Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Windows : une faille 0day rendue publique par un ingénieur de chez Google

Au moins, Microsoft est au courant

Windows : une faille 0day rendue publique par un ingénieur de chez Google

Le 23 mai 2013 à 16h05

Microsoft, comme la grande majorité des entreprises travaillant dans le logiciel, préfère que les failles de sécurité lui soient communiquées de manière confidentielle. Tavis Ormandy, ingénieur chez Google, ne l’a pas entendu de cette oreille et a choisi la voie de la démonstration publique pour révéler une brèche de type 0-day, valable dans Windows 7 et 8.

seclist 

Décision radicale et agacement 

De nombreux chercheurs en sécurité et développeurs trouvent régulièrement des failles de sécurité dans les produits qu’ils utilisent. Les éditeurs préfèrent évidemment que les communications soient privées, afin que les détails des vulnérabilités ne tombent pas entre de mauvaises mains. Lorsque Microsoft publie ses bulletins mensuels de sécurité, chacun comporte d’ailleurs une précision pour indiquer si la faille a été rapportée de manière publique ou confidentielle.

 

Visiblement lassé de devoir passer par les services compétents chez Microsoft, l’ingénieur Tavis Ormandy, de chez Google, a choisi récemment de passer par la voie publique. Il a publié l’ensemble des détails d’une faille sur la mailing liste SecList, choisissant sciemment d’ignorer les recommandations dans ce domaine. La faille elle-même peut être exploitée sous Windows 7 et 8 depuis un compte local afin de provoquer une escalade dans les privilèges.

 

La faille en elle-même ne semble pas spécifiquement dangereuse. D’abord, comme décrite par Tavis Ormandy, elle nécessite obligatoirement l’accès physique à la machine pour manipuler le compte local. Mais, surtout, l’ingénieur l'évoque comme complexe à exploiter. Secunia, qui s’est fait l’écho de la brèche de sécurité, indique pour sa part un niveau de dangerosité de 2/5, soit « Peu critique ». La mention « Local system » indique par ailleurs que la faille ne peut pas être exploitée à distance.

Chacun son interprétation de la responsabilité 

Le point important est finalement la méthode choisie pour révéler la faille. Le problème est comparable à ce qui a déjà été fait pour plusieurs failles Java dont les détails ont été rendus publics dans le passé. Concernant Ormandy, l’explication se trouve probablement dans un billet posté le 15 mai et dans lequel il explique qu’il est « souvent difficile » de travailler avec Microsoft. Il conseille même aux chercheurs de rapporter les failles de manière anonyme pour ne pas être traités avec « hostilité », jusqu’à utiliser le réseau Tor.

 

Tout le monde n’est évidemment pas de cet avis. C’est le cas de Graham Cluley, consultant pour la société de sécurité Sophos. Dans une réponse donnée à The Verge, il indique que « l’équipe de sécurité de Microsoft fait un excellent travail » et il encourage les chercheurs à travailler de manière « responsable » plutôt que de risquer une aide involontaire aux pirates. La même société Sophos avait par ailleurs sévèrement critiqué Tavis Ormandy en 2010 lors d’une révélation publique des détails d’une faille dans Windows XP. Ormandy avait également, en août 2011, accusé Adobe d’avoir voulu masquer le vrai nombre de failles dans un correctif pour Flash : la société parlait de 13 vulnérabilités, mais l’ingénieur affirmait en avoir remonté 400.

 

Quoi qu’il en soit, Microsoft est au courant de la situation et a indiqué travailler sur une solution.

Commentaires (126)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Reporter des bugs et des failles à MS est une calimité sans nom et un vrai chemin de croix, déjà par manque de bug tracker simple à utiliser (hé oui, s’il le faut, MS n’a qu’à payer des bug triagers).



Sur BMO, un utilisateur (web dev ou autres) poste un pbm d’implémentation d’une API récente dans Firefox, aussitôt quelqu’un lui répond (pas toujours mais souvent), quelques messages après, le gars est invité à poster sur le tracker du W3C pour demander une précision et une modif de specs. C’est 15x plus rapide et productif. <img data-src=" />


votre avatar







lincruste a écrit :



Ben au contraire, au lieu de batailler bénévolement pendant des mois pour que MS tienne compte du bug, il leur met le nez dans la merde pour qu’ils s’activent. Il aurait très bien pu garder ça pour lui ou vendre l’exploit.







C’est vrai que poster une faille de sécurité aux yeux de tous c’est la meilleure solution. En plus windows c’est un truc utilisé par une minorité donc c’est certain qu’il n’y aura pas d’INpact…

Même si CETTE FOIS c’est une faille difficilement exploitable, la suivante ne le sera peut-être pas. Et là on fait quoi ? On continu à jouer au plus c%@ en proposant des voies d’accès à tout les pirates/hackers/voleur/débiles qui voudraient se payer des vacances ? Ouais, ca me semble être la meilleure chose à faire !



PS : j’ai rien pour/contre Google, mais faire le lien entre un mec et une boite… c’est un peu rapide à mon sens.


votre avatar







darkbeast a écrit :



bof quand tu regardes le cas d’oracle ça fait des mois que tout le monde leur à mis le nez dans la moïse mais qu’en plus ils leur sautent à pieds joints sur la tête, ça n’a pas l’air de les stresser plus que ça.





Chez MS, ça marche comme ça. (pour info, c’est le même Tavis que dans cette actualité, on comprend la méfiance du bonhomme)


votre avatar







lincruste a écrit :



Ben au contraire, au lieu de batailler bénévolement pendant des mois pour que MS tienne compte du bug, il leur met le nez dans la merde pour qu’ils s’activent. Il aurait très bien pu garder ça pour lui ou vendre l’exploit.







+1



Poser ses grosses cou*lles pleines de code permettent aussi de faire bouger les choses. Surtout si les propos concernant le process sécurité côté MS sont avérés.



Je me demande s’il serait souhaitable qu’on assiste à une escalade entre les éditeurs de logiciel. Imaginez que tout le monde s’en mêle et se tape sur la gueule à coup de full disclosure. Ok, ce serait le huge bordel, mais la sécurisation des applications grimperait en flèche (à défaut de la qualité logiciel puisque tout serait patché à l’arrache asap) <img data-src=" />


votre avatar







succubbae a écrit :



C’est vrai que poster une faille de sécurité aux yeux de tous c’est la meilleure solution. En plus windows c’est un truc utilisé par une minorité donc c’est certain qu’il n’y aura pas d’INpact…

Même si CETTE FOIS c’est une faille difficilement exploitable, la suivante ne le sera peut-être pas. Et là on fait quoi ? On continu à jouer au plus con en proposant des voies d’accès à tout les pirates/hackers/voleur/débiles qui voudraient se payer des vacances ? Ouais, ca me semble être la meilleure chose à faire !





