Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter
Discussion :
Quand tu paies pour une maison tu sais comment elle va être....tu paies un magazine dont tu connais relativement la teneur du contenu...Envoyé par Tryph
Vuspen c'est un peu genre achète ma jolie maison mais t'auras peut etre une cabane en bois........achète mon magazine mais t'auras peut être une feuille blanche...
Et surtout c'est Vuspen te propose pas une jolie maison et un beau magazine mais les éventuels défauts d'un fabriquant tiers....c'est quoi Vuspen...une assurance OS ????
Donc si Vupen vend ça 3 milliards...allez hop vas y paie ? A ce tarif la les dév de MS devraient se mettre à leur compte de suite pour exiger bien plus d'argent...
Faut espérer que ce genre de boites n'aillent pas mettre son nez dans d'autres domaines...
Je savais que sa roue allait lacher...mais son constructeur a pas voulu me payer pour une information dont il connaissait pas le contenu...alors la roue a laché...c'est pas ma faute m'sieur, faut voir avec le fabricant...
Heureusement que ça ne change rien chez MS...sinon il va falloir un service spécial d'écoute de ragots et rumeurs informatiques....Oui enfin bon, des 0-days critiques, des vers , des toyens et j'en passe sont découvert a quelque chose prés toutes les semaines (et encore) c'est pas pour autant que Mme Michu est au courant, ça passe pas sur TF1!
Parcontre en allant chercher l'info c'est autre choses...encore faut-il faire l'effort ..
Rien n'empeche en effet d'utiliser un autre OS c'est sur mais rien n'empeches M$ de ne plus prendre les gens pour des c*** en leurs vendant tout et n'importe quoi .
Aprés on dis M$ car il est question d'eux ici mais il ne font pas que de mauvaises choses bien au contraire alors il ne faut pas non plus tirer dessus a boulets rouge, juste que comme tu le dis a juste titre : " ça ne change pas la vie de Microsoft" et c'est bien dommage...
genre Microsoft ne communique pas sur les qualité de son OS et de son navigateur en terme de protection et de sécurité... voyons voir...
la page est ici: http://windows.microsoft.com/fr-FR/w...ernet-explorer
en gros quand t'achètes Windows et que tu utilises IE10, tu "sais" que tu seras protégé...
t'as l'air d'oublier un truc essentiel: personne n'oblige Microsoft à payer... ni 3 milliards (pas l'impression d'exagérer là?), ni 2€...
MS est libre dans cette histoire.
s'ils veulent découvrir la faille eux-même pour ensuite la corriger, il peuvent.
s'ils veulent s'en foutre et faire comme si de rien n'était, il peuvent.
Existe déjà, ça se nomme "Coordinated Vulnerability Disclosure" : https://www.youtube.com/watch?v=q_MDOsOg-fA
Vupen vend le "comment", non le POC. Je peux te montrer que tu as une faille de sécurité sans te dire comment j'ai fait. Ce sont deux chose totalement différente. Même si certaines personnes considère qu'il y a preuve seulement quand on sait comment...
Si une réponse vous a été utile pensez à
Si vous avez eu la réponse à votre question, marquez votre discussion
Pensez aux FAQs et aux tutoriels et cours.
Oui, on réagit comme on veut face au chantage
Et quel rapport entre vanté la sécurité et une société tierce qui trouve une faille ?
Et donc l'interet pour la sécurité des utilisateurs est zéro, l'interet pour le portefeuille de vupen c'est tout autre...
On en vient au fait que vupen fait ça pour le fric en faisant du chantage à MS et ses utilisateurs...
Je te rappel que nous somme dans le monde de l'entreprise. Une entreprise, ça a deux vocations :
1. Crée de la richesse (Produit / information)
2. Faire de l'argent
Vupen, tout comme Microsoft, crée de la richesse et tente d'en faire de l'argent.
On appel cela le monde capitaliste. Bienvenu sur Terre !
Si une réponse vous a été utile pensez à
Si vous avez eu la réponse à votre question, marquez votre discussion
Pensez aux FAQs et aux tutoriels et cours.
Je me rapelle de certains qui avaient penetrer au sein du reseau d'entreprises pour recuperer des documents, et ensuite ces personnes avaient gentillement renvoyer les documents "emprunter" en leur disant comment ils avaient fait pour s'introduire. Ils n'ont rien voler ni meme rien vendu mais ils ont ete juges coupables avec de lourdes peines.
Comme quoi Vurspen a encore beaucoup a apprendre, alors que eux ne menacent pas la securite d'une entreprises mais de potentiels milliards d'utilisateurs (85%).
