# Systmes > Windows > Scurit >  Vupen content que des chercheurs de failles ne les livrent pas  des diteurs  multi-milliardaires

## Gordon Fowler

*Vupen content que des chercheurs de failles ne les livrent pas  des diteurs  multi-milliardaires* 
*Et vend les 0-days de Windows 8  ses clients sans les communiquer  Microsoft*

Fin octobre, Vupen avait affirm par la voix de son PDG - Chaouki BEKRAR - avoir dcouvert plusieurs failles dans Internet Explorer 10 qui permettaient de corrompre Windows 8. Et ce malgr les avancs du systme de scurit du nouvel OS.

La socit base  Montpellier na donn depuis aucune information sur son exploit (au sens informatique du terme). Elle a, en revanche, immdiatement fait savoir que les dtails de lattaque taient  vendre.

Une dcision  traditionnelle pour Vupen  que certains ont qualifi de _ Grey Hat_ . Autrement dit, entre les White Hat, qui uvrent pour la scurit du plus grand nombre, et les Black Hat, qui cherchent  tirer profit des systmes en les piratant. Cest ce que regrette par exemple Jani Kallio, expert chez Luottokunta, le premier fournisseur de services de paiements finlandais.

Daprs le dossier de _LExpansion_ de cette semaine qui fait un point sur la stratgie numrique franaise, la revente de ce type de dcouvertes peut dpasser les 150.000 . Cest le prix quauraient pay des services de l'Etat franais pour acqurir les dtails d'un autre exploit qui s'appuie lui aussi sur des failles 0-days.

Rappelons quune faille 0-day nest pas une _ faille mconnue_ , comme lcrit le magazine, mais une faille jusquici inconnue et non patche. Un 0-Day est par dfinition connu (ne serait-ce que par son dcouvreur)  et document (ce qui fait sa dangerosit) mais pas encore divulgu (ou  un petit nombre) ni corrig. 

De son ct, Microsoft invite les hackers  participer  son programme maison (_Coordinated Vulnerability Disclosure_) et regrette donc en termes diplomatiques que Vupen uvre de son ct, en montisant ses dcouvertes, sans communiquer avec lui pour amliorer la scurit de ses outils.

Un appel qui ne semble pas mouvoir Chaouki BEKRAR.


*Chaouki BEKRAR, PDG de Vupen*
Au contraire. Le hacker vient de fliciter sur Tweeter un de ses confrres qui a dcid d'adopter la mme stratgie. _ Content de voir quune start-up spcialise dans la recherche trouve des 0-Days et refuse de livrer leur travail gratuitement  des fournisseurs multimilliardaires. Bienvenu au club_ , crit-il.

Plusieurs analystes commencent nanmoins  poser la question de la lgalit d'un tel commerce.

En attendant, les failles de Vupen - dont on ne sait rien - sur Windows 8 et son navigateur Internet Explorer 10 sont bel et bien  vendre au plus offrant. Tant pis pour ceux qui n'ont pas les moyens ?

*Et vous ?*

 ::fleche::  Pensez-vous que Vupen ait raison de ne pas communiquer ses travaux aux diteurs ?
 ::fleche::  Ou considrez-vous que cela fait de ces chercheurs des  Grey Hat  ?

----------


## alex_vino

Pas beaucoup d'intret cet article qui parle de "truant", mais je vais quand meme le commenter parce qu'il a le mrite de m'hrisser les poils.
J'utilise le mot "truant" car soit ils n'ont rien trouv et font cela pour se faire de la publicit gratuitement, soit ils prferent travailler de l'autre cot de la frontiere et vendre leur trouvaille a des hackers sans scrupules.
Que Microsoft n'accepte pas leur "tarif de vente" est une chose et est leur droit de demander davantage, mais alors qu'ils gardent leur faille pour eux.
Imaginez des failles non-connues entre les mains des crateurs de Stuxnet par exemple, compromettant des systemes de scurit des Etats mais aussi des domaines cls (nuclaire, dfense, mdecine, concurrence...) a des fins d'attaque/espionnage.
Bien triste pour notre pays de parler de nos start-up qui agissent de cette facon.

----------


## epsilowne

+1 Linux

----------


## kolodz

@alex_vino : On parle ici principalement de la rmunration des entreprises travaillant dans la scurit informatique.

Pour rappel un fail 0-days, ne se trouve pas tout les jours et ncessite des *ressources* pour tre trouver et document.




> Que Microsoft n'accepte pas leur "tarif de vente" est une chose et est leur droit de demander davantage, mais alors qu'ils gardent leur faille pour eux.


Pour le moment, trs peu de personne accepte d'acheter ce type d'information. En effet, on considre que ces informations doivent tre donner  titre gracieux pour la scurit des utilisateurs.
Ce qu'on oublie c'est que cette scurit est la responsabilit du producteur / distributeur. C'est  eux de faire l'investissement pour protger leur produit pour leur client.
D'ailleurs certains socits et fondations propose dj une rmunration pour ce genre d'information :

http://www.mozilla.org/security/bug-bounty.html
http://www.google.com/about/appsecurity/reward-program/
http://www.facebook.com/whitehat/bounty/

Pour rappel, Microsoft comme d'autre compagnie vends des licences o il assure le support et la scurit. Si il y a un problme de scurit (ou autre), alors leur clients exigent un ddommagement...

Donc considrer qu'une faille dcouverte sur un logiciel Microsoft ne peut-tre acheter que par Microsoft, qui ne veux pas les acheter n'est une bonne approche.

Ds banques et des tats qui utilisent des logiciels Microsoft sont potentiellement de trs bon client pour ce genre d'information. Eux accepteront de payer. Et demanderont poliment  Microsoft de les rembourser, lors de leur prochain achat de licence.




> Pensez-vous que Vupen a raison a de ne pas communiquer ses travaux aux diteurs ?


Vupen pense  l'avenir de sa boite, la vente de cette faille peut assurer la survie de sa boite pour plusieurs annes.




> Ou considrez-vous que fait de ses chercheurs des  Grey Hat  ?


Non, c'est certes demander quelque chose que peu de personnes demande.

Pour rappel, le cot de dveloppement de windows 8 est *infrieur* au budget marketing. Vous pensez srieusement que Microsoft ne devrait pas ddommager les personnes qui s'occupent de la scurit de leurs logiciel ?

Surtout qu'aujourd'hui en France un dfaut de scurit de sa connexion internet est un dlit... (Si troll que a ?)




> Plusieurs analystes commencent nanmoins  poser la question de la lgalit d'un tel commerce.


Si on demande demande aux mmes que pour SOPA/PIPA et HADOPI. Cela le deviendra pour une certains catgorie de la population/socit.

Cordialement,
Patrick Kolodziejczyk.

----------


## alex_vino

@kolodz: Je te donne un exemple concret pour te faire oublier le monde virtuel.
Tu trouves le moyen de braquer une banque. Va-t'us livrer la stratgie du braquage au plus offrant des bandits (en passant le message au journal de 20h de TF1) tout en faisant tout que la banque ne puisse pas acheter?
Certains croient que l'informatique permet toutes les drives, heuresement que toutes les entreprises et les utilisateurs ne fonctionnent pas tous de cette facon. Il n'y a qu'a regarder l'attitude des Kasperky et Cie et ce "Vupen" pour comprendre.




> Surtout qu'aujourd'hui en France un dfaut de scurit de sa connexion internet est un dlit...


Il n'y a pas qu'en France, et le dlit n'est pas le dfaut de scurit mais plutot son utilisation par une personne tierce. D'un point de vue juridique c'est a l'accus de prouver son innocence. Si tu estimes avoir fait tout ton possiblealors ensuite tu peux toujours mener une action contre ton fournisseur internet ou qui tu veux.

----------


## Totony

> @kolodz: Je te donne un exemple concret pour te faire oublier le monde virtuel.
> Tu trouves le moyen de braquer une banque. Va-t'us livrer la stratgie du braquage au plus offrant des bandits (en passant le message au journal de 20h de TF1) tout en faisant tout que la banque ne puisse pas acheter?
> Certains croient que l'informatique permet toutes les drives, heuresement que toutes les entreprises et les utilisateurs ne fonctionnent pas tous de cette facon. Il n'y a qu'a regarder l'attitude des Kasperky et Cie et ce "Vupen" pour comprendre.


Premirement, un ordinateur n'es pas une BANQUE... Quand mme... Et ne sortez pas la comparaison avec les trucs super-top-secret ou les trucs qui doivent tre le moins compromis possible, on parle de Windows 8 et d'Internet Explorer.
Aussi, je crois que la banque a la responsabilit d'tre la plus scuritaire possible et, si jamais elle se fait vendre des informations quant  cette scurit, elle a la responsabilit de faire tout en son pouvoir pour l'obtenir.

----------


## erwanlb

> Pour rappel un fail 0-days, ne se trouve pas tout les jours et ncessite des *ressources* pour tre trouver et document.


Si cela cote des ressources et qu'ils veulent tre ddommags  hauteur de leur boulot, 2 choix trs simples :

- Bosser pour Microsoft
- Ne pas chercher ces failles, cela ne leur cotera rien !

Encore une fois le domaine informatique se dmarque par sa relative virtualisation...imaginez qu'une socit dise, j'ai trouv une faille dans votre voiture, vous risquez d'avoir un accident si vous ne me payez pas....j'ai trouv une faille dans votre tv, elle risque d'exploser  tout moment, payez moi....etc...

----------


## fregolo52

> Si cela cote des ressources et qu'ils veulent tre ddommags  hauteur de leur boulot, 2 choix trs simples :
> 
> - Bosser pour Microsoft
> - Ne pas chercher ces failles, cela ne leur cotera rien !
> 
> Encore une fois le domaine informatique se dmarque par sa relative virtualisation...imaginez qu'une socit dise, j'ai trouv une faille dans votre voiture, vous risquez d'avoir un accident si vous ne me payez pas....j'ai trouv une faille dans votre tv, elle risque d'exploser  tout moment, payez moi....etc...


Dans ce cas, pourquoi Kapersky ne nous donne pas gratuitement une solution compltement gratuite ?

Donc, on doit payer un diteur (antivirus & co) pour qu'on se protge, mais les diteurs, eux, ne devraient pas payer pour mieux scuriser leurs solutions ?  ::calim2:: 

Le cas de Chaouki BEKRAR est peut-tre un peu diffrent, vu qu'il menace de divulguer la faille s'il n'est pas pay.




> +1 Linux


Rootkit est un terme  la mode aussi sous Linux.

----------


## messinese

> +1 Linux


La je vois vraiment pas le rapport ...?

Inutile de dterrer les vieux troll qui, de plus, n'ont pas lieu d'tre.

----------


## erwanlb

> Dans ce cas, pourquoi Kapersky ne nous donne pas gratuitement une solution compltement gratuite ?
> 
> Donc, on doit payer un diteur (antivirus & co) pour qu'on se protge, mais les diteurs, eux, ne devraient pas payer pour mieux scuriser leurs solutions ? 
> 
> Le cas de Chaouki BEKRAR est peut-tre un peu diffrent, vu qu'il menace de divulguer la faille s'il n'est pas pay.
> 
> Rootkit est un terme  la mode aussi sous Linux.


L'intret de Vupen n'est pas que le produit soit scuris, au contraire....

----------


## Nathanael Marchand

> Pour le moment, trs peu de personne accepte d'acheter ce type d'information. En effet, on considre que ces informations doivent tre donner  titre gracieux pour la scurit des utilisateurs.
> Ce qu'on oublie c'est que cette scurit est la responsabilit du producteur / distributeur. C'est  eux de faire l'investissement pour protger leur produit pour leur client.
> D'ailleurs certains socits et fondations propose dj une rmunration pour ce genre d'information :
> 
> http://www.mozilla.org/security/bug-bounty.html
> http://www.google.com/about/appsecurity/reward-program/
> http://www.facebook.com/whitehat/bounty/


Faudrait p'tet voir  lire l'article aussi:




> De son ct, Microsoft invite les hackers  participer  son programme maison (_Coordinated Vulnerability Disclosure_) et regrette donc en termes diplomatiques que Vupen uvre de son ct, en montisant ses dcouvertes, sans communiquer avec lui pour amliorer la scurit de ses outils.

----------


## Tryph

ce gars n'a pas compltement tort.

Microsoft fait assez d'argent avec ses diffrentes version de Windows, et c'est Microsoft qui devrait faire de travail de scurisation.

Hors, comme on dit chez nous: "tout travail mrite salaire".
et faut pas prendre Microsoft pour une pauvre boite sans ressource aussi, ils ont largement de quoi rmunrer les dcouvertes de failles.

Alors on peut dplorer le fait que le gars envisage de vendre sa faille au plus offrant, mais on ne peut pas lui reprocher de ne pas livrer son travail gratuitement a une boite qui brasse des milliards de dollars.