Tu as raison, il vaut mieux attendre 17 ans qu’ils daignent bouger tout seuls.

http://phys.org/news184833289.html


votre avatar







lincruste a écrit :



Tu as raison, il vaut mieux attendre 17 ans qu’ils daignent bouger tout seuls.







Donc entre une mauvaise solution confidentiel et une pire publique… Je choisi la pire ? <img data-src=" />



Edit :

Et pour ton lien, je cite : “The vulnerability has been present but undetected in every 32-bit version of Windows since 1993”



Tu corriges comment un problème dont tu ne connais pas l’existence ?



Je suis d’accord pour taper sur microsoft, mais là…



edit 2 : ortaugraf


votre avatar

Mais quel imbécile ce type!!! Et je pèse mes mots, parce que Monsieur est pas content il se donne le droit de diffuser une faille publiquement. Peu importe la dangerosité de la faille ce n’est pas professionnel.



Enfin je suis sur que c’est pas un hasard. Google et Microsoft se font la guerre et maintenant ils se font des coups bas. Quand je vois les pubs scroogled, plus d’EAS avec les produits Google, l’appli Youtube pour WP… je me dis que cette guéguerre n’est pas prête de finir



C’est dommage ils devraient comprendre que c’est fini la cour de récré et au final bien sur c’est le consommateur qui trinque.

votre avatar







AlphaBeta a écrit :



Google qui publie une faille juste apres le patch tuesday…

Genre, c’est un hasard…. vraiment le mot EVIL convient desormais tres bien à Google







<img data-src=" />


votre avatar







ff9098 a écrit :



<img data-src=" />







<img data-src=" />



(dingue)


votre avatar







titi-henry a écrit :



Enfin je suis sur que c’est pas un hasard. Google et Microsoft se font la guerre et maintenant ils se font des coups bas.







Non mais c’est évident que le type a une dent contre MS, mais encore une fois il est dans son plein droit et ne parle qu’en son nom, pas celui de Google.

Et d’une, c’est Microsoft qui l’a affiché comme un ingé de chez Google en 2010 “des fois que” ça puisse le desservir au sein de sa boîte, mais en plus il a déjà affronté leur hostilité quand il a voulu les aider gratuitement.

Je vois pas au nom de quel grande solidarité universelle avec des mecs qui lui ont marché sur la gueule il devrait lutter pendant des semaines pour obtenir d’eux qu’ils corrigent leurs merdes.


votre avatar







lincruste a écrit :



Non mais c’est évident que le type a une dent contre MS, mais encore une fois il est dans son plein droit et ne parle qu’en son nom, pas celui de Google.

Et d’une, c’est Microsoft qui l’a affiché comme un ingé de chez Google en 2010 “des fois que” ça puisse le desservir au sein de sa boîte, mais en plus il a déjà affronté leur hostilité quand il a voulu les aider gratuitement.

Je vois pas au nom de quel grande solidarité universelle avec des mecs qui lui ont marché sur la gueule il devrait lutter pendant des semaines pour obtenir d’eux qu’ils corrigent leurs merdes.







Toutes proportions gardées, tu es donc le genre de personne qui justifie qu’un gars se pointe armé dans un lieu public pour dénoncer des manquements à la sécurité?



Nan c’est super cool comme concept par les temps qui courent hein. Et sinon, tu rentres quand en HP? Ou alors tu t’es échappé récemment peut-être?


votre avatar

En fait ce qui me dérange le plus, c’est que là, pour certains, vous voulez faire passer le bon Travis pour un white hat. Alors que c’est juste un connard.

votre avatar

Leur ingénieur ferait mieux de bosser sur ChromeOS ou Android , l’un lui manque la moitié du système et l’autre a tellement de bugs qu’il faudrait une armée pour en corriger les failles .

Bref j’aime pas l’attitude ….

votre avatar







DarKCallistO a écrit :



Une faille locale,j’m’e sens en insécurité totale gros !!! <img data-src=" />





Pourvu que mon chat n’en apprenne pas l’existence. <img data-src=" />


votre avatar







DarKCallistO a écrit :



Une faille locale,j’m’e sens en insécurité totale gros !!! <img data-src=" />





j’imagine déjà ma famille pirater mon pc wait i don’t have password…


votre avatar

Edit : double post

votre avatar







Winderly a écrit :



Mes excuses alors, vos réponses se ressemblant tellement j’ai imaginé n’importe quoi.







Pas de souci. <img data-src=" />


votre avatar







Jiyuu_Hashi a écrit :



Info AFP/PCI : Révélation fracassante, les communautés judaïques sont abattues.

En effet, suite aux déclarations de la Bête Sombre, Moïse, connu aussi sous les patronymes de Moché ou de Moussa, s’avèrerait être de sexe féminin, contrairement à ce que l’héritage de l’humanité, au travers de la sculpture laissée par feu Michel-Ange.

Il semble donc qu’il s’agisse d’une femme à barbe, adepte de la musculation, et ayant perdu une sandale, comme l’atteste cette photo (une Cendrillon des temps anciens ^^;)



==&gt;[]



@Darkbeast : on écrit “mouise” ^^;







D’où l’expression :“Être dans la mouise”



Qui signifie être a l’intérieur d’une mer ouverte en deux. <img data-src=" />


votre avatar







Lafisk a écrit :



Et le gars voit que la faille n’est pas corrigée donc ça justifie qu’il l’a publie sur internet ? la faille est considérée comme peu dangereuse, peut être que MS avec un Windows 8.1 en préparation etc… à autre chose à ce préoccuper que d’une faille considérer comme peu critique … bien sur dans n’importe quelle boite les petit bug/faille sont souvent les dernières à être corrigées, rien d’anormal. Qu’il soit de Google ou d’ailleurs ne lui permet en rien de divulguer une faille de façon publique … d’ailleurs limite, je pense que MS pourrait presque porter plainte pour une telle chose pour de nombreuses raisons.







Non, je crois que tu n’as toujours pas compris. Le fait que cette faille soit publique permet aux administrateurs systèmes qui font un minimum de veille technologique de réagir de façon proactive à ce type de problème, et pas quand il sera trop tard, c’est justement le but. Ça a un autre avantage, celui de forcer MS à se bouger un peu pour corriger une faille qui lui avait déjà été rapportée il y a deux mois. Alors, certes, ce n’est qu’une petite faille permettant l’exécution arbitraire de code en local. SAUF que ce genre d’exploit fait partie de la chaîne habituelle de compromission d’un système informatique (que ce soit Michel Michu chez lui ou la COGIP): analyse du réseau, recueil d’informations (services disponibles, etc), exploitation des failles réseau, injection de code permettant le contrôle local d’un poste compromis, exploitation des informations recueillies, et finalement pénétration du SI et maintien de l’accès.



