Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Failles chez Kaspersky et FireEye : entre révélations publiques, responsabilité et récompenses

Linge sale

Failles chez Kaspersky et FireEye : entre révélations publiques, responsabilité et récompenses

Le 09 septembre 2015 à 08h00

Kaspersky et FireEye ont dû faire face durant le week-end à des révélations publiques au sujet de bugs dans leurs logiciels. La société russe a déjà corrigé le tir et FireEye promet une réaction rapide, mais la manière dont les informations ont été publiées relance le débat sur la responsabilité, surtout en plein week-end prolongé aux États-Unis.

Samedi matin, le chercheur en sécurité Tavis Ormandy, de chez Google, publiait un tweet pour annoncer qu’il avait découvert une première exploitation de bug dans les versions 15 et 16 de l’antivirus Kaspersky. Interrogé à ce sujet sur Twitter, il a indiqué peu après que la faille pouvait être exploitée à distance, dans la configuration par défaut et qu’elle ne demandait aucune interaction de la part de l’utilisateur.

L'annonce sur Twitter, puis après seulement le mail pour Kaspersky

Le fait est qu’Ormandy n’a pas publié l’intégralité des détails, mais avec la précision plus tard du caractère spécifique de la faille (dépassement de mémoire tampon), il y avait assez d’informations pour donner de sérieuses pistes de recherche. D’autant que deux points renforçaient le caractère dangereux de l’annonce. D’une part, le chercheur indiquait qu’un patch était nécessaire car modifier les options ne corrigerait pas le tir. D’autre part, le tweet a non seulement été publié au début d’un week-end spécial de trois jours aux États-Unis (fête du Labour Day), mais le chercheur avait en plus ajouté que le mail pour Kaspersky ne partirait qu’après son repas.

Cependant, l’information est très vite remontée jusqu’à la maison-mère de l’éditeur, qui a rapidement réagi. Dès le lendemain, Tavis Ormandy indiquait en effet avoir reçu un message lui confirmant non seulement que le problème avait été corrigé, mais qu’une mise à jour était déployée dans la foulée. Concrètement, toutes les versions actuellement supportées de l’antivirus sont donc corrigées, mais le chercheur a averti hier encore que d’autres failles existaient et que les informations nécessaires avaient cette fois été envoyées directement à Kaspersky.

Le problème de la révélation publique

Il n’y a priori aucun signe que ces failles ont été exploitées, mais la méthode est considérée par certains observateurs comme cavalière. La grande majorité des entreprises tient en effet à ce que les détails des failles ne soient pas publics. La raison en est simple : si la brèche se révèle complexe à colmater, les pirates peuvent profiter du temps offert pour démarrer une campagne. Dans le cas présent, il s’agit en plus d’une « récidive » puisque Tavis Ormandy a l’habitude de révéler des failles de cette manière. En 2013 par exemple, il avait ainsi publié les détails d’une faille affectant Windows, arguant que les services de Microsoft étaient pénibles à contacter.

Curieusement, Ormandy fait partie du Project Zero, une initiative lancée par Google en juillet 2014, avec pour ambition de trouver des failles de sécurité 0-day. Or, le projet est clairement orienté sur la publication « responsable » des informations, c’est-à-dire de manière privée avec l’éditeur ou le développeur concerné. Ce qui n’empêche pas les règles d’avoir été critiquées par Microsoft pour la publication inflexible des détails d’une faille… la veille de la publication du patch. Google avait d’ailleurs fait amende honorable et assoupli son processus pour éviter ce genre de cas.

Ce qui n’a pas empêché l’éditeur, dans un communiqué, de remercier Tavis Ormandy pour son travail. Kaspersky avait à cœur de rappeler que les chercheurs en sécurité faisaient partie d’un cycle, et certaines technologies (notamment l’ASLR et le DEP) permettaient d’atténuer les risques. Ce qui est vrai, mais on rappellera que ces deux technologies, que l’on trouve notamment dans Windows depuis Vista, concernent avant tout les systèmes 64 bits et qu’elles ne sont pas inviolables. Pas un mot en revanche sur la manière dont la faille a été révélée.