----------


## Nathanael Marchand

> ce gars n'a pas compltement tort.
> 
> Microsoft fait assez d'argent avec ses diffrentes version de Windows, et c'est Microsoft qui devrait faire de travail de scurisation.
> 
> Hors, comme on dit chez nous: "tout travail mrite salaire".
> et faut pas prendre Microsoft pour une pauvre boite sans ressource aussi, ils ont largement de quoi rmunrer les dcouvertes de failles.
> 
> Alors on peut dplorer le fait que le gars envisage de vendre sa faille au plus offrant, mais on ne peut pas lui reprocher de ne pas livrer son travail gratuitement a une boite qui brasse des milliards de dollars.


Ouais mais faudrait voir  pas faire le truc  l'envers ! Microsoft a rien demand du tout. C'est comme si quand tu rentrais chez toi, quelqu'un t'avais tondu la pelouse et te reclamait des sous sans que tu lui aies rien demand. "Ah ben oui mon bon monsieur, tout travail mrite salaire, j'ai pas boss pour rien !"

----------


## DelphiManiac

> Ouais mais faudrait voir  pas faire le truc  l'envers ! Microsoft a rien demand du tout. C'est comme si quand tu rentrais chez toi, quelqu'un t'avais tondu la pelouse et te reclamait des sous sans que tu lui aies rien demand. "Ah ben oui mon bon monsieur, tout travail mrite salaire, j'ai pas boss pour rien !"


Quitte  faire des comparaisons  la con :

Si tu est propritaire d'un terrain, tu as une obligation de dbroussaillage, question de scurit incendie. Si tu ne le fait pas, dans un premier temps tu peux tre verbalis et dans un 2ime temps, la mairie peut ordonn les travaux  ta place et les frais seront  ta charge.

----------


## Nathanael Marchand

> Quitte  faire des comparaisons  la con :
> 
> Si tu est propritaire d'un terrain, tu as une obligation de dbroussaillage, question de scurit incendie. Si tu ne le fait pas, dans un premier temps tu peux tre verbalis et dans un 2ime temps, la mairie peut ordonn les travaux  ta place et les frais seront  ta charge.


Oui mais la rien ne t'oblige et t'as le choix du prestataire  ::):

----------


## DelphiManiac

> Oui mais la rien ne t'oblige et t'as le choix du prestataire


Si tu ne le fais pas tu seras oblig et tu n'auras pas le choix du prestataire -> Microsoft n'a pas engag suffisamment de moyen pour scuriser ces outils, ils en payent le prix indirectement.

Ils n'ont pas envie de payer, pas de soucis, ils trouvent la faille, ne paye rien et tout est rgl.

----------


## transgohan

> Oui mais la rien ne t'oblige et t'as le choix du prestataire


Oh non tu es oblig. J'ai travaill justement  un dbroussaillage lors d'un emploi saisonnier  la mairie chez une personne vivant  l'tranger qui avait laiss  l'abandon son second domicile en France.
Il a t contact pendant deux ans, comme il nobtemprait pas le maire a donc fait intervenir le service de la commune pour venir dbroussailler et lui a fait payer le prix fort. Le propritaire a port cet acte au tribunal mais n'a pas eu gain de cause.

----------


## Tryph

morale de l'histoire:
microsoft ferait bien de tondre sa pelouse avant de sortir ses Windows

----------


## erwanlb

> Si tu ne le fais pas tu seras oblig et tu n'auras pas le choix du prestataire -> Microsoft n'a pas engag suffisamment de moyen pour scuriser ces outils, ils en payent le prix indirectement.
> 
> Ils n'ont pas envie de payer, pas de soucis, ils trouvent la faille, ne paye rien et tout est rgl.


T'es propritaire du terrain....

Microsoft n'est pas propritaire de ta machine...dont tu as le choix d'utiliser ou pas Windows...

Imagine 2 secondes qu'un mec te dit que ta bagnole est pas scuris et que t'es en danger...il te dit pas ce qu'il y a bien sur mais si tu veux savoir tu dois payer...tu serais vraiment prt  payer trs cher pour savoir o est le problme alors que tout est peut tre que du flan ???

----------


## erwanlb

> Oh non tu es oblig. J'ai travaill justement  un dbroussaillage lors d'un emploi saisonnier  la mairie chez une personne vivant  l'tranger qui avait laiss  l'abandon son second domicile en France.
> Il a t contact pendant deux ans, comme il nobtemprait pas le maire a donc fait intervenir le service de la commune pour venir dbroussailler et lui a fait payer le prix fort. Le propritaire a port cet acte au tribunal mais n'a pas eu gain de cause.


Mais quelle loi s'applique  une faille dans Windows ? Surtout quand la socit qui dcouvre cette faille n'a peut tre que du flan  vendre...

Si on applique le dbroussaillage  Microsoft...alors Vuspen corrige la faille et Microsoft paie...ce qui n'est pas ce que veut Vuspen...

----------


## DelphiManiac

> T'es propritaire du terrain....
> 
> Microsoft n'est pas propritaire de ta machine...dont tu as le choix d'utiliser ou pas Windows...
> 
> Imagine 2 secondes qu'un mec te dit que ta bagnole est pas scuris et que t'es en danger...il te dit pas ce qu'il y a bien sur mais si tu veux savoir tu dois payer...tu serais vraiment prt  payer trs cher pour savoir o est le problme alors que tout est peut tre que du flan ???


Tu dis vraiment n'importe quoi ^^

Ici on parle d'une faille 0-Day de Windows, pas de linux ou OSX, donc, oui, je parle de Windows aussi et je ne vois vraiment pas le rapport avec le fait que je sois propritaire de mon PC.

Ta voiture est en panne, tu n'y connais rien, tu payes un garagiste, tu connais, tu te dbrouilles tout seul.

Est ce que Microsoft est oblig de faire appel au garagiste du coin pour trouver les problmes de ces produits ? Peut tre  tu la rponse ?

Enfin la problmatique est tout de mme simpliste : Ils n'ont pas envie de payer ou trouve cela trop cher, pas de soucis, ils trouvent la faille, ne paye rien et tout est rgl. Si de plus Microsoft est sr que l'annonce est du flanc, il n'ont qu'a publi un dmenti indiquant que leurs logiciels sont garantis et exempt de toutes failles de scurit. Il pourraient mme ester en justice pour diffamation.

----------


## Gugelhupf

> T'es propritaire du terrain....
> Microsoft n'est pas propritaire de ta machine...


Microsoft est propritaire de ses logiciels.

C'est un peu comme si tu craquais ta PS3/Xbox360 et tu te retrouvais avec une console morte aprs connexion au PSN/xBox Live (tu pourrais  la limite te faire jecter mais non a ne suffit pas)... pourtant la console t'appartiens.

----------


## Tryph

> Si on applique le dbroussaillage  Microsoft...alors Vuspen corrige la faille et Microsoft paie...ce qui n'est pas ce que veut Vuspen...


va falloir que Microsoft publie les sources de Windows pour a...
bonne ide  ::ccool:: 


aprs, Microsoft n'est pas propritaire de ta machine, mais tu n'es pas propritaire de ton Windows. Tu n'es propritaire que d'une licence qui t'autorise  l'utiliser et que tu as pay.
Si Microsoft n'est pas responsable de la scurit de l'OS qu'il vend pour lequel il vend des licences, je ne vois pas qui peut tre responsable.


pour y aller moi aussi de ma petite analogie: quand je-sais-plus-quelle-boite vend des cartes bancaires  une banque, elle garantie la scurit du systme. et en cas de fraude, il me semble bien que c'est la socit qui vend les cartes bancaires qui doit mettre la main  la poche pour indemniser, bien que personne ne soit oblig de possder une CB.

et qu'on n'aie pas tous une pelouse  tondre...  ::aie::

----------


## alex_vino

> Hors, comme on dit chez nous: "tout travail mrite salaire".


C'est peut-etre une des raison pour lesquelles aujourd'hui en France on n'a pas d'entreprise internationale dans les technologies grand public. Faut peut-etre arreter de raisonner de la sorte, si je bosse tous les soirs et que mon employeur ne me rmunere alors que ma productivit est largement amliore, je ne m'en plaind pas card'une mon employeur ne m'a rien demand et de deux je fais cela comme un investissement sur ma carriere. Eh oui, l'investissement rapporte bien plus que vivre au jour J.





> et faut pas prendre Microsoft pour une pauvre boite sans ressource aussi, ils ont largement de quoi rmunrer les dcouvertes de failles.


Contrairement a Vupen, apres tout ils ne veulent pas vendre a Microsoft alors pourquoi parles tu des ressources de Microsoft dans le cas prsent.

----------


## Tryph

> C'est peut-etre une des raison pour lesquelles aujourd'hui en France on n'a pas d'entreprise internationale dans les technologies grand public. Faut peut-etre arreter de raisonner de la sorte, si je bosse tous les soirs et que mon employeur ne me rmunere alors que ma productivit est largement amliore, je ne m'en plaind pas card'une mon employeur ne m'a rien demand et de deux je fais cela comme un investissement sur ma carriere. Eh oui, l'investissement rapporte bien plus que vivre au jour J.


c'est bien, je te souhaite bien de la russite.
sache malgr tout qu'il est possible que tu sois vir comme un mal-popre au prochain plan social malgr ton aimable et altruiste investissement.

j'ai fait a aussi au dbut... et puis vu les rsultats en terme de reconnaissance, je me suis dit que j'allais arrter de bosser gratuitement.

en tout cas je te remercie bien chaleureusement, au nom de la France entire, pour ton investissement personnel pour le bien de la communaut  ::ccool:: 





> Contrairement a Vupen, apres tout ils ne veulent pas vendre a Microsoft alors pourquoi parles tu des ressources de Microsoft dans le cas prsent.


il est crit nulle part que Vupen refuse de vendre  Microsoft. il est juste crit qu'ils ne prennent pas part au "programme maison" de Microsoft...
mais si t'as des infos plus prcises  nous communiquer au sujet du refus de Vupen de traiter avec Microsoft, je veux bien les sources.

----------


## stardeath

> il est crit nulle part que Vupen refuse de vendre  Microsoft. il est juste crit qu'ils ne prennent pas part au "programme maison" de Microsoft...
> mais si t'as des infos plus prcises  nous communiquer au sujet du refus de Vupen de traiter avec Microsoft, je veux bien les sources.


bah techniquement, ils refusent de traiter avec microsoft, si demain j'ouvrai un service perso de vente de bugs sur chrome, firefox ou autre, concurrent des services que propose les diteurs, faudra pas que je m'tonne qu'on vienne me souffler dans les bronches ...

aprs on sait pas ce qu'il se passe quand on accepte de suivre le canal de microsoft dans ce cas prcis.

je reste mitig.

----------


## erwanlb

> Tu dis vraiment n'importe quoi ^^
> 
> Ici on parle d'une faille 0-Day de Windows, pas de linux ou OSX, donc, oui, je parle de Windows aussi et je ne vois vraiment pas le rapport avec le fait que je sois propritaire de mon PC.
> 
> Ta voiture est en panne, tu n'y connais rien, tu payes un garagiste, tu connais, tu te dbrouilles tout seul.
> 
> Est ce que Microsoft est oblig de faire appel au garagiste du coin pour trouver les problmes de ces produits ? Peut tre  tu la rponse ?
> 
> Enfin la problmatique est tout de mme simpliste : Ils n'ont pas envie de payer ou trouve cela trop cher, pas de soucis, ils trouvent la faille, ne paye rien et tout est rgl. Si de plus Microsoft est sr que l'annonce est du flanc, il n'ont qu'a publi un dmenti indiquant que leurs logiciels sont garantis et exempt de toutes failles de scurit. Il pourraient mme ester en justice pour diffamation.


Un concessionnaire de la marque remonte les problmes....

Un garagiste lambda qui trouve un problme, personne ne l'oblige  remonter un problme et un constructeur ne le paiera pas pour a...

Il n'y a qu'en informatique qu'on voit a !

Et si tu ne vois pas la diffrence entre tre propritaire d'un terrain et avoir des responsabilits vis  vis de celui ci et juste acheter et utiliser un OS...remet les pieds sur terre, tu planes  100 000.....

Mais je suis sur que tu serais ravi que quelqu'un donne les failles d'un programme de ton cru  d'autres qu' toi  ::mrgreen::

----------


## erwanlb

> Microsoft est propritaire de ses logiciels.
> 
> C'est un peu comme si tu craquais ta PS3/Xbox360 et tu te retrouvais avec une console morte aprs connexion au PSN/xBox Live (tu pourrais  la limite te faire jecter mais non a ne suffit pas)... pourtant la console t'appartiens.


Depuis quand j'ai des responsabilits comparables avec un OS qu'avec un terrain ????