Donc, tant que cette (petite, certes) faille est cachée aux yeux du public et donc de la majorité des administrateurs systèmes, veille techno ou pas, elle est exploitable. Le fait de la publier permet d’avertir, au moins, la communauté des adminsys de risques potentiels pour la sécurité de leur système d’informations et donc de réagir de façon “proactive” (ie, avant que les emmerdes arrivent). Donc, oui, c’est une bonne chose qu’il ait dévoilé cette faille plutôt que de refiler le bébé en douce à Microsoft qui aurait attendu (vu qu’ils sont très occupés, comme tu le dis toi même, avec windows 8.1 (au fait, qui a du 8 en prod’? personne?)) que ce soit effectivement utilisé, genre en combo avec une faille SMB…


votre avatar







succubbae a écrit :



Et pour ton lien, je cite : “The vulnerability has been present but undetected in every 32-bit version of Windows since 1993”





Je viens de lire l’article, et effectivement, difficile de corriger un truc qui n’est détecté que presque 20 ans après ^^;

Le petit père Tavis Ormandy me semble être un bon gros frusté.

Mais plus rien ne m’étonne, que ce soit de la part de Microsoft (ils en ont fait de belles), ou de Google (qui reprendre le flambeau – le coup de la plainte récente contre Microsoft pour le développement de l’application Youtube sous Windows Phone, n’intégrant pas les publicités et permettant le téléchargement des vidéos, alors que Google refuse apparemment de fournir les API à Microsoft ^^;)


votre avatar







succubbae a écrit :



C’est vrai que poster une faille de sécurité aux yeux de tous c’est la meilleure solution. En plus windows c’est un truc utilisé par une minorité donc c’est certain qu’il n’y aura pas d’INpact…

Même si CETTE FOIS c’est une faille difficilement exploitable, la suivante ne le sera peut-être pas. Et là on fait quoi ? On continu à jouer au plus c%@ en proposant des voies d’accès à tout les pirates/hackers/voleur/débiles qui voudraient se payer des vacances ? Ouais, ca me semble être la meilleure chose à faire !



PS : j’ai rien pour/contre Google, mais faire le lien entre un mec et une boite… c’est un peu rapide à mon sens.





Sinon, on peut aussi revendre les failles 0day en toute confidentialité :) C’est ça qui est bien :)

Et pour alimenter le troll :http://korben.info/faille-critique-dans-le-noyau-linux.html :)


votre avatar







Baldurien a écrit :



Sinon, on peut aussi revendre les failles 0day en toute confidentialité :) C’est ça qui est bien :)

Et pour alimenter le troll :http://korben.info/faille-critique-dans-le-noyau-linux.html :)







“Heureusement, grâce à cet exploit rendu public, la terre entière est maintenant au courant et peut se protéger d’éventuels hackers.”



rendu public =&gt; tiens, les gens se bougent pour corriger, tout d’un coup. Que ce soit MS ou les devs du kernel, hein Lafisk? ;) (oups, on est pas encore trolldi)


votre avatar







z00p a écrit :



Non, je crois que tu n’as toujours pas compris. Le fait que cette faille soit publique permet aux administrateurs systèmes qui font un minimum de veille technologique de réagir de façon proactive à ce type de problème, et pas quand il sera trop tard, c’est justement le but. Ça a un autre avantage, celui de forcer MS à se bouger un peu pour corriger une faille qui lui avait déjà été rapportée il y a deux mois. Alors, certes, ce n’est qu’une petite faille permettant l’exécution arbitraire de code en local. SAUF que ce genre d’exploit fait partie de la chaîne habituelle de compromission d’un système informatique (que ce soit Michel Michu chez lui ou la COGIP): analyse du réseau, recueil d’informations (services disponibles, etc), exploitation des failles réseau, injection de code permettant le contrôle local d’un poste compromis, exploitation des informations recueillies, et finalement pénétration du SI et maintien de l’accès.



Donc, tant que cette (petite, certes) faille est cachée aux yeux du public et donc de la majorité des administrateurs systèmes, veille techno ou pas, elle est exploitable. Le fait de la publier permet d’avertir, au moins, la communauté des adminsys de risques potentiels pour la sécurité de leur système d’informations et donc de réagir de façon “proactive” (ie, avant que les emmerdes arrivent). Donc, oui, c’est une bonne chose qu’il ait dévoilé cette faille plutôt que de refiler le bébé en douce à Microsoft qui aurait attendu (vu qu’ils sont très occupés, comme tu le dis toi même, avec windows 8.1 (au fait, qui a du 8 en prod’? personne?)) que ce soit effectivement utilisé, genre en combo avec une faille SMB…







non c’est toi qui ne pige pas, si la faille n’est pas divulguée, alors la chance qu’elle soit exploitée est minime … Surtout que tu parles des admins mais t’es gentil tu oublies que les particuliers n’ont pas d’admins sys hein … et les réseaux de pc zombies c’est pas chez les pros que tu les trouves mais bel et bien chez les particuliers … donc c’est bien beau de parler d’admins blabla mais tu oublies tout une partie de la clientèle très importante … (bien sur je ne parle pas de cette faille ridicule mais d’autre qui pourraient être plus dangereuse)


votre avatar







Lafisk a écrit :



Et le gars voit que la faille n’est pas corrigée donc ça justifie qu’il l’a publie sur internet ? la faille est considérée comme peu dangereuse, peut être que MS avec un Windows 8.1 en préparation etc… à autre chose à ce préoccuper que d’une faille considérer comme peu critique … bien sur dans n’importe quelle boite les petit bug/faille sont souvent les dernières à être corrigées, rien d’anormal. Qu’il soit de Google ou d’ailleurs ne lui permet en rien de divulguer une faille de façon publique … d’ailleurs limite, je pense que MS pourrait presque porter plainte pour une telle chose pour de nombreuses raisons.





<img data-src=" />



Porter plainte pour ça, je crois que la France a une fois donné raison a un éditeur contre celui a trouvé la faille, je peux te dire que le monde de la sécurité info était carrément choqué. D’ailleurs le mouvement antisec (ou assimilé) a été le premier a dire un truc style : “la France devient blackhat \o/”, bien heureux étant défenseur du no disclosure. En gros tu défends la sécurité par l’obscurantisme. La faille est alors communiqué a l’éditeur, l’éditeur la corrige pas ou pépère des mois après.



Entre temps, tous les mecs ayant connaissance de la faille l’exploitent tranquillou car eux ne l’ont jamais publié parce que c’est pas dans leur intérêt (des fois on voit des exploits avec un poc de 3 ans publié, les mecs ont profité tranquille). Si un type trouve une faille et la publie, il est pas forcément le premier à l’avoir trouvé…


votre avatar







zaknaster a écrit :



<img data-src=" />



Porter plainte pour ça, je crois que la France a une fois donné raison a un éditeur contre celui a trouvé la faille, je peux te dire que le monde de la sécurité info était carrément choqué. D’ailleurs le mouvement antisec (ou assimilé) a été le premier a dire un truc style : “la France devient blackhat \o/”, bien heureux étant défenseur du no disclosure. En gros tu défends la sécurité par l’obscurantisme. La faille est alors communiqué a l’éditeur, l’éditeur la corrige pas ou pépère des mois après.