FireEye : publier des informations pour provoquer une réaction

Kaspersky n’était par ailleurs pas le seul éditeur concerné ce week-end par des révélations de bugs dans ses produits. Un autre chercheur, Erik Hermansen, a cette fois publié des informations sur quatre failles présentes dans plusieurs produits de FireEye, une société relativement connue et à l’origine de nombreux rapports sur les tendances des attaques informatiques. Cette fois, le ton employé est particulièrement clair : les soucis sont connus depuis 18 mois et rien n'a été fait. Pourquoi ? Parce que la société n'a pas reçu les informations, Hermansen attendant d'être payé pour son travail.

En outre, le chercheur est allé plus loin puisqu’il a publié avec cette annonce un code permettant de créer un proof-of-concept. Pour ajouter à la situation problématique, FireEye était en « week-end prolongé » et n’a répondu que ce matin au problème posé. Dans un communiqué, l’éditeur indique avoir bien été informé de la situation, mais regrette que les détails aient été publiés aux yeux de tous. En outre, la société précise qu’elle dispose bien d’un processus de signalement « documenté » et qu’elle s’est mise en relation avec les chercheurs (Hermansen et Ron Perris).

Plus précisément, la faille abordée par Hermansen touche le produit Endpoint Threat Prevention Platform (surnommée « HX » par l’éditeur). Il s’agit d’une appliance comprenant notamment un serveur web dont le chercheur a trouvé un moyen d’exploiter les accès root, qui malheureusement fonctionne avec de tels droits. Le chercheur n’avait pas manqué de souligner cette situation avec ironie de la part d’un éditeur travaillant sur des solutions de sécurité.

Pas question de travailler gratuitement

Interrogé par Salted Hash hier matin, Hermansen n’a pas confirmé que FireEye avait pris contact avec lui. Cependant, son avis sur la question est particulièrement clair : « Quand ils mettront en place une chasse aux bugs ou des récompenses de sécurité, je leur répondrai. Ils m’ont baladé pendant plus d’un an sur l’implémentation d’un tel programme. Qu’ils l’annoncent d’abord publiquement et je leur parlerai à nouveau. Je suis certain qu’il existe encore de nombreux autres bugs dans leurs produits qui ne sont pas encore révélés ».

La motivation du geste est donc clairement d’ordre financier. Le chercheur a souhaité ainsi communiquer en juillet 2014 avec FireEye, qui lui a répondu que l’infrastructure de communication était alors nouvelle, et que des primes seraient probablement accordées dans le futur. Ce qui n’a manifestement pas été suivi d’actes concrets, au grand dam de Hermansen, qui souhaitait ne pas avoir travaillé à titre de bénévole.

Le fait est que ces programmes de récompenses renvoient parfois un sentiment mitigé sur leur réelle efficacité. Dans le cas présent, la situation aboutit à un proof-of-concept et donc à une faille déjà exploitable alors qu’aucun correctif n’existe. On peut comprendre cependant qu’un chercheur ne soit guère motivé par un travail gratuit, même si d’autres experts, à l’instar de Jeff Williams de chez Contrast Security, estiment que ces programmes ont parfois tendance à se substituer à de vraies pratiques internes pour la recherche de bugs. Dans le cas de Hermansen, on peut également penser à l’éventuel effet salvateur d’un électrochoc apte à débloquer une situation.

En attendant, les failles touchant les produits de FireEye ne sont pas corrigées, mais l’éditeur a promis de gérer rapidement le problème dès que les informations seront réunies.

