Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Failles 0-day : Google assouplit son Project Zero pour éviter les frictions

Sans doute l'effet du week-end de la Saint-Valentin

Failles 0-day : Google assouplit son Project Zero pour éviter les frictions

Le 16 février 2015 à 10h55

L’initiative Project Zero de Google est très claire : une fois l’éditeur prévenu d’une faille de type 0-day, il a 90 jours pour publier le correctif avant que les détails ne soient révélés. Mais la firme vient d’assouplir cette règle, après plusieurs frictions engendrées par des failles dans des produits Microsoft et Apple.

Un calendrier aveugle qui a provoqué des frictions

Le mois dernier, la tension est montée d’un cran entre Google et Microsoft. En cause, les détails d’une faille révélée par l’équipe de sécurité de Mountain View. Touchant Windows, elle avait fait l’objet d’un avertissement à Microsoft, qui avait accusé réception des informations et commencé à travailler sur un correctif. Problème, deux jours avant la publication de ce dernier, Google était arrivé à la fin du chronomètre et avait quand même publié les détails, provoquant la colère de Microsoft. Apple avait de son côté été concerné par ce type de souci deux semaines plus tard.

La question se posait alors de savoir si la politique de tolérance zéro était réellement la bonne solution. Pour Google, qui revient sur la situation dans un tout récent billet, il s’agit d’une frontière fixée et parfaitement publique, apte à faire comprendre aux éditeurs que les brèches doivent être corrigées au plus vite. Les 90 jours eux-mêmes se trouvent pour la firme à mi-chemin entre les 45 jours du CERT et les 120 jours de la Zero Day Initiative. L’objectif est toujours le même : prévenir les utilisateurs.

Mais des critiques s’étaient élevées pour dénoncer d’une part le manque de souplesse, surtout quand il s’agit de publier des informations deux jours avant la publication du correctif, et d’autre part le manque de bénéfice pour les utilisateurs. Ces derniers ne se tiennent pas en effet, pour l’immense majorité d’entre eux, au courant de ce type d’information. En outre, que faire une fois la situation connue ? C’était précisément le reproche adressé par Microsoft, pour qui la révélation brutale des informations, sans donner la moindre piste de mesure à prendre, n’avait guère d’intérêt.

Google assouplit sa politique avec des règles « évidentes »

Et voilà qu’environ un mois plus tard, Google annonce avoir réfléchi à la situation et mis en place quelques assouplissements. La mesure la plus importante est l’ajout d’un délai de grâce de 14 jours : si l’éditeur touché par la faille dispose d’un correctif qui doit être publié dans les deux semaines suivant la fin des 90 jours, Google repoussera la publication des informations. Il s’agit, « coïncidence »,  d’une décision qui aurait empêché la friction initiale avec Microsoft.

Deuxième décision : la publication des informations ne pourra se faire durant les week-ends et les jours fériés (américains). Encore une fois, cet assouplissement concerne directement le débat initial puisque Google avait publié les informations un dimanche. Enfin, pour les publications qui se feront au-delà de la date normalement prévue, un bulletin CVE (pour l’identification unique de la faille) sera pré-assigné pour éviter les risques de confusion.

Google n’aborde pas le cas de Microsoft, ou même celui d’Apple, mais il est évident que les entreprises ont discuté de la situation et sont arrivées sur ces consensus, qui ont d’ailleurs un furieux air de « tomber sous le sens ». Pour le reste, le fonctionnement du Project Zero restera le même, Google pouvant repousser les dates prévues dans des « cas extrêmes ». Plus globalement, cette frontière pourra bouger dans les deux sens, selon des conditions particulières, comme l’attitude de l’éditeur concerné. La firme assure dans tous les cas que toutes les entreprises sont et resteront traitées sur un pied d’égalité, y compris elle-même… ce qui est difficile à démontrer.

Commentaires (78)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

 





Glyphe a écrit :





 Je doute que tout le monde a appris à dev’ sur un truc aussi vieux, vaste, compliqué qu’un OS comme Microsoft.



 Et ensuite, embaucher des gens très qualifiés pour faire partie d’une team de correction de bugs et de vulnérabilités, je doute que ça intéresse du monde.


votre avatar

Eh bien, faut croire que même Google n’est pas d’accord avec toi, puisqu’ils préfèrent lâcher du lest.

De plus, 9 femmes ne font pas un bébé en 1 mois <img data-src=" />

votre avatar

Il marche très bien avec d’autres polices. Le bug était connu lors de la publication du patch mais il semble qu’il touche finalement un peu plus de plate-forme que prévu. Je ne pense pas qu’il ait été intégré volontairement, je pense que certains ont droit à plus de qualité que d’autre.





After you install security update 3013455, you may notice some text quality degradation in certain scenarios. ….



Euphémisme++

votre avatar

Tout à fait, c’est bien pour ça que nous avons toujours des CPU monocore.

votre avatar

Ahhh mince, c’est vrai que l’accouchement c’est multitâche <img data-src=" />

Plus sérieusement, si mettre toute une team de validation sur un sujet ne va faire gagner que quelques heures… Oh pardon, faire gagner 2 jours…

votre avatar







thbbth a écrit :



Eh bien, faut croire que même Google n’est pas d’accord avec toi, puisqu’ils préfèrent lâcher du lest.





Et ils vont faire quoi quand la deadline de màj tombera à 105 jours? Ils vont encore rajouter des petits délais? Ça va encore gueuler qu’ils auraient pu retarder 1 jour de plus au lieu de laisser les gens vulnérables pendant 15 jours? Du coup ils vont encore rajouter 7 jours à leur deadline? Mais du coup si la màj est à 112 jours? Etc…



Alors autant je trouve cool qu’ils rajoutent des délais sous certaines conditions, mais vu que MS a des délais fixes aussi il y a toujours le risque que les deux ne tombent pas juste.



Après je me demande surtout si c’est à GG (ou tout autre boite/chercheur) d’assumer la publication des failles. Pourquoi ils ne passeraient pas par le CERT (qui crédite les découvreurs et link vers les billets explicatif & co)? Comme ça ce n’est plus leur responsabilité et le CERT a une politique bien plus dur que GG (45 jours de délais).



Pour un petit résumé de ce qu’il se fait dans le monde en dehors de GG :http://blog.opensecurityresearch.com/2014/06/approaches-to-vulnerability-disclos…

(ZDI est pas mal pour voir ce qu’il est possible de faire même si on a pas de patch sous la main)



&nbsp;



thbbth a écrit :



De plus, 9 femmes ne font pas un bébé en 1 mois <img data-src=" />





Mais elles font très bien 9 bébé en 9 mois…


votre avatar

Ce n’est pas de ma faute si tu as choisis de comparer du travail en équipe à une tâche qui ne peut être répartie. <img data-src=" />

votre avatar

Ils rajoutent 14 jours … Ca ne changera rien à la plupart des problèmes rencontrés à cause de la règle des 90 jours … LOL



@thbbth on peut passer la nuit à faire des métaphores débiles, ça n’apportera rien au sujet. La vrai question aurait été de savoir s’il était préférable d’introduire un bug de fonctonnement en comblant la faille de sécu ou de laisser la faille tout simplement. Par contre on a souvent prouvé dans l’Histoire que 9 cerveaux trouvaient plus de solutions qu’un seul en moyenne … Voilà comme ça je continue dans les métaphores idiotes vu que c’est un peu ta tasse de thé on dirait :p

votre avatar

90 jours, 1 ans, ou même 10 ans, google n’a tout simplement pas a rendre une faille publique !