Entre temps, tous les mecs ayant connaissance de la faille l’exploitent tranquillou car eux ne l’ont jamais publié parce que c’est pas dans leur intérêt (des fois on voit des exploits avec un poc de 3 ans publié, les mecs ont profité tranquille). Si un type trouve une faille et la publie, il est pas forcément le premier à l’avoir trouvé…







C’est sûr qu’en la révélant au monde entier, personne n’est au courant … tu te contredis toi même dans ton argumentaire <img data-src=" />



Tu dis que c’est pas parce qu’elle n’est pas publiée que personne d’autre ne la connait mais d’un autre côté du défend qu’il faut les publiée histoire que TOUT le monde soit au courant … belle contradiction …



en attendant comme j’ai dis plus haut, le risque que d’autre soit au courant est infime, et quand bien même il y en a, il vaut mieux une petite poigné que l’ensemble de la communauté de hacker super bien intentionné ..


votre avatar







Lafisk a écrit :



C’est sûr qu’en la révélant au monde entier, personne n’est au courant … tu te contredis toi même dans ton argumentaire <img data-src=" />



Tu dis que c’est pas parce qu’elle n’est pas publiée que personne d’autre ne la connait mais d’un autre côté du défend qu’il faut les publiée histoire que TOUT le monde soit au courant … belle contradiction …



en attendant comme j’ai dis plus haut, le risque que d’autre soit au courant est infime, et quand bien même il y en a, il vaut mieux une petite poigné que l’ensemble de la communauté de hacker super bien intentionné ..





Elle va être corrigé très vite, c’est l’intérêt. Ce n’est pas une contradiction, c’est la logique même du full disclosure. Mais après tu peux être contre cette pratique, juste que c’est quand même soutenue par le milieu.


votre avatar







Lafisk a écrit :



non c’est toi qui ne pige pas, si la faille n’est pas divulguée, alors la chance qu’elle soit exploitée est minime … Surtout que tu parles des admins mais t’es gentil tu oublies que les particuliers n’ont pas d’admins sys hein … et les réseaux de pc zombies c’est pas chez les pros que tu les trouves mais bel et bien chez les particuliers … donc c’est bien beau de parler d’admins blabla mais tu oublies tout une partie de la clientèle très importante … (bien sur je ne parle pas de cette faille ridicule mais d’autre qui pourraient être plus dangereuse)







Hum… Une faille qui impacte le business est corrigée rapidement, non? une faille cachée, non exploitée? laisse moi rire, c’est justement le but d’une faille: être exploitée. Qu’elle soit rendue publique et exploitée par des scripts kiddies, c’est une chose, mais il est sûr qu’elle est déjà exploitée par des pros. “Au pays des aveugles, les borgnes sont rois”. Je te renvoie à la faille décrite dans l’article de korben, qui ne concerne pas windows.



Quant à Mr.Michu et son PC zombifié, tu crois que la divulgation d’une faille comme ça va changer quelque chose? eh bien oui, parcequ’il aura une belle mise à jour la semaine prochaine à ce sujet. Qu’il la fasse ou pas, c’est son problème.



Ceci dit, je te conseille de vraiment te renseigner un minimum sur la sécurité informatique. Tu verras que venant de MS, en général, quand le business gueule (ie, leur gagne pain) tout d’un coup ils sont beaucoup plus réactifs, donc, oui, Mr.Michu peut dire merci au petit monde des white hats, des administrateurs systèmes et surtout aux personnes qui divulguent des failles critiques sur des sites dédiés à la… sécurité informatique (le site des créateurs de nmap…). De plus il n’a pas posté de PoC ni d’exploit directement utilisable par des scripts kiddies. grmbl, et bonne nuit ;)


votre avatar







Oungawak a écrit :



Sauf que dans ton premier exemple, MS offre une nouvelle possibilité aux utilisateurs fuck-authority-style en prenant un risque (même si franchement faible), et dans ton second “Google” (ils sont pas impliqué officiellement) crée juste un risque pour la sécurité de utilisateurs sous Windows parce qu’ils ont la flemme de suivre une procédure… Ou même de se contenter de la fermer, s’ils trouvent que c’est trop contraignant pour eux, en laissant MS se démerder tout seul derrière.





À mon avis, on aurait eu la situation inverse, on aurait tout de suite eu:

mais d’un côté, Google viole sciemment des clauses d’utilisation pour profiter d’un service sous prétexte qu’ils veulent pas modifier leur appli. et dans le second cas, on a un ingénieur qui fait un cadeau à MS en remontant un bug, mais qui se fait jeter et alors, il décide d’être sympa et d’avertir tout les sys admin publiquement (et mettre la pression sur MS pour qu’ils corrigent).



Bref, c’est juste une question de supporter son équipe préférée. Si on part avec en tête “MS est méchant”, ben il l’est dans les deux cas. Si on part en tête “Google est méchant”, ben il l’est dans les deux cas. Si on est objectif, ben il y a de grosses probabilités qu’on ne défende pas toujours le même.


votre avatar

Honnetement si on devais faire un rapport chaque fois qu’on trouve une 0-day sous windows en codant, on aurais pas fini (c’est pas un troll).



Meme en codant avec Qt j’en ai vu deux sans faire exprès dont une exploitable depuis le presse papier (et donc nimporte quel navigateur web).



Ceux qui codent direct avec le systeme doivent en voir passer un paquet.

votre avatar







zaknaster a écrit :



Elle va être corrigé très vite, c’est l’intérêt. Ce n’est pas une contradiction, c’est la logique même du full disclosure. Mais après tu peux être contre cette pratique, juste que c’est quand même soutenue par le milieu.







Sauf que MS ne travaille pas en full disclosure, c’est leur choix, pas le tien ni celui de ce gars ni, osef que le “milieu” recommande plus ceci ou cela, encore que c’est une opinion comme une autre puisque à mon avis le milieu auquel tu réfère est de toute façon un milieu où la plupart ne doit jurer que par le “libre” etc… donc un état d’esprit biaisé par leur propre opinion …



MS travaille comme ils le souhaitent, si cela ne plait pas au gars qui a trouver une faille alors qu’il l’ignore point barre … si tu veux participer tu le fais aux conditions imposées par l’éditeur auquel tu signale la faille (que ce soit ms, google ou apple).


votre avatar







Winderly a écrit :



Reporter des bugs à MS est difficile.

C’est tout.







Tu peux nous expliquer quelle faille tu as reporté à Microsoft et les problèmes que tu as rencontré ?