Commentaires (39)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

ce vieux chantage … c’est pas pénalement répréhensible son comportement ?

votre avatar

Je resterait quand même fidèle à ce produit que j’utilise depuis des années.

votre avatar

Pas très éthique comme comportement.

votre avatar







Tim-timmy a écrit :



ce vieux chantage … c’est pas pénalement répréhensible son comportement ?









Obidoub a écrit :



Pas très éthique comme comportement.





Certes.



Mais je travaillerais dans la sécurité, domaine où l’inviolabilité est la meilleure pub, j’investirais dans la détection des failles au lieu de faire la fine bouche… pendant 18 mois.


votre avatar

En même temps il veux être payé pour son travail, c’est compréhensible. Il ne va pas faire le boulot de leur équipe de chasse au bug gratos.

votre avatar

je vois pas le problème, tout travail mérite salaire.

votre avatar

l’entreprise ne l’employant pas, et aucun système d’incitation contre finances n’existant pour le moment .. non. Ils ne lui “doivent” pas un rond … Si il est bête et a travaillé gratos en pensant qu’ils allaient installer ce système c’est sa faute … Il n’a pas à divulguer les failles car il n’a pas eu de l’argent en échange, ça s’appelle juste du chantage, ça.



Si je trouve une faille sur nxi, et que je leur réclame 5000€ pour mon travail, ou je la révèle, c’est quoi?

 

votre avatar

A partir du moment ou un exploit est publié, je suis désolé mais l’entreprise à tous les détails techniques dont elle à besoin pour trouver, comprendre et corriger le problème…il suffit de lire le code.



Donc j’avoue que je comprend pas très bien l’article… Il doit y avoir un truc qui m’a échappé quelque part.

votre avatar

L’article est essentiellement basé sur le fait que le chercheur en sécurité ait publié la faille.

 



 D’un côté, c’est logique que le mec veule être payé, il y a passé du temps pour trouver les bugs etc, après ce qu’il fait n’est pas très légal puisqu’effectivement c’est considérable comme du chantage.

 

Si aucune infrastructure de report de bug contres récompense est en place, bah si tu signales un bug tu reçois juste un merci et un BN (s’ils sont gentils). Et je pense qu’il est illégale de faire pression comme ça.

votre avatar

La grande majorité des entreprises tient en effet à ce que les détails des failles ne soient pas publics. La raison en est simple : si la brèche se révèle complexe à colmater, les pirates peuvent profiter du temps offert pour démarrer une campagne.  

En l’occurence, Hermansen a détecté une faille, a contacté FireEyeet leur a proposé de la leur communiquer moyennant finances. 18 mois plus tard, en l’absence de consensus, il publie la faille.

 



 Effectivement aujourd’hui FireEyeet peut corriger “gratuitement” la faille … sauf qu’elle est connue de tous et déjà exploitable par des personnes malveillantes, ce qui peut leur coûter en terme d’image vis-à-vis de leurs clients.

votre avatar

C’est pas de l’INpactitude en tout cas :)

votre avatar

Justement, au vu de son attitude, je suis pas sûr qu’ils aient envie de l’embaucher ^^

votre avatar

Donc ça n’aurait pas été du chantage si il avait balancé la purée publiquement, directement sans rien dire a FireEye, non ?



D’ailleurs, je ne vois pas dans l’article, où il est dit que si il n’était pas payé, il balancerait tout publiquement.



Pour reprendre l’exemple d’ActionFighter, il me dit qu’on peut entrer chez moi sans clé et qu’il veut de l’argent contre la méthodo. Si je donne rien, il le garde pour lui. Cela me laisse le temps de chercher par moi même chez moi tout en lui disant que dans 2 mois je mets en place un process interne pour le payer et avoir son info. Au bout de 18 mois, excéder parce-que je me fous de sa gueule et que j’ai toujours pas réussi où que j’ai pas fait mine de chercher le problème, il balance sur Twitter comment faire.

Est-ce que le point d’attention n’est pas que je lui ai dis que je le paierais dans 2 mois ? Cela aurait peut être été différent si je lui avais répondu non directement. Ou pas, mais bon.