Le simple fait que l’on puisse penser qu’il est normale que cette entreprise s’arroge ce droit me révolte profondément.



Surtout que google est mal placé pour utiliser cette méthode de publicité écœurante.

votre avatar

La sécurité par l’obscurité n’est qu’une illusion. Elle n’existe tout simplement pas. Que toi tu ne saches pas qu’une faille existe sur un logiciel que tu utilises n’empêche pas cette faille d’être exploitée par des gens malintentionnés. Dévoiler publiquement les failles des softs permettra en revanche une prise de conscience de la part des développeurs/éditeurs pour que la sécurité devienne enfin (!) une priorité dans la conception de logiciels. Ca pourra d’ailleurs permettre de faire le tri entre ceux qui font du marketing et ceux qui agissent dans ce sens. Sans même parler du fait qu’au moins les utilisateurs peuvent être informé et arrêter d’utiliser, ne serait-ce que momentanément, les solutions trouées sans risque de compromettre plus de données personnelles.



La lumière est toujours préférable à l’obscurité en terme de sécurité !

votre avatar







Glyphe a écrit :



La sécurité par l’obscurité n’est qu’une illusion. Elle n’existe tout simplement pas. Que toi tu ne saches pas qu’une faille existe sur un logiciel que tu utilises n’empêche pas cette faille d’être exploitée par des gens malintentionnés.





Jusque là je suis s’accord. <img data-src=" />







Glyphe a écrit :



Dévoiler publiquement les failles des softs permettra en revanche une prise de conscience de la part des développeurs/éditeurs pour que la sécurité devienne enfin (!) une priorité dans la conception de logiciels. Ca pourra d’ailleurs permettre de faire le tri entre ceux qui font du marketing et ceux qui agissent dans ce sens. Sans même parler du fait qu’au moins les utilisateurs peuvent être informé et arrêter d’utiliser, ne serait-ce que momentanément, les solutions trouées sans risque de compromettre plus de données personnelles.







En outre le fait que je doute que la sécurité ne sois pas une priorités de premier plan pour des entreprises tel que MS, ou que google ne diffuse ces failles que pour la beauté du geste; je pense que google cause plus de dangers en révélant des failles utilisables et en perturbant les priorités des chercheurs en sécurité (et mette potentiellement en danger des infrastructures Critiques) qu’il ne fasse de bien.



&gt;Mais ce qui me préoccupe surtout c’est que google s’érige en tant que parti, policier, juge et bourreau a la fois. Google est une entreprise de publicité et de logiciels (entre autres) elle n’est pas un organe de l’Etat et n’a pas à imposer des ultimatums a ses concurrents.

Laisser une multinational s’attribuer de tel droits est absolument anormal.


votre avatar







Glyphe a écrit :



La sécurité par l’obscurité n’est qu’une illusion. Elle n’existe tout simplement pas. Que toi tu ne saches pas qu’une faille existe sur un logiciel que tu utilises n’empêche pas cette faille d’être exploitée par des gens malintentionnés. Dévoiler publiquement les failles des softs permettra en revanche une prise de conscience de la part des développeurs/éditeurs pour que la sécurité devienne enfin (!) une priorité dans la conception de logiciels. Ca pourra d’ailleurs permettre de faire le tri entre ceux qui font du marketing et ceux qui agissent dans ce sens. Sans même parler du fait qu’au moins les utilisateurs peuvent être informé et arrêter d’utiliser, ne serait-ce que momentanément, les solutions trouées sans risque de compromettre plus de données personnelles.



La lumière est toujours préférable à l’obscurité en terme de sécurité !





Il se trouve que MS était en plein processus de correction de la faille, google le savait très bien puisqu’ils ont été informé de la situation.



Ce qu’a fait Google précédemment n’a rien à voir avec le fait de balancer “une lumière sécuritaire” pour le bien du peuple.

&nbsp;

Ici on a un accord qui me semble mieux adapté, en cas de correction en cours, la divulgation est retardée.



C’est quand même plus équilibré que de laisser Google seul juge auto proclamé pour savoir quand divulguer les failles et je vois pas en quoi cet accord serait moins “juste” que la situation précédente.


votre avatar







ar7awn a écrit :



90 jours, 1 ans, ou même 10 ans, google n’a tout simplement pas a rendre une faille publique !

Le simple fait que l’on puisse penser qu’il est normale que cette entreprise s’arroge ce droit me révolte profondément.



Surtout que google est mal placé pour utiliser cette méthode de publicité écœurante.







Je suis d’accord, je trouve ça limite que Google se permette de dévoiler les failles des autres. Dans l’idéal il faudrait une «autorité» qui décide de la marche à suivre : prévenir l’éditeur, rendre la faille publique ou non…



Mais qui s’occuperait de former une telle autorité ? Qui la financerait ? Qui en ferait partie ? Et leur job ça serait quoi, chercher des failles ? ou simplement les centraliser ? ou décider qui a le droit de divulguer quoi ? Et si une entreprise refusait de se plier aux règles d’une telle autorité ?…



Après, une autre politique pourrait être : «on ne parle pas de la faille tant qu’un patch n’est pas prêt». Ça semble bien, ça arrangerait sans doute l’éditeur, mais en fait c’est une très mauvaise idée. Pourquoi ? Parce que ça veut dire que seul l’éditeur connaît la faille… ainsi que, peut-être, certains hackers qui la gardent pour eux. Ainsi, pendant que l’éditeur croit être dans le secret, qu’il prend bien son temps pour peaufiner son patch, le tester sur différentes configurations, commenter son code… ce qui peut durer indéfiniment, des hackers peuvent exploiter la faille à fond, puisque personne, absolument personne, ne s’en protège -et personne ne peut s’en protéger.



Je ne retrouve plus l’étude que j’avais lue, mais la conclusion en était : si une faille reste «secrète», alors l’éditeur a tendance à mettre beaucoup plus de temps à patcher. Au contraire, si la faille est publique (ou si l’éditeur sait qu’elle sera bientôt rendue publique), alors le patche arrive beaucoup plus vite. De plus, si la faille est divulguée, même sans avoir de patch les utilisateurs peuvent mettre en place des mesures de protection temporaires : règles dans le pare-feu, désactivation d’un service, etc. Ce n’est pas idéal, mais au moins ça évite d’être infecté ou de se faire piquer ses données.



1 jour, 90 jours, 1 an ? La Zero-Day Initiative se donne 4 mois (120 jours) pour divulguer une faille qu’ils auraient trouvé. Qui se trouve derrière ? Hewlett-Packard. Alors c’est mieux que Google, moins bien ?… HP aussi s’arroge ce droit sans aucune légitimité ? Pourquoi personne n’a tapé sur HP ici ?…



Quand des chercheurs en sécurité découvrent une faille, en général ils la rendent publique après un certain temps. Google n’a pas l’exclusivité de cette pratique.



Bref il y a toutes les raisons de divulguer les failles découvertes. Il n’y a pas de système idéal pour la faire, donc pour l’instant les entreprises se préviennent les unes les autres. Parce que même si on dit «bouh Google dévoile la faille au bout de 90 jours !!», on peut aussi voir les choses dans l’autre sens : si la faille était trouvé par quelqu’un d’autre, il pourrait la rendre publique tout de suite. Là, Google prévient l’éditeur en premier lieu, ce qui montre un souci de prévention. De plus ils assouplissent leur règle des 90 jours, ce qui montre une volonté de travailler avec les autres éditeurs, et non de leur nuire.


votre avatar







Konrad a écrit :



Je suis d’accord, je trouve ça limite que Google se permette de dévoiler les failles des autres. Dans l’idéal il faudrait une «autorité» qui décide de la marche à suivre : prévenir l’éditeur, rendre la faille publique ou non…







je suis content que l’on soit d’accord sur le principe “idéal”.







