'une faille, meme si elle n'est pas obligatoire est je pense une question de respect et d'ethique envers ses clients.

De plus, mme si le POC a t rendu public, rien ne nous prouve qu'au lieu de rentrer par cette faille la, ils ne seraient pas rentr par une autre.

donc sur les 10000 pcs infects du a ce POC, combien l'aurait t de toute faon par une autre faille ?

mes 0 centimes

ours_en_pluche

----------


## psychadelic

> Justement, peut-tre que si la loi est si minimaliste, faudrait-il la complter...


Hum, visiblement tes connaissances en la matire sont compltement  revoir.

Primo il ny a aucune loi crite concernant les licences de Logiciel.

Le seul document lgal qui nous concerne : cest le CLUF que lon accepte lors de linstallation du Soft.
http://fr.wikipedia.org/wiki/Licence_de_logiciel

Il sert principalement  protger lditeur contre la malveillance possible de lutilisateur, comme par exemple la copie pirate, ou encore pour le ddouaner de toute perte sur la machine de lutilisateur si celui-ci fait une opration inadquate du logiciel ; un peu comme les notices pour les fours  micro onde indiquant quil ne faut pas y mettre son petit chien pour le scher.

Encore une fois, Windows sert  grer un systme dexploitation, pas  le protger, et au regard de la  Loi  il sacquitte de ce devoir de manire largement satisfaisante.

Quand on parle de failles de scurit, cest une image. 
Par exemple, pour ceux qui ont fait de lescalade, les montagnes ont des failles ou des fissures sur leurs parois qui permettent dy placer des coinceurs afin de faciliter lescalade des grimpeurs. 

http://fr.wikipedia.org/wiki/Coinceur_%C3%A0_cames

En informatique cest la mme chose, et bien sur, lorsquune faille est dcouverte, on cherche  la colmater. 

Parfois les failles ne sont pas colmatables, par exemple pour les sites internet utilisant des bases SQL, des pirates on pu rcuprer les donnes de ces bases par injection SQL. 
La seule solution pour les webmasters concerns est de revoir compltement la faon dont ils grent leur base de donnes pour que les injections SQL naient aucun effet.
http://fr.wikipedia.org/wiki/Injection_SQL

En aucun cas une faille ne peu tre considre comme une erreur de programmation ou une faute de ralisation du systeme.

Au passage, le  patch  qui  t ralis pour corriger le problme du  la faille dcouverte par Tavis Ormandy, nest pas  proprement parler un colmatage, il nont fait que dsactiver certaines fonctionnalits de Windows pour empcher laccs  cette faille.

Pour la majorit dentre nous les fonctionnalits perdues sont inutiles, mais pour dautres cela peut tre gnant, et ils sont aujourdhui obligs de contourner cette voie.

----------


## Invit1

Bonjour (ou plutt bonsoir  ::P:  )

Je ne prtends pas connaitre le droit li  l'informatique et je confirme mme ne rien connaitre en la matire

Je ne prtends pas non plus que MS Windows soit mauvais, nul ou autre.

Mais je constate que le cluf ne protge que l'diteur. Q>u'il y a un vide juridique en ce qui concerne les logiciels.

Concernant l'escalade, le problme ne viens pas de la montagne, mais de l'quipement. Si l'quipement  des dfauts (cordes abim  l'intrieur, coinseur mal mont etc... c'est bien l'quipemetier qui aura des soucis (juridique car pour le reste, l'escaladeur...  ::P:  )

Je n'incrimine pas Microsoft de fournir un systme avec des bugs, ni d'autres d'ailleurs. Mais je relve simplement le manque de respect qu' Microsoft envers ses clients en refusant de corriger ce qu'on est en droit d'avoir sans bugs.

Avec l'arriv de Google, on ne peut qu'esprer une meilleurs qualit non pas des systme, mais du respect que nous sommes en droits d'avoir.

Le dictionnaire de Microsoft ne comporte pas "ethique", "rrespect"

Toucher  son image en le forant  respecter reste une solution qui mme si elle est rprhensible  le mrite de montrer les mauvais cots de Microsoft.

Google aura certainement droit au mme traitement  :;): 

Quant  nos Dput, avec l'aide de chacun, il est possible de corriger les manques juridiques.

Tout est affaire de gros sous.

Affaire  suivre donc  :;): 

Couik

----------


## Louis Griffont

@Couik, qu'est-ce qui te fait dire que Microsoft refuse de corriger les bugs de ses logiciels ? L'annonce faite par un employ d'une boite concurrente ?  ou les nombreuses mises  jour de ses produits ?

----------


## Invit1

@Louis Groffont : Concernant les bugs, ils sont je pense en majorit corrigs, mais concernant certains, entre la dcouverte et le correctif, il se passe normment de temps. Au passage, dformer un temps soit peu les propos fait aussi parti de la politique de Microsoft. (Cf les dnonciation calomnieuse  l'encontre de Linux pour soit disant copie de code alors que Microsoft refuse de le prouver ^^ - les exemples sont nombreux :S - ). Dfendre l'image d'une socit est une chose, idoltrer une socit en est une autre  :;): 

Ou alors, si je me trompe (ce que j'espre), leur communication reste trs minimaliste et peu rassurante  ::(: 

Par exprience, ayant eu l'utilisation (forc  ::evilred:: ) de MS Windows XP, j'ai mis  jour avec update, avec les SPx et hop, certains bugs corrigs et d'autres ajouts.

Chose trange,  peine sorti, les nouvelles versions de Windows offrent en quelques semaines des correctifs... Est-ce l une preuve d'un respect du client en offrant un outil bugu alors que retarder un peu la sortie de la version peut permettre de corriger une bonne partie des bugs ?

J'en ai pas une bonne exprience et ma perte de confiance vis  vis de Microsoft est pour l'instant total (ce qui ne m'empche pas de reconnaitre certaines qualits ^^)

Franchement, acheter une licence pour un soft que je sais par avance bugu, qui une fois install suppose une mise  jour, c'est bien qu'il y a un soucis quelque part non ?

Maintenant, qu'on me trouve que Microsoft s'est achet une morale et on avisera.

----------


## stardeath

> @Louis Groffont : Concernant les bugs, ils sont je pense en majorit corrigs, mais concernant certains, entre la dcouverte et le correctif, il se passe normment de temps. Au passage, dformer un temps soit peu les propos fait aussi parti de la politique de Microsoft. (Cf les dnonciation calomnieuse  l'encontre de Linux pour soit disant copie de code alors que Microsoft refuse de le prouver ^^ - les exemples sont nombreux :S - ). Dfendre l'image d'une socit est une chose, idoltrer une socit en est une autre 
> 
> Ou alors, si je me trompe (ce que j'espre), leur communication reste trs minimaliste et peu rassurante 
> 
> Par exprience, ayant eu l'utilisation (forc ) de MS Windows XP, j'ai mis  jour avec update, avec les SPx et hop, certains bugs corrigs et d'autres ajouts.
> 
> Chose trange,  peine sorti, les nouvelles versions de Windows offrent en quelques semaines des correctifs... Est-ce l une preuve d'un respect du client en offrant un outil bugu alors que retarder un peu la sortie de la version peut permettre de corriger une bonne partie des bugs ?
> 
> J'en ai pas une bonne exprience et ma perte de confiance vis  vis de Microsoft est pour l'instant total (ce qui ne m'empche pas de reconnaitre certaines qualits ^^)
> ...


bah dans ce cas arrtes l'informatique, vu que de toute faon TOUS les logiciels possdent des bugs.

quand  la correction de bugs, tout le temps que j'ai utilis windows xp (cd jusqu' vista) j'ai tous les mois eut  mettre  jour ma machine avec les patchs de scurit et autre. pas seulement les premires semaines.

aprs je vois surtout que la paranoia s'installe quand il s'agit de microsoft, mais que ds que c'est open source, on y va les yeux ferms...

----------


## Invit1

Alors a, ce sont des btises.

Je ne suis ni un pro-libre, pro-non-libre ect...

J'utilise ce qui est  ma disposition. Sauf que quand je suis sus la contrainte, je rle.

Je suis relativement souple, et j'admets les checs, les erreurs etc (cf Vista), mais je n'admets pas courir des risques sous prtexte que l'diteur ne s'investit pas plus dans la scurit des outils qu'il propose. Si au moins, Microsoft avait l'honntet de dire quand il travail sur une faille, sans pour autant dire quelle faille ou autre info. Les relation avec les clients seraient plus rassurantes.

Concernant le libre, j'ai choisi une distribution, mais je n'y suis pas fidle.

Par contre, les avantages/inconvnients entre les deux, c'est une autre discussion et j'en suis conscient. Mais au moins, je ne paye pas pour un risque

Je ne suis pas parano, loin de l. Je demande juste du respect en temps que particulier. Chose que je n'obtient pas avec Microsoft.

Montrer la face cach d'une socit peut permettre de changer les mentalits. Reste bien sr  dfinir les modalits. Mais prvenir la dite socit d'une malfaon n'est pas  mon sens malsain tant que la dite socit ragit convenablement. Aprs un dlais d'attente d'une raction, menacer de dnoncer la non ractivit me parait justifier. 

Il est clair que dans le cas prcis, Microsoft ne joue pas franc jeu car il change les dlais de deux mois en 5 jours... Ceci tend  dmontrer le peu de moral de Microsoft. Erreur de com ? autre ?