L’exemple de fate1 n’est pas très bon je trouve car cela se passe régulièrement en monde professionnel :




  • Tu travailles sur une plateforme pour faire un truc.

  • Le temps de faire ton truc, tu remarques que plein de truc sont bien pourri

  • Tu indiques a ton client que t’as vu de la merde sur sa plateforme

  • Si il veut le détail, tu factures une journée de rédaction des problèmes rencontrés.



    On pourrait même dire que le cas de Hermansen tombe la dessus. Il dit qu’il a trouver un truc. Si l’autre veut un mail avec des détails, va falloir lui payer la journée de rédaction et de mise en page de sa découverte. Manque de bol, il facture cher la journée. De ce fait, il facture pas ce qu’il a déjà trouvé. Il n’est pas obliger de fournir un truc gratuitement.

votre avatar

Le problème c’est de partir du principe qu’on va être payé… Il aurait largement pu aller chercher ailleurs dans des boîtes qui rémunèrent ce genre de boulot. La c’est bien du chantage.

votre avatar

C’est pas tout à fait ça. Il te réclame de l’argent en échange de te dire comment il a fait. Si tu t’en fiche, bin il a fait ça pour rien. Dans le cas présent la société ne s’en fiche pas. Il ne dis jamais qu’il va tout déballer si il est pas payé, mais il force un peu pour que ça bouge. Surtout qu’on lui a annoncé qu’un programme allais être mis en place et que ça n’as pas été le cas.

votre avatar







fate1 a écrit :



Pour faire une analogie un peu foireuse, c’est pareil que si un garagiste venait examiner ta voiture alors que tu lui a rien demandé et qu’il te dise qu’il a trouvé des pièces très abimées mais qu’il faut que tu lui donnes 200€ pour avoir son rapport détaillée.





Ouais, c’est clairement foireux.

Là il est question d’un tiers indépendant qui vérifie le travail d’une boite et tire la sonnette d’alarme lorsqu’il découvre un problème.







fate1 a écrit :



A moins que la boite ne lui ai fait miroiter que s’il trouvait des failles, elle le dédommagerait pour le temps perdu à chercher les failles, et dans ce cas je comprends le mec.







Quand ils mettront en place une chasse aux bugs ou des récompenses de sécurité, je leur répondrai. Ils m’ont baladé pendant plus d’un an sur l’implémentation d’un tel programme. Qu’ils l’annoncent d’abord publiquement et je leur parlerai à nouveau. Je suis certain qu’il existe encore de nombreux autres bugs dans leurs produits qui ne sont pas encore révélés



Entre les lignes, il semble bien que le mec a été pigeonné sur sa première découverte de faille et indique donc qu’il n’en cherchera pas d’autre tant qu’il n’aura pas été récompensé.







fate1 a écrit :



Pour la diffusion de la faille par contre, c’est moralement très discutable mais d’un point de vue pénal, même si ça s’apparente un peu à du chantage, c’est pas dit que ce soit pénalement répréhensible.





Heureusement il y a plein de maitre eolas en culotte courte sur NXI.







Bejarid a écrit :



Moyen de pression illicite exercée sur une personne pour lui extorquer de l’argent ou des valeurs, par la menace de révélations scandaleuses ou diffamatoires.





Menaces, scandaleuses, diffamatoires.

C’est pas le cas ici.

Ta référence au soit disant chantage du roi du maroc ne venant que confirmer le niveau TF1 de tes propos.