Konrad a écrit :



Mais qui s’occuperait de former une telle autorité ? Qui la financerait ? Qui en ferait partie ? Et leur job ça serait quoi, chercher des failles ? ou simplement les centraliser ? ou décider qui a le droit de divulguer quoi ? Et si une entreprise refusait de se plier aux règles d’une telle autorité ?…





tout est possible, dans l’idéal (imaginé en 5 minutes) ce serait une section de la police qui centraliserait et rechercherait les failles des entreprises qui diffusent leurs services dans le pays. Les failles ne seraient pas diffusés mais un classement selon le nb, l’importance et le temps de patch serait rendu public. Une taxe dont le montant serait évaluer au prorata de la position de l’entreprise dans le classement serai mis en place et financerait le système.





Bref ce n’est pas un vrai problème.







Konrad a écrit :



Après, une autre politique pourrait être : «on ne parle pas de la faille tant qu’un patch n’est pas prêt». Ça semble bien, ça arrangerait sans doute l’éditeur, mais en fait c’est une très mauvaise idée. Pourquoi ? Parce que ça veut dire que seul l’éditeur connaît la faille… ainsi que, peut-être, certains hackers qui la gardent pour eux. Ainsi, pendant que l’éditeur croit être dans le secret, qu’il prend bien son temps pour peaufiner son patch, le tester sur différentes configurations, commenter son code… ce qui peut durer indéfiniment, des hackers peuvent exploiter la faille à fond, puisque personne, absolument personne, ne s’en protège -et personne ne peut s’en protéger.







peut être mais rendre la faille publique ne me semble bien pire, autant laisser les éditeurs faire leur travail.









Konrad a écrit :



Je ne retrouve plus l’étude que j’avais lue, mais la conclusion en était : si une faille reste «secrète», alors l’éditeur a tendance à mettre beaucoup plus de temps à patcher. Au contraire, si la faille est publique (ou si l’éditeur sait qu’elle sera bientôt rendue publique), alors le patche arrive beaucoup plus vite.





a mon sens mieux vaut que la faille reste un peut plus longtemps mais ne soit pas diffusé avant d’être patché, surtout que l’éditeur a surement d’autres problèmes de sécurités urgents.









Konrad a écrit :



De plus, si la faille est divulguée, même sans avoir de patch les utilisateurs peuvent mettre en place des mesures de protection temporaires : règles dans le pare-feu, désactivation d’un service, etc. Ce n’est pas idéal, mais au moins ça évite d’être infecté ou de se faire piquer ses données.







Quand on voit les problèmes de sécurisations dans les entreprises j’ai des doutes.











Konrad a écrit :



1 jour, 90 jours, 1 an ? La Zero-Day Initiative se donne 4 mois (120 jours) pour divulguer une faille qu’ils auraient trouvé. Qui se trouve derrière ? Hewlett-Packard. Alors c’est mieux que Google, moins bien ?… HP aussi s’arroge ce droit sans aucune légitimité ? Pourquoi personne n’a tapé sur HP ici ?…



Quand des chercheurs en sécurité découvrent une faille, en général ils la rendent publique après un certain temps. Google n’a pas l’exclusivité de cette pratique.







je n’était pas au courant pour HP mais je ne trouve pas que c’est d’avantage normal en ce qui les concerne et ça ne justifie rien.







Konrad a écrit :



Bref il y a toutes les raisons de divulguer les failles découvertes. Il n’y a pas de système idéal pour la faire, donc pour l’instant les entreprises se préviennent les unes les autres. Parce que même si on dit «bouh Google dévoile la faille au bout de 90 jours !!», on peut aussi voir les choses dans l’autre sens : si la faille était trouvé par quelqu’un d’autre, il pourrait la rendre publique tout de suite. Là, Google prévient l’éditeur en premier lieu, ce qui montre un souci de prévention. De plus ils assouplissent leur règle des 90 jours, ce qui montre une volonté de travailler avec les autres éditeurs, et non de leur nuire.





je pense que ça montre surtout leur volonté de se justifier.


votre avatar







ar7awn a écrit :



tout est possible, dans l’idéal (imaginé en 5 minutes) ce serait une section de la police qui centraliserait et rechercherait les failles des entreprises qui diffusent leurs services dans le pays. Les failles ne seraient pas diffusés mais un classement selon le nb, l’importance et le temps de patch serait rendu public. Une taxe dont le montant serait évaluer au prorata de la position de l’entreprise dans le classement serai mis en place et financerait le système.







Ouais, tu as raison de dire que c’est imaginé en 5 minutes…



Rechercher des failles informatiques, c’est hyper particulier. Différents chercheurs dans le monde trouvent des failles différentes, dans des logiciels différents. Ces chercheurs peuvent travailler dans des organismes publics (CNRS, Universités…) ou bien chez des acteurs privés (comme Google, HP, mais les autres boîtes aussi ont leurs experts en sécurité : Microsoft, Apple, Facebook…). Comme je le disais, quand ils trouvent une faille dans un logiciel ou un service, en général ils en avertissent l’éditeur, et passé un certain délai ils publient. Il n’y a pas que Google et HP qui font ça : publier ça fait partie de la recherche.



Tu crois vraiment que c’est réaliste, et si simple que ça, de dire : tous ces gens-là arrêtent, et on met en place une autorité qui recherche les failles ? Ou alors, on met en place une cellule de la police, et tous les chercheurs en sécurité (publics ou privés) doivent se plier à ces règles ?



Tu parles de la «police» comme si on pouvait mettre ça en France, ou en Europe. on parle de logiciels utilisés dans le monde entier. Certains chercheurs qui dévoilent des failles se situent en Chine, ou dans d’autres pays qui se tamponneraient le coquillard d’une «autorité», fût-elle internationale. Comment tu résous ce problème ?



Et moi je vais te poser un autre problème : admettons qu’on ne presse pas les éditeurs, que chaque éditeur puisse prendre tout son temps pour mettre au point des patches. Si un éditeur est au courant d’une faille, et qu’il met des années à la patcher, qui le punit ? Là aussi il faudrait une «autorité» qui surveillerait ça ? Mais le problème c’est que justement, seul l’éditeur est au courant de la faille, donc pas l’autorité. Comment pourrait-elle agir alors qu’elle n’est pas au courant de la faille ?…



Plusieurs experts en sécurité le disent : garder les failles secrètes chez l’éditeur, ça n’est jamais une bonne idée. Il faut une pression extérieure pour que l’éditeur soit motivé à sortir un patch, sinon il laisse couler. Que cette pression soit exercée par une «autorité» légitime, ou bien qu’elle soit exercée par des chercheurs publics ou privés (ou une autre entreprise), ça importe peu. L’important est de patcher rapidement.


votre avatar







Konrad a écrit :



Ouais, tu as raison de dire que c’est imaginé en 5 minutes…



Rechercher des failles informatiques, c’est hyper particulier. Différents chercheurs dans le monde trouvent des failles différentes, dans des logiciels différents. Ces chercheurs peuvent travailler dans des organismes publics (CNRS, Universités…) ou bien chez des acteurs privés (comme Google, HP, mais les autres boîtes aussi ont leurs experts en sécurité : Microsoft, Apple, Facebook…). Comme je le disais, quand ils trouvent une faille dans un logiciel ou un service, en général ils en avertissent l’éditeur, et passé un certain délai ils publient. Il n’y a pas que Google et HP qui font ça : publier ça fait partie de la recherche.



