Discussion :

[psychadelic]

La naïveté de certains me fait frémir.

Microsoft est loin de faire partie du monde des Bisounours, et leur politique en matière de sécurité est vraiment laxiste.

Dès le début d’internet Microsoft a été le premier à mettre en place dans ses systèmes des moyens de contrôle à distance sans que les utilisateurs puissent vraiment en avoir conscience.
Les activeX et j’en passe.

Ce n’est seulement qu’après qu’ils se sont rendus compte que les moyens intrusifs qu’ils ont laissés pour eux pouvaient aussi faire le bonheur des pirates.

Et cette prise de conscience ne s’est faite que très récemment, même si je ne suis pas vraiment convaincu qu’il en ait vraiment fait le nécessaire pour que leur mentalité ait changée.

Alors oui, XP est une vraie passoire, et se passer d’antivirus est un suicide électronique.
Oui, les possibilités d’intrusion sur les systèmes de Microsoft semblent inépuisables, d’autant plus qu’ils sont la cible privilégiée des pirates de par le parc installé.

Parler de sécurité avec M$ est tabou, et gare à ceux qui mettent en place publique la déficience évidente de Microsoft en matière de sécurité.

Ayez une pensée pour les experts en sécurité, eux qui veillent vraiment au grain et font leur possible pour aider à colmater le rafiot, qui en ont par-dessus la tête du mépris que leur témoigne Microsoft à leur égard ; sachant du peu de moyens que Microsoft attribut à la sécurisation de ses systèmes, alors que cette société engrange des milliards chaque année…

Si vous vous pensez à de l’irresponsabilité, je suis bien d’accord : Microsoft à vraiment agit sur ce coup là encore de manière irresponsable ; elle aurait au moins pu se fendre d’un petit mail de suivi aux dev de Google, pour l’aider à patienter… indéfiniment sans doute…

[Gordon Fowler]

Microsoft colmate la faille mise à jour par l'ingénieur de Google
Le patch mensuel de demain mettra-t-il fin à la polémique ?

Mise à jour du 12/07/10


Alors que la polémique continue entre ceux qui considèrent que Travis Ormandy a eu raison de publier un PoC pour forcer Microsoft à réagir à une vulnérabilité présente dans le Centre d'Aide et de Support de plusieurs de ses OS (lire ci-avant), et ceux qui considèrent ce comportement est irresponsable, le traditionnel patch de sécurité du deuxième mardi du mois de Redmond arrive.

Il marque d'une part la fin du support de Windows XP SP2. Et celle, d'autre part, de cette faille mise à jour par l'ingénieur de Google et exploitée - d'après les dires de Microsoft - sur plus de 10.000 machines.

Pas sûr en revanche qu'il puisse clore à lui tout seul le débat autour de Travis Ormandy.

Mardi dernier, un groupe anonyme a en effet déclaré vouloir se venger de Microsoft et de "sa campagne anti-Ormandy" en cherchant d'autres vulnérabilités de Windows.

Travis Ormandy n'a de son coté pas réagi à l'annonce de la formation de ce groupe de soutien d'un nouveau type.

[Invité1]

Bonjour,

Preuve que Microsoft est bien capable de faire son travail.

Dans le secteur automobile, le défaut de fabrication ne souffre pas de date limite de découverte. Dans le secteur informatique, les bug majeurs, impliquant un risque sérieux pour les utilisateurs ne doivent pas souffrir non plus de limite de date quant à leur correction. Cela incitera les éditeurs à soit publier un soft mieux fini (nouvelle habitude à prendre par Microsoft entre autre) et à se responsabiliser car il est facile de mettre dans les CGV : "Nous ne sommes tenu pour responsable en cas de perte de données... etc... pour le mauvais produits qu'on vous a vendu..."

Menacer de publier la faille et son mode d'exploitation au bout d'un délai raisonnable semble porter ses fruits... mais attention : cela est à double tranchant...

Couik

[cd090580]

Le problème aussi c'est de maintenir le support des vieilles technologies trop longtemps. Le SP2 d'XP aurait dû être abandonné dès la sortie du SP3.

Pareil pour IE6, dès que le 7 est sorti, la mise à jour aurait dû être rendue obligatoire. Pareil pour le passage du 7 au 8. La maintenance n'en serait que plus facile.....

[Fenn_]

Heu... encore faut-il définir "trop longtemps".

Parce qu'il ne faut pas oublier que le passage d'une solution à une autre, pour une entreprise, a un coût non négligeable. Si l'éditeur fournit des dates de support, évolution et maintenance garanties à l'achat, il doit s'y tenir.

On ne peut rendre obligatoire une évolution impliquant de nouveaux investissements ou cassant une rétro-compatibilité de logiciels. Sinon, bonjour les dérives ^^'

Il ne faut pas oublier que dans un système, de nombreux éléments sont inter-dépendants.

[Invité1]

J'ajouterais que le fait même d'avoir des standards très personnalisés à la sauce Microsoft suppose une remise en question permanente des développements propre aux entreprises

Microsoft n'est pas un modèle de compatibilité entre chaque version...