Aurait-on confiance en un menteur.

Le soucis est que l'action vient de Google, autre cas de manque de respect vis  vis des clients. Qu'elle aurait t la raction de chacun si cela venait d'un particulier fru d'informatique ? ou d'une autre socit ?

Il ne faudrait pas croie qu'il n'y ait que les service de scurit informatique de diverses socit qui cherchent des faille tant dans windows, google, Linux ou autre. Cela serait preuve de navet. Les pirates surdous y travaillent aussi !

Dsol, mais trop de fait montre le cot obscure de Microsoft (et de Google au passage) Sans tre parano, je vais l o la confiance est la plus forte (sans tre absolue)

----------


## alexis b

> @Couik, qu'est-ce qui te fait dire que Microsoft refuse de corriger les bugs de ses logiciels ? L'annonce faite par un employ d'une boite concurrente ?  ou les nombreuses mises  jour de ses produits ?


C'est un constat voil tout  :;):

----------


## stardeath

> mais je n'admets pas courir des risques sous prtexte que l'diteur ne s'investit pas plus dans la scurit des outils qu'il propose. Si au moins, Microsoft avait l'honntet de dire quand il travail sur une faille, sans pour autant dire quelle faille ou autre info. Les relation avec les clients seraient plus rassurantes.


s'investir? bah je crois qu'en sortant rgulirement des mises  jour, patchs et autre, microsoft prouve justement qu'il s'investit dans ses produits.

aprs le problme c'est qu'on ne sait pas ce qu'il y a eut entre l'ing et microsoft, comme on ne sait pas non plus le "calendrier" de rparation des bugs de microsoft.

----------


## cbleas

```

```

C'est d'ailleurs pour cela que microsoft fourni gratuitement un antivirus

----------


## grafikm_fr

> Mais je constate que le cluf ne protge que l'diteur. Q>u'il y a un vide juridique en ce qui concerne les logiciels.


Ben la question a bien t aborde, mais on a pas trouv mieux que le copyright. Ou alors y a le droit de proprit industrielle (brevet) mais il gnre un nombre assez impressionnant d'emmerdes  d'autres niveaux.




> Mais je relve simplement le manque de respect qu' Microsoft envers ses clients en refusant de corriger ce qu'on est en droit d'avoir sans bugs.


Non, en installant un logiciel, n'importe lequel, t'as accept l'EULA dans lequel il est dit que l'diteur se dgage de toute responsabilit en cas de bug...  ::mouarf:: 




> Avec l'arriv de Google, on ne peut qu'esprer une meilleurs qualit non pas des systme, mais du respect que nous sommes en droits d'avoir.


 ::mouarf3::  joli troll.




> Le dictionnaire de Microsoft ne comporte pas "ethique", "rrespect"


Cites-moi une boite qui a a dans son vocabulaire (et en vrai, pas dans le discours du PDG).




> Quant  nos Dput, avec l'aide de chacun, il est possible de corriger les manques juridiques.
> 
> Tout est affaire de gros sous.


Non, tout est affaire de qu'il faudrait pondre un droit sui generis pour les logiciels pour rsoudre le problme. Et c'est plus dur que a en a l'air.

----------


## Invit1

> Ben la question a bien t aborde, mais on a pas trouv mieux que le copyright. Ou alors y a le droit de proprit industrielle (brevet) mais il gnre un nombre assez impressionnant d'emmerdes  d'autres niveaux.


Je ne suis pas contre le copyright, ni contre le libre et toutes ses branches. Toutes les solutions ont leurs avantages, mais aussi leurs inconvnients. Cela est  mon avis un dbat sans fin sur le thme du copyright et du copyleft.





> Non, en installant un logiciel, n'importe lequel, t'as accept l'EULA dans lequel il est dit que l'diteur se dgage de toute responsabilit en cas de bug...


C'est archi faux ! Va acheter un PC en grande surface est demande a avoir ce PC sans systme et on en rediscute... L'OS t'est impos. Il est o le libre choix d'accepter ou non ?
A dfaut de Grande Surface, va chez Dell pour ne citer que lui, trouve la config que tu souhaite et assez donc de faire retirer l'OS. L'EULA, on te l'impose. C'est de la vente forc, il y a eu des condamnation, mais difficile pour un particulier de se dfendre...
N'entrons pas dans le dbat, on risque le hors sujet. Mais le fait est bien rel, on se fout que tu veille ou non l'OS.
Et dans le cas o tu as acheter  part ton OS, tu s ton PC de cass suite  de multiple cause, donc tu vas en acheter un autre. tu as donc une licence non utilis puisque le PC est dtruit, pourquoi t'imposer une nouvelle licence ?





> Cites-moi une boite qui a a dans son vocabulaire (et en vrai, pas dans le discours du PDG).


Toutes celles  taille humaine ou le contacte fournisseur client est directe sous peine de voir sa clientle voire  cot





> Non, tout est affaire de qu'il faudrait pondre un droit sui generis pour les logiciels pour rsoudre le problme. Et c'est plus dur que a en a l'air.


Je n'ai jamais dit que cela serait simple, mais est-ce que le travail  commenc ?
De mme, c'est au Dputs entre autre de faire des propositions et pour cela rien ne les interdit de faire appel  des pro du domaine.
Le fait que le code soit ouvert permet  chacun de corriger, d'amliorer, mais limite les gains de la socit qui a fait le soft. le fait que le code soit ferm, et cela je comprends, suppose que seul l'diteur est  mme de rpondre des dfauts de son soft. C'est un choix que chaque socit fait et qui se doit d'tre respect. Mais cela implique pour chacun des devoirs envers les utilisateurs.

Il est clair qu'il y a beaucoup  dire. Je ne juge pas, je constate.

Pourquoi Microsoft a dit que L'employ de Google lui a donner que 5 jours alors qu'il avait plus que a ?
Pourquoi croirions-nous plus Google que Microsoft ou Microsoft que Google ?

Bref, je ne suis pas sr que chacun de nous ait tous les lments. Sauf que comme d'habitude, on notera dans les diffrents post de l'idoltrie pro-Microsoft et de la haine anti-Microsoft. Ce n'est pas une faon de discuter.

Contentons nous de constater et voyons si cela est normal ou non... Aprs on pourra trs certainement commencer un vrai travail sur l'thique et voire, pourquoi pas, proposer une charte, un dbut de loi permettant  tout  chacun d'obtenir le respect...
(avoir un correctif pour les soft, ne pas tre oblig d'acheter une licence, d'avoir avant achat le pris de la licence conformment  la loi etc...)

Cela parait utopiste... pourtant, plutt que de geindre en disant "t'as des preuves ? dis ? t'as des preuves "sans autres argument... prenons les points un  un et hop au boulot !

----------


## Rams7s

> C'est archi faux ! Va acheter un PC en grande surface est demande a avoir ce PC sans systme et on en rediscute... L'OS t'est impos. Il est o le libre choix d'accepter ou non ?


Vu chez carrefour avant-hier:
_Certains fabriquant d'ordinateurs ont mis en place une procdure pour se faire rembourser le systme d'exploitation. C'est  voir avec eux_
C'est pas la phrase exacte, mais le archi-faux au dbut de la citation fait tche. ::roll:: 

Pour quelqu'un pas certain d'avoir tous les lments, et qui demande  tout le monde de prendre les points un  un, a piaille beaucoup. ::mouarf:: 

Enfin bref...

----------


## Invit1

> Vu chez carrefour avant-hier:
> _Certains fabriquant d'ordinateurs ont mis en place une procdure pour se faire rembourser le systme d'exploitation. C'est  voir avec eux_
> C'est pas la phrase exacte, mais le archi-faux au dbut de la citation fait tche.
> 
> Pour quelqu'un pas certain d'avoir tous les lments, et qui demande  tout le monde de prendre les points un  un, a piaille beaucoup.
> 
> Enfin bref...


Je confirme, l'information n'est pas affich !

Punaise, balade toi dans les grande surface et fais une copie d'cran concernant Dell
Non a ne fais pas tche, il y a peu de loi concernant l'informatique, mais au moins, celle d'informer les clients existe et n'est pas respect !

Donc je confirme l'obligation d'acheter une licence pour ensuite la refuser car le CLUF n'y est pas afficher... Comment savoir si tu es d'accord si tu ne peux lire ?

Plutt de dire n'importe quoi, prend une photo du CLUF affich en grande surface pour que tu puisses dire avant achat si tu le veux un non...

C'est ton discours sur fonds de mauvaise fois qui fait tche...
Encore  un idoltre...

Au passage, regarde le cas des portables...

----------


## grafikm_fr

> Je ne suis pas contre le copyright, ni contre le libre et toutes ses branches.


Ben pourtant le problme se trouve prcisment l, dans le copyright.  ::P: 
Le logiciel c'est un actif immatriel, que tu n'achtes pas en tant que tel, mais tu achtes un droit de l'utiliser. C'est comme quand tu achtes un CD de musique, ce fait ne te donne aucun droit sur le morceau de musique, tu as juste le droit de l'couter. Avec le logiciel c'est pareil mais dans certains cas, tu as aussi le droit de le cder.