Tu crois vraiment que c’est réaliste, et si simple que ça, de dire : tous ces gens-là arrêtent, et on met en place une autorité qui recherche les failles ? Ou alors, on met en place une cellule de la police, et tous les chercheurs en sécurité (publics ou privés) doivent se plier à ces règles ?



Tu parles de la «police» comme si on pouvait mettre ça en France, ou en Europe. on parle de logiciels utilisés dans le monde entier. Certains chercheurs qui dévoilent des failles se situent en Chine, ou dans d’autres pays qui se tamponneraient le coquillard d’une «autorité», fût-elle internationale. Comment tu résous ce problème ?



Et moi je vais te poser un autre problème : admettons qu’on ne presse pas les éditeurs, que chaque éditeur puisse prendre tout son temps pour mettre au point des patches. Si un éditeur est au courant d’une faille, et qu’il met des années à la patcher, qui le punit ? Là aussi il faudrait une «autorité» qui surveillerait ça ? Mais le problème c’est que justement, seul l’éditeur est au courant de la faille, donc pas l’autorité. Comment pourrait-elle agir alors qu’elle n’est pas au courant de la faille ?…



Plusieurs experts en sécurité le disent : garder les failles secrètes chez l’éditeur, ça n’est jamais une bonne idée. Il faut une pression extérieure pour que l’éditeur soit motivé à sortir un patch, sinon il laisse couler. Que cette pression soit exercée par une «autorité» légitime, ou bien qu’elle soit exercée par des chercheurs publics ou privés (ou une autre entreprise), ça importe peu. L’important est de patcher rapidement.







il faudrait arrêter un peut avec la stratégie du “c’est trop compliqué” pour tirer un trait sur une réforme ou un principe moral. avec ça moi aussi je peut justifier n’importe quoi.





je t’invite d’ailleurs plutôt que caricaturer mon propos a relire attentivement mon début d’idée qui, s’il a en effet été posté en 5 minutes, a le mérite de déjà répondre a certaines questions.



Par exemple j’ai exposé le fait que le contrôle ne devrait pas se faire dans le pays du siège social de l’éditeur mais dans le pays ou le service est commercialisé.

j’ai évoquer aussi la mise en place d’un principe type “pollueur payeur” qui aurai le mérite de contraindre les entreprises, en plus d’un classement publique.



Et au contraire je n’ai jamais demandé a ce que les entreprises arrêtent de rechercher des failles, seulement a ce qu’elles ne diffusent pas publiquement des failles exploitables a tous les hackers de la planète. L’important est quand même de garantir un maximum de sécurité pour les utilisateurs.


votre avatar







ar7awn a écrit :



L’important est quand même de garantir un maximum de sécurité pour les utilisateurs.







Là-dessus, on est d’accord. En revanche on n’est pas d’accord sur la façon de garantir cette sécurité.



Selon toi, les failles ne devraient pas être divulguées, et l’éditeur devrait avoir le temps de patcher. Divulguer la faille, c’est offrir aux hackers la chance de développer des virus, troyens, etc. exploitant cette faille.



Selon moi, la divulgation d’une faille accélère la production d’un patch. Il est bénéfique pour les utilisateurs d’avoir un patch rapidement, donc il est bénéfique que la faille soit divulguée. Parmi les éditeurs de logiciels libres, les failles sont divulguées rapidement, les patches sont développés rapidement, et il ne me semble pas qu’ils soient la cible de davantage d’attaques. Moi, ça ne me choque pas que les failles soient divulguées : dans un monde où tout va trop vite (faille trouvée, puis colmatée en quelques jours), les hackers ont moins de temps pour développer des vers et virus ciblant ladite faille. La fenêtre d’attaque est plus courte, les utilisateurs sont vulnérables moins longtemps. Au contraire quand l’éditeur garde la faille pour lui et croit être le seul à la connaître, ça peut mal se terminer, cf le lien qu’a donné Atomsk à propos de la faille dans IE que Microsoft connaissait depuis septembre sans la patcher, et qui a été effectivement exploitée par des hackers -Microsoft n’était donc pas le seul à connaître cette faille.



Alors, faut-il divulguer les failles ou pas ? Il me semble que la question n’est pas tranchée même parmi les experts en sécurité, donc je ne m’attends pas à ce qu’on la résolve ici. Disons qu’on a des points de vue différents sur la question.


votre avatar







Konrad a écrit :



Là-dessus, on est d’accord. En revanche on n’est pas d’accord sur la façon de garantir cette sécurité.



Selon toi, les failles ne devraient pas être divulguées, et l’éditeur devrait avoir le temps de patcher. Divulguer la faille, c’est offrir aux hackers la chance de développer des virus, troyens, etc. exploitant cette faille.



Selon moi, la divulgation d’une faille accélère la production d’un patch. Il est bénéfique pour les utilisateurs d’avoir un patch rapidement, donc il est bénéfique que la faille soit divulguée. Parmi les éditeurs de logiciels libres, les failles sont divulguées rapidement, les patches sont développés rapidement, et il ne me semble pas qu’ils soient la cible de davantage d’attaques. Moi, ça ne me choque pas que les failles soient divulguées : dans un monde où tout va trop vite (faille trouvée, puis colmatée en quelques jours), les hackers ont moins de temps pour développer des vers et virus ciblant ladite faille. La fenêtre d’attaque est plus courte, les utilisateurs sont vulnérables moins longtemps. Au contraire quand l’éditeur garde la faille pour lui et croit être le seul à la connaître, ça peut mal se terminer, cf le lien qu’a donné Atomsk à propos de la faille dans IE que Microsoft connaissait depuis septembre sans la patcher, et qui a été effectivement exploitée par des hackers -Microsoft n’était donc pas le seul à connaître cette faille.



Alors, faut-il divulguer les failles ou pas ? Il me semble que la question n’est pas tranchée même parmi les experts en sécurité, donc je ne m’attends pas à ce qu’on la résolve ici. Disons qu’on a des points de vue différents sur la question.





<img data-src=" /> accordons nous sur un désaccord


votre avatar







Glyphe a écrit :



La sécurité par l’obscurité n’est qu’une illusion.





Pourtant ça marche plutôt bien avec les logiciels open source datant des années 80 et qui ont jamais été réécrit <img data-src=" />


votre avatar







Konrad a écrit :



Selon moi, la divulgation d’une faille accélère la production d’un patch…





C’est une simplification assez rapide de défendre le fait que la divulgation boostera les neurones des colmateurs de failles. Et dans l’absolu je ne partage pas non plus l’idée que le fait de donner les détails d’une faille non corrigée puisse apporter plus de sécurité à l’utilisateur (toujours dans l’hypothèse d’une correction plus rapide).



Tout dépend de la complexité des corrections, on peut pas toujours faire de rapport avec les logiciels libre, si “le monde du libre” arrive toujours à corriger rapidement toutes les failles dévoilées tant mieux pour eux, mais je suis pas certains que l’on puisse faire de comparaisons uniquement avec ce qui est visible dans chacun des cas, il faut aussi voir la dangerosité ou l’importance de la faille, le nombre de bug a corrigés également.