Il serait alors dangereux pour lui d'imposer les mises à jours... à moins de changer de mentalité pour permettre un réel choix pour l'entreprise... mais là, on en est loin.

[ours_en_pluche]

bonjour,

perso, je pense que les torts sont des deux cotés, je pense que travis ormandy aurait dû envoyer son POC auprès de M$ et de leur laisser du temps avant de le rendre public.

mais M$ aurait-il fait pour autant quoi que ce soit s'il n avait pas été rendu public ?

De plus, vous dites que la découverte de cette faille a eu lieu au bout de 9 ans.
Je dirais plutôt qu'elle a été rendu public au bout de 9 ans.

Qu'est ce qui vous permet de dire qu elle n'était pas connu depuis X années par des "pirates informatiques" ?

Personnellement, je ne lui jetterais pas la pierre, car je pense que sans sa reaction, cette faille serait encore au même stade, c'est-à-dire non gérée par M$.

Est-ce un coup de pub pour google ? possible, c'est vrai que cela semble ambigu.

La bonne question, c'est est-ce que la quantité totale de piratage informatique a augmenté ?
Est-ce que les 10000 pcs n'aurait-il pas été piraté d'une autre manière ?

mes 2 centimes

ours_en_pluche

[_skip]

de plus, vous dites que la decouverte de cette faille a eu lieu au bout de 9 ans.
je dirai plutot qu elle a été rendu public au bout de 9 ans.

qu est ce qui vous permet de dire qu elle n était pas connu depuis X années par des "pirates informatiques" ?

Absolument rien et et je suis d'accord avec ce propos, je pense que certains pirates doivent connaître et exploiter silencieusement des failles. Vous trouvez une faille vous permettant de vous introduire dans une machine, pourquoi la partager avec tout le monde? Vous feriez mieux de garder discrètement cet atout en main.

J'ajouterais que le fait même d'avoir des standards très personnalisés à la sauce Microsoft suppose une remise en question permanente des développements propre aux entreprises
Microsoft n'est pas un modèle de compatibilité entre chaque version...
Il serait alors dangereux pour lui d'imposer les mises à jours... à moins de changer de mentalité pour permettre un réel choix pour l'entreprise... mais là, on en est loin.

Tu peux dire ça pour n'importe quel OS. Si une application importante tourne dessus, tu vas pas clairement laisser un mécanisme d'auto-update mettre à jour des libs et des applicatifs serveurs de façon automatique.
Ca change rien que c'est linux, windows ou autres.

[Hellwing]

De plus Microsoft vend son OS (et c'est sa principale activité). S'il force les updates (donc gratuitement), il se tire une balle dans le pied. Cette mentalité va à l'encontre de son business model.

[Médinoc]

Je pense que Travis Ormandy aurait dû envoyer son POC auprès de M$ et leur laisser du temps avant de le rendre public.

Si j'ai bien compris ce qui se disait, il leur a plus ou moins laissé deux mois, avec un ultimatum du style "vous avez cinq jours pour accepter de réparer ça dans les deux mois".

[ours_en_pluche]

bonjour,

Si j'ai bien compris ce qui se disait, il leur a plus ou moins laissé deux mois, avec un ultimatum du style "vous avez cinq jours pour accepter de réparer ça dans les deux mois".

euh, je pense qu'il aurait dû :

Prévenir microsoft
1 mois de délai
faire son POC et l'envoyer à microsoft
1 mois de délai
le rendre public

Je pense que cela aurait été plus honnête et moins préjudiciable sur la maniere de faire.

mes 2 centimes

ours_en_pluche

[psychadelic]

Si j'ai bien compris ce qui se disait, il leur a plus ou moins laissé deux mois, avec un ultimatum du style "vous avez cinq jours pour accepter de réparer ça dans les deux mois".

Mais non, il n'a pas fait ce genre d'ultimatum...

Il a envoyé son Mail à M$, a relancé plusieurs fois pour savoir s'il y avait quelqu'un "au bout du fil", sans aucune réponse au bout de 2 mois (M$ a fait une politique de l'homme sourd ), il a finalement fait cet ultimatum de 5 jours.

Si au moins Microsoft avait réagi par un simple mail dans ces 5 jours pour dire "oui, on va s'en préoccuper", même sans corriger cette faille, il n'aurait pas publié son POC.

Son POC était fait depuis le début; quand on fait de la sécurité, on vérifie aussi soi-même son travail, on s'amuse pas à dire, "au fait vous devriez regarder par la, il y a peut-être une faille, et là, vous êtes bien sûr que c'est solide ?

[_skip]

Je me demande si ce mec risque qu'une entreprise victime de la faille l'attaque en justice.

[grafikm_fr]

Je me demande si ce mec risque qu'une entreprise victime de la faille l'attaque en justice.

Sur le papier oui, il y a un risque, surtout s'il y a un préjudice important. Voilà pourquoi il faut réfléchir un peu avant de publier ce genre de choses...

[behe]

Mais non, il n'a pas fait ce genre d'ultimatum...