Donc, tu as le choix, pour accorder  un gars de base le droit d'utilisation d'un actif immatriel, entre 2 possibilits:
1) Le brevet. Avantage: permet d'assimiler le logiciel  un outil industriel avec tous les avantages que a a. Inconvnient: dure limite + problmes inhrents  la brevetabilit d'algorithmes et de procds triviaux. En plus, une licence de brevet pour un particulier, c'est un peu un marteau pilon pour une mouche, a coute cher, y a des papiers  remplir etc, bref un bazar sans nom.
2) Le copyright (droit d'auteur). C'est cool, il y a des choses qui s'activent par dfaut, a coute pas cher, bref que du bonheur. Y a juste un souci: ce faisant tu assimiles un logiciel  une uvre d'esprit (cration artistique). Or, il est absolument pas prvu qu'une uvre d'esprit soit sujette  toute restriction du type "ca m'a pas plu", "a marche pas comme je voudrais etc.". Et l'EULA ne fait que le reflter.

Donc si tu veux faire aucun des deux, il te faut dfinir un droit _sui generis_ (cr de toutes pices) pour le logiciel. Le problme, c'est que les juristes sont trs allergiques au droit sui generis (ils l'ont cre pour les bases de donnes sinon c'tait vraiment trop le bordel, mais pas pour les logiciels).

Et toute tentative de crer un droit ad hoc pose des problmes ne serait-ce que de rtroactivit ventuelle etc. Le seul pays que je connais et qui est alle plus loin c'est le Canada qui impose de mmoire 90 jours de garantie de fonctionnement d'un logiciel.

Donc c'est pas le mchant MS/Apple/Google/Adobe/rayer les mentions inutiles, c'est juste que le droit d'auteur et le droit de proprit industrielle ont t crs quand le logiciel existait pas, et qu'on en rcolte les frais actuellement.

----------


## Louis Griffont

> Je confirme, l'information n'est pas affich !
> Punaise, balade toi dans les grande surface et fais une copie d'cran concernant Dell
> Non a ne fais pas tche, il y a peu de loi concernant l'informatique, mais au moins, celle d'informer les clients existe et n'est pas respect !
> Donc je confirme l'obligation d'acheter une licence pour ensuite la refuser car le CLUF n'y est pas afficher... Comment savoir si tu es d'accord si tu ne peux lire ?
> Plutt de dire n'importe quoi, prend une photo du CLUF affich en grande surface pour que tu puisses dire avant achat si tu le veux un non...
> C'est ton discours sur fonds de mauvaise fois qui fait tche...
> Encore  un idoltre...
> Au passage, regarde le cas des portables...


On a dj eu ce dbat des centaines de fois. Oui, c'est pas juste, personne ne vend du Linux. Oui, les vendeurs sont des mchants qui vendent uniquement ce qui vend le mieux. D'un autre cot, elle est o l'arnaque ? Dans le fait qu'une personne va venir dans un supermarch achet un ordinateur avec Windows (et c'est crit dessus) alors que peut-tre il a dj une licence de cet OS ? Oh la la la ! Le scandale. Son nouvel ordinateur est livr avec une version plus rcente que celle qu'il a dans son vieux bousin ! 
Euh... Si j'achte un smartphone, il est vendu sans OS et sans applis dessus ?
N'est-ce-pas le mme problme ? Si j'achte un MAC, je peux ne pas le prendre avec MAC OS ? Si j'achte une machine  laver, j'ai le choix du programme pour l'utiliser ? 

Ce dbat est strile, alors, ne sortons pas du sujet, merci !

----------


## Invit1

Cher Louis, c'est marrant la faon dont tu transforme les dires  ::P: 

Mais o sont tes arguments permettant un change constructif ?

Pourquoi tu me parles de Linux l ? Je te dis que j'ai une licence Windows et que je ne veux pas en acheter une autre... et tu me parles de Linux...

Punaise, assez de suivre un peu et arrte d'tre ridicule !

Le fond du problme est simple : Tu as une socit qui se fout de toi car de toute faon avec les pratiques contestables et contestes, il s'en foute que tu ais un systme bancale. Tu as acheter...

C'est le problme du monopole.

Mais note que d'une parte, je ne fait pas le procs Windows/Linux/Mac OS
Je le rpte des fois que tu ne comprennes pas la ligne ci-dessus... *je ne fait pas le procs Windows/Linux/Mac OS* 

De ce fait, ben corriger des bugs oui, ela se fait, mais certains bugs sont passs  la trappe. Ne pas vouloir corriger c'est montrer le ddain vis  vis du client.

Une seule mthode : toucher son image. Ce n'est pas plus morale que de lire des mensonges de la part de Microsoft, mais au moins cela fonctionne.

Note : tu remarqueras que je ne parle pas de Linux

Pour la machine  laver : ben c'est un exemple un peu couillons, car tu  le cas pour les voitures et pour bien d'autre objet.
Pour l'informatique, pour le PC, tu as du choix de prendre ou de ne pas prendre. Ce choix t'es refus.

Je rpte alors ma question (qui ne concerne pas Linux, rappelles toi ^^). J'ai dj acquis une licence Windows, mon PC est casser et inutilisable, donc je rachte un autre PC mais je ne veux pas reprendre une licence. Je vais chez Dell... comment je fais ?

Cher Louis, prends ton temps pour lire, vrifie bien que nous parlons exclusivement de Windows et que je ne sort pas du sujet...

J'ai parl de monopole et de ses consquences, du peu de choix accorde  l'utilisateur, donc des consquence aussi, de loi concernant les logiciels et il y a mme des rponses intelligentes...

Je pense qu'en relisant l'ensemble tu parviendras faire des rponses elle aussi convenable  :;): 

Concernant les loi, je comprends la problmatique et je m'aperois de l'usine  gaz que cela gnrerait. D'autant que chaque pays aura sa version :S

Il reste donc le Canada qui a au moins fait quelque chose...
Ou alors, toucher  l'image des diteurs en leur suggrant fortement d'agir convenablement.

Car il ne faut pas rver, il n'y a pas que les service de scurit qui cherchent les failles, les pirates aussi... trop  de possibilit de gains au dtriments des victimes sont en jeu mais eux, les pirates, ne dvoilent pas les failles, ils les exploitent silencieusement...

Par contre, mettre une date limite de fon de maintenance d'un logiciel me parait aussi normale sous rversve que la nouvelle version la remplaant ait un peu d'ge pour ne pas ressuyer des platres dans tous les sens...

Exemple : 3 ou 4 ans aprs la sortie d'une nouvelle version... (les 3 ou 4 ans sont purement subjectifs et ne reposent sur aucune tude)  la place des 90 jours imposs par le Canada

Voilou
Couik

----------


## cbleas

```

```

quand vous avez acquis la licence c'tait certainement en EOM donc beaucoup moins cher et associ  l'ordinateur sur lequel c'est install

----------


## yoyo88

> ```
> 
> ```
> 
> quand vous avez acquis la licence c'tait certainement en EOM donc beaucoup moins cher et associ  l'ordinateur sur lequel c'est install


En plus un PC sans OS c'est pas se qui a de plus dur a trouver, tu va chez le rparateur de PC du coin et basta.

au pire des cas tu te fait rembours ta licence... (pas le plus facile faut bien l'avouer mais techniquement c'est possible)

----------


## dams78

> au pire des cas tu te fait rembours ta licence... (pas le plus facile faut bien l'avouer mais techniquement c'est possible)


D'un autre ct on peut se faire rembourser la licence parce que les tribunaux ont condamn la vente lie, enfin moi je dis a...

----------


## Louis Griffont

Cher Couik, 

Je ne dforme rien. Je parlais de l'ternel dbat, gnralement lanc par les utilisateurs de Linux (et oui je reparle de linux  :;): , mais si tu lis bien, c'est justifi) comme quoi, chaque personne achetant un ordinateur se verrait mettre un couteau sous la gorge par un employ de Microsoft, l'obligeant  acheter Windows. 

Ensuite, pour ton PC cass, comme l'a dit *cbleas*, ta licence de Windows n'est valable *QUE* pour le PC en question, sauf si, cas trs rare, tu l'as achet sparment. Mais dans ce cas, tu peux demander  tre rembours de la licence nouvellement acquise, comme l'a fait remarqu Dams78.

Ce que je pense, c'est qu'aller acheter un PC dans un super march et se plaindre que ce n'est pas un magasin d'informatique, c'est nul ! Ensuite si DELL ne veut vendre que des ordinateurs avec Windows, c'est parfaitement son droit. Mais personne ne t'oblige  acheter ton PC chez DELL, il me semble.

Ensuite, dire que Microsoft se moque de ses clients et vend des OS buggus et ne fonctionnement pas, je trouve cela ridicule. J'utilise Windows depuis la version 1.0 et avant cela j'tais avec MS-DOS (MS pour Microsoft), et mme si j'ai pest contre certaines fonctionnalits, a a toujours fonctionn, et chaque version apporte son lot d'amliorations et de problmes comme tous les logiciels. Aujourd'hui, j'utilise Windows Seven et j'en suis ravi.

----------


## loufab

Couik et Louis s'entendent comme larrons en foire... ils vont finir par se marier c'est 2 l.  ::mouarf::  ::mouarf:: 

On dirait le couple de vieux du moppet show.