&nbsp;


votre avatar

Merci <img data-src=" />

Il y en a beaucoup ici qui ne comprennent pas ça.

votre avatar







after_burner a écrit :



C’est une simplification assez rapide de défendre le fait que la divulgation boostera les neurones des colmateurs de failles. Et dans l’absolu je ne partage pas non plus l’idée que le fait de donner les détails d’une faille non corrigée puisse apporter plus de sécurité à l’utilisateur (toujours dans l’hypothèse d’une correction plus rapide).



Tout dépend de la complexité des corrections, on peut pas toujours faire de rapport avec les logiciels libre, si “le monde du libre” arrive toujours à corriger rapidement toutes les failles dévoilées tant mieux pour eux, mais je suis pas certains que l’on puisse faire de comparaisons uniquement avec ce qui est visible dans chacun des cas, il faut aussi voir la dangerosité ou l’importance de la faille, le nombre de bug a corrigés également.





Rien sur le volet économique ? Il n’y a que le volet technique qui détermine le temps que met un fournisseur à résoudre un problème ?


votre avatar

Je pense que ces “90 jours” ont été étudiés. Preuve en est, la majorité des correctifs sortent dans ce laps de temps.

votre avatar







after_burner a écrit :



C’est une simplification assez rapide de défendre le fait que la divulgation boostera les neurones des colmateurs de failles. Et dans l’absolu je ne partage pas non plus l’idée que le fait de donner les détails d’une faille non corrigée puisse apporter plus de sécurité à l’utilisateur (toujours dans l’hypothèse d’une correction plus rapide).





Le problème c’est pas le cerveau des colmateurs de failles. C’est ceux qui prenne la décision d’y alouer des ressources qu’il faut booster.


votre avatar

Google devrait leur laisser 12 mois




  • les éditeurs auront le temps de mettre leurs patchs

  • les hackers auront le temps de les exploiter

  • l’utilisateur auront les temps de euh ? Se faire <img data-src=" />



    Comme ça tout le monde sera content.

votre avatar

Et ça donnera aux utilisateurs une bonne raisons de racheter un PC avec un OS tout neuf.

votre avatar

Ca existe dejà cette politique. Ca s’appelle Android <img data-src=" />

votre avatar

Tu pourrais rendre hommage aux véritables créateurs de ce modèle. <img data-src=" />

votre avatar







Jed08 a écrit :



Ca existe dejà cette politique. Ca s’appelle les constructeurs qui font de l’Android <img data-src=" />





<img data-src=" /> parce que les failles sont corrigés par Google quand elles apparaissent&nbsp;<img data-src=" />


votre avatar

Au passage, si on a un chouilla d’honnêteté &nbsp;intellectuelle, c’est même exactement le contraire du Modèle Android … tous les correctifs sont montrés au grand jours, les failles sont annoncés, dans les temps, le souci c’est les constructeurs qui ne font pas l’effort … Et encore une fois ce “modèle” devrait pousser l’utilisateur a se plaindre au constructeur … et à la place ? tout le monde fout ça sur le dos de Google&nbsp;<img data-src=" />

votre avatar







Khalev a écrit :



Le problème c’est pas le cerveau des colmateurs de failles. C’est ceux qui prenne la décision d’y alouer des ressources qu’il faut booster.





Ces décisions peuvent dépendre de l’importance de la faille. Forcément en dévoilant son exploitation au grand jour, ça lui donne de l’importance.



Mais bon dans les 2 positions (divulguer ou garder secret), il y a à chaque fois la possibilité que que la “sécurité” soit renforcée ou non renforcée.



<img data-src=" />


votre avatar







philanthropos a écrit :



&nbsp;Les entreprises ont des experts en sécurité, des administrateurs réseaux, une communication privilégiée et spécifique avec les gros éditeurs, etc.

&nbsp;







  1. Non. Certaines très grosses entreprises ont des experts en sécurité. Le reste ont un responsable de la sécurité qui doit embaucher des prestataires pour faire le boulot, voir pas de responsable sécu tout court.

  2. Les admins réseau ne sont pas des experts en sécu.


votre avatar







Jed08 a écrit :



Quelle solution de contournement ? Non parce que quand Google publie une faille, il donne pas de solution de contournement, tu dois te démerder tout seul avec les risques que ça représente.





Ce n’est pas par ce qu’une faille existe qu’elle est systématiquement exploitable par n’importe qui n’importe comment. Tout dépend de la faille.

 





Jed08 a écrit :



Alors ça c’est la meilleure !

Une faille 0-day c’est une vulnérabilité contre laquelle il n’existe pas encore de quelconque moyen de protection. Alors oui, on peut supposer que si on peut pas s’en protéger alors d’autres les utilisent déjà, mais à ce moment là on est tous dans la merde !





Si tu le dis.


votre avatar







shadowfox a écrit :



Qu’est ce qu’il se passe Google ?&nbsp;Vous avez un peu de caca sur vous et il fallait l’enlever ? <img data-src=" />





Ou une faille 0-day sur chrome/android/autres trucs google et il faut une petite 15 aines pour finir <img data-src=" />


votre avatar



La politique de Google, c’est d’abord de prévenir l’éditeur que cette

faille existe (mais sans la rendre publique). Sur ce point je ne vois

pas trop ce qu’il y a à reprocher. La course contre la montre commence :

la faille est connue, ça veut dire qu’elle peut être exploitée par des

hackers, il est donc urgent de patcher.





Donc au bout de 90 jours, tu trouves normal que Google balance publiquement la vulnérabilité, le PoC pour la tester (dont potentiellement un outil pour exploiter cette faille) sans donner aucunes mesures de sécurité, ni aucun conseil permettant de limiter son exploitation ?



Ensuite, “la faille est connue, ça veut dire qu’elle peut être exploitée par des hackers”.

La faille est connue de Google et l’éditeur uniquement. Rien ne prouve qu’elle ait déjà été exploitée, ni qu’elle soit même connue des hackers.

Donc la solution de publier la vulnérabilité, avec un PoC, sans donner la moindre recommandation pour se protéger et se laver les mains de toute responsabilité, ce n’est pas correct.

votre avatar

90 jours c’est pas mal, avec les nouvelles dispositions ça semble fort raisonnable. C’est justement par ce qu’il n’est pas possible de savoir qui connaît le problème qu’il est urgent d’agir.

votre avatar







Konrad a écrit :



Pourquoi rendre la faille publique ? Ça permet aux utilisateurs avertis et aux admins système de faire le nécessaire pour se protéger de l’exploitation de cette faille : règles dans le pare-feu, désinstallation d’une mise à jour si c’est elle qui a introduit la faille, désactivation d’un service, etc.





Faire le nécessaire ? On ne modifie pas la configuration du SI d’une grande entreprise comme celle d’une start-up.

Je prends un exemple tout con, une vulnérabilité système tu la corrige comment ?

Tu désactives l’ASLR quand c’est lui qui est en cause ?







TaigaIV a écrit :



Ce n’est pas par ce qu’une faille existe qu’elle est systématiquement exploitable par n’importe qui n’importe comment. Tout dépend de la faille.