----------


## erwanlb

> c'est bien, je te souhaite bien de la russite.
> sache malgr tout qu'il est possible que tu sois vir comme un mal-popre au prochain plan social malgr ton aimable et altruiste investissement.
> 
> j'ai fait a aussi au dbut... et puis vu les rsultats en terme de reconnaissance, je me suis dit que j'allais arrter de bosser gratuitement.
> 
> en tout cas je te remercie bien chaleureusement, au nom de la France entire, pour ton investissement personnel pour le bien de la communaut 
> 
> 
> 
> ...


Encore faudrait il savoir quel est le fruit de ce travail....et  part payer tu peux pas le voir....il y en a beaucoup ici qui paie un travail mritant salaire mais sans avoir vu le rsultat de ce travail ?

----------


## alex_vino

> c'est bien, je te souhaite bien de la russite.
> sache malgr tout qu'il est possible que tu sois vir comme un mal-popre au prochain plan social malgr ton aimable et altruiste investissement.
> 
> j'ai fait a aussi au dbut... et puis vu les rsultats en terme de reconnaissance, je me suis dit que j'allais arrter de bosser gratuitement.
> 
> en tout cas je te remercie bien chaleureusement, au nom de la France entire, pour ton investissement personnel pour le bien de la communaut


Meme si je suis vir et alors? Toutes les connaissances que j'ai pu acqurir au travail comme sur mon temps perso je les conserve, je pourrais rcolter demain tout ce que j'ai sem aujourd'hui.
Apprendre de nouvelles choses le week-end et prendre des cours tous les soirs ca aide grandement a avoir de biens meilleures opportunits et salaire.
D'ailleurs ne me remercie pas au non de la France car je n'y travaille plus. Je ne suis pas pay proportionnellement a mon diplome mais plutot par rapport a ce que je produit et a mes comptences techniques que j'apporte. Que je sois demain virer m'apportera un nouveau boulot mieux payer apres-demain. Mon exprience professionelle m'amene a cette dduction, et c'tait aussi valable lorsque je travaillais en France mais a moindre mesure.

Pour en revenir a l'article il n'y a qu'a lire le titre de la discussion pour remarquer que c'est une "actualit" sponsorise et donc dont l'auteur a et fait donner un partie pris. J'aurais prfr que Microsoft soit au centre du sujet ou bien alors c'est diteurs en scurit et leur tendance gnrale.

----------


## Dhafer1

Je viens de jeter un coup d'il au site de Vupen et on dirait bien que cette petite socit prive Franaise, soit plus du genre socit prive subventionne par les services de scurit et de renseignement, qu'une petite start up quelconque.

N'empche quelques infos sur leur site fond froid dans le dos:

"VUPEN Public Zero-Day Monitor is a comprehensive resource for up-to-date information on the latest 
public zero-day threats, risks and vulnerabilities. Please send your comments to : team@vupen.com

Oracle Database TNS Listener Remote Poison Attack Vulnerability:
*A vulnerability has been identified in Oracle Database, which could be exploited by remote unauthenticated attackers to bypass restrictions and gain unauthorized access.*

 Rated as : Critical    
*Disclosure Date : 2012-04-30 -> 210 Days of Exposure"*

Le pire dans tout cela, c'est que certains gants de l'informatique semblent se contre foutre de leurs clients.
Pour le prix des licences de base de donnes Oracle (qu'utilisent toutes les banques), je sais plus trop c'est qui les truands du coup, les Hackers ou bien Oracle.

----------


## transgohan

> Mais quelle loi s'applique  une faille dans Windows ? Surtout quand la socit qui dcouvre cette faille n'a peut tre que du flan  vendre...
> 
> Si on applique le dbroussaillage  Microsoft...alors Vuspen corrige la faille et Microsoft paie...ce qui n'est pas ce que veut Vuspen...


Je rpondais  Nathanael Marchand, ma rponse tait pour lui et l'histoire de dbroussaillage de terrain, rien  voir avec Windows.

----------


## Nathanael Marchand

> Je rpondais  Nathanael Marchand, ma rponse tait pour lui et l'histoire de dbroussaillage de terrain, rien  voir avec Windows.


Mon "Oui mais la" concernait cette actualit  ::aie:: 
Ici rien n'oblige lgalement Microsoft a chercher les failles dans ses OS et si il voulait le faire il aurait le choix du prestataire. C'est trop simple de faire le boulot d'abord et de ngocier le tarif aprs, ca fait un peu chantage... (Surtout quand on a aucune preuve du travail effectu)

----------


## kolodz

> @kolodz: Je te donne un exemple concret pour te faire oublier le monde virtuel.
> Tu trouves le moyen de braquer une banque. Va-t'us livrer la stratgie du braquage au plus offrant des bandits (en passant le message au journal de 20h de TF1) tout en faisant tout que la banque ne puisse pas acheter?
> Certains croient que l'informatique permet toutes les drives, heuresement que toutes les entreprises et les utilisateurs ne fonctionnent pas tous de cette facon. Il n'y a qu'a regarder l'attitude des Kasperky et Cie et ce "Vupen" pour comprendre.
> 
> 
> Il n'y a pas qu'en France, et le dlit n'est pas le dfaut de scurit mais plutot son utilisation par une personne tierce. D'un point de vue juridique c'est a l'accus de prouver son innocence. Si tu estimes avoir fait tout ton possiblealors ensuite tu peux toujours mener une action contre ton fournisseur internet ou qui tu veux.


Ton exemple, me semble trompeur. Pour moi, Microsoft est au niveau du vendeur de coffre.
Que le vendeur de coffre ne soit pas d'accords pou t'acheter le moyen d'ouvrir son coffre sans la cl est totalement, normal.
Que *la banque ai le droit dacheter cette mme information*, pour se prmunir de vol est tout aussi normal.
En gnral, on appel a une expertise en scurit... C'est lgal et a se vend aux personnes que a intressent tout aussi lgalement.

Pou moi, Kasperk, a une autre attitude, car un autre modle conomique. Celui-ci est bas sur la rputation et une relation privilgi avec Microsoft. Ils en tirent un bnfice conomique indirect assez consquent.



> Si cela cote des ressources et qu'ils veulent tre ddommags  hauteur de leur boulot, 2 choix trs simples :
> 
> - Bosser pour Microsoft
> - Ne pas chercher ces failles, cela ne leur cotera rien !
> 
> Encore une fois le domaine informatique se dmarque par sa relative virtualisation...imaginez qu'une socit dise, j'ai trouv une faille dans votre voiture, vous risquez d'avoir un accident si vous ne me payez pas....j'ai trouv une faille dans votre tv, elle risque d'exploser  tout moment, payez moi....etc...


Encore une fois, Microsoft n'est pas le seul acheteur potentiel *lgitime*. C'est certes le plus lgitime. Mais beaucoup d'autres personnes en ont aussi la lgitimit. Encore heureux qu'il n'y ai pas que les expertes en scurit de Microsoft et les "black hat" dans le domaine.
Sans faire une lise complte et au pif : Les experts en scurit des divers pays, les experts en scurits de toutes les socits utilisant ou tudiant la possibilit d'utiliser Microsoft et les indpendant vendant leur expertise. Ou les laboratoires de recherche. etc...
Et toutes ces personnes peuvent lgalement et de manire lgitime acheter ces informations.

Pour ce qui est des exemples hors informatique :



> imaginez qu'une socit dise, j'ai trouv une faille dans votre voiture, vous risquez d'avoir un accident si vous ne me payez pas....


Rponse : La preuve de lexistence de ce problme est suffisant pour faire retirer l'ensemble des voiture ayant potentiellement ce problme.
Vendre la cause exacte de la dfaillance n'est pas illgal et encore moins immorale. Tu as dj averti du problme le constructeur et les utilisateurs.



> j'ai trouv une faille dans votre tv, elle risque d'exploser  tout moment, payez moi


Rponse : La preuve de lexistence de ce problme est suffisant pour faire retirer l'ensemble des TV ayant potentiellement ce problme.
Vendre la cause exacte de la dfaillance n'est pas illgal et encore moins immorale. Tu as dj averti du problme le constructeur et les utilisateurs.

A un mot prs, je te donne exactement la mme rponse, la raison est que le devoir d'information ne t'oblige en aucun cas toutes les informations dont tu dispose. D'ailleurs, ce devoir est plus un devoir morale dans notre cas.



> Faudrait p'tet voir  lire l'article aussi:


Je sais lire. Et j'ai bien lu cette partie. Mais Coordinated Vulnerability Disclosure n'implique  aucun moment la rmunration des personnes rapportant un faille de scurit. C'est certes un outil permettant aux personnes ayant dcouvert une faille  transmettre ce faille aux personnes comptentes.
https://www.youtube.com/watch?v=q_MDOsOg-fA

*Microsoft indique seulement, qu'il regrette que cette socit n'utilise pas son canal non rmunrant.*
 Je parlais bien des canaux des autres entreprises et fondations *qui eux propose un canal rmunrant*.
Ce qui me semble diffrent. Mais, corrige moi, si je me trompe...

----------


## Tryph

> Encore faudrait il savoir quel est le fruit de ce travail....et  part payer tu peux pas le voir....il y en a beaucoup ici qui paie un travail mritant salaire mais sans avoir vu le rsultat de ce travail ?


quand t'achtes une maison sur plan par exemple, tu commences  payer avant de pouvoir en bnficier et sans savoir si ce sera bien fait.
quand tu t'abonnes  un magazine, tu paies pour des revues que tu ne recevras que dans plusieurs mois...

c'est plutt risqu mais on a invent le contrat pour limiter les risques: on dfini les termes de l'change et on s'assure que l'change en question vrifie tous les termes pralablement dfinis une fois qu'il est fait. et si c'est pas le cas, le parti ls peut obtenir gain de cause devant la justice (en thorie)...
je pense que Microsoft sait tout a.

----------


## messinese

De toute faon il n'y aurait pas ce dbat si un travail de recherche et de suivit tait assur par M$.

Qu'on leur demande du fric me parait tout a fait normal:

Tu balance un produit que tu fait payer au grand public en le placant comme leader du march et qui plus est (ou pas) scuris alors qu'un / des chercheur(s) le mette(nt)  mal et demande du fric en change d'un proof of concept par exemple c'est NORMAL, a marche comme a partout, pour tout les diteurs de logiciels payants qui font de la me*** !!

Perso a ne me choque pas, a les poussera peut etre un jour  auditer leurs sources eux meme avant d'en tirer profit parfois honteusement , rappellez vous ce magnifique fisco sorti vite , vite pour cause de profit et la scurit, la stabilit etc..on s'en tape: vista) et c'est aussi grace a ce genre de politique de recherche de vulnrabilit et de mise a mal des systemes que le SSL, les protection dans nos navigateurs web  et autres se sont dmocratiss .

----------


## camus3

> Microsoft n'est pas propritaire de ta machine...dont tu as le choix d'utiliser ou pas Windows...


Microsoft est propritaire du software , c'est du software dont il s'agit pas du hardware.

Je ne vois aucun problme "moral" dans la dmarche Vupen. On ne parle pas de produits open source mais de produits propritaires sur lesquels MS se fait des millions. Si il veulent garder la confiance de leur consommateurs, il feront ce qu'il faut dans leur intrt, c'est  dire passer  la caisse.

----------


## alex_vino

> Microsoft est propritaire du software , c'est du software dont il s'agit pas du hardware.
> 
> Je ne vois aucun problme "moral" dans la dmarche Vupen. On ne parle pas de produits open source mais de produits propritaires sur lesquels MS se fait des millions. Si il veulent garder la confiance de leur consommateurs, il feront ce qu'il faut dans leur intrt, c'est  dire passer  la caisse.


Si tu ne te sent pas en scurit sous Windows alors rien ne t'empeche a choisir un systeme d'exploitation concurrent. Ca fait depuis des lustres qu'il y a des failles dans Windows (comme tous les OS!) et ce n'est pas pour autant que ca a chang la vie de Microsoft. Cette faille soit disant trouve par la socit cite dans l'article n'a t "vue" de personne, alors pourquoi betement croire cette socit qui peut etre ne fait qu'un coup marketing au passage. Je pense que si cette faille serait aussi critique alors on en parlerais surement dans la presse autre que Developez.com dont l'actualit semble tant bien que mal sponsorise.

----------


## erwanlb

> Pour ce qui est des exemples hors informatique :
> 
> Rponse : La preuve de lexistence de ce problme est suffisant pour faire retirer l'ensemble des voiture ayant potentiellement ce problme.
> Vendre la cause exacte de la dfaillance n'est pas illgal et encore moins immorale. Tu as dj averti du problme le constructeur et les utilisateurs.
> 
> Rponse : La preuve de lexistence de ce problme est suffisant pour faire retirer l'ensemble des TV ayant potentiellement ce problme.
> Vendre la cause exacte de la dfaillance n'est pas illgal et encore moins immorale. Tu as dj averti du problme le constructeur et les utilisateurs.


Vusten ne donne ses preuves que quand tu paies...donc comment savoir si cette preuve existe rellement sans payer ?