 ::dehors::

----------


## Invit1

Pour la mariage ben on verra...  ::D: 

Bon, pour clarifier :
J'ai achet mon premier PC avec Windows XP associ (ce qui si je ne me trompe pas est interdit aujourd'hui car c'est une vente li)
J'ai fabriqu un PC suite  un bidouillage aventureux sur le premier de ma part (ben on ne devient pas sorcier sans tester  ::D: ) et achet une licence Windows XP

Ce PC l, il est cass. (j'avoue, je ne suis pas dou  ::P:  ). Je vais donc regarder ce qui ce fait chez Dell... Je tel une fois avoir chois la config et hop impossible de retirer l'OS. Je parts alors dans quelques grandes surfaces... mme chose avec  chaque fois des vendeurs avec plein de vocabulaire sans savoir de quoi ils parlent.

Viennent ensuite les procs et hop aujourd'hui, obligation d'afficher le prix de l'OS avec la fiche du PC (jamais vu l'affiche....)

Concernant les ventes de logiciel, je me doute que tous les diteurs font de leur mieux pour fournir un logiciel fonctionnel. ce que je constate et je ne pense pas tre le seul, c'est que pour les petite ou moyenne structure (les diteurs je parle), les bugs sont corrigs pour garantir une bonne image alors que les grande, du fait d'un systme de vente contestable et ontest, voire condamn par la justice, certain bug ne sont plus corrig.

Aussi, le fait de l'indiquer publiquement jette l'opprobre sur l'diteur qui se voit alors incit  ragir.

La mthode est bien sur contestable, je ne le nie pas. Mais il est clair  la lecture des articles concernant la faille dont il est question aujourd'hui, que Microsoft n'a pas ragit de bonne manire en mentant sur le dlais accord. Cela pousse  la mfiance.

Maintenant, concernant Dell, non, il n'ont pas le droit d'imposer une vente lie. Tout comme n'importe quel vendeur d'informatique.
Concernant les grandes surfaces, le fait d'indiquer clairement ce qui normalement doit l'tre ne peut changer leur chiffre d'affaire du fait des connaissance de leurs clients. Pourquoi alors ne pas respecter la loi ?
Concernant les boutique, l, je vois des PC nu, et les prix reste abordable avec je pense plus de conseils adquates. Ce qui n'tait pas le cas hier, il ne faut pas le nier.

Maintenant, comme il a t soulign, il y a un vide juridique sur les devoirs des diteurs, et vu la tche pour combler ce vide, je comprends aussi l'hsitation des jurises  lgifrer.

Reste la dnonciation. Mais il convient alors de prendre toute la mesure de cela pour que les utilisateurs ne soient pas sanctionner...

Le dbt risques de rester ouvert longtemps...

Pour notre mariage, on prendra rendez vous pour discuter du repas de fte  ::P: 

PS : pourquoi devrais d'abord payer un truc que d'avance je sais ne pas vouloir ?
PS2 : Pourquoi ne puis-je pas lire le CLUF avant d'acheter ?

Note : Tant dans le libre que dans le non libre, il y a des penss purile, l'un critiquant l'autre sans autre argument que de dire qu'ils sont les meilleurs et que c'est la solution. Je ne fais pas parti de ce mode de pens. Et j'admets aussi bien les avantages de l'un comme de l'autre mais aussi les inconvnients. a ne me choque pas de voir du non libre sur du libre et inversement. j'utilise les deux et si besoin, ouvre mon porte monnaie si dans le non payant je ne trouve pas de dont j'ai besoin.
sur ce dbat, effectivement, cela restera toujours strile :S

----------


## Louis Griffont

> Pour la mariage ben on verra...


 ::mrgreen:: 




> Bon, pour clarifier :
> J'ai achet mon premier PC avec Windows XP associ (ce qui si je ne me trompe pas est interdit aujourd'hui car c'est une vente li)
> J'ai fabriqu un PC suite  un bidouillage aventureux sur le premier de ma part (ben on ne devient pas sorcier sans tester ) et achet une licence Windows XP
> 
> Ce PC l, il est cass. (j'avoue, je ne suis pas dou  ). Je vais donc regarder ce qui ce fait chez Dell... Je tel une fois avoir chois la config et hop impossible de retirer l'OS. Je parts alors dans quelques grandes surfaces... mme chose avec  chaque fois des vendeurs avec plein de vocabulaire sans savoir de quoi ils parlent.


Dell est un constructeur, il me semble. Il fabrique des ordinateurs qu'il vend avec un OS. L'OS le plus adapt  ses yeux et garantissant un fonctionnement optimal de son matriel (d'aprs lui, bien sr). C'est une question d'image de marque. 
Pour ce qui est des grandes surfaces, pour moi ce n'est pas l'endroit pour acheter un PC (ou n'importe quel produit lectronique, ou autre). Ce sont des bazars, rien de plus, et les comptences des vendeurs n'est pas un arguments aux yeux de leurs recruteurs.




> Viennent ensuite les procs et hop aujourd'hui, obligation d'afficher le prix de l'OS avec la fiche du PC (jamais vu l'affiche....)


A qui la faute ? Microsoft ?




> Concernant les ventes de logiciel, je me doute que tous les diteurs font de leur mieux pour fournir un logiciel fonctionnel. ce que je constate et je ne pense pas tre le seul, c'est que pour les petite ou moyenne structure (les diteurs je parle), les bugs sont corrigs pour garantir une bonne image alors que les grande, du fait d'un systme de vente contestable et ontest, voire condamn par la justice, certain bug ne sont plus corrig.
> 
> Aussi, le fait de l'indiquer publiquement jette l'opprobre sur l'diteur qui se voit alors incit  ragir.
> 
> La mthode est bien sur contestable, je ne le nie pas. Mais il est clair  la lecture des articles concernant la faille dont il est question aujourd'hui, que Microsoft n'a pas ragit de bonne manire en mentant sur le dlais accord. Cela pousse  la mfiance.


Je dirais juste : pure spculation (a moins que tu ne travailles ou ais travaill chez Microsoft et que tu puisses apporter des preuves concrtes)




> Maintenant, concernant Dell, non, il n'ont pas le droit d'imposer une vente lie. Tout comme n'importe quel vendeur d'informatique.


Je pense que si cette loi n'est pas ou mal applique, c'est qu'elle n'est pas,  la base, faite pour l'informatique. De plus, elle ne peut-tre que controverse, dans la mesure o ces mmes pratiques sont acceptes dans des domaines proches voir similaires : Apple et ses MAC qui sont vendus avec MAC OS, les Smartphones qu'il est impossible de trouver sans OS et mme pire, sans AppStore ! 




> Concernant les grandes surfaces, le fait d'indiquer clairement ce qui normalement doit l'tre ne peut changer leur chiffre d'affaire du fait des connaissance de leurs clients. Pourquoi alors ne pas respecter la loi ?
> Concernant les boutique, l, je vois des PC nu, et les prix reste abordable avec je pense plus de conseils adquates. Ce qui n'tait pas le cas hier, il ne faut pas le nier.


Je suis d'accord avec toi sur ces 2 points. Toutefois, a date justement  peine d'hier qu'il y aurait des alternatives  Windows, utilisables pour le grand public. C'est peut-tre aussi pour cela qu'habitude a t prise de fournir un PC avec Windows. Parce qu'il n'y avait pas de choix. Aujourd'hui, certaines distributions Linux seraient accessibles  tout le monde. Mais, c'est trs rcent (dbut 2010 ?).




> Maintenant, comme il a t soulign, il y a un vide juridique sur les devoirs des diteurs, et vu la tche pour combler ce vide, je comprends aussi l'hsitation des jurises  lgifrer.


Je crois que comme dans tous les domaines innovants, les politiques ont un srieux retard, et les lois sont inadaptes. Ce qui cr des problmes. Prenons la fameuse loi sur la vente lie. Elle date de bien avant l'arrive des PC. Les premires plaintes n'ont vu le jour qu' l'apparition des premires distributions Linux, et faite par des informaticiens qui voulaient faire un coup de pub pour leur manchot. Un juge, n'y connaissant rien, mais lui aussi voulant se faire un coup de pub (s'attaquer aux grosses multinationales est un sport trs courus dans la justice) a rendu un verdict qui fait jurisprudence depuis, mais est-ce qu'en y rflchissant un peu, cette loi sur les ventes lies est rellement adaptes  la vente des PC avec OS ? Oui en ce qui concerne DELL (et consort) et Microsoft, non en ce qui concerne les MAC et MACOS et non encore pour les Smartphones...   ::roll::  C'est quand mme trange, non ?




> Pour notre mariage, on prendra rendez vous pour discuter du repas de fte


Du moment qu'on boivent !  ::chin:: 




> PS : pourquoi devrais d'abord payer un truc que d'avance je sais ne pas vouloir ?


Pourquoi acheter un truc que tu ne veux pas ?



> PS2 : Pourquoi ne puis-je pas lire le CLUF avant d'acheter ?