Il a envoyé son Mail à M$, a relancé plusieurs fois pour savoir s'il y avait quelqu'un "au bout du fil", sans aucune réponse au bout de 2 mois (M$ a fait une politique de l'homme sourd ), il a finalement fait cet ultimatum de 5 jours.

Si au moins Microsoft avait réagi par un simple mail dans ces 5 jours pour dire "oui, on va s'en préoccuper", même sans corriger cette faille, il n'aurait pas publié son POC.

Son POC était fait depuis le début; quand on fait de la sécurité, on vérifie aussi soi-même son travail, on s'amuse pas à dire, "au fait vous devriez regarder par la, il y a peut-être une faille, et là, vous êtes bien sûr que c'est solide ?

Là je te suis plus : la faille, il l'a découvert début juin d'après la news et je cite :
"Le problème vient du fait que Tavis Ormandy a ensuite décidé de mettre au point un « proof of concept », une preuve de faisabilité qui montre comment exploiter cette faille. Il n'y a a priori rien de choquant dans cette démarche assez classique. Sauf que ce début d'exploit a été publié moins de 5 jours après la découverte de la vulnérabilité.
" .
Où est ce que tu as vu qu'il a attendu 2 mois??? La notion de 2 mois est apparu au cours de la conversation comme étant un délai raisonnable

[Louis Griffont]

Mais non, il n'a pas fait ce genre d'ultimatum...

Il a envoyé son Mail à M$, a relancé plusieurs fois pour savoir s'il y avait quelqu'un "au bout du fil", sans aucune réponse au bout de 2 mois (M$ a fait une politique de l'homme sourd ), il a finalement fait cet ultimatum de 5 jours.

Si au moins Microsoft avait réagi par un simple mail dans ces 5 jours pour dire "oui, on va s'en préoccuper", même sans corriger cette faille, il n'aurait pas publié son POC.

Son POC était fait depuis le début; quand on fait de la sécurité, on vérifie aussi soi-même son travail, on s'amuse pas à dire, "au fait vous devriez regarder par la, il y a peut-être une faille, et là, vous êtes bien sûr que c'est solide ?

Pure spéculation, à moins de connaitre personnellement ce M. Ormandy.
Et de toutes les façons, la publication de la PoC n'est pas acceptable !
Ce qui ne veut pas dire que je considère Microsoft comme blanc comme neige sur ce coup, bien évidemment.

[psychadelic]

Là je te suis plus : la faille, il l'a découvert début juin d'après la news et je cite :
"Le problème vient du fait que Tavis Ormandy a ensuite décidé de mettre au point un « proof of concept », une preuve de faisabilité qui montre comment exploiter cette faille. Il n'y a a priori rien de choquant dans cette démarche assez classique. Sauf que ce début d'exploit a été publié moins de 5 jours après la découverte de la vulnérabilité.
" .
Où est ce que tu as vu qu'il a attendu 2 mois??? La notion de 2 mois est apparu au cours de la conversation comme étant un délai raisonnable

Faudrait arrêter cette désinformation initiée par Microsoft.
La non-info que tu cites émane du communiqué initial pondu par M$.

Depuis, d'autres infos sont arrivées, contredisant notamment cette version des faits et je t'invite à lire les autres News qui ont été ajoutées (depuis) en première page de ce sujet.

[behe]

C'est sûr qu'un tweet c'est plus crédible....

[psychadelic]

C'est sur qu'un tweet c'est plus crédible....

N'importe quoi...
D'un coté un individu agissant en son nom propre, de l'autre une multinationale.

Et n'imagine pas non plus que cette info soit passée inaperçue auprès des "milliers" de journalistes qui l'ont relayée. S'ils avaient eu le moindre soupçon d'une manipulation de la part de Tavis Ormandy, soit certain qu'ils n'en auraient fait qu'une bouchée...

Ensuite, Tavis Ormandy c'est pas vraiment un inconnu: il a fait partie dès 2008 des 15 Personnalités les plus reconnues matière de sécurité.

Twitter est loin d'être une source d'information négligeable, c'est même un moyen de communication démocratique.
Enfin c'est en gros ce qu'a dit Obama à des élèves en chine. Le Président américain lui même utilise twitter.

Va dire aux manifestants de Février à Téhéran, que Twitter c'est débile...

le fait que Tavis Ormandy ait choisi Twitter pour répondre n'est peut-être pas vraiment un hasard

http://www.eweek.com/c/a/Security/Th...ecurity-Today/

http://mashable.com/2009/11/16/obama-clumsy-twitter/
http://twitter.com/BarackObama/statuses/44240662

[ours_en_pluche]

bonjour,

C'est vrai que ça fait peut-être lutte du pot de terre contre le pot de fer.

Maintenant, si la methode de Tavis Ormandy est critiquable, elle a aussi un autre intérêt pour le grand public, c'est de prouver ( si le besoin s'en faisait encore sentir ) le "je m'en foutisme" dont fait preuve M$ à l'égard de ses clients.

Google fera-t-il mieux ?

hummm pas sûr
mais à voir

mes 2 centimes

ours_en_pluche