PS: J'ai trouver un effet secondaire mortel qui peux surgir n'importe quand pour tous les consommateurs d'aspirine. Vais-je vendre la formule pour corriger le remede et sauver des centaines de millions de personnes ou vais-je le vendre a une organisation/gouvernement qui va s'en servir comme arme?
Quand je parle de banque certains ne comprennent pas, peut-etre qu'en parlant de choses vitales on arrivera enfin a comparer ce qui se passe dans les technologies avec le "monde reel". Et oui, exploiter une faille dans un OS sur une tres grande quantite d'utilisateurs crees aussi de grandes consequences a toute echelle (utilisateur qui perd toutes ses donnees et se fait derober toutes ses informations confidentielles, un couple qui se cacherait des choses, une entreprise qui se fait voler ses travaux et strategies, un pays...). Et oui, comme tu le dis si bien Bienvenue sur Terre.
Et ces personnes l'ont fait sur un réseau qui ne leur appartenait pas sans y avoir d'autorisation.
La même chose, c'est produite dans la boite où j'étais en prestation. Sauf que celle-ci avait été demander par la boite pour tester la sécurité de leur infrastructure.
Si Vupen a découverts leur faille en travaillant sur un ordinateur leur appartenant et avec un licence acheté, c'est totalement légal.
D'ailleurs, le cas que tu cite a été condamné pour avoir pénétré un système informatique ne leur appartenant pas. Pas de savoir pénétré un système informatique.
Si une réponse vous a été utile pensez à
Si vous avez eu la réponse à votre question, marquez votre discussion
Pensez aux FAQs et aux tutoriels et cours.
T’inquiètes je sais qu'il existe des entreprises comme Vupen qui exploite les faiblesses des entreprises et font du chantage avec
De la à faire du chantage avec le boulot (et les faiblesses) des autres pour les revendre à prix d'or....bon soit...ils ont le droit, ils le font....mais de la à trouver ça normal......je pense que c'est une opinion versatile...
en gros t'es en train de nous dire que toute entreprise qui peut sauver des vies doit le faire gratuitement. et bien ça arrive pas souvent, mais je suis entièrement d'accord avec toi
les entreprises pharmaceutiques devraient distribuer gratuitement les médicaments qu'ils fabriquent au personnes malades qui ne peuvent se payer de traitement.
Monsanto (entre autres) devrait offrir des tonnes de ses semences de céréales aux pays qui souffrent de mal/sous-nutrition.
ces gens sont dans le besoin, il est de notre devoir à tous de faire quelque chose pour eux sans demander de contrepartie.
mais en l’occurrence, le fait d'offrir gracieusement la découverte de cette faille à MS ne sauvera personne.
et puis MS n'est pas dans le besoin...
et puis au pire du pire il se passera quoi? des gens qui étalent leur vie sur facebook se feront "voler" les données qu'ils affichent partout. des pubs apparaitront intempestivement sur nos chers écrans. l'ordinateur ne voudra plus démarrer et je devrais le formater ou (horreur) l'emmener chez le réparateur !!!
non vraiment, je crois qu'il faut arrêter de s'enflammer sur les exemples et les analogies qui deviennent de plus en plus ridicules.
si vous voulez vous offusquer, vous indigner ou crier à l'injustice ou à l'immoralité, je suis persuadé que vous pouvez trouver des causes bien plus nobles que la défense d'une boite qui n'a pas tout à fait bien travaillé.
et puis en l'occurrence, je crois pas que Vupen aie mis une annonce sur leboncoindesterroristes.com pour vendre sa découverte à un "barbu kamikaze qui veut exterminer ces infidèles d'occidentaux".
moi j'ai compris qu'il vend juste la faille à ses clients pour qu'ils puissent agir de leur coté pour se protéger.
Oui parce que toi tu fais dire des choses que je n'ai pas dit et manque d'arguments (je ne comprend pas ta réaction pour une petite erreur humaine faite par des collegues, mais bon j'imagine que tu développes tous les jours des OS avec 0 failles).
bah en fait je suis sérieux quand je dis que les entreprises qui peuvent sauver des vies devraient le faire gratuitement.
ce qui m'insupporte, c'est votre façon à toi et erwanlb de faire dans le melodrame "fin du monde".
- l'un qui fantasme sur les soit disant "miliards" que Vupen demanderait à MS (vous avez vu ça ou sérieusement?).
- l'autre qui compare l'offre gracieuse d'une procédure pour exploiter une faille à une multinationale multimilliardaire au fait de sauver des centaines de millions de vies.