As-tu accs  toutes les conditions de vente quand tu achtes un tlviseur, une machine  laver, ...  :;): 




> Note : Tant dans le libre que dans le non libre, il y a des penss purile, l'un critiquant l'autre sans autre argument que de dire qu'ils sont les meilleurs et que c'est la solution. Je ne fais pas parti de ce mode de pens. Et j'admets aussi bien les avantages de l'un comme de l'autre mais aussi les inconvnients. a ne me choque pas de voir du non libre sur du libre et inversement. j'utilise les deux et si besoin, ouvre mon porte monnaie si dans le non payant je ne trouve pas de dont j'ai besoin.
> sur ce dbat, effectivement, cela restera toujours strile :S


Je suis dans la mme optique que toi. 
Je voudrais juste demander  ceux qui rlent contre Microsoft et sa politique, son soi-disant non respect de ses clients. Combien de socit d'informatique maintiennent leurs produits aussi longtemps ? Windows 98 a t maintenu jusqu' peu. (fin 2006, il me semble). Alors qu'XP tait devenu mature depuis longtemps. XP sera maintenu jusqu'en 2014 alors que Seven est plus qu'utilisable. Pour les amateurs de Linux, une distribution de 2000 est-elle encore maintenue ?

----------


## GanYoshi

> Je voudrais juste demander  ceux qui rlent contre Microsoft et sa politique, son soi-disant non respect de ses clients. Combien de socit d'informatique maintiennent leurs produits aussi longtemps ? Windows 98 a t maintenu jusqu' peu. (fin 2006, il me semble). Alors qu'XP tait devenu mature depuis longtemps. XP sera maintenu jusqu'en 2014 alors que Seven est plus qu'utilisable. Pour les amateurs de Linux, une distribution de 2000 est-elle encore maintenue ?


tant donn que le passage  la version plus rcente est gratuite, le temps de maintenance est moins crucial quand mme.  ::aie:: 
Si les windows et mac os taient gratuit, la question du temps de maintenance ne serait pas aussi sensible  ::): 




> Pourquoi acheter un truc que tu ne veux pas ?


Parce qu'il est packag avec un produit que je veux ? :aie, et je ne peux pas acheter seul ? 

De la vente li en somme.

----------


## Louis Griffont

GanYoshi, relis tout mon post sur la vente lie, et n'en ressort pas juste une phrase, qui sortie de son contexte n'a pas le mme sens. MAC et Smartphones ne sont-ils pas concerns de la mme manire ? et sinon pourquoi ?

Ensuite, pour ce qui est du maintien des versions, certes pour un produit gratuit on n'est pas dans la mme exigence, mais je voudrais savoir si, par exemple, je trouve un bug dans la version de photoshop de 2000, est-ce qu'elle a une chance d'tre corrige si je remonte le bug, ou plutt me proposera-t-on de passer  la version suivante (qui ne corrige peut-tre mme pas le bug en question) ?

----------


## yoyo88

> tant donn que le passage  la version plus rcente est gratuite, le temps de maintenance est moins crucial quand mme. 
> Si les windows et mac os taient gratuit, la question du temps de maintenance ne serait pas aussi sensible



l'OS a beau tre gratuit ou payant, la migration elle n'es jamais gratuite...

----------


## cs_ntd

Bonjour  ::mrgreen:: 

Dsol mais je peux pas rsister:

@Tous ceux qui parlent de vente lie, je vous ddie ce troll :

*[TROLL MODE=ON]*

Un jour, j'aimerais, mais j'aimerais *vraiment* que les constructeurs de PC,lorsque on en achte un, ne vendent que ce qu'ils ont _fait eux-mme_, et la dedans que _ce qui les place en concurence avec d'autres constructeurs_  ::mrgreen:: 
Puis que les concepteurs d'OS ne fournissent que _ce qui indispensable  l'OS_, le kernel, les outils d'administration, point barre.

Mais oui imaginez ! vous seriez enfin libre !!!
Plus de vente force de cartes NVidia alors que voulez des ATI !!!
Plus de Lecteur CD/DVD MarqueNulle alors que vous voulez un lecteur BlueRay GigaMarque !!!
Plus d'OS BG-OS, alors que vous voulez un Barbu-OS [it's just a _joke_]

Et enfin, aprs tre aller dans divers magasin pour acheter tous ces composants, vous pourrez contacter un diteur d'OS, par fax, ou minitel, pour commander _un droit d'utilisation_ (je reste dans le topic vous-voyez  ::): ).
Puis 1 semaine plus tard, vous recevez enfin votre b CD (de marque...  ::mrgreen::  on va pas aller aussi loin d'accord ?). Vous l'installez enfin et youpi, rien ne marche, ba oui, il faut contacter une socit de cration de drivers (trop d'OS diffrents, les constructeurs ne fournissent plus les drivers adquats  ::): ).
Et une fois que tout est install, vous pouvez pas faire grand chose, ba oui, pas d'diteur de texte, pas de navigateur internet, pas de lecteur multimdia, toussa toussa (cf. ballotscreen). Donc vous farfouillez a droite  gauche pour trouver des softs  compiler, patati patata.
Et 2 semaines plus tard, vous pouvez enfin utiliser votre PC normalement.
Puis ensuite, votre voisin vient vous voir parceque "vous tes vachement balze en informatique", et vous essayer de lui expliquer comment compiler [le compilateur] ses logiciels,  lui qui trouve que faire un double-clique "c'est vachement technique !" (et je ne plaisante pas, on me l'a sorti ya pas longtemps  :8-): ).

*[/TROLL]*

Pour revenir au sujet, Microsoft ne garanti pas que son logiciel soit exempt de bugs. Il me semble que c'est suffisant non ?
Il distribue son logiciel en l'tat, et offre, et je dit bien *offre* et un service gratuit de mise  jour (bien qu'on puisse dire que le prix est inclu dans l'OS. Mais techniquement, c'est un service gratuit, et MS n'a en aucun l'obligation de le mettre en place). Partant de l, je ne vois pas o est le problme si MS dcide qu'il a d'autre priorit que de corriger un bug sur son antpnultime OS.

Rare sont les softs payant install sur autant de machine que l'est MS. Et rare sont les softs qui propose un service aps vente aussi longtemps dans le temps que le fait MS !

Et donc oui, je pense qu'il y a de quoi tre nerv, quand l'ingnieur je-sais-pas-qui se prend pour une sorte de justicier qui dfend l'opprim, et dcide de donner le mode d'emploi pour exploiter une faille, parceque MS ne va pas assez vite selon lui  ::calim2:: 
Pour moi il n'avait que 2 choix :
1) aller travailler chez MS pour les aider
2) changer d'OS si il n'est pas content

Surtout quand on voit tous les zigotos qui s'en inspire aprs (cf. Microsoft-Spurned Researcher Collective), on se demande dans quel monde on vit.

Et pour ceux qui aiment les comparaisons motorise, un constructeur de voiture ne rappelle une voiture que lorsque cela met physiquement en danger les utilisateurs, et ils ont l'obligation lgale de corriger le dfaut (et c'est plutt rare pour un OS de vous mettre en danger physiquement hmm ?).
Ca vous est dj arriv une voiture qui tombe en panne, non ? et qui peut-tre vous a fait louper une runion importante. Et je suis sr vous avez pas port plainte pour malfaon ou je ne sais quoi.
Et je pense pas que cela ravisse "l'opinion publique" si un ingnieur en automobile dcide d'expliquer  tout le monde comment faire tomber en panne 80% des voitures.

Long post  ::aie::

----------


## Louis Griffont

*cs_ntd* rien d'autre  dire qu'un trs trs gros +1  ::ccool::

----------


## cs_ntd

Bin je dveloppe, parceque sinon yen a qui ne comprenent pas  ::D:

----------


## Louis Griffont

> Bin je dveloppe, parceque sinon yen a qui ne comprenent pas


A mon avis, certains vont encore refuser de comprendre et sortir des arguments abracadabrantesques ( J. C.)

----------


## dams78

> *[TROLL MODE=ON]*
> ...
> *[/TROLL]*


Il va me manquer du pop corn je pense, parce que l c'est du lourd que t'as lanc  ::): 




> Et pour ceux qui aiment les comparaisons motorise, un constructeur de voiture ne rappelle une voiture que lorsque cela met physiquement en danger les utilisateurs, et ils ont l'obligation lgale de corriger le dfaut (et c'est plutt rare pour un OS de vous mettre en danger physiquement hmm ?).
> Ca vous est dj arriv une voiture qui tombe en panne, non ? et qui peut-tre vous a fait louper une runion importante. Et je suis sr vous avez pas port plainte pour malfaon ou je ne sais quoi.
> Et je pense pas que cela ravisse "l'opinion publique" si un ingnieur en automobile dcide d'expliquer  tout le monde comment faire tomber en panne 80% des voitures.
> 
> Long post


Pour ce qui est des rappels, ils sont effectus ds qu'il y a un dfaut, peu importe qu'il y ai danger ou pas, c'est juste que si il y a danger tu vas en entendre parler  TF1...

----------


## cs_ntd

> Pour ce qui est des rappels, ils sont effectus ds qu'il y a un dfaut, peu importe qu'il y ai danger ou pas, c'est juste que si il y a danger tu vas en entendre parler  TF1...


Certe, pour TF1, plus c'est apocalyptique, plus a a de chance de passer.

Mais plus srieusement, il y a trs peu de rappel sur des dfauts "peu important" genre : dfaut sur le 3me cylindre, qui fera qu'il lachera en 5 ans au lieu de 10, dfaut sur la courroi de transmission qui casse trop facilement, et j'en passe.

Les rappels concernent en gnral les freins et la direction, l'clairage, les airbag... Mme vu une fois : possibilit de perte de la roue  ::D: 

http://www.rappelsproduits.fr/retour...t22=Rechercher

----------


## cbleas

```

```

Dui me garanti que la nouvelle version de linux est compatibles avec les programmes de 2000?