&nbsp;





Google fournissant un PoC pour tester automatiquement si tu es vulnérable ou non, il donne un moyen d’exploiter la faille. Il suffit de reprendre le script de le modifier et tu peux l’exploiter…


votre avatar

si, elle l’a corrigé : passer à la version supérieure. Tu peux maintenant appeller ton OEM ( qui a toutes les infos nécessaire) qui est responsable de cette mise à jour

votre avatar

J’ai l’impression qu’on parle pas de la même chose. Je reproche pas à Google de publier les vulnérabilités au bout de 90 jours (bien que je trouve abuser le coup de : on la publie un dimanche 2 jour avant la publication d’un patch).

Je trouve que c’est abusé de publier la vulnérabilité, avec un outil permettant de l’exploiter, sans donner aucune recommandation permettant de limiter les dégâts.

votre avatar

Non la faille n’est pas corrigé, ils ont juste remplacé la techno dans la version suivante.

Mais sur cette histoire Google est très bête. Corriger la faille ne leur couterait presque rien, et après ils ont juste à rebalancer la responsabilité sur les OEM en disant que le reste ne dépend que d’eux.

votre avatar

HS



Note pour plus tard:



“penser à écrire un launcher qui affiche un rapport des vulnérabilités connues et non patchées sur un logiciel au moment de son lancement.”



Exemple: securestart /CERT /ZDI firefox.exe



/HS

votre avatar

Et en ‘bidouillant le script’ tu vas réussir à l’exploiter dans des cas où il n’est pas possible de le faire ?

votre avatar

En fait tu ne parles pas du cas de la news ?

votre avatar

Non, mais entre connaître l’existence d’une vulnérabilité et trouver le moyen de l’exploiter, il y a une différence !

Donner les deux aux attaquants sans donner de conseils aux défenseurs, c’est pas très logique quand on se dit du côté des utilisateurs

votre avatar

Hein ? Non.

J’ai jamais évoqué le moindre cas particulier dans mes commentaires.

Je commentais juste une remarque soulevée par MS et reprise par Vincent : “Une fois que Google a publié la faille, qu’est ce qui se passe ?”

votre avatar







Jed08 a écrit :



Faire le nécessaire ? On ne modifie pas la configuration du SI d’une grande entreprise comme celle d’une start-up.

Je prends un exemple tout con, une vulnérabilité système tu la corrige comment ?

Tu désactives l’ASLR quand c’est lui qui est en cause ?





C’est marrant on a un cas pas mal en ce moment avec KB3013455 qui bousille l’affichage avec certaines police et sur answer.microsoft.com on conseil de la désinstaller pour palier au problème (sans prévenir des risques encourus, à croire que la patch a été publié simplement pour casser les pieds des utilsiateurs).


votre avatar

Qu’est ce qu’il se passe Google ?&nbsp;Vous avez un peu de caca sur vous et il fallait l’enlever ? <img data-src=" />

votre avatar



L’objectif est toujours le même&nbsp;: prévenir les utilisateurs.



En même temps:

&nbsp;99,999% des utilisateurs s’en tapent et n’y comprennent rien

&nbsp;50% des hackers mal-attentionnés sont potentiellement intéressés



Et une fois publié, potentiellement tous les utilisateurs ont une chance de plus d’être attaqués, sans pour autant pouvoir riposter.

votre avatar

Tout le résumé de l’absurde de la situation est là :



“il s’agit d’une frontière fixée et parfaitement publique, apte à faire comprendre aux éditeurs que les brèches doivent être corrigées au plus vite. Les 90 jours eux-mêmes se trouvent pour la firme à mi-chemin entre les 45 jours du CERT et les 120 jours de la Zero Day Initiative.” 






      Toute la problématique d'une "injonction de faire" de la part d'une entreprise privée, sans avoir la main sur le projet, et en se dédouanant de tout ce qui pourrait arriver si on ne respecte pas ses règles.




Et puis le “apte à faire comprendre aux éditeurs”, ça c’est trop fort. Tant qu’à faire, la prochaine fois autant envoyer leur propres ingénieurs faire le travail à la place des autres vu que ça prend tant de temps.



Don’t be evil <img data-src=" />

votre avatar



En outre, que faire une fois la situation connue&nbsp;?





C’est précisément la question qui me tracassait le plus.

Google est bien gentil de vouloir forcer les éditeurs à se bouger le cul pour sortir des patchs plus vite, mais jusqu’à présent, quand une vulnérabilité était publiée j’ai jamais vu en quoi c’était bon pour l’utilisateur :S

votre avatar

La majorité du temps, c’est juste de la com’ pour taper sur la concurrence, rien de plus malheureusement.

votre avatar

Par ce qu’il peut essayer d’appliquer une solution de contournement en attendant ? Par ce qu’il peut espérer être protéger à plus ou moins court terme des gens qui connaissaient la faille mais ne l’avaient pas publiée ?

votre avatar







TaigaIV a écrit :



Par ce qu’il peut essayer d’appliquer une solution de contournement en attendant ? Par ce qu’il peut espérer être protéger à plus ou moins court terme des gens qui connaissaient la faille mais ne l’avaient pas publiée ?






  Dis-donc, tu parle pour les 0.1 % de particuliers qui savent le faire, on est bien d'accord hein ?&nbsp;:yes:  







 La publication d'une faille en court de correction est, au mieux, de l'irresponsabilité indigne de développeurs, au pire, un comportement très dangereux.       







 Après, c'est différent si la boite en face te dis "Cette faille ? Lol, rien à foutre !".

votre avatar

Source ?



Finalement tu ajoutes quelques conditions, c’est un peu mieux que la version générique “publié une faille c’est le mal”. En attendant la non publication n’est absolument pas une forme de protection.

votre avatar

Parce que évidemment les entreprises ne sont jamais inquiétées par les hackers ?

votre avatar

on parle de faille 0-day, donc de failles qui sont de toute façon déjà exploitées. les rendre publiques (ou menacer de les rendre publiques ) n’a pour conséquence que de faire réagir l’éditeur, ce qui est bénéfique pour le consommateur sur le long terme.

votre avatar







TaigaIV a écrit :



Source ?






   Source de quoi ? Des 0.1 % de particulier ? C'est de la mauvaise foi ou tu le fais exprès ? C'est gentil de demander de sourcer à chaque fois que quelques chose va pas dans son sens, mais faut quand même être réaliste :transpi:  


   &nbsp;         


   Tu sais très bien que c'est une donnée au pif, comme tu sais très bien que ta voisine Irêne, 32 ans aux 35 h avec un mari et 2 gamins va te dire "heiiin ?" quand tu vas commencer la phrase "Y'a une faille zero day ...".         







   &nbsp;






CryoGen a écrit :



Parce que évidemment les entreprises ne sont jamais inquiétées par les hackers ?






    Les entreprises ont des experts en sécurité, des administrateurs réseaux, une communication privilégiée et spécifique avec les gros éditeurs, etc.         


 &nbsp;       


   Rien à voir avec le particulier lambda qui comprend pas ce qu'est la pile TCP/IP (au pif hein).   







 Alors évidement, nous on est au milieu et on se demande quoi faire, mais dans le cas où une faille est en court de colmatage, je ne vois aucune raison de la publier à part pour "buzzer" et taper sur le voisin.

votre avatar







philanthropos a écrit :



Les entreprises ont des experts en sécurité, des administrateurs réseaux, une communication privilégiée et spécifique avec les gros éditeurs, etc.

  



Rien à voir avec le particulier lambda.