Ah au fait, quand tu fais des réflexions sur le français de quelqu’un, fais en sorte de respecter la syntaxe et les accords.


votre avatar

C’est du chantage et de la mauvaise foi de la part de cette personne. Un travail pour lequel il n’a pas été mandaté n’a pas à être payé.

votre avatar

en l’absence de définition légale de scandaleux, le fait que ça se retrouve dans la presse qualifie pas mal pour cela … Mais sinon la qualification est plutôt extorsion, dont le chantage est une forme en france oui, mais comme de toute façon on ne parle pas d’un français ou d’une boîte française, on s’en fout un peu :p Et oui, révéler publiquement une faille est un fait qui entâche l’honneur d’une entreprise, donc tenter de le monnayer peut être mal perçu par la loi ..

votre avatar

Ouais ! On en a gros !

 



<img data-src=" />

votre avatar

Moi je voyais plus ça comme de la R&D qui, comme elle n’aboutit à aucune transaction financière, finit par tomber en open-source.

Afin de ne pas gâcher le travail, si ça peut servir à quiconque, servez vous, c’est gratuit.



Tu ne vois pas la similitude avec certaines multinationales qui ont tenté de faire un chantage (paye ta licence ou tes données sont perdues et deviennent inutilisables), puis quand elles perdent le bras de fer de la dépendance, préfèrent ouvrir le code pour ne pas tout perdre?

votre avatar

Le mec demande 10000$ par vulnérabilité, et il est pas content si on l’ignore. Du coup, il fait du raffut. Il suffit de lire les développements de l’histoire pour comprendre les motivations :



http://www.csoonline.com/article/2981474/vulnerabilities/researcher-to-fireeye-i…



Et en plus, l’article a été mise à jour pour dire que le trou de sécurité dont Hermansen se vante était déjà patché dans une version ultérieure du logiciel.

votre avatar

Dire d’une application de sécurité qu’elle est bourré de faille, sans en apporter la preuve, ce n’est pas de la diffamation ?



Quand en plus, ce qui a motivé cette sortie c’est le fait que l’entreprise avait elle-même trouvé la faille et l’avait corrigé dans sa nouvelle version ?

&nbsp;&nbsp;

Ta mauvaise foi mérite amplement ton ajout dans une certaine liste, bye.

votre avatar







Bejarid a écrit :



Dire d’une application de sécurité qu’elle est bourré de faille, sans en apporter la preuve, ce n’est pas de la diffamation ?





T’as pas trop saisi ce qu’était la diffamation (vu ton niveau de compréhension de texte, ce n’est guère étonnant): le mec a les preuves, qu’il ne rend pas publiques pour éviter de mettre en danger des systèmes informatiques.







Bejarid a écrit :



Quand en plus, ce qui a motivé cette sortie c’est le fait que l’entreprise avait elle-même trouvé la faille et l’avait corrigé dans sa nouvelle version ?





Tiens donc, fais-nous un quote du texte qui indique que FireEeye avait trouvé cette faille avant le chercheur.

Sait-on jamais, je suis peut-être passé à côté de quelque chose.

  





Bejarid a écrit :



Ta mauvaise foi mérite amplement ton ajout dans une certaine liste, bye.





Mais oui mais oui, paille poutre tout ça.

Au moins quand j’accuse, j’argumente, ce qui n’est pas ton cas. <img data-src=" />


votre avatar







Tim-timmy a écrit :



ce vieux chantage … c’est pas pénalement répréhensible son comportement ?





La bonne vieille réaction franco-française: j’évite soigneusement le contexte et j’accuse.


votre avatar

J’aimerai qu’on m’explique la différence entre des sociétés tout à fait légales comme, au hasard, Vupen, et un chercheur isolé dans son coin. Les deux travaillent pour de l’argent non ?

&nbsp;



En fait, si, je vois une grosse différence. Ce “chercheur isolé” dont il est question ici, à préféré publié gratuitement la faille et ses détails techniques, plutôt que de la vendre sur le marché noir (ce qui lui aurait probablement permis de récolter plusieurs milliers voir plusieurs dizaines de milliers d’euros).&nbsp; Les “sociétés spécialisés en sécurité informatiques” elles, ne semblent pas trop se préoccuper de l’usage qui sera fait du produit (0day, logiciels de surveillance etc) vendus aux clients…

&nbsp;



Enfin moi ce que j’en dit…

votre avatar







MasterDav a écrit :



La bonne vieille réaction franco-française: j’évite soigneusement le contexte et j’accuse.