ça me fait penser à ces gens qui se disent "pris en otage" à la moindre grève, j'ai presque envie de les enfermer dans une cave avec un flingue sur la tempe pendant quelques mois pour leur apprendre a être plus mesurés et leur passer l'envie de s'auto-victimiser. moi c'est ce genre de comportement que j'arrive pas à comprendre...
sinon... bah non, je ne développe pas d'OS 0-faille tous les jours.
mais quand un collègue vient me voir en me disant que ce que j'ai fait ne marche pas, je demande pas à ce qu'on vienne tout m'expliquer gratuitement. et si par bonheur un collègue me dépatouille sur un sujet sur lequel je suis largué, je lui rend à un moment ou un autre, d'une façon ou d'une autre. je me contente pas de croire que tout m'est du parce que mon travail sera utilisé par d'autres.
oui, faire une erreur peut arriver à tout le monde. non, ce n'est pas une raison pour prétendre à une aide gratuite.
EDIT pour le commentaire du dessous:
- le paragraphe sur les grèves est juste là pour illustrer ce comportement de plus en plus répandu qui consiste à faire d'un gravier une montagne. ce trait qui consiste à grossir des évènements insignifiants en les comparant à des désastres ou des scandales pour leur associer une connotation horrible alors qu'ils ne sont des évènements banales et à la gravité toute relative.
- j'habite près du centre de Lyon, je prends le métro 2 fois par jours sur une distance de 8km pour aller au boulot et en revenir et quand il y a une grève, je me sens pas pris en otage. quand ça arrive, je peux encore sortir de chez moi, je suis libre de prendre mon vélo, de prendre un taxi, d'arriver en retard et de repartir plus tard le soir, de poser un jour de congé selon mon humeur... les gens qui font grève le font en général pour de bonnes raison et pas par simple plaisir. des travailleurs qui défendent leurs conditions de travail, ça ne me gène pas du tout.
bref, une grève n'a rien à voir avec une prise d'otage. pour rappel, les otages sont des gens qui sont privés de leur liberté, qui craignent bien souvent pour leur vie, et cela pendant des semaines, des mois et parfois des années. certains même en meurent... quel rapport avec une grève?
- Vuspen ne fait aucun chantage, il refuse juste d'offrir son travail gratuitement. encore une façon de réinterpréter (malhonnêtement) les faits pour les faire paraitre scandaleux (voir ci-dessus).
C'est bien ce que je pensais, tu reste figé sur tes positions.
Je ne comprend pas trop ton exemple sur les greves, mais bon tant qu'a parler de Vurspen qui est une société basée en France et le fonctionnement francais je dirais ca fonctionne toujours aussi mal. Tu dois vivre en dehors des grandes ville et ne jamais bouger de chez toi pour n'avoir jamais été emmerdé par toutes ses greves en France qui nous "emmerde" et nuisent a l'image de notre pays. Je ne vais pas m'étendre sur le sujet car on va s'éloigner du topic.
Tu parles d'aider gratuiement, mais qui a dit que Microsoft ne paierais pas pour qu'il puisse colmater la faille? Quand mon client trouve une faille dans mon travail il ne va pas me faire du chantage mais plutot tout mettre en place pour corriger cette derniere. Et mon client ne me blamera pas non plus car il est humain et sait que rien n'est jamais parfait.
Légalité et éthique
La raison pour laquelle nous nous faisons régulièrement rouler par les anglo-saxons est que nous respectons non seulement la loi mais également l'éthique, alors que pour eux, "tout ce qui n'est pas interdit est autorisé". Les spécialistes de la cyberdéfense de la DGSE alertent régulièrement les entreprises française sur ce point.
C'est par exemple en utilisant des méthodes à la limite de la légalité mais pas du tout éthiques que les américains ont pris le contrôle de Gemplus et des méthodes de cryptage de la carte à puces, malgré les avertissements de la DGSE.
VUPEN respecte certainement la légalité, sans doute pas l'éthique. D'ailleurs ils vont sans doute devoir surveiller leurs arrières dans les semaines qui viennent... Personnellement leur dangereuse tactique me plait assez, pour une fois que l'on s'attaque aux américains.
J'ai lu il y a quelques années que google avait aussi un programme de reward pour les vulnérabilités, mais on parlait de montants de 500$ à 3000$ suivant la gravité. Pas pu trouver d'info sur celui de microsoft.
Là le bonhomme qui a trouvé cette faille 0day, s'il est à la tête d'une boîte qui fait dans ce business, il a surement l'intention de se faire plus de fric que ça parce qu'en terme de temps passé dans la recherche, c'est pas avec ce genre de montant qu'il paiera son loyer.
La seule question qu'on peut se poser c'est à quel point c'est éthique ou non comme procédé? Quand on voit que des gouvernements se portent ouvertement acquéreurs de données bancaires volées soit disant pour lutter contre la fraude fiscale, on peut se dire que ce qu'il fait avec sa société n'est pas finalement ce qu'il y a de pire?