N'importe qui peut dire il y a un problme.......paie et je te dis ce que c'est...c'est trop facile ! On faisait a dans les cours de rcr  l'cole primaire....et dans le mme temps Vuspen dit ceux qui n'ont pas l'argent, allez vous faire foutre et restez avec vos problmes....

Les exemples hors informatique n'ont pas cette problmatique...surtout si on touche  des produits physiques...Vuspen ne joue pas avec la scurit d'un OS mais de tous ceux qui l'utilisent...on pourrait dire que MS a l'argent...oui...mais si Vuspen dcide de dire "il y a une mga faille...on vous dit tout pour 1 milliard...."...faut payer absolument alors ?

----------


## messinese

> Si tu ne te sent pas en scurit sous Windows alors rien ne t'empeche a choisir un systeme d'exploitation concurrent. Ca fait depuis des lustres qu'il y a des failles dans Windows (comme tous les OS!) et ce n'est pas pour autant que ca a chang la vie de Microsoft. Cette faille soit disant trouve par la socit cite dans l'article n'a t "vue" de personne, alors pourquoi betement croire cette socit qui peut etre ne fait qu'un coup marketing au passage. Je pense que si cette faille serait aussi critique alors on en parlerais surement dans la presse autre que Developez.com dont l'actualit semble tant bien que mal sponsorise.


Oui enfin bon, des 0-days critiques, des vers , des toyens et j'en passe sont dcouvert a quelque chose prs toutes les semaines (et encore) c'est pas pour autant que Mme Michu est au courant, a passe pas sur TF1  ::P:  !

Parcontre en allant chercher l'info c'est autre choses...encore faut-il faire l'effort ..   :;): 

Rien n'empeche en effet d'utiliser un autre OS c'est sur mais rien n'empeches M$ de ne plus prendre les gens pour des c*** en leurs vendant tout et n'importe quoi .

Aprs on dis M$ car il est question d'eux ici mais il ne font pas que de mauvaises choses bien au contraire alors il ne faut pas non plus tirer dessus a boulets rouge, juste que comme tu le dis a juste titre : " a ne change pas la vie de Microsoft" et c'est bien dommage...

----------


## erwanlb

> quand t'achtes une maison sur plan par exemple, tu commences  payer avant de pouvoir en bnficier et sans savoir si ce sera bien fait.
> quand tu t'abonnes  un magazine, tu paies pour des revues que tu ne recevras que dans plusieurs mois...
> 
> c'est plutt risqu mais on a invent le contrat pour limiter les risques: on dfini les termes de l'change et on s'assure que l'change en question vrifie tous les termes pralablement dfinis une fois qu'il est fait. et si c'est pas le cas, le parti ls peut obtenir gain de cause devant la justice (en thorie)...
> je pense que Microsoft sait tout a.


Quand tu paies pour une maison tu sais comment elle va tre....tu paies un magazine dont tu connais relativement la teneur du contenu...

Vuspen c'est un peu genre achte ma jolie maison mais t'auras peut etre une cabane en bois........achte mon magazine mais t'auras peut tre une feuille blanche...

Et surtout c'est Vuspen te propose pas une jolie maison et un beau magazine mais les ventuels dfauts d'un fabriquant tiers....c'est quoi Vuspen...une assurance OS ????

----------


## erwanlb

> Microsoft est propritaire du software , c'est du software dont il s'agit pas du hardware.
> 
> Je ne vois aucun problme "moral" dans la dmarche Vupen. On ne parle pas de produits open source mais de produits propritaires sur lesquels MS se fait des millions. Si il veulent garder la confiance de leur consommateurs, il feront ce qu'il faut dans leur intrt, c'est  dire passer  la caisse.


Donc si Vupen vend a 3 milliards...allez hop vas y paie ? A ce tarif la les dv de MS devraient se mettre  leur compte de suite pour exiger bien plus d'argent...

Faut esprer que ce genre de boites n'aillent pas mettre son nez dans d'autres domaines...

Je savais que sa roue allait lacher...mais son constructeur a pas voulu me payer pour une information dont il connaissait pas le contenu...alors la roue a lach...c'est pas ma faute m'sieur, faut voir avec le fabricant...

----------


## erwanlb

> Oui enfin bon, des 0-days critiques, des vers , des toyens et j'en passe sont dcouvert a quelque chose prs toutes les semaines (et encore) c'est pas pour autant que Mme Michu est au courant, a passe pas sur TF1  !
> 
> Parcontre en allant chercher l'info c'est autre choses...encore faut-il faire l'effort ..  
> 
> Rien n'empeche en effet d'utiliser un autre OS c'est sur mais rien n'empeches M$ de ne plus prendre les gens pour des c*** en leurs vendant tout et n'importe quoi .
> 
> Aprs on dis M$ car il est question d'eux ici mais il ne font pas que de mauvaises choses bien au contraire alors il ne faut pas non plus tirer dessus a boulets rouge, juste que comme tu le dis a juste titre : " a ne change pas la vie de Microsoft" et c'est bien dommage...


Heureusement que a ne change rien chez MS...sinon il va falloir un service spcial d'coute de ragots et rumeurs informatiques....

----------


## Tryph

> Quand tu paies pour une maison tu sais comment elle va tre....tu paies un magazine dont tu connais relativement la teneur du contenu...
> 
> Vuspen c'est un peu genre achte ma jolie maison mais t'auras peut etre une cabane en bois........achte mon magazine mais t'auras peut tre une feuille blanche...
> 
> Et surtout c'est Vuspen te propose pas une jolie maison et un beau magazine mais les ventuels dfauts d'un fabriquant tiers....c'est quoi Vuspen...une assurance OS ????


genre Microsoft ne communique pas sur les qualit de son OS et de son navigateur en terme de protection et de scurit... voyons voir...




> Scurit et confidentialit renforces
> 
> Renforcez la scurit de votre PC et de vos donnes sur le Web grce  la technologie de pointe SmartScreen qui vous protge contre les programmes malveillants d'ingnierie sociale. Les outils de confidentialit, par exemple le paramtre  No tracking  (aucun suivi), sont intgrs et activables en un clic.


la page est ici: http://windows.microsoft.com/fr-FR/w...ernet-explorer

en gros quand t'achtes Windows et que tu utilises IE10, tu "sais" que tu seras protg...



t'as l'air d'oublier un truc essentiel: personne n'oblige Microsoft  payer... ni 3 milliards (pas l'impression d'exagrer l?),  ni 2...
MS est libre dans cette histoire.
s'ils veulent dcouvrir la faille eux-mme pour ensuite la corriger, il peuvent.
s'ils veulent s'en foutre et faire comme si de rien n'tait, il peuvent.

----------


## kolodz

> Heureusement que a ne change rien chez MS...sinon il va falloir un service spcial d'coute de ragots et rumeurs informatiques....


Existe dj, a se nomme  "Coordinated Vulnerability Disclosure" : https://www.youtube.com/watch?v=q_MDOsOg-fA




> Vusten ne donne ses preuves que quand tu paies...donc comment savoir si cette preuve existe rellement sans payer ?
> 
> N'importe qui peut dire il y a un problme.......paie et je te dis ce que c'est...c'est trop facile ! On faisait a dans les cours de rcr  l'cole primaire....et dans le mme temps Vuspen dit ceux qui n'ont pas l'argent, allez vous faire foutre et restez avec vos problmes....
> 
> Les exemples hors informatique n'ont pas cette problmatique...surtout si on touche  des produits physiques...Vuspen ne joue pas avec la scurit d'un OS mais de tous ceux qui l'utilisent...on pourrait dire que MS a l'argent...oui...mais si Vuspen dcide de dire "il y a une mga faille...on vous dit tout pour 1 milliard...."...faut payer absolument alors ?


Vupen vend le "comment", non le POC. Je peux te montrer que tu as une faille de scurit sans te dire comment j'ai fait. Ce sont deux chose totalement diffrente. Mme si certaines personnes considre qu'il y a preuve seulement quand on sait comment...

----------


## erwanlb

> genre Microsoft ne communique pas sur les qualit de son OS et de son navigateur en terme de protection et de scurit... voyons voir...
> 
> 
> la page est ici: http://windows.microsoft.com/fr-FR/w...ernet-explorer
> 
> en gros quand t'achtes Windows et que tu utilises IE10, tu "sais" que tu seras protg...
> 
> 
> 
> ...


Oui, on ragit comme on veut face au chantage  ::mouarf:: 

Et quel rapport entre vant la scurit et une socit tierce qui trouve une faille ?

----------


## erwanlb

> Existe dj, a se nomme  "Coordinated Vulnerability Disclosure" : https://www.youtube.com/watch?v=q_MDOsOg-fA
> 
> 
> Vupen vend le "comment", non le POC. Je peux te montrer que tu as une faille de scurit sans te dire comment j'ai fait. Ce sont deux chose totalement diffrente. Mme si certaines personnes considre qu'il y a preuve seulement quand on sait comment...


Et donc l'interet pour la scurit des utilisateurs est zro, l'interet pour le portefeuille de vupen c'est tout autre...

On en vient au fait que vupen fait a pour le fric en faisant du chantage  MS et ses utilisateurs...

----------


## kolodz

Je te rappel que nous somme dans le monde de l'entreprise. Une entreprise, a a deux vocations :
1. Cre de la richesse (Produit / information)
2. Faire de l'argent

Vupen, tout comme Microsoft, cre de la richesse et tente d'en faire de l'argent.

On appel cela le monde capitaliste. Bienvenu sur Terre !

----------


## alex_vino

Je me rapelle de certains qui avaient penetrer au sein du reseau d'entreprises pour recuperer des documents, et ensuite ces personnes avaient gentillement renvoyer les documents "emprunter" en leur disant comment ils avaient fait pour s'introduire. Ils n'ont rien voler ni meme rien vendu mais ils ont ete juges coupables avec de lourdes peines.
Comme quoi Vurspen a encore beaucoup a apprendre, alors que eux ne menacent pas la securite d'une entreprises mais de potentiels milliards d'utilisateurs (85%).

PS: J'ai trouver un effet secondaire mortel qui peux surgir n'importe quand pour tous les consommateurs d'aspirine. Vais-je vendre la formule pour corriger le remede et sauver des centaines de millions de personnes ou vais-je le vendre a une organisation/gouvernement qui va s'en servir comme arme?
Quand je parle de banque certains ne comprennent pas, peut-etre qu'en parlant de choses vitales on arrivera enfin a comparer ce qui se passe dans les technologies avec le "monde reel". Et oui, exploiter une faille dans un OS sur une tres grande quantite d'utilisateurs crees aussi de grandes consequences a toute echelle (utilisateur qui perd toutes ses donnees et se fait derober toutes ses informations confidentielles, un couple qui se cacherait des choses, une entreprise qui se fait voler ses travaux et strategies, un pays...). Et oui, comme tu le dis si bien Bienvenue sur Terre.

----------


## kolodz

> Je me rapelle de certains qui avaient penetrer au sein du reseau d'entreprises pour recuperer des documents, et ensuite ces personnes avaient gentillement renvoyer les documents "emprunter" en leur disant comment ils avaient fait pour s'introduire. Ils n'ont rien voler ni meme rien vendu mais ils ont ete juges coupables avec de lourdes peines.
> Comme quoi Vurspen a encore beaucoup a apprendre, alors que eux ne menacent pas la securite d'une entreprises mais de potentiels milliards d'utilisateurs (85%).


Et ces personnes l'ont fait sur un rseau qui ne leur appartenait pas sans y avoir d'autorisation.
La mme chose, c'est produite dans la boite o j'tais en prestation. Sauf que celle-ci avait t demander par la boite pour tester la scurit de leur infrastructure.
Si Vupen a dcouverts leur faille en travaillant sur un ordinateur leur appartenant et avec un licence achet, c'est totalement lgal.

D'ailleurs, le cas que tu cite a t condamn pour avoir pntr un systme informatique ne leur appartenant pas. Pas de savoir pntr un systme informatique.

----------


## erwanlb

> Je te rappel que nous somme dans le monde de l'entreprise. Une entreprise, a a deux vocations :
> 1. Cre de la richesse (Produit / information)
> 2. Faire de l'argent
> 
> Vupen, tout comme Microsoft, cre de la richesse et tente d'en faire de l'argent.
> 
> On appel cela le monde capitaliste. Bienvenu sur Terre !


Tinquites je sais qu'il existe des entreprises comme Vupen qui exploite les faiblesses des entreprises et font du chantage avec  ::mouarf::

----------


## erwanlb

> Et ces personnes l'ont fait sur un rseau qui ne leur appartenait pas sans y avoir d'autorisation.
> La mme chose, c'est produite dans la boite o j'tais en prestation. Sauf que celle-ci avait t demander par la boite pour tester la scurit de leur infrastructure.
> Si Vupen a dcouverts leur faille en travaillant sur un ordinateur leur appartenant et avec un licence achet, c'est totalement lgal.
> 
> D'ailleurs, le cas que tu cite a t condamn pour avoir pntr un systme informatique ne leur appartenant pas. Pas de savoir pntr un systme informatique.