Toutes les entreprises ne bénéficient pas d’autant d’expertise, mais on bien souvent un service informatique assez compétant pour patcher ou mettre en place des solutions pour résoudre temporairement le problème.







philanthropos a écrit :



Alors évidement, nous on est au milieu et on se demande quoi faire, mais dans le cas où une faille est en court de colmatage, je ne vois aucune raison de la publier à part pour “buzzer” et taper sur le voisin.





Perso j’aime bien savoir si je suis en mode gruyère… On a déjà vu des failles non connue être exploité alors ca pourrait très bien recommencer (si je n’ai déjà le cas).


votre avatar







philanthropos a écrit :



Source de quoi ? Des 0.1 % de particulier ? C’est de la mauvaise foi ou tu le fais exprès ? C’est gentil de demander de sourcer à chaque fois que quelques chose va pas dans son sens, mais faut quand même être réaliste <img data-src=" />

 

Tu sais très bien que c’est une donnée au pif, comme tu sais très bien que ta voisine Irêne, 32 ans aux 35 h avec un mari et 2 gamins va te dire “heiiin ?” quand tu vas commencer la phrase “Y’a une faille zero day …”.







Tu parles de la partie des utilisateurs qui n’ont pas besoin de failles pour avoir des problèmes de sécurité ? Moi aussi je peux les instrumentaliser pour dire que la publication des failles ne change fondamentalement pas grand chose à leurs problèmes ?







philanthropos a écrit :



Les entreprises ont des experts en sécurité, des administrateurs réseaux, une communication privilégiée et spécifique avec les gros éditeurs, etc.

 

Rien à voir avec le particulier lambda.



Alors évidement, nous on est au milieu et on se demande quoi faire, mais dans le cas où une faille est en court de colmatage, je ne vois aucune raison de la publier à part pour “buzzer” et taper sur le voisin.







Par ce qu’il est parfois possible de prendre des mesures préventives même si la faille n’est pas colmatée. Ça permet d’avoir une idée de la réactivité d’un fournisseur (sans la publication tu n’as peu de chances de savoir qu’une boite à mis 1 an pour combler un problème critique). Tu peux le prendre pour du buzz, ce n’est pas mon cas.


votre avatar

Et parmis ces 0.01% des utilisateurs il y a 90% des DSI des boites “ciblés par les hacker” qui aimentaient bien être mis au jus des risques qu’ils encourrent :



Exemple :

http://www.zdnet.com/article/microsoft-knew-of-ie-zero-day-flaw-since-last-septe…



Faille exploitée pour hacker de nombreuses boites, dont -entre autres- Google justement&nbsp;<img data-src=" />

votre avatar







TaigaIV a écrit :



Par ce qu’il peut essayer d’appliquer une solution de contournement en attendant ?





Quelle solution de contournement ? Non parce que quand Google publie une faille, il donne pas de solution de contournement, tu dois te démerder tout seul avec les risques que ça représente.



&nbsp;





geekounet85 a écrit :



on parle de faille 0-day, donc de failles qui sont de toute façon déjà exploitées.





Alors ça c’est la meilleure !

Une faille 0-day c’est une vulnérabilité contre laquelle il n’existe pas encore de quelconque moyen de protection. Alors oui, on peut supposer que si on peut pas s’en protéger alors d’autres les utilisent déjà, mais à ce moment là on est tous dans la merde !


votre avatar







Jed08 a écrit :



C’est précisément la question qui me tracassait le plus.

Google est bien gentil de vouloir forcer les éditeurs à se bouger le cul pour sortir des patchs plus vite, mais jusqu’à présent, quand une vulnérabilité était publiée j’ai jamais vu en quoi c’était bon pour l’utilisateur :S







Il s’agit de failles 0-day = exploitables en l’état et non colmatées.



La politique de Google, c’est d’abord de prévenir l’éditeur que cette faille existe (mais sans la rendre publique). Sur ce point je ne vois pas trop ce qu’il y a à reprocher. La course contre la montre commence : la faille est connue, ça veut dire qu’elle peut être exploitée par des hackers, il est donc urgent de patcher.



Ensuite, si l’éditeur n’a toujours pas fourni de patch dans les 90 jours, Google rend la faille publique. Je veux bien admettre qu’on tergiverse sur la durée, mais 90 jours (3 mois !!) ça me paraît déjà long, considérant que tous les utilisateurs sont vulnérables. Dans le cas de Microsoft qui publie ses patches une fois par mois (patch Tuesday), ça veut dire qu’ils ratent trois fois le coche pour patcher une faille connue. Sans compter qu’ils peuvent aussi publier un patch en dehors de ce cycle (ça s’est déjà vu).



Pourquoi rendre la faille publique ? Ça permet aux utilisateurs avertis et aux admins système de faire le nécessaire pour se protéger de l’exploitation de cette faille : règles dans le pare-feu, désinstallation d’une mise à jour si c’est elle qui a introduit la faille, désactivation d’un service, etc. Alors oui, on peut toujours dire que l’immense majorité des Michu ne suivra rien de tout ça et sera bien incapable de s’en prémunir, mais au moins les utilisateurs avertis (parmi lesquels les entreprises) pourront agir.



Clairement, la publication met aussi l’éditeur devant le fait accompli, et l’incitera davantage à patcher. Il a déjà été montré que les éditeurs patchent beaucoup plus rapidement les failles lorsqu’elles sont publiques (que ce soit dans l’Open Source ou chez les éditeurs propriétaires). En gros quand la faille n’est connue que de l’éditeur, ils ne se pressent pas à patcher car ils estiment que la faille n’est pas connue par d’autres et ne peut pas être exploitée.



Bref, Google a raison d’assouplir ses règles et travailler en meilleure intelligence avec les éditeurs : si un patch est effectivement en cours de développement, c’est con de publier la faille 2 jours avant le patch… Mais je trouve que globalement c’est bien que les éditeurs aient cette épée de Damoclès au-dessus de la tête : dépêchez-vous de patcher sinon la faille sera rendue publique et votre réputation en prendra un coup.


votre avatar







Konrad a écrit :



&nbsp;

&nbsp;&nbsp;

Ensuite, si l’éditeur n’a toujours pas fourni de patch dans les 90 jours, Google rend la faille publique. Je veux bien admettre qu’on tergiverse sur la durée, mais 90 jours (3 mois !!) ça me paraît déjà long, considérant que tous les utilisateurs sont vulnérables. Dans le cas de Microsoft qui publie ses patches une fois par mois (patch Tuesday), ça veut dire qu’ils ratent trois fois le coche pour patcher une faille connue. Sans compter qu’ils peuvent aussi publier un patch en dehors de ce cycle (ça s’est déjà vu).&nbsp;



&nbsp;

Qu’est ce qui te permet de dire que 90 jours sont suffisants pour patcher un OS utilisé par plus d’un milliard de&nbsp;personnes sur la planète et pour lequel il existe plusieurs versions et plusieurs variantes ? Windows c’est un produit tentaculaire, tu retrouves des bouts de code de Windows dans de très nombreux produits (Windows CE, Windows Phone, Xbox, Windows Server, etc.). Pour peu que la faille touche une partie essentielle de l’OS que l’on retrouve dans tous ces produits et on peut facilement imaginer qu’il faille du temps pour la corriger partout. Pareil pour un produit comme Internet Explorer : il arrive que l’on découvre encore des failles qui remontent à IE6, je te laisse imaginer le nombre de versions qu’il faut patcher sur combien d’OS différents (de mémoire il me semble que c’est arrivé peu après la fin de la période de support de Windows XP, mais Microsoft a quand même patché la faille sur Windows XP).