Son travail ne devrait pas être gratuit, mais cependant j'ai un peu de mal avec le procédé. C'est un peu comme si une personne constatait une faille de sécurité dans un garde-meuble avec possiblement des conséquences, et qu'il essayait de vendre l'info au gérant en faisant peser le "préjudice aux clients si par malheur"...
Quant à ceux sur ce forum qui développe des logiciels, vous êtes à ce point sûrs de vos talents que vous estimez que vos produits sont infaillibles? Comment réagiriez-vous si on voulait vous faire casquer pour des informations concernant votre soft en faisant un buzz sur une faille importante? Perso je trouverai pas ça super cool et je ne pense pas que j'apprécierai qu'on me dise que j'ai qu'à sortir mon produit mieux testé puis que c'est à moi de faire ce boulot sans quoi je ne suis pas légitime de proposer ce sur quoi je travaille et j'investis.
Donc oui les microsoft il a qu'à tester, microsoft il a qu'à chercher lui-même des failles (ils ne le font pas vous croyez?) microsoft il a des sous, microsoft c'est des profiteurs, merci bien. N'empêche que cette société agit sans mandat et sans contrat avec MS, donc est-ce que c'est vraiment si légitime que ça de vendre des informations en prenant quelque peu en otage les utilisateurs?
Bref, je sais pas, j'aime pas trop cette démarche. Je reconnais que c'est un boulot, mais un boulot intéressé que personne lui a demandé de faire. Après si les conditions de rémunération ne lui conviennent pas il a qu'à aller s'attaquer à des autres logiciels. Mais bon, pour que ça paie faut taper sur les gros qui ont plein d'utilisateurs pour faire pression, je suppose...
Donc non en fait j'aime pas ça du tout.
@_skip: Je sais que Google a déja donné plusieurs fois $60.000 pour Chrome.
Pou rappel la définition de chantage :T’inquiètes je sais qu'il existe des entreprises comme Vupen qui exploite les faiblesses des entreprises et font du chantage avec
Ici, il y aurai eu chantage si Vupen avait demandé de l'argent en échange de la non divulgation de l’existence de la faille 0-days au publique.
Ce que ne fait pas Vupen. Ce n'est donc pas du chantage.
Même définition du mot chantage (je ne re-cite pas...), même conclusion dans le cas Vupen. Ce pendant, il est vraie que le positionnement de Vupen est "moralement" discutable.
Premier point : il te cite et fait son commentaire
Second point : ne pas être parfait, n'implique pas la générosité envers l'imperfection des autres.
Microsoft lui-même à déjà dit qu'il ne rémunérait pas la découverte de faille. Sauf pour des concours, plus orienté marketing qu'autre chose :
http://www.computerworld.com/s/artic...curity_contest
Hors le gagnant de ces concours épisodique, Microsoft ne rémunère pas la découverte de faille.
Ton client y gagne la correction du bug. Et si ta boite a un minimum d'esprit commercial, elle lui enverra une belle boite de chocolat d'ici un mois.
Et je suppose que ton client n'as pas passé sa semaine à cherche le bug qu'il ta rapport sans rien produire d'autre de la semaine.
HS : Les grèves sont un droits durement acquis, qui ont permis d’acquérir de beaucoup de droit social qu'on considère comme normal en France, mais qui ne le sont pas. Et permettent encore de défendre ces mêmes droits. Même si on a tendant à stigmatiser cela...
J'aime bien ta réflexion qui mets en avant les deux points de vue.
Je vais répondre directement à tes deux questions :
Tout ce que j'ai écris est faillible.Quant à ceux sur ce forum qui développe des logiciels, vous êtes à ce point sûrs de vos talents que vous estimez que vos produits sont infaillibles ?
Ça dépends le contexte, mais probablement que je tenterai la médiation. Quand j'ai fait le "buzz" avec un faille, c'est ce qu'on m'avait fait et ça c'est bien fini pour tout le monde. Certains boite vont jusqu'à engager...Comment réagiriez-vous si on voulait vous faire casquer pour des informations concernant votre soft en faisant un buzz sur une faille importante ?
Pour le reste, je ne peux qu'apprécier ton point de vue. J'avoue ne pas avoir le même résonnent, mais j'arrive à une conclusion similaire. (J'avoue que je préférai entant que acheteur et consommateur que Microsoft dépense un peu d'argent en bug bounty.)
Cordialement,
Patrick Kolodziejczyk.
Si une réponse vous a été utile pensez à
Si vous avez eu la réponse à votre question, marquez votre discussion
Pensez aux FAQs et aux tutoriels et cours.
Répondre avec citation
Partager