De la  faire du chantage avec le boulot (et les faiblesses) des autres pour les revendre  prix d'or....bon soit...ils ont le droit, ils le font....mais de la  trouver a normal......je pense que c'est une opinion versatile...

----------


## Tryph

> PS: J'ai trouver un effet secondaire mortel qui peux surgir n'importe quand pour tous les consommateurs d'aspirine. Vais-je vendre la formule pour corriger le remede et sauver des centaines de millions de personnes ou vais-je le vendre a une organisation/gouvernement qui va s'en servir comme arme?
> Quand je parle de banque certains ne comprennent pas, peut-etre qu'en parlant de choses vitales on arrivera enfin a comparer ce qui se passe dans les technologies avec le "monde reel". Et oui, exploiter une faille dans un OS sur une tres grande quantite d'utilisateurs crees aussi de grandes consequences a toute echelle (utilisateur qui perd toutes ses donnees et se fait derober toutes ses informations confidentielles, un couple qui se cacherait des choses, une entreprise qui se fait voler ses travaux et strategies, un pays...). Et oui, comme tu le dis si bien Bienvenue sur Terre.


en gros t'es en train de nous dire que toute entreprise qui peut sauver des vies doit le faire gratuitement. et bien a arrive pas souvent, mais je suis entirement d'accord avec toi  ::): 

les entreprises pharmaceutiques devraient distribuer gratuitement les mdicaments qu'ils fabriquent au personnes malades qui ne peuvent se payer de traitement.
Monsanto (entre autres) devrait offrir des tonnes de ses semences de crales aux pays qui souffrent de mal/sous-nutrition.
ces gens sont dans le besoin, il est de notre devoir  tous de faire quelque chose pour eux sans demander de contrepartie.

mais en loccurrence, le fait d'offrir gracieusement la dcouverte de cette faille  MS ne sauvera personne.
et puis MS n'est pas dans le besoin...
et puis au pire du pire il se passera quoi? des gens qui talent leur vie sur facebook se feront "voler" les donnes qu'ils affichent partout. des pubs apparaitront intempestivement sur nos chers crans. l'ordinateur ne voudra plus dmarrer et je devrais le formater ou (horreur) l'emmener chez le rparateur !!!

non vraiment, je crois qu'il faut arrter de s'enflammer sur les exemples et les analogies qui deviennent de plus en plus ridicules.
si vous voulez vous offusquer, vous indigner ou crier  l'injustice ou  l'immoralit, je suis persuad que vous pouvez trouver des causes bien plus nobles que la dfense d'une boite qui n'a pas tout  fait bien travaill.


et puis en l'occurrence, je crois pas que Vupen aie mis une annonce sur leboncoindesterroristes.com pour vendre sa dcouverte  un "barbu kamikaze qui veut exterminer ces infidles d'occidentaux".
moi j'ai compris qu'il vend juste la faille  ses clients pour qu'ils puissent agir de leur cot pour se protger.

----------


## alex_vino

> non vraiment, je crois qu'il faut arrter de s'enflammer sur les exemples et les analogies qui deviennent de plus en plus ridicules.
> si vous voulez vous offusquer, vous indigner ou crier  l'injustice ou  l'immoralit, je suis persuad que vous pouvez trouver des causes bien plus nobles que la dfense d'une boite qui n'a pas tout  fait bien travaill.


Oui parce que toi tu fais dire des choses que je n'ai pas dit et manque d'arguments (je ne comprend pas ta raction pour une petite erreur humaine faite par des collegues, mais bon j'imagine que tu dveloppes tous les jours des OS avec 0 failles).

----------


## Tryph

> Oui parce que toi tu fais dire des choses que je n'ai pas dit et manque d'arguments (je ne comprend pas ta raction pour une petite erreur humaine faite par des collegues, mais bon j'imagine que tu dveloppes tous les jours des OS avec 0 failles).


bah en fait je suis srieux quand je dis que les entreprises qui peuvent sauver des vies devraient le faire gratuitement.

ce qui m'insupporte, c'est votre faon  toi et erwanlb de faire dans le melodrame "fin du monde".
- l'un qui fantasme sur les soit disant "miliards" que Vupen demanderait  MS (vous avez vu a ou srieusement?).
- l'autre qui compare l'offre gracieuse d'une procdure pour exploiter une faille  une multinationale multimilliardaire au fait de sauver des centaines de millions de vies.

a me fait penser  ces gens qui se disent "pris en otage"  la moindre grve, j'ai presque envie de les enfermer dans une cave avec un flingue sur la tempe pendant quelques mois pour leur apprendre a tre plus mesurs et leur passer l'envie de s'auto-victimiser. moi c'est ce genre de comportement que j'arrive pas  comprendre...


sinon... bah non, je ne dveloppe pas d'OS 0-faille tous les jours.
mais quand un collgue vient me voir en me disant que ce que j'ai fait ne marche pas, je demande pas  ce qu'on vienne tout m'expliquer gratuitement. et si par bonheur un collgue me dpatouille sur un sujet sur lequel je suis largu, je lui rend  un moment ou un autre, d'une faon ou d'une autre. je me contente pas de croire que tout m'est du parce que mon travail sera utilis par d'autres.

oui, faire une erreur peut arriver  tout le monde. non, ce n'est pas une raison pour prtendre  une aide gratuite.


EDIT pour le commentaire du dessous:
- le paragraphe sur les grves est juste l pour illustrer ce comportement de plus en plus rpandu qui consiste  faire d'un gravier une montagne. ce trait qui consiste  grossir des vnements insignifiants en les comparant  des dsastres ou des scandales pour leur associer une connotation horrible alors qu'ils ne sont des vnements banales et  la gravit toute relative.
- j'habite prs du centre de Lyon, je prends le mtro 2 fois par jours sur une distance de 8km pour aller au boulot et en revenir et quand il y a une grve, je me sens pas pris en otage. quand a arrive, je peux encore sortir de chez moi, je suis libre de prendre mon vlo, de prendre un taxi, d'arriver en retard et de repartir plus tard le soir, de poser un jour de cong selon mon humeur... les gens qui font grve le font en gnral pour de bonnes raison et pas par simple plaisir. des travailleurs qui dfendent leurs conditions de travail, a ne me gne pas du tout.
bref, une grve n'a rien  voir avec une prise d'otage. pour rappel, les otages sont des gens qui sont privs de leur libert, qui craignent bien souvent pour leur vie, et cela pendant des semaines, des mois et parfois des annes. certains mme en meurent... quel rapport avec une grve?
- Vuspen ne fait aucun chantage, il refuse juste d'offrir son travail gratuitement. encore une faon de rinterprter (malhonntement) les faits pour les faire paraitre scandaleux (voir ci-dessus).

----------


## alex_vino

C'est bien ce que je pensais, tu reste fig sur tes positions.
Je ne comprend pas trop ton exemple sur les greves, mais bon tant qu'a parler de Vurspen qui est une socit base en France et le fonctionnement francais je dirais ca fonctionne toujours aussi mal. Tu dois vivre en dehors des grandes ville et ne jamais bouger de chez toi pour n'avoir jamais t emmerd par toutes ses greves en France qui nous "emmerde" et nuisent a l'image de notre pays. Je ne vais pas m'tendre sur le sujet car on va s'loigner du topic.
Tu parles d'aider gratuiement, mais qui a dit que Microsoft ne paierais pas pour qu'il puisse colmater la faille? Quand mon client trouve une faille dans mon travail il ne va pas me faire du chantage mais plutot tout mettre en place pour corriger cette derniere. Et mon client ne me blamera pas non plus car il est humain et sait que rien n'est jamais parfait.

----------


## jfduflot

La raison pour laquelle nous nous faisons rgulirement rouler par les anglo-saxons est que nous respectons non seulement la loi mais galement l'thique, alors que pour eux, "tout ce qui n'est pas interdit est autoris". Les spcialistes de la cyberdfense de la DGSE alertent rgulirement les entreprises franaise sur ce point.  
C'est par exemple en utilisant des mthodes  la limite de la lgalit mais pas du tout thiques que les amricains ont pris le contrle de Gemplus et des mthodes de cryptage de la carte  puces, malgr les avertissements de la DGSE.
VUPEN respecte certainement la lgalit, sans doute pas l'thique. D'ailleurs ils vont sans doute devoir surveiller leurs arrires dans les semaines qui viennent...  Personnellement leur dangereuse tactique me plait assez, pour une fois que l'on s'attaque aux amricains.

----------


## _skip

J'ai lu il y a quelques annes que google avait aussi un programme de reward pour les vulnrabilits, mais on parlait de montants de 500$  3000$ suivant la gravit. Pas pu trouver d'info sur celui de microsoft.

L le bonhomme qui a trouv cette faille 0day, s'il est  la tte d'une bote qui fait dans ce business, il a surement l'intention de se faire plus de fric que a parce qu'en terme de temps pass dans la recherche, c'est pas avec ce genre de montant qu'il paiera son loyer. 
La seule question qu'on peut se poser c'est  quel point c'est thique ou non comme procd? Quand on voit que des gouvernements se portent ouvertement acqureurs de donnes bancaires voles soit disant pour lutter contre la fraude fiscale, on peut se dire que ce qu'il fait avec sa socit n'est pas finalement ce qu'il y a de pire?

Son travail ne devrait pas tre gratuit, mais cependant j'ai un peu de mal avec le procd. C'est un peu comme si une personne constatait une faille de scurit dans un garde-meuble avec possiblement des consquences, et qu'il essayait de vendre l'info au grant en faisant peser le "prjudice aux clients si par malheur"...

Quant  ceux sur ce forum qui dveloppe des logiciels, vous tes  ce point srs de vos talents que vous estimez que vos produits sont infaillibles? Comment ragiriez-vous si on voulait vous faire casquer pour des informations concernant votre soft en faisant un buzz sur une faille importante? Perso je trouverai pas a super cool et je ne pense pas que j'apprcierai qu'on me dise que j'ai qu' sortir mon produit mieux test puis que c'est  moi de faire ce boulot sans quoi je ne suis pas lgitime de proposer ce sur quoi je travaille et j'investis.
Donc oui les microsoft il a qu' tester, microsoft il a qu' chercher lui-mme des failles (ils ne le font pas vous croyez?) microsoft il a des sous, microsoft c'est des profiteurs, merci bien. N'empche que cette socit agit sans mandat et sans contrat avec MS, donc est-ce que c'est vraiment si lgitime que a de vendre des informations en prenant quelque peu en otage les utilisateurs?

Bref, je sais pas, j'aime pas trop cette dmarche. Je reconnais que c'est un boulot, mais un boulot intress que personne lui a demand de faire. Aprs si les conditions de rmunration ne lui conviennent pas il a qu' aller s'attaquer  des autres logiciels. Mais bon, pour que a paie faut taper sur les gros qui ont plein d'utilisateurs pour faire pression, je suppose...
Donc non en fait j'aime pas a du tout.

----------


## alex_vino

@_skip: Je sais que Google a dja donn plusieurs fois $60.000 pour Chrome.

----------


## kolodz

> Tinquites je sais qu'il existe des entreprises comme Vupen qui exploite les faiblesses des entreprises et font du chantage avec


Pou rappel la dfinition de chantage :



> Selon le Code pnal, le dlit de chantage est le fait d'obtenir, en menaant de rvler ou d'imputer des faits de nature  porter atteinte  l'honneur ou  la considration, soit une signature, un engagement ou une renonciation, soit la rvlation d'un secret, soit la remise de fonds, de valeurs ou d'un bien quelconque (Art. 312-10 Code pnal).
> 
> Ordonnance n 2000-916 du 19 septembre 2000 art. 3 Journal Officiel du 22 septembre 2000 en vigueur le 1er janvier 2002)
> 
> Lorsque l'auteur du chantage a mis sa menace  excution, la peine est porte  sept ans d'emprisonnement et  100 000 euros d'amende.


Ici, il y aurai eu chantage si Vupen avait demand de l'argent en change de la non divulgation de lexistence de la faille 0-days au publique.
Ce que ne fait pas Vupen. Ce n'est donc pas du chantage.



> De la  faire du chantage avec le boulot (et les faiblesses) des autres pour les revendre  prix d'or....bon soit...ils ont le droit, ils le font....mais de la  trouver a normal......je pense que c'est une opinion versatile...


Mme dfinition du mot chantage (je ne re-cite pas...), mme conclusion dans le cas Vupen. Ce pendant, il est vraie que le positionnement de Vupen est "moralement" discutable.




> Oui parce que toi tu fais dire des choses que je n'ai pas dit et manque d'arguments (je ne comprend pas ta raction pour une petite erreur humaine faite par des collegues, mais bon j'imagine que tu dveloppes tous les jours des OS avec 0 failles).