Pourquoi ce serait Franco-français d’accuser dans prendre en compte le contexte ? Les accusations gratos, c’est pareil, ce n’est pas que franco-français ;)

&nbsp;

&nbsp;

A mon sens, si la boite n’a pas prévu de système de récompense, soit il travaille gratos parce que la boite lui a rien demandé, soit il fait du chantage et là quelque soit le contexte, c’est répréhensible.

&nbsp;

Mais bon, dans le contexte d’une guerre thermo-nucléo-bactério-chimique, ça pourrait être excusable ;)


votre avatar







Hoper a écrit :



En fait, si, je vois une grosse différence. Ce “chercheur isolé” dont il est question ici, à préféré publié gratuitement la faille et ses détails techniques, plutôt que de la vendre sur le marché noir (ce qui lui aurait probablement permis de récolter plusieurs milliers voir plusieurs dizaines de milliers d’euros).





Les deux comportements sont condamnables, et plus encore quand c’est fait par une boite, surtout quand c’est fait pas seulement pour emmerder l’autre (où là, la sanction est généralement légère) mais à but lucratif.

&nbsp;

&nbsp;Et c’est vrai dans tous les pays. Chercher des bugs c’est parfois autorisé parfois non (cf France non, Suisse oui) s’en servir ou les diffuser (avec bcp de détail, comme ici), ça c’est illégale partout.


votre avatar







Ahrkam a écrit :



Pourquoi ce serait Franco-français d’accuser dans prendre en compte le contexte ? Les accusations gratos, c’est pareil, ce n’est pas que franco-français ;)





Parce que les autres qui font pareil sont rien que des copieurs <img data-src=" />

 





Ahrkam a écrit :



A mon sens, si la boite n’a pas prévu de système de récompense, soit il travaille gratos parce que la boite lui a rien demandé, soit il fait du chantage et là quelque soit le contexte, c’est répréhensible.





Et c’est bien dans l’esprit français que:




  • on ne récompense pas au mérite

  • on prétend que ça tient du chantage.

    La découverte de failles c’est de la recherche d’intérêt public.

    Si le mec avait menacé de filer/vendre ses résultats de recherche à une team de hackers à moins que fire eye ne lui file du fric, là ça aurait été du chantage.



    Pire, il devrait être internationalement obligatoire de:

  • dédommager les découvreurs de failles

  • publier, donc bien publiquement, les résultats de recherche sur les failles après qu’elles aient été colmatées

    Ce serait la seule façon d’avoir un environnement logiciel sécurisé et mis à jour, parce qu’actuellement les différents éditeurs laissent trainer des failles connues pendant des années en comptant sur la seule probabilité que ces failles ne soient pas découvertes.


votre avatar

&gt;avec la précision plus tard du caractère spécifique de la faille

(dépassement de mémoire tampon), il y avait assez d’informations pour

donner de sérieuses pistes de recherche.

&nbsp;

&nbsp;ah bah si avec autant de détail les pirates ne parviennent pas à exploiter la faille, je sais pas ce qui leur faut!<img data-src=" />

&nbsp;



&nbsp;&gt;publié au début d’un week-end spécial de trois jours aux États-Unis

(fête du Labour Day)

&nbsp;

&nbsp;ça va leur faire une belle jambe aux russes

&nbsp;

&nbsp;&gt;mais le chercheur avait en plus ajouté que le mail

pour Kaspersky ne partirait qu’après son repas.