<img data-src=" />


votre avatar







Lafisk a écrit :



Sauf que MS ne travaille pas en full disclosure, c’est leur choix, pas le tien ni celui de ce gars ni, osef que le “milieu” recommande plus ceci ou cela, encore que c’est une opinion comme une autre puisque à mon avis le milieu auquel tu réfère est de toute façon un milieu où la plupart ne doit jurer que par le “libre” etc… donc un état d’esprit biaisé par leur propre opinion …



MS travaille comme ils le souhaitent, si cela ne plait pas au gars qui a trouver une faille alors qu’il l’ignore point barre … si tu veux participer tu le fais aux conditions imposées par l’éditeur auquel tu signale la faille (que ce soit ms, google ou apple).





Oui donc si on suit ton raisonnement MS fait ce qu’il veut et ca ne regarde personne. Du coup le gars a aussi le droit de faire ce qu’il veut et publier une faille si il a envi.


votre avatar







jmanici a écrit :



Hum une telle faille d’élévation de privilèges devrait permettre à un malware de s’echapper de la sandbox de Chrome (ou IE).



Et compte tenu du nombre très élevé de failles dans chrome et webkit découvertes chaque année, cette divulgation augmente significativement les risques pour les utilisateurs de chrome sous Windows, car comme l’ont dit plusieurs chercheurs, la seule chose qui rend chrome secure c’est sa sandbox. Sans ça, c’est un gruyère…







Dans la news ils ont l’air de dire qu’il faut un accès physique à la machine et qu’elle ne serais donc pas si critique …



D’ailleurs vu que tu parles de sandbox, la faille que les francais de chez Vupen avaient trouvé sur IE10 concernait la sandbox en mode win7 ou celle du mode surprotégé qui est également celle utilisé par les apps ?



edit : enfaite ca à l’air d’etre la sandbox sensé être blindé


votre avatar

Bah le probleme de windows, c’est le patch thuesday, c’est pas normal que les failles remonté ne soient pas corrigé immédiatement.

Que les failles soient divulgué en public ce n’est pas un soucis, le probleme c’est de laisser trop de temps entre l’apparition de la faille et de la correction.

votre avatar







Sebdraluorg a écrit :



Ce serait marrant que MS se mette à tracker les failles Android et les révèlent !

Du coup ce serait par lot, et pas que des local exploit ! <img data-src=" />



C’est un peu l’hôpital qui se fou de la charité mais bon, quand on a plus que ça pour tenter de ternir l’image d’un concurrent, je pense qu’on n’est même plus tout à fait un concurrent, car on se met hors course tout seul…



Quand je vois tout ce que fait Google en ce moment pour parer la route de MS, je ne peux m’empêcher de me dire qu’ils aperçoivent leurs limites et qu’ils pensent qu’ils ne tiendront pas sans faire de coups bas…





Très drole… Car Microsoft c’est pas son sport favoris d’essayer de ternir l’image de ses concurrents ?


votre avatar







jmanici a écrit :



On parle d’un type qui a une longue histoire de contribution à la sécurité de Windows, et qui a goûté à l’accueil qui est fait aux types qui glissent discrètement l’info par la voie que tu préconises.

Ben il a donné une fois, je ne lui en veut pas de ne pas être masochiste au point d’opter maintenant pour l’efficacité.







le gars fait ça juste pour troller.

s’il voulait tellement divulguer la faille de manière responsable sans se fatiguer, au pire il aurait contacté une des nombreuses sociétés spécialisés dans la collecte de faille et la rémunération des chercheurs. Il aurait même gagné un peu d’argent au passage, et l’entreprise aurait traité directement avec MS.



mais évidemment avec une divulgation responsable on peut pas se faire mousser dans la presse, ni se faire passer pour plus intelligent que les ingénieurs MS juste parce qu’on a trouvé une faille.

+1 ,

ça semble bien plus à un coup bas, et donc irresponsable



Ceci dit la gueguerre et les coups bas entre les deux boites commence à gonfler..et ce sont les utilisateurs qui trinquent vue qu’ils utilisent souvent à la fois les services et produits des deux ( genre youtube ou chrome sur windows ) , donc bien plus gênante que les gueguerre Apple vs Samsung ou autres.


votre avatar







Julgas a écrit :



Bah le probleme de windows, c’est le patch thuesday, c’est pas normal que les failles remonté ne soient pas corrigé immédiatement.

Que les failles soient divulgué en public ce n’est pas un soucis, le probleme c’est de laisser trop de temps entre l’apparition de la faille et de la correction.







Sauf que sortir un patch de sécurité sous windows,c’est aussi simple de changer un câble électrique d’éclairage dans un A320 <img data-src=" />


votre avatar

bof rien de bien palpitant, avec ou sans cette faille. celui-qui veut en trouver une vite fait pour son botnet à juste a taper “exploit windows” dans google et faire son shopping (récentes ou anciennes)

votre avatar



Bah le probleme de windows, c’est le patch thuesday, c’est pas normal que les failles remonté ne soient pas corrigé immédiatement.





c’est pas si simple que ça.

corriger une faille c’est facile et rapide.

ce qui prend du temps, c’est de tester le correctif sur toutes les versions supportées de Windows, et surtout vérifier que le correctif n’entraine pas d’incompatibilité avec un driver ou un logiciel répandu.



et ce genre de test sur des milliers de combinaison hardware/driver/apps/version de Windows prend des jours, voire des semaines.



il serait irresponsable de publier un patch sans ces tests.



déjà que même avec tous ces tests, il arrive parfois que des problèmes se produisent….



pas plus longtemps qu’il y a deux mois, une correctif kernel a introduit une incompatibilité avec un outil de sécurité utilisé quasiment seulement dans le Brésil, et cet outil entrainait une erreur fatale au démarrage du fait de cette incompatibilité.



donc la seule chose a faire c’est d’attendre patiemment. Il y a une raison derrière les 7-10jours d’attente.

votre avatar



bof rien de bien palpitant, avec ou sans cette faille. celui-qui veut en trouver une vite fait pour son botnet à juste a taper “exploit windows” dans google et faire son shopping (récentes ou anciennes)





mais bien sur…

si tu crois que les failles 0day Windows ca se trouve a la pelle sur des forums de Black hats, c’est toi qui aura une surprise quand tu ouvriras guide_de_piratage_facile_de_Windows.pdf.exe

votre avatar







succubbae a écrit :



C’est vrai que poster une faille de sécurité aux yeux de tous c’est la meilleure solution. En plus windows c’est un truc utilisé par une minorité donc c’est certain qu’il n’y aura pas d’INpact…

Même si CETTE FOIS c’est une faille difficilement exploitable, la suivante ne le sera peut-être pas. Et là on fait quoi ? On continu à jouer au plus c%@ en proposant des voies d’accès à tout les pirates/hackers/voleur/débiles qui voudraient se payer des vacances ? Ouais, ca me semble être la meilleure chose à faire !



PS : j’ai rien pour/contre Google, mais faire le lien entre un mec et une boite… c’est un peu rapide à mon sens.







Il faut clairement pas être très intelligent pour supporter une telle attitude. Mais bizarrement c’est unm ec de Google, donc c’est acceptable puis comme c’est contre MS c’est encore mieux.