Premier point : il te cite et fait son commentaire
Second point : ne pas tre parfait, n'implique pas la gnrosit envers l'imperfection des autres.




> C'est bien ce que je pensais, tu reste fig sur tes positions.
> Je ne comprend pas trop ton exemple sur les greves, mais bon tant qu'a parler de Vurspen qui est une socit base en France et le fonctionnement francais je dirais ca fonctionne toujours aussi mal. Tu dois vivre en dehors des grandes ville et ne jamais bouger de chez toi pour n'avoir jamais t emmerd par toutes ses greves en France qui nous "emmerde" et nuisent a l'image de notre pays. Je ne vais pas m'tendre sur le sujet car on va s'loigner du topic.
> Tu parles d'aider gratuiement, mais qui a dit que Microsoft ne paierais pas pour qu'il puisse colmater la faille? Quand mon client trouve une faille dans mon travail il ne va pas me faire du chantage mais plutot tout mettre en place pour corriger cette derniere. Et mon client ne me blamera pas non plus car il est humain et sait que rien n'est jamais parfait.


Microsoft lui-mme  dj dit qu'il ne rmunrait pas la dcouverte de faille. Sauf pour des concours, plus orient marketing qu'autre chose :
http://www.computerworld.com/s/artic...curity_contest
Hors le gagnant de ces concours pisodique, Microsoft ne rmunre pas la dcouverte de faille.

Ton client y gagne la correction du bug. Et si ta boite a un minimum d'esprit commercial, elle lui enverra une belle boite de chocolat d'ici un mois.
Et je suppose que ton client n'as pas pass sa semaine  cherche le bug qu'il ta rapport sans rien produire d'autre de la semaine.

HS : Les grves sont un droits durement acquis, qui ont permis dacqurir de beaucoup de droit social qu'on considre comme normal en France, mais qui ne le sont pas. Et permettent encore de dfendre ces mmes droits. Mme si on a tendant  stigmatiser cela...



> J'ai lu il y a quelques annes que google avait aussi un programme de reward pour les vulnrabilits, mais on parlait de montants de 500$  3000$ suivant la gravit. Pas pu trouver d'info sur celui de microsoft.
> 
> L le bonhomme qui a trouv cette faille 0day, s'il est  la tte d'une bote qui fait dans ce business, il a surement l'intention de se faire plus de fric que a parce qu'en terme de temps pass dans la recherche, c'est pas avec ce genre de montant qu'il paiera son loyer. 
> La seule question qu'on peut se poser c'est  quel point c'est thique ou non comme procd? Quand on voit que des gouvernements se portent ouvertement acqureurs de donnes bancaires voles soit disant pour lutter contre la fraude fiscale, on peut se dire que ce qu'il fait avec sa socit n'est pas finalement ce qu'il y a de pire?
> 
> Son travail ne devrait pas tre gratuit, mais cependant j'ai un peu de mal avec le procd. C'est un peu comme si une personne constatait une faille de scurit dans un garde-meuble avec possiblement des consquences, et qu'il essayait de vendre l'info au grant en faisant peser le "prjudice aux clients si par malheur"...
> 
> Quant  ceux sur ce forum qui dveloppe des logiciels, vous tes  ce point srs de vos talents que vous estimez que vos produits sont infaillibles? Comment ragiriez-vous si on voulait vous faire casquer pour des informations concernant votre soft en faisant un buzz sur une faille importante? Perso je trouverai pas a super cool et je ne pense pas que j'apprcierai qu'on me dise que j'ai qu' sortir mon produit mieux test puis que c'est  moi de faire ce boulot sans quoi je ne suis pas lgitime de proposer ce sur quoi je travaille et j'investis.
> Donc oui les microsoft il a qu' tester, microsoft il a qu' chercher lui-mme des failles (ils ne le font pas vous croyez?) microsoft il a des sous, microsoft c'est des profiteurs, merci bien. N'empche que cette socit agit sans mandat et sans contrat avec MS, donc est-ce que c'est vraiment si lgitime que a de vendre des informations en prenant quelque peu en otage les utilisateurs?
> ...


J'aime bien ta rflexion qui mets en avant les deux points de vue.
Je vais rpondre directement  tes deux questions :



> Quant  ceux sur ce forum qui dveloppe des logiciels, vous tes  ce point srs de vos talents que vous estimez que vos produits sont infaillibles ?


Tout ce que j'ai cris est faillible.



> Comment ragiriez-vous si on voulait vous faire casquer pour des informations concernant votre soft en faisant un buzz sur une faille importante ?


a dpends le contexte, mais probablement que je tenterai la mdiation. Quand j'ai fait le "buzz" avec un faille, c'est ce qu'on m'avait fait et a c'est bien fini pour tout le monde. Certains boite vont jusqu' engager...

Pour le reste, je ne peux qu'apprcier ton point de vue. J'avoue ne pas avoir le mme rsonnent, mais j'arrive  une conclusion similaire. (J'avoue que je prfrai entant que acheteur et consommateur que Microsoft dpense un peu d'argent en bug bounty.)

Cordialement,
Patrick Kolodziejczyk.

----------


## Grisou

Tout travail mrite salaire.
Microsoft rmunre ses employs pour 'normalement' trouver ces failles. Donc je trouve qu'il est normal de rmunrer une personne qui travaille  l'amlioration du produit, mme si elle est trangre a l'entreprise. 

Le but de chaque entrepreneur de faire prenniser son entreprise, et ce, pour se dvelopper et pour faire vivre ses collaborateurs.

Maintenant le prix est peut tre excessif ! a ! ::mrgreen::

----------


## maxou42000

Il se trouve que l'Ethique et une chose et la lois en est une autre je reprend les propos d'un post prcdent.
Les entreprises Amricaines se fouttent royalement de l'thique. Sinon vous m'expliquerez pourquoi Microsoft est impos en France sur 16% de son chiffre d'affaire. Pourquoi Microsoft paie l'impot en Irlande sur 84% du chiffre d'affaire ralis en France.
Pourquoi y aurait-il une filliale sur les iles Caimans qui raliserait 50% du chiffres d'affaire mondiale du groupe pour une iles 10 fois plus petite que la corse.
a me rappelle le film la ligne verte ou celui qui a tu les deux fillettes pour le lequel John Caf ( je sais a se prononce comme le caf mais a ne s'crit pas pareil ) est condamn. Le tueur les a tu a cause de leur amour il les a attrap toutes les deux et leur a dit si tu crie je tue ta soeur et toi si tu cris je tue ta soeur. Il les a emmen et finalement les a tu.
Tout a pour dire que lorsque vous partez en guerre et l'conomie et une guerre c'est le profit ou la mort. Je vois bien l'adversaire en face dire  ben non c'est pas bien d'utiliser a comme arme. Moi j'utilise a comme arme ( un tank ) toi aussi tu peux utiliser un tank ( ok mais j'ai pas les moyens pour un tank ) mais tu n'as pas le droit d'utiliser de lance roquette. Tu gardes juste ta fourche et ta pelle.
Je prend l'exemple de Microsoft mais c'est valable pour toutes les grosses entreprises Amricaines ( Apple, etc. au passage des groupes comme Total font la mme chose )
Et la fuite de capitaux va s'acclrer exponentiellement grce  l'intgration totale  Windows 8 des markets ( musique, vod, logiciels, etc. ) Ce type de march et compltement dlocalis et dlocalisable aucun frais de transport insensible  la hausse du ptrole, aucun contrle douanier pour les taxes.
Et l'argent qui s'en va il ne revient pas. Et l je vous garantie que si vous vous plaigniez de payer trop d'impt a va pas sarranger.

Alors l'thique il faudrait qu'on arrte de se faire prendre pour des idiots a me fait penser au gouroux dans les sectes.
Faites voeux de pauvret, de chastet, etc. mes bons fidles.
A cot de a il s'envoie en l'air avec toutes les femmes de la communaut, et vie dans le luxe.

Quand  ceux qui ne sont pas content je leur suggre de se plaindre  leur diteur de logiciel avec qui ils ont sign un contrat, accord de licence ou mieux encore de passer sur du logiciel libre ou le code est ouvert et ou le service lui est plus difficilement dlocalisable.

Alors je conclue qu'il a raison, il reste dans le cadre lgale donc qu'il continue... Jusqu'au jour ou les lobbies feront pression pour faire modifier la lois pour la sois disant protection des consommateurs ( l je me marre !!! faite voeux de pauvret donner tout votre argent  la communaut c'est pour vous, c'est pour le salut de votre mes )

Bien  vous messieurs ( moutons ou non )
PS: pour le mouton a n'est pas mchant mais comprenez que si nos comportement moutonnier continue  dfendre btement de la sorte des gros groupes ceux ci vont continuer  nous siphonner et on finira par le payer chre trs chre. Faon Grce !!!

----------


## GruntZ

Je ne sais pas ce qui est le plus "moralement discutable" :
- Vouloir faire payer  Microsoft pour un travail de dverminage qui aurait du tre ralis par ses quipes,
- Regarder Microsoft dpenser plusieurs millions d'Euros par an en lobbying auprs des dputs europens pour faire voter des lois qui l'arrangent, en frais d'avocat pour dfendre son business, ou en frais de marketing pour faire accepter un OS vendu de force avec les machines.

Vupen n'agirait peut tre pas de la mme faon s'il dcouvrait une faille dans Firefox ...

----------


## talvins

Microsoft a toujours fait ainsi avec ses produits : sortir une version quivalente bta et attendre les remontes. Ensuite, on sort un SP1 puis un SP2, entrecoups de tonnes de correctifs critiques.

Certaines distribs linux font pareilles ? Certes, mais GNU/linux n'est pas Microsoft. Si Vupen avait trouv des failles critiques sur Firefox, les aurait-il vendu ? J'en doute.

IE10 est gratuit, ok. Mais c'est parce qu'il ne peuvent faire autrement pour survivre. Par contre IE9 et IE10 ne sont pas dispo sur XP : et puis quoi encore ? On va quand mme pas s'e**erder avec des nases qui n'achtent mme pas nos nouveaux produits ! 

Bref, ils ont bien raison chez Vupen.

----------


## ouvreboite

> Par contre IE9 et IE10 ne sont pas dispo sur XP : et puis quoi encore ? On va quand mme pas s'e**erder avec des nases qui n'achtent mme pas nos nouveaux produits !


XP a plus de 11 ans...
Ubuntu n'existait mme pas  l'poque.

Faut vraiment arrter avec cet argument. Qu'on gueule parce qu'ils ne sortent pas un produit sur 7 (ou sur Vista, le noyau est le mme) ok. Mais sur XP, franchement...

Parce que si on part sur ce principe, alors allons-y vraiment : si on veut XP, pourquoi pas 2000 ? Il n'est sorti que depuis 12 ans,  peine un an de plus. On peut bien assurer le support encore 9% plus loin.
Et pourquoi pas 98 aussi, on est plus  3 ans prt hein.

La longvit d'XP est un cas  part dans l'histoire de Microsoft. Il est temps que ca s'arrte. M$ a dj rallong le support de l'OS, il est normal qu'ils commencent  lcher au niveau des fonctionnalits "gratuites" fournies  ct.

----------


## toss.net

> Par contre IE9 et IE10 ne sont pas dispo sur XP


XP ! Pourquoi pas Windows 3.1 !? Faudrait peut tre voluer camarade !

----------


## Tryph

> XP a plus de 11 ans...
> Ubuntu n'existait mme pas  l'poque.
> 
> Faut vraiment arrter avec cet argument. Qu'on gueule parce qu'ils ne sortent pas un produit sur 7 (ou sur Vista, le noyau est le mme) ok. Mais sur XP, franchement...
> 
> Parce que si on part sur ce principe, alors allons-y vraiment : si on veut XP, pourquoi pas 2000 ? Il n'est sorti que depuis 12 ans,  peine un an de plus. On peut bien assurer le support encore 9% plus loin.
> Et pourquoi pas 98 aussi, on est plus  3 ans prt hein.
> 
> La longvit d'XP est un cas  part dans l'histoire de Microsoft. Il est temps que ca s'arrte. M$ a dj rallong le support de l'OS, il est normal qu'ils commencent  lcher au niveau des fonctionnalits "gratuites" fournies  ct.


les dernires version de Chrome ou Firefox sont bien dispo sur XP...
qu'est-ce qui empche Microsoft de faire de mme...? surement pas une raison technique en tout cas.

et puis Windows XP est encore trs utilis. perso je l'utilise tous les jours au boulot ou il est encore install sur tous les postes.
je l'ai mme encore chez moi (mais en dual-boot avec Ubuntu alors je l'utilise que pour jouer).

talwins a raison: si Microsoft ne sort plus IE sur XP, c'est simplement pour inciter les gens  acheter un nouveau Windows.

----------


## Hellwing

> talwins a raison: si Microsoft ne sort plus IE sur XP, c'est simplement pour inciter les gens  acheter un nouveau Windows.