&nbsp;

oula, donc les pirates ont même eu une demi-heure de plus pour trouver un exploit avec l’indice: “il y a un buffer overflow dans kaspersky”! pendez-le!<img data-src=" />

&nbsp;

&nbsp;sérieux, on lui reproche quoi?<img data-src=" />

&nbsp;

il s’agit juste de recopier les délire de Graham Cluley?

votre avatar







Tim-timmy a écrit :



l’entreprise ne l’employant pas, et aucun système d’incitation contre finances n’existant pour le moment .. non. Ils ne lui “doivent” pas un rond … Si il est bête et a travaillé gratos en pensant qu’ils allaient installer ce système c’est sa faute … Il n’a pas à divulguer les failles car il n’a pas eu de l’argent en échange, ça s’appelle juste du chantage, ça. 




Si je trouve une faille sur nxi, et que je leur réclame 5000€ pour mon travail, ou je la révèle, c'est quoi?      


&nbsp;






Dans son cas, publier les détails concernant la faille (au lieu de la vendre à d’autres)

c’est s’assurer que la faille sera corrigée !! Et c’est faire chier l’éditeur qui l’a fait tourner en bourrique pendant 18 mois faire pression sur l’éditeur afin qu’il mettes en place un système de

récompense pour les failles trouvées.

&nbsp;

En effet il aurait pu vendre les détails sur la faille à une boite de sécurité offensive type Hacking Team, à une agence gouvernementale, ou même concevoir un programme exploitant la faille, qu’il livrerait légalement à l’un ou à l’autre. Il ne manquait pas d’options plus ou moins louches mais légales pour monétiser sa trouvaille et rien ne l’obligeait moralement à offrir gratuitement à l’éditeur le fruit de son travail.



=&gt; Pour les failles sur NXI tu gagne un T-shirt dédicacé par Harou.


votre avatar

Que je sache, la boite elle lui a rien demandé. C’est son droit de s’en foutre d’avoir des failles de sécurités (de toute façon un soft un tant soit peu complexe avec 0 failles ça n’existe pas je pense).

Pour faire une analogie un peu foireuse, c’est pareil que si un garagiste venait examiner ta voiture alors que tu lui a rien demandé et qu’il te dise qu’il a trouvé des pièces très abimées mais qu’il faut que tu lui donnes 200€ pour avoir son rapport détaillée.

A moins que la boite ne lui ai fait miroiter que s’il trouvait des failles, elle le dédommagerait pour le temps perdu à chercher les failles, et dans ce cas je comprends le mec. Mais s’il n’y a jamais eu aucun semblant d’accord concernant un dédommagement s’il trouve des failles, je ne vois pas pourquoi le mec râle parce que la boite ne veut pas lui payer le temps qu’il a passé à chercher des failles. Elle n’a aucune obligation.

Pour la diffusion de la faille par contre, c’est moralement très discutable mais d’un point de vue pénal, même si ça s’apparente un peu à du chantage, c’est pas dit que ce soit pénalement répréhensible.

votre avatar







MasterDav a écrit :



Parce que les autres qui font pareil sont rien que des copieurs <img data-src=" />

 



Et c’est bien dans l’esprit français que:




  • on ne récompense pas au mérite

  • on prétend que ça tient du chantage.

    La découverte de failles c’est de la recherche d’intérêt public.

    Si le mec avait menacé de filer/vendre ses résultats de recherche à une team de hackers à moins que fire eye ne lui file du fric, là ça aurait été du chantage.



    Pire, il devrait être internationalement obligatoire de:

  • dédommager les découvreurs de failles

  • publier, donc bien publiquement, les résultats de recherche sur les failles après qu’elles aient été colmatées

    Ce serait la seule façon d’avoir un environnement logiciel sécurisé et mis à jour, parce qu’actuellement les différents éditeurs laissent trainer des failles connues pendant des années en comptant sur la seule probabilité que ces failles ne soient pas découvertes.





    Et le jour où je trouve un moyen d’entrer chez toi alors que je possède pas la clé, je te demanderai 10000€ en compensation, mais ce ne sera pas du chantage.


votre avatar

Bien sûr que non ça ne serait pas du chantage.