Les même qui supportent cegars auraient crier au scandale si cela avait été dans le sens inverse.



Sebdraluorg a écrit :



Ce serait marrant que MS se mette à tracker les failles Android et les révèlent !

Du coup ce serait par lot, et pas que des local exploit ! <img data-src=" />



C’est un peu l’hôpital qui se fou de la charité mais bon, quand on a plus que ça pour tenter de ternir l’image d’un concurrent, je pense qu’on n’est même plus tout à fait un concurrent, car on se met hors course tout seul…



Quand je vois tout ce que fait Google en ce moment pour parer la route de MS, je ne peux m’empêcher de me dire qu’ils aperçoivent leurs limites et qu’ils pensent qu’ils ne tiendront pas sans faire de coups bas…







+1, Google c’est clairement la boite à éviter de nos jours .. mais bon y’en a deux trois qui ne comprennent pas pourquoi alors qu’eux même gueulent contre MS à longueur de temps


votre avatar







DarKCallistO a écrit :



Sauf que sortir un patch de sécurité sous windows,c’est aussi simple de changer un câble électrique d’éclairage dans un A320 <img data-src=" />





LA !!! Gros +1.



C’est si compliqué de comprendre que s’ils veulent pas transformer leur OS en une grosse bombe à retardement farcis de bugs et de code spaghettis, ils leur faut un minimum de temps ?? Ils ont le droit de bosser comme ils veulent. Que le gars publie la faille au bout d’un an d’inaction, ça peut se comprendre, mais faut pas pousser non plus… Sans compter que vu la faible dangerosité de la faille, peut-être qu’ils avaient d’autres priorités sur des failles bien plus critiques. Mais comme môssieur est pas content qu’on lui répondre pas au doigt et à l’œil, les ingénieurs de Redmond on peut-être dû travailler de façon précipité, n’ont pas pu faire de tests suffisants ou remettre à plus tard des problèmes très important pour colmater une petit fuite.



Et pour Google, même s’ils sont pas dans le coup (rien n’est impossible dans ce milieu, même s’il faut pas tomber dans la parano), quand tu travaille pour une grosse boîte, forcément que sa éclabousse un peu, c’est inévitable. Ça serait pas le premier exemple d’employé énervé qui envoi chier des gens et dont sa boîte se prend un retour de flamme sans rien demander. Généralement pour ces employés, vaut mieux qu’ils aient un CV raisonnablement garni ou un charisme à la Steve Jobs s’ils veulent pas quitter le siège de leur boîte… Par la chasse d’eau. <img data-src=" />


votre avatar

Bon, c’est un peu pour le plaisir de troller, mais bon:




  • quand MS sort une appli qui de toutes évidences ne respecte pas les clauses de youtube parce qu’ils en ont marre de discuter avec Google alors qu’ils auraient pu faire qlq chose de plus diplomatique, c’est la faute de Google.

  • quand un développeur affilié à Google fait quelque chose de tangent (mais pas interdit) parce qu’il en a marre de discuter avec MS alors qu’il aurait pu faire qlq chose de plus diplomatique, c’est de nouveau la faute de Google.



    edit: on peut aussi dire l’inverse pour les pro-google

votre avatar

Pauvre MS, tout le monde il est méchant avec !<img data-src=" />



Surtout le répugnant Google, qui a eu l’indélicatesse de se poser en concurrent et de ne plus la laisser faire tout ce qu’elle voulait, en toute opacité.



Décidément, les temps sont durs ! Avant c’était le bon temps, hein, Microsoft ? <img data-src=" />

votre avatar







j-c_32 a écrit :



Bon, c’est un peu pour le plaisir de troller, mais bon:




  • quand MS sort une appli qui de toutes évidences ne respecte pas les clauses de youtube parce qu’ils en ont marre de discuter avec Google alors qu’ils auraient pu faire qlq chose de plus diplomatique, c’est la faute de Google.

  • quand un développeur affilié à Google fait quelque chose de tangent (mais pas interdit) parce qu’il en a marre de discuter avec MS alors qu’il aurait pu faire qlq chose de plus diplomatique, c’est de nouveau la faute de Google.



    edit: on peut aussi dire l’inverse pour les pro-google





    Sauf que dans ton premier exemple, MS offre une nouvelle possibilité aux utilisateurs fuck-authority-style en prenant un risque (même si franchement faible), et dans ton second “Google” (ils sont pas impliqué officiellement) crée juste un risque pour la sécurité de utilisateurs sous Windows parce qu’ils ont la flemme de suivre une procédure… Ou même de se contenter de la fermer, s’ils trouvent que c’est trop contraignant pour eux, en laissant MS se démerder tout seul derrière.


votre avatar

A tous ceux qui pensent que MS est trop lent a corriger les failles, et que ce gars a eu raison de diffuser son 0day, petite piqûre de rappel:



faille signalée par Microsoft à Google de manière responsable le 26/07/2010

code.google.com Googleet corrigée le 14/09/2010:

http://googlechromereleases.blogspot.fr/2010/09/stable-beta-channel-updates_14.h…



soit environ 50jours pour patcher une faille.



je pense que Google est en position de comprendre que patcher une faille est quelque chose qui ne se fait pas en 2j…

votre avatar







GuiTheGuy a écrit :



Je me demande quand même si certains ont ne serait-ce qu’une vague idée de la notion de responsabilité.





J’ai surtout l’impression que chez certains cette notion est à sens unique.

Pour un peu on pourrait croire que c’est pas de la faute de Microsoft qu’il existe des failles dans ses produits.


votre avatar







Oungawak a écrit :



Sauf que dans ton premier exemple, MS offre une nouvelle possibilité aux utilisateurs fuck-authority-style en prenant un risque (même si franchement faible), et dans ton second “Google” (ils sont pas impliqué officiellement) crée juste un risque pour la sécurité de utilisateurs sous Windows parce qu’ils ont la flemme de suivre une procédure… Ou même de se contenter de la fermer, s’ils trouvent que c’est trop contraignant pour eux, en laissant MS se démerder tout seul derrière.







Désolé, et ce n’est en aucun cas contre toi (plusieurs posteurs ici ont eu la même réaction), mais depuis quand révéler une faille de sécurité constitue un risque pour la “sécurité des utilisateurs”? Au contraire, le fait qu’elle soit dissimulée et reste cachée aux yeux de Microsoft et des différents éditeurs de solution antivirus est bien plus dangereux. Là, ils sont obligés de réagir, et vite. Et tant mieux. Une faille cachée au vu et au su de tous, que ce soit dans un environnement Windows (en entreprise notamment), ou dans un environnement Unix/Linux/BSD, c’est une faille exploitable et probablement exploitée, sans correctif.



Il vaut bien mieux que les adminsys soient au courant afin qu’ils puissent prendre les mesures de prévention nécessaires, que maintenus dans l’ignorance, ça s’appelle la proactivité. La sécurité par l’obscurité, ça ne marche pas, suffit de rechercher un peu en ligne à ce sujet.