Est-ce un mal d'inciter les gens  abandonner un systme vieux de de 11 ans, et bien plus vulnrable que les versions actuelles ?

----------


## DelphiManiac

> Est-ce un mal d'inciter les gens  abandonner un systme vieux de de 11 ans, et bien plus vulnrable que les versions actuelles ?


Je suis loin d'tre sr que XP soit bien plus vulnrable que les versions suivantes. Mme qu'en rflchissant un tout petit peu, j'aurais tendance  dire le contraire, XP tant plus vieux, mieux test, il est fort possible qu'il y ai moins de failles.

D'ailleurs tout le sujet va dans ce sens, une faille sur ie10 et ie10 non disponible sur XP, au moins une faille en moins ^^


Tu te laisses avoir par des arguments purement marketing et tu mlanges les arguments marketing avec la scurit, dmarche purement marketing d'ailleurs, faire peur.

----------


## skalpa75

On ne peut pas reprocher  un crateur d'emplois de se faire rmunrer pour son travail, surtout que pour Msft c'est une goutte d'eau...

----------


## kolodz

> Est-ce un mal d'inciter les gens  abandonner un systme vieux de de 11 ans, et bien plus vulnrable que les versions actuelles ?


Et dont toutes les erreurs sont connues, documentes et dispose d'une solution connue.
Pour la vulnrabilit, oui et non.
Oui, un XP est vieux et beaucoup de gens l'ont tudi et en connaissent les faiblesses.
Non, car il y a beaucoup de faille de scurit qui ont t "bouch" ou qui sont "prvenu".
D'ailleurs, on dcouvres des failles 0-days sur Windows 8. Il y a donc aucune raison de dire qu'il y a plus de faille non rsolu sur XP que sur Windows 8.
Mais, il est vrai qu'un XP *non  jour* sera plus facilement attaquable.

Le fait de forcer la migration vers windows 7/8 est principalement conomique. Tout comme pour la suite office.

----------


## ouvreboite

> talwins a raison: si Microsoft ne sort plus IE sur XP, c'est simplement pour inciter les gens  acheter un nouveau Windows.


Mais, videmment ! Personne ne dit le contraire.

M$ n'a tout simplement pas le mme business modle que Chrome et FF. 
Google se sert de chrome comme outil de promotion pour ses services, qui sont en ligne, et montise leurs utilisateurs. Donc il est logique qu'il soit "partout".
FF montise aussi ses utilisateurs, via les requtes vers Google.
M$ ne fait juste pas d'argent avec IE (un peu avec la mise par dfaut de bing, c'est tout). IE est l pour promouvoir les logiciels que vend M$. Promouvoir la "synergie" et servir,  la limite, de navigateur par dfaut.
Or, M$ ne vend pas XP. Plus maintenant. Ils ne gagnent rien  continuer  sortir de nouvelles versions sur XP, alors que ca leur coute en dveloppement.

"Oui, mais ca nuit  leur image de marque, Mme Michu elle trouve pas ca serieux que M$ ne mette pas  jour IE sur son XP"
Mme Michu s'en fout, elle est mme pas en SP1. Et les seuls qui suivent ce type d'infos sont soit sur W7, soit sur XP par choix. Et j'aurais tendance  penser que quelqu'un qui reste sur XP par choix ne voudra pas d'IE.
Et si vous tes sur XP au boulot, de toute faon vous n'avez pas les droits admin pour installer un ventuel IE9. Donc vous tes sur un FF ou un chrome portable.

C'est tout. Il n'y a pas de mchant, pas de gentil ici. Juste pas le mme business. Il y a vraiment d'autres choses  dire sur IE ou Windows pour ne pas, encore et toujours, sortir la mme rengaine "M$ sont nuls, ils ne supportent pas des fonctionnalits annexes et gratuites d'un truc sorti quand j'avais mme pas le bac et que j'coutais Billy Crawford."

----------


## kinderoff

Il a boss pour trouver ses failles et tout travail mrite salaire.
Les gens pensent que parce que c'est informatique tout doit tre gratuit et leur appartenir. Je veux bien mais si vous avez besoin d'aide pour mieux grer votre machine que ce soit niveau matriel, logiciel, ou solutions techniques ne vous tonnez pas qu'on vous fasses payer le service rendu.

Sous prtexte qu'il suffit de faire 2 - 3 clics il faut que ce soit gratuit mais si vous avez besoin de l'apprendre faudra payer les cours ne sont pas gratuit. Si vous ne souhaitez pas l'apprendre faudra payer  chaque fois que vous en aurez besoin.

Marre de bosser pour rien on prends les geeks pour des branleurs alors qu'ils bossent beaucoup et gratuitement. On les dit branleurs parce qu'ils ne parviennent pas  boucler leurs fins de mois. Alors oui faites payer votre travail et  prix d'or pour rattraper tout les retards de ses dernires annes.

On va bien voir qui aura le dernier mot et qui sont les vritable branleurs les geeks ou les feignants qui attendent impatiemment qu'on leur donne tout tout cuit ?

----------


## Hellwing

> Et dont toutes les erreurs sont connues, documentes et dispose d'une solution connue.
> Pour la vulnrabilit, oui et non.
> Oui, un XP est vieux et beaucoup de gens l'ont tudi et en connaissent les faiblesses.
> Non, car il y a beaucoup de faille de scurit qui ont t "bouch" ou qui sont "prvenu".
> D'ailleurs, on dcouvres des failles 0-days sur Windows 8. Il y a donc aucune raison de dire qu'il y a plus de faille non rsolu sur XP que sur Windows 8.
> Mais, il est vrai qu'un XP *non  jour* sera plus facilement attaquable.
> 
> Le fait de forcer la migration vers windows 7/8 est principalement conomique. Tout comme pour la suite office.


Oui pardon, je parlais des Windows XP non  jour chez la plupart des gens de la famille Michu ^^

----------


## Tryph

> C'est tout. Il n'y a pas de mchant, pas de gentil ici. Juste pas le mme business. Il y a vraiment d'autres choses  dire sur IE ou Windows pour ne pas, encore et toujours, sortir la mme rengaine "M$ sont nuls, ils ne supportent pas des fonctionnalits annexes et gratuites d'un truc sorti quand j'avais mme pas le bac et que j'coutais Billy Crawford."


ah mais je n'ai jamais parl de gentils ou de mchants.

comme tu le dis si bien MS s'occupe de ce qui peut lui faire gagner de l'argent et ne s'occupe pas de ce qui ne peut rien lui rapporter.

bah j'ai tendance  penser que Vupen (pour en revenir au sujet  :;): ) ne fait que la mme chose.
ils ont boss pour dcouvrir une faille et ils ont dcid d'en profiter pour gagner un peu d'argent en ne la livrant pas gratuitement  MS, mais en prfrant vendre  leurs client du conseil concernant cette faille... ils ne sont ni plus, ni moins mchants que MS. ils sont juste une socit  but lucratif, comme MS.

MS n'a aucun intrt a maintenir IE10 pour WinXp, Vupen n'a aucun intrt  fournir les fruits de son travail gratuitement. c'est exactement la mme logique.

et si Vupen  est jug "mchant" parce qu'il n'offre pas la faille sur un plateau  MS, alors MS est aussi "mchant" de laisser les utilisateur de XP avec des vieilles versions d'IE.

----------


## _skip

> Il a boss pour trouver ses failles et tout travail mrite salaire.
> Les gens pensent que parce que c'est informatique tout doit tre gratuit et leur appartenir. Je veux bien mais si vous avez besoin d'aide pour mieux grer votre machine que ce soit niveau matriel, logiciel, ou solutions techniques ne vous tonnez pas qu'on vous fasses payer le service rendu.


Je vois les choses autrement, le travail n'exige salaire que s'il est command. C'est son initiative de passer du temps  rcolter des informations, s'il est incapable de les vendre dans des conditions qui lui conviennent, il a qu' prendre sur lui et la fermer.




> Oui, un XP est vieux et beaucoup de gens l'ont tudi et en connaissent les faiblesses.
> Non, car il y a beaucoup de faille de scurit qui ont t "bouch" ou qui sont "prvenu".
> D'ailleurs, on dcouvres des failles 0-days sur Windows 8. Il y a donc aucune raison de dire qu'il y a plus de faille non rsolu sur XP que sur Windows 8.
> Mais, il est vrai qu'un XP non  jour sera plus facilement attaquable.
> 
> Le fait de forcer la migration vers windows 7/8 est principalement conomique. Tout comme pour la suite office.


En plus, XP n'a pas  ma connaissance le systme d'lvation de droit de vista et 7, 3 quarts des gens dans le priv sont Admins sur leur machine donc on tombe mme assez facilement dans des piges grossiers.

Pour ce qui est de microsoft qui veut en finir avec XP, actuellement du ct de windows 8 on vous propose des mises  jour pour une poigne de dollars, pour remplacer un systme dont vous avez peut tre profit depuis plus de 10 ans. Quelque part c'est quand mme de bonne guerre, toutes les entreprises doivent au bout d'un moment avoir une politique EOL. Tous les produits en ont, windows, php, java, les distribs linux parce que si on a le devoir de garantir une version  vie, faut pas la vendre 150 euros la licence, mais 150'000.

Je vais faire un parallle dbile pendant qu'on y est, mais c'est aussi valable pour la plupart des objets matriels. Vous avez une vieille voiture qui a de la casse? On vous dira d'acheter du neuf! Oui vous allez rler que a fait chier pendant un moment, que vous devez investir alors que a vous convenait trs bien votre vieille crote rouille, mais vous aurez pas le choix.
Et les MAJ? Votre voiture roule peu, vous ne faites pas les services malgr les rappels au tableau de bord, il vous arrive une panne ou une avarie, vous avez beau ne pas tre mcano, personne ira dire que c'est la faute de renault, toyota ou peugeot.
Ce qui est plus vicieux en revanche, c'est l'obsolescence programme, mais avant de s'attaquer au monde du logiciel il y a beaucoup  faire ailleurs.

Donc si je rsume mon opinion
 MS veut jarter XP, oui c'est ennuyant mais c'est pas choquant MS ne se sent pas oblig de signer des chques en blanc  ceux qui dcouvrent des failles, c'est pas choquant non plus 

Ca veut pas dire que je soutiens inconditionnellement Microsoft dans ses dmarches mais comme je l'ai dit dans mon prcdent post, les logiciels ont tous des failles, ils n'ont pas tous une finition forcment satisfaisante le jour de leur lancement (on essuie des pltres avec tout ce qui est nouveau, quel que soit le type de produit). Donc dire que MS a qu' mieux tester sinon c'est son devoir de passer  la caisse sans discuter, non je crois que a fonctionne pas comme a.

----------


## talvins

> XP ! Pourquoi pas Windows 3.1 !? Faudrait peut tre voluer camarade !


J'utilise XP, Seven, Mint, Debian. Alors, camarade, pas de soucis avec les OS.

Firefox et Chrome fonctionnent parfaitement sous XP. XP est l'OS qui a t le plus install dans le monde et tu le trouves encore dans BEAUCOUP d'entreprises (qui sont aussi la cause des restes d'IE7).

Moi, lorsque je fais des sites ou des applis web, je prends en compte IE8 : je crache pas dessus... enfin si  ::):  mais je suis oblig de le prendre encore en compte vu le % de visiteurs encore sous IE8.

Peu de boites sous passs  7 et trs peu passeront  8, sauf par la force des choses (renouvellement du parc).

----------


## ClaudeBg

Salut
-----




> MS ne se sent pas oblig de signer des chques en blanc  ceux qui dcouvrent des failles, c'est pas choquant non plus


Ben non, surtout que s'ils dboursent une fois, toutes les dcouvertes futures de failles seront payantes du fait du prcdent: ils ne sons pas fous, sans compter que a va explicitement encourager  chercher les failles avec risque potentiel d'exposer l'OS  des dangers supplmentaires.

Sinon, pour la faille, ben c'est le pigeur pig si MS ne paye pas:

- Soit la faille est trouve par quelqu'un d'autre, divulgue et donc MS en prend connaissance -> le "travail" ne lui rapportera rien.

- Soit la faille n'est pas trouve par quelqu'un d'autre, et, du coup, une faille non utilise n'est pas une faille qui pose problme. LOL. Elle le deviendra lorsqu'on l'aura trouve et donc on en revient au point prcdent.

- Si le but est de revendre la faille  un tiers priv dont le but est d'attaquer rellement via cette faille, le "dcouvreur" se rend complice d'une illgalit, et donc encourt des peines. D'autant qu'il aura annonc avoir mis en vidence ce problme.

Sans compter que rien que le fait de menacer de vendre un moyen de causer prjudice, a ressemble furieusement  la dfinition du chantage.

Moralit, le commerce des failles ne me semble pas vraiment un bon plan.

A+
Claude

----------


## Null4Ever

Depuis prs de 35 ans, Microsoft cre des produits bogus et bourrs de failles de scurit.