Si tu lui demander 10000€ ou bien tu révèle la méthode à tous, c’est plus discutable.

votre avatar

Le truc, c’est que personne ne lui a demandé de faire ce boulot non plus.



C’est un peu comme si un mec venait dans ton immeuble pour essayer de forcer les serrures de ton appartement, et te réclame de l’argent parce qu’il a trouvé qu’on pouvait facilement te cambrioler!

votre avatar







MasterDav a écrit :



Si le mec avait menacé de filer/vendre ses résultats de recherche à une team de hackers à moins que fire eye ne lui file du fric, là ça aurait été du chantage.






 Merci d'apprendre à parler français avant de commenter sur un site français.Bien sur, ça vaut pour 80% des personnes qui ont fait un commentaire dans cette news, mais tu as été le plus virulent, MasterDav :)    







Et parler français, ça comprend utiliser les définitions communément admisent pour les mots : &nbsp;


http://www.cnrtl.fr/definition/chantage =&gt;&nbsp;Moyen de pression illicite exercée sur une personne pour lui extorquer de l’argent ou des valeurs, par la menace de révélations scandaleuses ou diffamatoires. 



&nbsp;


Rien dans cette définition (fourni par le CNRS, certifié par l’académie française, bref un truc nettement plus fiable que le Larousse souvent vague) ne nécessite que la révélation soit faite à des méchants. Une révélation publique est souvent la forme par défaut de chantage (cf le livre sur le roi du Maroc).

&nbsp;

&nbsp;


votre avatar







Zerdligham a écrit :



Bien sûr que non ça ne serait pas du chantage.

Si tu lui demander 10000€ ou bien tu révèle la méthode à tous, c’est plus discutable.





Il me semblait évident, dans le contexte, qu’un refus exposait au chantage.



Apparemment, la précision était nécessaire.


votre avatar







Arnaud3013 a écrit :



En même temps il veux être payé pour son travail, c’est compréhensible. Il ne va pas faire le boulot de leur équipe de chasse au bug gratos.









nlougne a écrit :



je vois pas le problème, tout travail mérite salaire.









Arystos a écrit :



L’article est essentiellement basé sur le fait que le chercheur en sécurité ait publié la faille.

 



 D’un côté, c’est logique que le mec veule être payé, il y a passé du temps pour trouver les bugs etc, après ce qu’il fait n’est pas très légal puisqu’effectivement c’est considérable comme du chantage.

 

Si aucune infrastructure de report de bug contres récompense est en place, bah si tu signales un bug tu reçois juste un merci et un BN (s’ils sont gentils). Et je pense qu’il est illégale de faire pression comme ça.







Personne n’a rien demandé à ce type. Ce n’est pas un chercheur, on ne lui a pas confié de mission, donc ce n’est pas un travail. C’est un vrai pirate, dans tous les sens négatifs du terme ; il a de la chance de ne pas s’être fait poursuivre, mais ça lui pend au nez : le chantage est répréhensible partout.


votre avatar

Tavis Ormandy … Erik Hermansen

coïncidence ?

#WakeUpSheeple



(j’allais faire un truc aussi sur 2 fois des prénom en 2 syllabes et des noms en 3 syllabes qui arriverait à 666 mais faut pas pousser)

:_DéjàLoin:

votre avatar

Erik Hermansen est un véritable pirate informatique. Ceci dit, au vu de son attitude et de ses compétences évidentes, je serai chez Fireye, il aurait été embauché il y a longtemps, très longtemps !

Failles chez Kaspersky et FireEye : entre révélations publiques, responsabilité et récompenses

  • L'annonce sur Twitter, puis après seulement le mail pour Kaspersky

  • Le problème de la révélation publique

  • FireEye : publier des informations pour provoquer une réaction

  • Pas question de travailler gratuitement

Fermer