----------


## dams78

> Certe, pour TF1, plus c'est apocalyptique, plus a a de chance de passer.
> 
> Mais plus srieusement, il y a trs peu de rappel sur des dfauts "peu important" genre : dfaut sur le 3me cylindre, qui fera qu'il lachera en 5 ans au lieu de 10, dfaut sur la courroi de transmission qui casse trop facilement, et j'en passe.
> 
> Les rappels concernent en gnral les freins et la direction, l'clairage, les airbag... Mme vu une fois : possibilit de perte de la roue 
> 
> http://www.rappelsproduits.fr/retour...t22=Rechercher


Ici on lance pourtant quelques rappels : tanchit des joints, etc. Ds l'instant o la voiture ne correspond pas au cahier des charges, donc  ce que t'as promis  l'utilisateur, une campagne de rappel est lance.
Enfin bon, bref...

----------


## loufab

> ...  lui qui trouve que faire un double-clique "c'est vachement technique !" (et je ne plaisante pas, on me l'a sorti ya pas longtemps )...


Public Function Experience...  ::mrgreen::

----------


## Invit1

Il y a pas mal d'argument  ::): 

Je ne vais pas les reprendre un  un, il y en a trop, mais pour une bonne partie, je suis d'accord  ::): 

Sauf que... (ben sinon on ne peut plus si disputer  ::D: )

Le nombre de PC avec Windows est li  la fois au fait de l'exprience indniable de Microsoft et la jeunesse des autres OS (attention, je parle de dmocratisation, non d'OS disponible, mais utilisable que par des initis) et au fait des mthodes de vente

Concernant les mises  jour, le fait de ne pas pouvoir avoir ne garanti de compatibilit entre les soft/matriel tournant sur W98 et Win XP suppose pour certain un lourd investissement de remise en question de tous leurs systmes informatiques (soft, matriel, formation). Cela ne se fait pas du jour au lendemain.

En cela, maintenir encore un temps suffisant me parait normal. Reste l aussi  dfinir ce temps suffisant...

Concernant WinXP et Seven (oublions Vista, tout le monde peut se planter.) ben il s'est pass normment de temps. Il est donc  mon sens convenable de maintenir WinXP suffisament longtemps.

Par contre,  tous les pro de l'informatique, combien de temps serait ncessaire pour changer d'OS (comprenant alors le matriel, les soft et la formation ncessaires) ?

Les rponses seraient trs diffrentes d'un service  l'autre...

Sachant que mme avec tous les efforts du monde, la sortie d'une nouvelle version suppose le risque bugs, non pas qui bloque le PC, mais qui selon le cas empche le bon fonctionnement d'un soft ou d'un autre ; Est-ce raisonnable de faire voluer son systme ds la sortie ?

Je suis hyper prudent et regarde de trs trs prs l'absolue ncessit de changer de version de ma distribution Linux pour les mmes raisons

En conclusion, du fait des cas trs diffrents selon les utilisateurs (les pro, non le grand publique), les besoins de garanties ne sont pas les mmes, les ncessits ou les temps ncessaires ne sont pas les mmes. Avec un vide juridique et mme un dfaut de cahier des charges, rien n'oblige un diteur  faire des correctifs,  fournir un service gratuit sauf.... le fait de soigner son image, donc de prserver sa clientle (ce qui est somme toute logique)

Enfin, opposer d'une part le ct "libre" et le ct non libre serait ici compltement hors de propos. Car dans le ct libre, non payant, l'utilisateur sait que les distributeurs, concepteur ne s'engage en rien et mettent gracieusement un soft dans l'tat. Alors que du cot propritaire payant, il y a vente de service faisant alors naitre des obligations. Ce sont ces obligations qui ne sont pas suffisamment dfini soit par une loi (l, on en a pour 50 ans avant de voir quelque chose d'exploitable juridiquement) ou un cahier des charges suffisamment complet qui  mon sens (en tant que nocice en la matire) devrait tre un peu plus facile  dfinir (genre maintenant X jours/mois ou annes aprs la sortie d'une version suprieur. ainsi, tant l'diteur aura une scurit quant  la gestion d'un produit en fin de vie et l'utilisateur une garantie quant  la maintenance. Sans que ni l'un ni l'autre n'abuse.

Enfin, il est clair que les mentalits doivent voluer tant chez les utilisateurs qui ne sont pas rois, mais clients et les diteurs qui eux aussi ne sont pas esclaves mais non plus du fait de leur taille je m'enfoutistes vis--vis des clients.

Pour terminer, la scurit est l'affaire de tous, des diteurs mais aussi des utilisateurs. En effet, on voit trop souvent des utilisateurs de tut niveu manquer de jujotte dans l'utilisation de leurs outils... c'est dommageables pour tous...

Oui, il y a normment de travail pour voluer... ce n'est que les prmisses d'un changement profond qui je l'espre sera profitable  tous.

C'est quoi le cahier des charge de Microsoft concernant Windows ?
Mme question pour Google, Mac OS etc...

Voilou
Couik

----------


## psychadelic

Ah la la la la la.
 Je mabsente quelques jours et certains ont bien dlirs !

Sur le site dUbuntu vous trouverez toutes les informations utiles pour se faire rembourser le Windows vendu avec, un PC (Pour un Mac cest pas gagn, mais en gnral ceux qui achtent un Mac prfrent utiliser Mac OS X).
Cest quand mme un parcours du combattant, et le site indique marque par marque, les courriers  faire, les liens utiles
 Attention, cest sous toutes rserves, certaines marques pouvant changer leur*fusils dpaule; mais la communaut Linux-Ubuntu est de plus en plus dynamique, pourvu que a dure !

Le dernier point qui me dsespre, cest de constater que visiblement, certains ne veulent pas comprendre qu'*une faille de scurit nest pas un bug*.

Je sais pas dans quelle langue faut le dire, alors je vais tenter une dernire *image* pour lexpliquer:

Quand un bateau se fait attaquer par des Pirates, est-ce que vous considrez que le constructeur du bateau est responsable ???
? au prtexte quil ne la pas conu  lpreuve des balles, que la coque ntait pas assez haute pour viter les grappins, etc, etc

Ou alors pour vous Windows devrait tre comme un Tank, cest a ? 
Ben dsol, mme un Tank a peut *tre pt*; 
Et pour chercher une responsabilit, cest du cot des agresseurs que vous la trouverez.
Non de celle du fabricant, celui-ci vous a fourni un bateau en tat de marche, fait pour naviguer pour votre agrment, et ainsi de suite. Libre  vous daller dans des eaux infestes de pirates, mais ne venez pas vous plaindre ensuite au constructeur ou  larchitecte du bateau.

Maintenant, sil y en a qui ne veulent toujours pas comprendre, je vois mal ce que je pourrais faire pour leur ouvrir un peu les yeux

----------


## Invit1

Je comprends trs bien, sur tout ce que tu dis, j'approuve.

Le souci est simple : Un bug, en gnral, il est corrig avant que l'on sache qu'il existe. Une faille, c'est je suppose bien plus problmatique.

Maintenant, reprendre la guerre des vendeurs pour se faire rembourser est hors sujet ici sauf si bien sur, l'diteur fait pression sur les fabricants de PC, portable et que cela provoque ce phnomne de vente forc dont les imbcile du juge (certains, pas tous) sous prtexte de leur haut pouvoir de dcision ne prennent pas la peine de s'interroger...

Microsoft fait partie de condamns pour ce genre de pratique (avec bien d'autre comme intel, etc...)

Mais bon, ceci est une autre histoire.

Le souci ici de discuter de l'thique de la mthode utilise par l'employ de Google

Je pose donc la problmatique suivante : 
Fort d'une comptence hors paire (l c'est vraiment un exemple  ::P:  ), je trouve une faille dans un OS (Windows, Linux, Mac OS...)

Deux choses l'une : 
-> soit je suis un gentil garon et j'en informe l'diteur et l, il n'en a cure... Que faire ?
-> Soit je suis une vilain pirate, et je m'en sers

Concernant l'diteur, que doit-il faire ?
Ben rien bien sur, ce n'est pas un bug et de toute faon, comme le bateau il n'est pas responsable...

Dans ce cas, soit cette faille est dvoil pour deux raisons :
-> Je suis le gentil, je publie l'info et du coup, l'image de l'diteur se trouve ternie... d'o les ractions purils de ces grosses multinationales.
-> Il est publi par les spcialistes de la scurit suite  la dclaration des victimes des pirates (pas de la faille hein  :;):  ) en publiant un truc qui les protge... la encore, l'image de l'diteur en prend un sale coup...

L'un comme l'autre, l'image de l'diteur se trouve secou. Maintenant, que l'on condamne, ou que l'on excuse, l'diteur, s'il veut garder la confiance de ses clients se trouve das l'obligation de ragir...  l'diteur de choisir comment.

 la lecture des arguments tant de Microsoft que de l'employ de Google, il semble qu'il ait divergence sur le mode de communication de la faille en question dans ce sujet... : pour l'un 5 jours, pour l'autre deux mois. Pour l'un un dlai trop court, pour l'autre deux mois de dlai et aucune raction...

Qui croire ?

Je n'ai ni confiance en Microsoft qui se montre fuyant avec d'interminable histoire de scurit non rgl malgr les informations qui lui sont fournies, ni en Google qui se permet de mettre des mouchard dans ses soft, de voler des informations personnelles via ses voitures googlestreet etc...