De nos jours, certaines socits se sont spcialises dans la recherche (et souvent aussi la correction) de ces bogues et failles.

Doivent-elles les fournir  MSFT gracieusement ?

Que nni.

MSFT doit payer ses erreurs (et errances) au juste prix.

Que cette boite (ou d'autres) vende son travail est normal. Ce n'est pas du chantage, mais la juste rmunration de ses efforts.

Ce serait effectivement rprhensible si cette boite menaait de divulguer la faille en question, ce qui n'est pas le cas.

Si MSFT ne veut pas payer, alors qu'il apprenne au strict minimum  ses dveloppeurs de coder correctement (et l, il y a du boulot).

Maintenant, faire confiance  MSFT en confiant la faille (et/ou la correction trouve) en esprant tre rmunr ?

Comptez l dessus !

On connait trop les pratiques de MSFT pour ne leur faire strictement AUCUNE confiance.

Just my 2 cents.

----------


## Guilp

> Quand tu paies pour une maison tu sais comment elle va tre....tu paies un magazine dont tu connais relativement la teneur du contenu...
> 
> Vuspen c'est un peu genre achte ma jolie maison mais t'auras peut etre une cabane en bois........achte mon magazine mais t'auras peut tre une feuille blanche...
> 
> Et surtout c'est Vuspen te propose pas une jolie maison et un beau magazine mais les ventuels dfauts d'un fabriquant tiers....c'est quoi Vuspen...une assurance OS ????


Juste pour claircir ce point :

Il me parat vident que ce genre de vente d'information se fait via des contrats qui prennent en compte l'ventualit que l'information soit mauvaise sous peine d'annulation du contrat.  

Il ne va pas y avoir un p'tit malin qui va vendre une info bidon et se barrer en courant et en rigolant avec sa valise de billets en p'tite coupure... faut pas tre naf non plus, l.  Et si vraiment MS juge que l'info n'tait pas "une faille critique" (par exemple), comme mentionn dans le contrat, alors ils iront avec le contrat rgler a dans un tribunal.

Il n'y a donc pas de risque pour MS de ce ct l et c'est donc normal que les dtails de l'information vendue ne soient pas rvls avant d'avoir sign le contrat.

----------


## DrHelmut

Je rejoins le point de vue du pdg de Vulpen : microsoft, comme beaucoup de gros diteurs, sors des produits mchament bugus et voudrait bnficier de l'aide gratuite d'une communaut de gens en matire de scurit ? 

Mais.. M. Microsoft.. il fallait faire de l'open source pour cela !  ::mouarf:: 

Dans ma boite actuelle, nous sommes supposs tre "intgrateurs" de solution IBM, et dans les faits, ils faut que nous payions pour des formations sur site que l'on pourrait faire avec des VM, en ligne... et concrtement nous beta-testosn leurs produits ! Entre la doc du commercial qui dit que le truc fait le caf et la ralit ou tu obtiens des erreurs hallucinantes "out of the box" il y a un gouffre norme... et le pire c'est qu'IBM ne veut pas qu'on leur fasse de report de bug sans un client pour porter le cout de sa correction !

Pour Microsoft, je ne sais pas s'ils mettent les moyens dans leurs tests, mis je n'en ai pas l'impression... Chez IBM, c'est sur, c'est cod avec les pieds et test avec des singes...  ::aie:: 


Pour en revenir au topic, vouloir offrir l'analyse des vulnrabilits au plus offrant me parait tout  fait immoral, voire illgal... trange qu'ils proposent cela...  :8O:

----------


## niuxe

+1 Unix / Unix like. 

Il y a moins bien mais c'est plus cher

----------


## Null4Ever

> Mais.. M. Microsoft.. il fallait faire de l'open source pour cela !


Aujourd'hui, le problme majeur vient du fait que nombre de gens estiment que l'Open Source signifie automatiquement GRATUIT!

Si dvelopper des solutions intressantes en Open Source tout en protgeant ses concepteurs/dveloppeurs qui peuvent avoir envie et/ou besoin de vendre leurs codes pour en obtenir une juste rmunration afin de pouvoir ne serait-ce qu'en vivre, je suis tout  fait d'accord avec vous.

D'autres, dveloppant par hobby ou passe-temps peuvent tout aussi bien donner un accs complet  leur travaux sans besoin de retour financier (Free Open Source).

Cependant, si vous tes dans la premire catgorie (ceux qui veulent dvelopper de l'Open Source et ont besoin d'en tirer quand mme un minimum de revenus), comment les protgez-vous d'un quelconque "GEANT" de l'industrie du logiciel qui vous pique votre travail sans vous rmunrer ?

Ce n'est pas avec vos "Copyright" que vous serez en mesure d'affronter financirement pendant 10 ans les cohortes de "lawyers" de ces compagnies.

Been there, done that !

La solution s'appelle alors le Freeware mais "closed source" !

Il y a plein d'exemples de ce type, mais malheureusement, dans le microcosme Linux, cela n'est pas apprci (les geeks appellent ces logiciels des solutions "propritaires", mme si elles sont compatibles avec plein de choses et aussi gratuites) !

Les "geeks" veulent tout, tout de suite et surtout gratuitement, mme si 999.99 pour 1000 (et encore je suis gentil car le ratio serait plutt de 1 pour 1.000.000.000.000.000.000.000.000) d'entre eux sont strictement incapables de lire et de comprendre la moindre ligne de C.

De l  esprer leur demander une aide  un quelconque "dverminage"... j'en rigole tous les jours !

Donc pour ne revenir au topic de ce thread, OUI Vulpen a raison de ne pas vouloir divulguer son travail gracieusement.

Et c'est aussi une question d'thique, car personne d'autres ne les payent pour leur job.

Si vous n'en voulez pas ou n'en avez pas besoin, alors passer votre chemin sans rien dire.

Maintenant, aprs, ne venez pas dire que vous n'avez pas t "gracieusement" prvenus !

Pour ceux qui ne sont pas dfinitivement convaincus de l'intrt pour certains du "Freeware Closed Source", alors qu'ils commencent eux-mme  jeter la premire pierre autrement que par des contributions bidons en java, php, perl ou autre dans les multiples fora de geeks, solutions basiques et souvent bien bogus et peu documentes que tout le monde peut faire avec un tout petit peu de minimum d'exprience.

Just my 2 cents.

----------


## alex_vino

> Les "geeks" veulent tout, tout de suite et surtout gratuitement, mme si 999.99 pour 1000 (et encore je suis gentil car le ratio serait plutt de 1 pour 1.000.000.000.000.000.000.000.000) d'entre eux sont strictement incapables de lire et de comprendre la moindre ligne de C


Tout comme le reste de ton message ca semble prtentieux et surtout ferm a toute discussion.
Je ne sais pas qu'elle est ta dfinition du mot "Geek" mais je voudrais te rpondre que le C n'est pas l'unique language de programmation  ::roll::

----------


## niuxe

http://www.youtube.com/watch?feature...&v=M4a8bcobdeU

Je sais que mon commentaire va encore avoir des signes ngatifs. Perso, je m'en moque royal.

----------


## Null4Ever

> http://www.youtube.com/watch?feature...&v=M4a8bcobdeU
> 
> Je sais que mon commentaire va encore avoir des signes ngatifs. Perso, je m'en moque royal.


En effet, trs drle!  ::P:   ::mouarf::   ::lol:: 

+1  ::ccool::

----------


## Null4Ever

Bonjour alex_vino,




> Tout comme le reste de ton message ca semble prtentieux et surtout ferm a toute discussion.


Mon message n'a strictement rien de prtentieux.

Il n'est que le reflet de mon opinion base sur 35 ans d'exprience (assez russie) dans le microcosme de l'informatique.




> Je ne sais pas qu'elle est ta dfinition du mot "Geek" mais je voudrais te rpondre que le C n'est pas l'unique language de programmation


Ma dfinition du Geek vise les nombreux donneurs de leons et/ou de conseils inutiles quand ils ne sont pas errons que l'on ctoie dans de multiples fora (et pas seulement franais) de soit disant entre aide.

Pour ce qui est du C, bien sur qu'il n'est pas le seul langage de programmation.

Nanmoins, il reste toujours le plus utilis, le plus simple  apprendre et  hormis l'assembleur reste surtout le plus efficace (quand on apprend  s'en servir correctement) et possde certainement avec le Cobol la plus grande librairie de codes sources disponibles.

Et il peut parfaitement prouver son efficacit mme pour le dveloppement de sites Web2 ou d'Applications Web Riches.

Par exemple, le trop peu connu serveur web G-WAN de la socit Suisse Trustleap (www.gwan.ch) dmontre le bien fond de l'utilisation de ce "vieux" langage pour les dveloppements web en fournissant en particulier un exemple AJAX d'une application de calcul d'amortissement d'un prt propose en pure ANSI C, mais aussi en Java et en PHP.

Sur une machine de type PC Serveur, CPU AMD FX 8150 8 cores @ 4.2 Mhz, RAM 32 Gb DDR3, HD SSD 240 Gb, OS Linux 10.04.4, les rsultats sont plus que probants:

Montant du prt : 10.000
Intrt : 3.5 %
Dure : 1 an

loan.c -> 0.02 milliseconde
loan.php -> 0.46 milliseconde
loan.java -> 4.60 millisecondes

Conclusion: Mme pour une application purement Web, C est 23 fois plus rapide que PHP et 230 fois plus rapide que Java.

Cela laisse quand mme un peu rveur, non ?

Maintenant et contrairement  votre argumentation sans fondement, toute discussion est ouverte, que ce soit au sujet du topic principal de ce thread que de ce petit cart  propos du C.

Just my 2 cents.

----------


## kratoce

Je pense qu'ils ne devraient pas vendre les failles trouvs, mais que c'est plutt Microsoft qui devrait RCOMPENSER leur trouvaille selon la gravit de la faille. Si ils auraient fait a tout de suite, la nouvelle n'aurai peut-tre pas t aussi rependu...

----------


## Hackoverflow

A l"heure ou tout ou presque se paye ou se montise, je ne vois pas ce qui peut choquer.

Ces grands groupes ont largement les moyens, avant la mise sur le march et aprs d'assurer un suivi de ce genre de problmes.

Ils devraient payer "naturellement" aux dcouvreurs les failles de leurs programmes.

----------


## Nathanael Marchand

On est a peu prs au mme niveau que cette dame l:
http://www.ouest-france.fr/actu/actu...57190_actu.Htm

----------


## HawkFest

D'un ct a a du bon : il est vrai qu'il serait temps que Microsoft ou toute autre entreprise lucrative dfraie les cots de R&D pour ses produits en ce qui a trait  la scurit, chose pourtant si importante! Mais l on ne parle que d'une pointe de l'iceberg, ce n'est pas l-dessus que compte le chiffre d'affaire de cette entreprise semble-t-il, de par son offre "au plus offrant", imposant ainsi la vulnrabilit  un paquet de gens victimes potentielles de sa clientle "la plus offrante", et dont au final "Microstuff" se fiche bien (quand 'tas un quasi-monopole, c'est ainsi)...

Car outre le fait de vouloir passer pour un faux Robin des bois contre le mchant "Empire Microsoft", offrir au plus offrant les rsultats de ses activits de hacking, c'est carrment apporter de l'eau au moulin des arnaqueurs et malhonntes de ce monde.

J'ai lu dans ce fil que c'est correct car on parle de "business"... Or ceux qui disent cela ne savent pas ce qu'est la diffrence entre de vrais hommes d'affaire et des mafieux, mais je crois que c'est gnrationnel quand on constate combien la btise ambiante alimentant de telles mentalits  gagn nos contres, durant ces dernires dcennies de noconservatisme/nolibralisme dbrids...

C'est combien pour un banquier qui veut hacker les fichiers gouvernementaux? Pour un comptiteur qui veut hacker sa comptition? ...? Vive le rgne des tricheurs? Faudrait en revenir un jour...

----------


## HawkFest

> Et c'est aussi une question d'thique, car personne d'autres ne les payent pour leur job.
> 
> Si vous n'en voulez pas ou n'en avez pas besoin, alors passer votre chemin sans rien dire.


En effet, a a toujours t une question d'thique que de ne pas engager de Hackers contre la comptition (ou contre une population/clientle/citoyens etc., car au bout du compte ce sont NOUS et nos comptes-informations numriques-transactions qui faisons les frais des hackers et des entreprises mal protges).

Maintenant, combien me chargeraient-ils pour ne pas divulguer mes failles au "Plus offrant"? Cette "business" en est une pour arnaqueurs et tricheurs, tenue par des matres-chanteurs se voulant "professionnels", et ce devrait tre illgal dans sa forme actuelle (ce n'est pas parce qu'on a la possibilit de magouiller qu'il faut le faire, le "mes voisins le font alors moi aussi" est une mentalit de looser fataliste, une mentalit de lemmings, pas d'humains)!

----------