Au delà de la polémique “Google vs Microsoft”, ce genre de révélation est, pour moi, positive, dans le sens où il vaut mieux une faille connue, voire déjà référencée et intégrée à Metasploit par exemple (à fin d’audit), qu’une faille cachée aux yeux de tous et exploitée. Par contre, les commentaires du genre “ouin ouin il a révélé la faille fallait trop pas le vilain”, c’est de l’ignorance des principes de base de la sécurité informatique.


votre avatar







Lafisk a écrit :



Sauf que MS ne travaille pas en full disclosure, c’est leur choix, pas le tien ni celui de ce gars ni, osef que le “milieu” recommande plus ceci ou cela, encore que c’est une opinion comme une autre puisque à mon avis le milieu auquel tu réfère est de toute façon un milieu où la plupart ne doit jurer que par le “libre” etc… donc un état d’esprit biaisé par leur propre opinion …



MS travaille comme ils le souhaitent, si cela ne plait pas au gars qui a trouver une faille alors qu’il l’ignore point barre … si tu veux participer tu le fais aux conditions imposées par l’éditeur auquel tu signale la faille (que ce soit ms, google ou apple).





Que MS n’accepte pas comment fonctionne le monde de la sécurité informatique c’est pas notre problème. Franchement comme dit z00p renseigne toi comment ça marche, les débats sur le no/full disclosure ont déjà eu lieu. Si on a retenu le full disclosure c’est pas pour rien, la sécurité par l’obscurantisme, ça ne marche PAS.



Et détrompe toi malgré tes aprioris complètement hallucinants que tu as sur les gens du libre, la sécurité informatique concerne tout le monde et le full disclosure est le fonctionnement normal. C’est pas aux gens de s’adapter à MS, c’est à MS de s’adapter à ce mode de fonctionnement.



Quand la faille est rendu publique, soit il y a un poc soit non. Et des fois même les poc ne marchent même pas (fait exprès ou non)… alors qu’en réalité ça fait des années que les purs et durs connaissent la faille et l’exploitent à outrance, ce sont eux qui sont dangereux, pas les petits script kiddies qui vont essayer d’executer un exploit sans y arriver ni comprendre de quoi il en retourne exactement.


votre avatar







seb2411 a écrit :



Oui donc si on suit ton raisonnement MS fait ce qu’il veut et ca ne regarde personne. Du coup le gars a aussi le droit de faire ce qu’il veut et publier une faille si il a envi.





Est-ce que je te dis quoi faire et comment le faire ? non, donc MS gère son boulot de la manière qu’il le souhait, oui. c’est quoi cette manie de vouloir imposer votre açon de faire à une boite comme MS ? Est-ce que moi je vais dire à Google “hey arrêter de convertir vos client en produit à vendre ?” non,je ne crois pas, google le fait, je trouve ça dégueulasse, j’ai arrêter d’utiliser leur service point barre …



En quel honneur aurais-tu le privilège de pouvoir dire à une entreprise privée comment elle doit bosser ? Si cette boite estime que sa façon de faire lui convient, tant mieux pour elle. Tu veux participer, à toi de te plier à leur condition. C’est exactement comme quand tu as un nouveau job, il y a des façon de faire dans ta boite, tu les respectes et à moins d’avoir une position assez élevée pour les changer ben tu n’as pas d’autre choix que de t’y plier, ici c’est pareil.


votre avatar







Lafisk a écrit :



C’est sûr qu’en la révélant au monde entier, personne n’est au courant … tu te contredis toi même dans ton argumentaire <img data-src=" />



Tu dis que c’est pas parce qu’elle n’est pas publiée que personne d’autre ne la connait mais d’un autre côté du défend qu’il faut les publiée histoire que TOUT le monde soit au courant … belle contradiction …



en attendant comme j’ai dis plus haut, le risque que d’autre soit au courant est infime, et quand bien même il y en a, il vaut mieux une petite poigné que l’ensemble de la communauté de hacker super bien intentionné ..





C’est contreproductif, on parle de sécurité : tu es en droit de savoir que ta serrure réputée inviolable à une faille qui peut être exploitée, effectivement un plus grand nombre peut exploiter la faille mais aussi à défaut d’être corrigée, tu as une chance de pouvoir trouver un contournement à cette faille et sécuriser l’ensemble, une chance donc de résister même si c’est du 0,001%

Te laisser croire qu’il n’y a pas de faille c’est ne laisser aucune chance à quiconque de se défendre. On est sur du 0% de capacité à résister.


votre avatar







zaknaster a écrit :



Que MS n’accepte pas comment fonctionne le monde de la sécurité informatique c’est pas notre problème. Franchement comme dit z00p renseigne toi comment ça marche, les débats sur le no/full disclosure ont déjà eu lieu. Si on a retenu le full disclosure c’est pas pour rien, la sécurité par l’obscurantisme, ça ne marche PAS.



Et détrompe toi malgré tes aprioris complètement hallucinants que tu as sur les gens du libre, la sécurité informatique concerne tout le monde et le full disclosure est le fonctionnement normal. C’est pas aux gens de s’adapter à MS, c’est à MS de s’adapter à ce mode de fonctionnement.



Quand la faille est rendu publique, soit il y a un poc soit non. Et des fois même les poc ne marchent même pas (fait exprès ou non)… alors qu’en réalité ça fait des années que les purs et durs connaissent la faille et l’exploitent à outrance, ce sont eux qui sont dangereux, pas les petits script kiddies qui vont essayer d’executer un exploit sans y arriver ni comprendre de quoi il en retourne exactement.







oui j’ai des à priori car plus ça va plus les mec orienté libre (et donc soit disant ouvert d’esprit) veulent imposer leur façon de faire aux autres, ce qui ce ressent dans leurs propos, comme dans les tins lorsque tu insistes que parce que le full disclosure est ce qui est recommandé alors MS devrait faire pareil. Mais comme dis dans mon comm précédent, tu n’as aucun droit de leur dire ce qu’ils doivent faire, je pense que leurs spécialistes en sécurité sont assez expérimentés et grands pour savoir ce qu’ils font et choisir entre no/full disclosure, perso j’en ai rien à secouer de qui choisit quoi, ils ont fait un choix à vous de le respecter. C’est le monde à l’envers la quand même.