Difficile de prendre position non ?

Je n'ai pas plus confiance dans Linux qui je le sais, comme n'importe quel systme d'exploitation comporte des failles. Je ne suis pas spcialement parano, Je suis conscient de la difficult du travail  faire pour avoir un blindage correcte tout en ayant un systme utilisable. Mais je suis attentif aux ractions. Et les ractions sont plus parlant qu'une publicit mensongre par abus de belles images.

Microsoft est beau sur le papier, trs beau concernant seven (j'avoue  ::P: ) mais franchement moche concernant sa mentalit. C'est suffisant pour me faire perdre confiance.

Ceci dit, Microsoft a pli, il a fourni un patch... preuve que...  :;): 
(il aura fallu attendre qu'il y ait des victimes... c'est dommageable pour les clients)

----------


## Hellwing

> (il aura fallu attendre qu'il y ait des victimes... c'est dommageable pour les clients)


Ce fait aurait peut-tre pu tre vit si l'employ de Google n'avait pas diffus de PoC aussi vite.

----------


## dams78

> Ce fait aurait peut-tre pu tre vit si l'employ de Google n'avait pas diffus de PoC aussi vite.


En partant de ce principe on peut dire : il n'y aurait pas eu de victimes si l'employ de Google n'avait pas diffus de PoC!

----------


## Louis Griffont

> (il aura fallu attendre qu'il y ait des victimes... c'est dommageable pour les clients)


Et pourquoi y-a-t-il eu des victimes ? Parce qu'un PoC a t publi. Alors qu'il aurait suffit de signaler qu'une faille dcouverte, et a t signale  Microsoft depuis x temps n'a toujours pas t corrige. Cela aurait mis la mme pression sur Microsoft, et n'aurait pas permis une utilisation pernicieuse du travail de recherche effectu.  ::ccool::

----------


## grafikm_fr

> En partant de ce principe on peut dire : il n'y aurait pas eu de victimes si l'employ de Google n'avait pas diffus de PoC!


Oui, en diffusant un PoC on s'expose  des ennuis.  ::roll::

----------


## dams78

> Oui, en diffusant un PoC on s'expose  des ennuis.


C'tait une sorte d'ironie bien sr  :;): 
En rponse au message cit d'ailleurs

----------


## Hellwing

> En partant de ce principe on peut dire : il n'y aurai pas eu de victimes si l'employ de Google n'avait pas diffus de PoC!


J'ai volontairement t plus modr en prcisant "peut tre" et le "aussi vite" sciemment oubli par tes soins dtourne mes propos.




> Et pourquoi y-a-t-il eu des victimes ? Parce qu'un PoC a t publi. Alors qu'il aurait suffit de signaler qu'une faille dcouverte, et signale  Microsoft depuis x temps n'a toujours pas t corrige. Cela aurait mis la mme pression sur Microsoft, et n'aurait pas permis une utilisation pernicieuse du travail de recherche effectu.


Mme si  ce stade de la discussion il est inutile de le prciser, +1  :;):

----------


## grafikm_fr

> C'tait une sorte d'ironie bien sr 
> En rponse au message cit d'ailleurs


Ironie ou pas ironie, si un gars a publi la faille sans publier un PoC, et que la faille a t utilise pour faire des victimes avec des dgts importants  la cl, il a une mince chance de s'en tirer. S'il a en plus publi un PoC, ses chances de s'en tirer s'amenuisent considrablement.

----------


## GanYoshi

> Ce fait aurait peut-tre pu tre vit si l'employ de Google n'avait pas diffus de PoC aussi vite.


Ce fait aurait peut-tre pu tre vit s'il n'y avait pas eu de faille. ::|: 




> Ironie ou pas ironie, si un gars a publi la faille sans publier un PoC, et que la faille a t utilise pour faire des victimes avec des dgts importants  la cl, il a une mince chance de s'en tirer. S'il a en plus publi un PoC, ses chances de s'en tirer s'amenuisent considrablement.


+1, son erreur a t de vouloir prvenir l'diteur et de la jouer rglo au lieu d'aller vendre la dcouverte de cette faille aux russes  ::aie::

----------


## grafikm_fr

> Ce fait aurait peut-tre pu tre vit s'il n'y avait pas eu de faille.


_"And if a pig had wings, it could fly"_ (c)

----------


## loufab

> Ce fait aurait peut tre pu tre vit s'il n'y avait pas eu de faille.
> 
> +1, son erreur a t de vouloir prvenir l'diteur et de la jouer rglo au lieu d'aller vendre la dcouverte de cette faille aux russes


On sent vraiment une mre rflexion.  ::roll::

----------


## cs_ntd

Chez lui, Monsieur X  une porte d'entre avec un modle de serrure 'LAMBDA'

Problme : toutes les serrures 'LAMBDA' trs rpandues ont un dfaut. Je prviens le fabriquant qu'il faut toutes les changer  cause de ce dfaut.
5 jour aprs, celui-ci n'a rien fait, mme pas un courrier ! Je dcide donc de dire dans toute ma ville : "Les serrures 'LAMBDA ont un dfaut, il suffit de taper un grand coup dessus pour qu'elle s'ouvre".
Quelques jours plus tard, une grosse vague de cambriolage touche la ville, et plus prcisement les propritaires de serrure 'LAMBDA'.

Commentaire : Bin oui je la joue rglo, j'aurais pu aller la vendre  un tueur en srie (... a ba oui maintenant que je l'ai dit, de 1) les tueurs le sauront et 2) j'ai mme pas gagn d'argent  ::aie:: ).

Question : qui est responsable de ces cambriolages ? (rflechissez bien !)

----------


## GanYoshi

> On sent vraiment une mre rflexion.


Dcidment, toi et grafikm_fr avez vraiment du mal avec l'ironie  ::aie:: 

Je disais la mme chose grosso modo que dams78  propos de Hellwing.

----------


## dams78

> Qestion : qui est responsable de ces cambriolage ? (rflechissez bien !)


Honntement c'est une bonne question, est-ce celui qui trouve comment faire, ou celui qui le fait?
De la mme manire, hier j'ai trouv comment tu pouvais tuer quelqu'un... blabla. Qui est responsable le tueur ou le vendeur d'armes? etc.

----------


## Hellwing

Sans dconner, on va interdire les comparaisons avec d'autres domaines que l'informatique, a devient n'importe quoi.

(soit dit en passant, le rapport entre "comment tuer" et une faille de scurit est vachement moins vident qu'entre "comment pntrer chez autrui" et ladite faille)

----------


## cs_ntd

> Honntement c'est une bonne question, est-ce celui qui trouve comment faire, ou celui qui le fait?
> De la mme manire, hier j'ai trouv comment tu pouvais tuer quelqu'un... blabla. Qui est responsable le tueur ou le vendeur d'armes? etc.


En effet, et si j'ai dit a, c'est que cela commenait  driver vers "C'est la faute  l'ingnieur si ya eu des PC infects, etc...".

Ce qui est sr, c'est que la faute directe de l'infection incombe aux pirates eux-mmes, qui sont tout de mme responsables de leurs actes.
Aprs, sachant que dehors pleins de gens cherchent des failles pour rentrer dans windows, devait-il vraiment publier le POC ? Il pouvait certainement se douter de ce qui arriverait. On pourrait mme dire qu'il a publi le POC en connaissance de cause, en sachant ce qui allait arriver.
Est-ce que cette attitude est une attitude responsable et "citoyenne" ? Plutt le contraire je dirais. Donc non, l'attitude de l'ingnieur est totalement irresponsable  mon sens, et n'aurait pas d, rien que pour cela, publier le POC.

Aprs, il peut y avoir des 'circonstances atnuantes', j'entends par l que la faille qu'il avait dcouverte allait peut-tre mettre du temps  tre corrige sans son intervention, etc, nanmoins, il a essay de se positionner en dfenseur de la scurit, alors que c'est plutt le contraire qu'il a fait.

Donc  mon sens, pour rpondre pleinement  la question du topic : Fallait-il publier une preuve de faisabilit ? , je rponds non, bien sur que non, ou du moins certainement pas si tt. Attendre que MS la corrige pour ensuite mettre l'histoire sur le tapis, et dire que MS a t lent, que c'tait inadmissible & co. L, a aurait pu tre bnfique pour la scurit.

Je pense que les POC ne devrait exister qu'a but "scientifique" ou "historique", un peu comme des dmonstrations mathmatiques.
Le mathmaticien qui trouve comment casser RSA (systme de crytage le plus utilis, et notement par les banques, assurances...) doit-il le publier ? Ou attendre un peu que les choses aient changes, et que RSA ne soit plus si impliqu dans la scurit, quitte  travailler pour l'cartement de RSA.




> Sans dconner, on va interdire les comparaisons avec d'autres domaines que ol'informatique, a devient n'importe quoi.
> 
> (soit dit en passant, le rapport entre "comment tuer" et une faille de scurit est vachement moins vident qu'entre "comment pntrer chez autrui" et ladite faille)


1) Les comparaisons : Si, utilises  bon essient, elles peuvent permettre d'apporter de l'ouverture dans le dbat, en mettant en avant de nouveaux clairages.
2)Le rapport dcoule de l'enchainement des topics. Entrer chez autrui par effraction et le voler => dlit. Entrer chez quelqu'un par effraction et le tuer => crime. Les failles de scurit peuvent permettre les 2 (Gagner de l'argent avec des bots, des spams, des spywares, ou alors espionner une compagnie, un pays, dtruire une socit...)