Google est dans une situation très différente, il sort une nouvelle version Android sans la faille et s’en lave les mains tout en sachant très bien que derrière rien ne suivra (les constructeurs et les opérateurs essentiellement) et que 6 mois plus tard il n’y aura que 0,5% du parc Android mondial qui sera passé à la nouvelle version.


votre avatar

Au moins ils sont au courant et pourront espérer trouver une solution, ça me semble bien préférable à avoir le problème sans le savoir.

votre avatar

Je suis pas sûr qu’espérer que l’éditeur trouve une solution avant les hackeurs, sans rien pouvoir y faire, soit une situation très confortable ^^”

Ce serait un peu comme faire un audit de sécurité, et de ne proposer aucunes recommandations pour les vulnérabilités détectées, et de dire : voilà maintenant démerdez vous.

votre avatar

Depuis qu’ils ont frôlé la faillite et réduit l’équipe à deux personnes il est très difficile pour MS d’assurer la maintenance des produits non obsolètes qu’ils ont vendus.

votre avatar

C’est sur que si tu parts du principe que sans l’éditeur tu ne peux rien faire, c’est perdu d’avance.

votre avatar

Tu as déjà vu comment fonctionnait un grand groupe ? À lire, tes réflexions, tu parles de MS comme si c’était une PME et que Windows était utilisé par un millier de personnes.

votre avatar

Vas expliquer ça aux boites qui se sont fait hacker à cause de cette faille :&nbsphttp://www.zdnet.com/article/microsoft-knew-of-ie-zero-day-flaw-since-last-septe…

votre avatar

Il y a des problèmes qui n’ont pas forcément de solution super pratique.



&nbsp;Une vulnérabilité dans Flash, tu fais quoi en attendant le patch ?

Tu demandes à tous tes employés de ne pas utiliser Flash ? Tu fais désactiver Flash de force sur tous les postes ?

Une vulnérabilité dans le kernel windows : tu fais quoi en attendant le patch ?

Une vulnérabilité dans le firmware des routeurs ? Je suis pas sûr qu’interdire les flux vers ces routeurs soit très malin.



&nbsp;

votre avatar

Tout dépend des cas, il n’y a pas de réponse génériques aux cas que tu présentes, mais ça ne veux pas dire qu’il n’y a pas de réponse au cas par cas, parfois tu ne peux rien faire à part regretter d’avoir choisi la solution qui pose un problème.

votre avatar







Jed08 a écrit :



Faire le nécessaire ? On ne modifie pas la configuration du SI d’une grande entreprise comme celle d’une start-up.







Donc tu admets que la publication de la faille pourrait au moins servir aux start-ups ?

Agiter un cas particulier (le SI d’une grande entreprise) ne réfute pas mon argumentation.









Pr. Thibault a écrit :



Qu’est ce qui te permet de dire que 90 jours sont suffisants pour patcher un OS utilisé par plus d’un milliard de personnes sur la planète et pour lequel il existe plusieurs versions et plusieurs variantes ?







Il existe d’autres codes qui sont utilisés par plus d’un milliard de personnes sur la planète, qui existent en plusieurs variantes, et qui doivent supporter plein de hardwares différents (je te laisse le soin de chercher de quel type de code je parle). Et pourtant quand une faille est découverte et que les développeurs sont mis au courant, elle est souvent patchée en l’espace de quelques jours. C’est là-dessus que je me base pour dire que 90 jours devrait être suffisant.


votre avatar

Mais punaise il y a des gens qui le font exprès ici ou quoi ? <img data-src=" />



Il à été dit et répéter plusieurs fois que si cette faille n’avait pas été corrigé sous les 90 jours c’est que suite aux passage en test elle&nbsp;a généré des bug sous jacent (comme la KB3013455 par exemple …. qui m’a valu un nombre incalculable d’appel et de temps de perdu avant d’en trouver l’origine. explication ici :



http://windowsitpro.com/msrc/patch-tuesday-font-corruption-kb3013455&nbsp;).&nbsp;La où je rejoins c’est si Microsoft avais dit : “Rien a foutre de cette faille on la patchera quand on aura envie” là évidemment vous auriez pu tirer à boulet rouge. Mais là on parle bien de la mise en ligne des infos d’exploitation de la faille 2 jours avant la descente du correctif et qui plus est un Dimanche … Sérieux le mec de chez Google qui à valider la publication est un sombre imbécile ou son chef de service ou encore au dessus !&nbsp;&nbsp;

votre avatar







atomusk a écrit :



Vas expliquer ça aux boites qui se sont fait hacker à cause de cette faille :&#160http://www.zdnet.com/article/microsoft-knew-of-ie-zero-day-flaw-since-last-septe…







Concernant KB3013455, les problèmes ne touchent pas toutes les versions, il faut croire que certains ont droit à un peu plus de qualité que d’autres. J’ai l’impression de revenir 10 ans en arrière.


votre avatar

Les gens ici qui critiquent Google et qui ne trouvent pas ça choquant de prendre plus de 3 mois pour combler une faille critique … Je sais pas trop comment vous avez appris à dev mais quand y’a une faille majeur, on arrête de dev qu’on fait et on met toute la team dessus … Sinon vous méritez qu’on publie vos bugs et qu’on vous chie dans la bouche. Je vois pas d’autres alternatives perso …

votre avatar

Si t’as pas assez de temps pour combler une faille majeure sans mettre le souk dans la merde qui leur sert de code, ils ont qu’à embaucher. Il parait qu’ils ont fait de bons bénéfices dernièrement, ça leur ferait un poste d’investissement …

votre avatar







Glyphe a écrit :



Si t’as pas assez de temps pour combler une faille majeure sans mettre le souk dans la merde qui leur sert de code, ils ont qu’à embaucher. Il parait qu’ils ont fait de bons bénéfices dernièrement, ça leur ferait un poste d’investissement …





Ha tu as vu le codes sources de Windows toi ? Une boite qui comporte plus de 100 000 employés et je ne sais pas en % ce que représente les devs va tous les affecter aux résolutions de faille on va rigoler ….



Sérieux comparé une PME de 50 à 100 employés ou effectivement tu peux rediriger de la force, à une multinationale fallait le sortir …



Je vois pas en quoi trois mois c’est trop long vu le parc de machines que couvre Microsoft m’enfin bon je vais pas insister on va me traiter de fan boy ensuite <img data-src=" />


votre avatar







TaigaIV a écrit :



Concernant KB3013455, les problèmes ne touchent pas toutes les versions, il faut croire que certains ont droit à un peu plus de qualité que d’autres. J’ai l’impression de revenir 10 ans en arrière.



&nbsp;



Oui c’est pas faux, encore que, est-ce vraiment&nbsp;du bug qui n’a pas été aperçu en phase de test et je le&nbsp;pense tellement il est marginale, dans le sens&nbsp;ou&nbsp;il faut utiliser la police Arial.&nbsp; Ou est-ce un bug intégrer volontairement pour faire chier les users de ses plateformes pour les forcer&nbsp;à migrer. On ne le saura jamais malheureusement mais p* qu’est que je me suis pris la tête avec cette KB de merde <img data-src=" />.


Failles 0-day : Google assouplit son Project Zero pour éviter les frictions

  • Un calendrier aveugle qui a provoqué des frictions

  • Google assouplit sa politique avec des règles « évidentes »

Fermer