----------


## grafikm_fr

> Chez lui, Monsieur X  une porte d'entre avec un modle de serrure 'LAMBDA'
> 
> [...]
> 
> Question : qui est responsable de ces cambriolages ? (rflechissez bien !)


Le juge apprciera, mais:
 - Le *coupable* est clairement la personne qui a commis le cambriolage.
 - Par contre, la personne qui a rvl le problme des serrures "Lambda", si elle a pas de bol, pourra passer comme complice.
 - Et sinon, la personne ayant t victime d'un cambriolage peut porter plainte en civil et demander des dommages et intrts. Maintenant imagines que cette personne c'est une entreprise (personne morale) qui a le moyen de se payer des avocats, et que toi tu es fauch. Mme si tu gagnes  la fin, tu n'auras plus rien. C'est comme a que pas mal de procs se passent aux US.

----------


## Invit1

Heu....

Ok, on reste toujours sur du "c'est p ma fte, il a rien fait..."

Mais il reste des questions sans rponse :

1 - Je note une notion de temps de correction => n'tant pas spcialiste, comment calculer un temps de raction admissible ?

2 - Encore une fois, si la mthode de divulguer une faille peut parrattre motivante pour la boucher, la mthode utiliser reste pour le moins contestable car jamais le publique n'a su qu'une faille tait trouve sauf le jour o la polmique est ne entre Microsoft et l'ing de Google

3 - Enfin, on peut faire toutes les comparaisons que l'on veut, les auteurs sont directement responsables, mais le diffuseur de l'info quant  lui ben sans tre complice, il peut-tre considr comme incitateur (enfin je pense)

Je note que la discussion tourne en rond avec quelques ironies, des comparaisons parfois hasardeuses, des citations.

Posons donc la question autrement (on ne sait jamais...  ::P:  ) :

Vous trouvez une faille dans une soft (on s'en fout que ce soit Microsoft, Linux, ou autre), vous prvenez l'diteur du soft. Rien ne se passe (enfin en apparence car rien ne dit qu'en nterne, l'diteur est inactif). Que faites vous ?

1 - Menace de publication du PoC avec une compteur ?
2 - Publication de la faille avec la preuve d'avoir prvenu l'diteur ?
3 -Vous ne dites rien en priant que vous tes le seul  avoir trouv la faille
4 - Autre ?

Car, mme sans le PoC qui aide les pirates, juste la publication de la faille peut permettre avec plus de difficult bien sr, aux pirates de trouver eux mme la mthode pour l'exploiter... Les pirates ne sont pas des ignares et maitrise pour certain l'informatique de bien meilleurs faon que bien d'autre (hlas  ::(:  )

Parce qu'il faut bien l'avouer, pour l'instant nous avons : "Non il a tord, c'est un vilain", ou alors "oui, il a raison, l'autre n'a qu' ce bouger le clavier"

Bref, c'est tourne mange l  ::P: 

Voilou
Couik

----------


## loufab

> Dcidment, toi et grafikm_fr avez vraiment du mal avec l'ironie 
> 
> Je disais la mme chose grosso modo que dams78  propos de Hellwing.


Mille excuses !  ::(: 

Faut dire qu'on voit tellement de c....s crites sur ce fil qu'on arrive plus  faire la diffrence.  ::lol:: 

C'est tout le problme de ce type de mdia, il manque le cot vivant pour faire la diffrence [MODE IRONIE=ON] surtout sur des sujets d'une aussi grande importance [MODE IRONIE=OFF]  :;):

----------


## Marco46

> Le juge apprciera, mais:
>  - Le *coupable* est clairement la personne qui a commis le cambriolage.
>  - Par contre, la personne qui a rvl le problme des serrures "Lambda", si elle a pas de bol, pourra passer comme complice.
>  - Et sinon, la personne ayant t victime d'un cambriolage peut porter plainte en civil et demander des dommages et intrts. Maintenant imagines que cette personne c'est une entreprise (personne morale) qui a le moyen de se payer des avocats, et que toi tu es fauch. Mme si tu gagnes  la fin, tu n'auras plus rien. C'est comme a que pas mal de procs se passent aux US.


Et dans le cas o les voleurs sont dj au courant du problme sur les serrures, o un cambrioleur s'est fait chop, qu'ils sont au tribunal, et que pendant l'audience on s'aperoit que quelqu'un savait.

Ce quelqu'un peut-il tre inquit ?

----------


## grafikm_fr

> Et dans le cas o les voleurs sont dj au courant du problme sur les serrures, o un cambrioleur s'est fait chop, qu'ils sont au tribunal, et que pendant l'audience on s'aperoit que quelqu'un savait.
> Ce quelqu'un peut-il tre inquit ?


C'est difficile de donner une rponse gnrique, parce qu'on parle quand mme d'un "cheval sphrique plac dans le vide" l, mais normalement c'est lors de l'enqute qu'on dcouvre ce genre de trucs, pas lors de l'audience. Et dans ce cas oui la personne peut tre inquite (aprs elle s'en tirera peut-tre mais c'est un autre sujet).

----------


## Louis Griffont

> Et dans le cas o les voleurs sont dj au courant du problme sur les serrures, o un cambrioleur s'est fait chop, qu'ils sont au tribunal, et que pendant l'audience on s'aperoit que quelqu'un savait.
> 
> Ce quelqu'un peut-il tre inquit ?


Je ne sais pas exactement, mais il me semble qu'il existe un truc qui s'appelle "mise en danger d'autrui" et, est-ce que a rendre dans ce cadre ?

----------


## Marco46

Ok.

Donc si je rsume :

Je connais une faille de scurit.
Je n'ai aucun moyen de savoir si un tiers (honnte ou pas) est un courant.

J'informe le public : -> je me fais attaquer parce que je mets en danger les autres en expliquant la faille.

Je n'informe pas le public pour ne pas mettre en danger les autres, quelqu'un se fait pirater, il y a enqute puis tribunal -> je peux tre inquit pour ne pas avoir publi la faille.

C'est pas ce qu'on appelle un choix cornlien ?  ::aie::

----------


## Fenn_

Nan, c'est ce qu'on appelle un flou juridique  ::aie::

----------


## Louis Griffont

> Ok.
> 
> Donc si je rsume :
> 
> Je connais une faille de scurit.
> Je n'ai aucun moyen de savoir si un tiers (honnte ou pas) est un courant.
> 
> J'informe le public : -> je me fais attaquer parce que je mets en danger les autres en expliquant la faille.
> 
> ...


Si tu connais une faille, tu prviens l'diteur, qui corrige dans les dlais les plus brefs.

----------


## Marco46

Et s'il corrige pas ?

----------


## Louis Griffont

> Et s'il corrige pas ?


Tu portes plainte.

----------


## Marco46

Donc je suis oblig de porter plainte avec mes petits bras muscl et l'aide juridique pour pas aller en zonzon.

C'est bien foutu le systme quand mme.

----------


## Hellwing

En tout cas tu ne pourras ni tre attaqu parce que tu n'as inform personne, ni parce que tu as donn l'information  des gens mal intentionns.

D'un point de vue juridique on nage effectivement dans le plus grand flou. Mais hormis ce point de vue qu'on pourrait qualifier d'goste ("je dis quelque chose ou pas, c'est moi qui mange") mais trs intressant, il reste quand mme l'impact de la dcision.

----------


## dams78

Et juridiquement, qu'est ce qui oblige l'diteur de corriger les failles?

----------


## GanYoshi

> Et juridiquement, qu'est ce qui oblige l'diteur de corriger les failles?


Absolument rien. 

Pour dtendre l'atmosphre, voil une image qui reflte parfaitement la vision qu'ont certains ici de la scurit :

http://geekandpoke.typepad.com/.a/6a...a682970c-800wi

----------


## dams78

> Absolument rien. 
> 
> Pour dtendre l'atmosphre, voil une image qui reflte parfaitement la vision qu'ont certains ici de la scurit :
> 
> http://geekandpoke.typepad.com/.a/6a...a682970c-800wi


Du coup c'est bien gentil de trouver une faille et de la faire suivre  l'diteur mais  s'il s'en fot...
Ensuite perdre du temps  le relancer et  vrifier ce qu'il fait, bah d'une il faut du temps, et de deux vous savez vous si l'diteur X en ce moment mme travaille sur la faille Y?

----------


## loufab

> Donc je suis oblig de porter plainte avec mes petits bras muscl et l'aide juridique pour pas aller en zonzon.
> 
> C'est bien foutu le systme quand mme.


Mme pas ! L'aide juridique (ou Laide juridique) est rserv au gens qui ne sont pas solvable. Donc tu vas tre oblig de :
- solder tes comptes en banques
- vendre tes biens (voiture, animaux, femme...)
- t'endter auprs d'une banque (le terme lgal pour usurier)
Mais comme en face de toi tu as un poids lourd avec des dizaines d'avocats et que de toute faon "l'aide juridique" n'est jamais compttente l ou elle envoy, mal paye donc pas interesse et presse d'en finir qu'elle qu'en soit l'issu. (it's joke)

 ::mrgreen::

----------