En gros c’est comme si demain je choisissais de faire un truc Y et que t’es pas d’accord donc je devrais faire le truc Z. J’ai choisis à toi de respecter mon choix, c’est pas à moi de respecter le choix que tu fais (ou plutôt voudrais) pour moi … c’est du délire la …





De plus je te parle de mec qui créait des réseaux de pc zombies (en exemple biens ur) et tu me parle de script kiddies .. génial comme si c’était les script kiddies qui font majoritairement du ddos qui allaient faire des réseaux de zombie … au mieux ils vont ptêt lancer des scripts qui vont aider à fournir le réseaux mais derrière il faut forcément un gars vraiment expérimenté qui ait trouvé la faille et ait les compétences pour créer les scripts etc… et qui est donc le plus dangereux de la bande …


votre avatar







Capitaine dobbey a écrit :



C’est contreproductif, on parle de sécurité : tu es en droit de savoir que ta serrure réputée inviolable à une faille qui peut être exploitée, effectivement un plus grand nombre peut exploiter la faille mais aussi à défaut d’être corrigée, tu as une chance de pouvoir trouver un contournement à cette faille et sécuriser l’ensemble, une chance donc de résister même si c’est du 0,001%

Te laisser croire qu’il n’y a pas de faille c’est ne laisser aucune chance à quiconque de se défendre. On est sur du 0% de capacité à résister.







sauf que c’est deux philosophie et qu’au final choisir l’une ou l’autre c’est un choix et que, perso, ni l’un ni l’autre ne me paraissent vraiment le choix idéal.



Pour reprendre ton exemple de serrure. Admettons qu’il y ai une série de sérrure défaillante dans la cas de no disclosure, y’aura peut être 10 gars au courant, le temps que la faille soit corrigée, admettons 6 semaines à raisons de 2 cambriolage par semaines, ça fait 120 cambriolages en tout



Dans le cas du full disclosure, tu auras 1000 gars au courant, une faille corrigée 7 jours plus tard (thuesday patch) mais 2000 cambriolage si on reste sur la base de 2 cambriolage par semaine.



alors, oui la proportion 10-1000 est totalement arbitraire mais je pense pas non plus très loin de la réalité …


votre avatar







DarKCallistO a écrit :



D’où l’expression :“Être dans la mouise”



Qui signifie être a l’intérieur d’une mer ouverte en deux. <img data-src=" />





Bizarre, je n’ai pas la même signification ^^;

‘Mouise’ est un mot d’argot qui signifie ‘misère’ depuis 1892 ou 1895, selon les sources.

Il vient de dialectes de l’est de la France (à Montbéliard, la ‘mouesse’ désignait une confiture grossière ; dans le Doubs, la confiture s’appelait de la ‘mousse’ ; dans le sud de l’Alsace, la ‘mouisse’ était une bouillie) où les variantes du mot viennent de l’allemand ‘Mus’ pour marmelade ou bouillie.

Et être dans la mouise, comme dans la merde, désolé, ce n’a jamais été “être à l’intérieur d’une mer ouverte en deux” ^^;

Par contre, je veux bien tes sources.


votre avatar







Jiyuu_Hashi a écrit :



Bizarre, je n’ai pas la même signification ^^;

‘Mouise’ est un mot d’argot qui signifie ‘misère’ depuis 1892 ou 1895, selon les sources.

Il vient de dialectes de l’est de la France (à Montbéliard, la ‘mouesse’ désignait une confiture grossière ; dans le Doubs, la confiture s’appelait de la ‘mousse’ ; dans le sud de l’Alsace, la ‘mouisse’ était une bouillie) où les variantes du mot viennent de l’allemand ‘Mus’ pour marmelade ou bouillie.

Et être dans la mouise, comme dans la merde, désolé, ce n’a jamais été “être à l’intérieur d’une mer ouverte en deux” ^^;

Par contre, je veux bien tes sources.





Je sais pas si il était vraiment sérieux dans son explications en fait … je pense que c’était plutôt une blague (je peux me gourer) pour dire que si t’es au milieu d’une mer ouverte en deux, t’es un peu dans la merde ..


votre avatar







Lafisk a écrit :



Disons que c’est tellement débile de dire “c’est la faute de MS si ils ont des failles, point barre” c’est tout simplement stupide vu que c’est impossible de ne pas en avoir …





Mais où m’as tu vu dire ça ?







Lafisk a écrit :



Et le gars voit que la faille n’est pas corrigée donc ça justifie qu’il l’a publie sur internet ? la faille est considérée comme peu dangereuse, peut être que MS avec un Windows 8.1 en préparation etc… à autre chose à ce préoccuper que d’une faille considérer comme peu critique … bien sur dans n’importe quelle boite les petit bug/faille sont souvent les dernières à être corrigées, rien d’anormal. Qu’il soit de Google ou d’ailleurs ne lui permet en rien de divulguer une faille de façon publique … d’ailleurs limite, je pense que MS pourrait presque porter plainte pour une telle chose pour de nombreuses raisons.





Ah d’accord, je vois le truc.

En gros tu veux dire que Microsoft manque de main d’œuvre.





Lafisk a écrit :



non c’est toi qui ne pige pas, si la faille n’est pas divulguée, alors la chance qu’elle soit exploitée est minime … Surtout que tu parles des admins mais t’es gentil tu oublies que les particuliers n’ont pas d’admins sys hein … et les réseaux de pc zombies c’est pas chez les pros que tu les trouves mais bel et bien chez les particuliers … donc c’est bien beau de parler d’admins blabla mais tu oublies tout une partie de la clientèle très importante … (bien sur je ne parle pas de cette faille ridicule mais d’autre qui pourraient être plus dangereuse)





Minime ne signifie pas nulle.

Pour le reste, c’est encore et toujours l’éternel débat de l’information au maximum de monde contre son opposé.

Je pense que l’un comme l’autre ont leurs avantages et inconvénients propres.

Et tu as évidemment compris que j’ai du mal avec cette politique du secret.





Lafisk a écrit :



C’est sûr qu’en la révélant au monde entier, personne n’est au courant … tu te contredis toi même dans ton argumentaire <img data-src=" />



Tu dis que c’est pas parce qu’elle n’est pas publiée que personne d’autre ne la connait mais d’un autre côté du défend qu’il faut les publiée histoire que TOUT le monde soit au courant … belle contradiction …



en attendant comme j’ai dis plus haut, le risque que d’autre soit au courant est infime, et quand bien même il y en a, il vaut mieux une petite poigné que l’ensemble de la communauté de hacker super bien intentionné ..





Là c’est clair, nous avons un avis diamétralement opposé.


votre avatar







Sebdraluorg a écrit :



Tu peux nous expliquer quelle faille tu as reporté à Microsoft et les problèmes que tu as rencontré ?

<img data-src=" />





Ah ok maintenant il faut que ça me soit arrivé à moi même.


votre avatar







Jiyuu_Hashi a écrit :



Bizarre, je n’ai pas la même signification ^^;

‘Mouise’ est un mot d’argot qui signifie ‘misère’ depuis 1892 ou 1895, selon les sources.

Il vient de dialectes de l’est de la France (à Montbéliard, la ‘mouesse’ désignait une confiture grossière ; dans le Doubs, la confiture s’appelait de la ‘mousse’ ; dans le sud de l’Alsace, la ‘mouisse’ était une bouillie) où les variantes du mot viennent de l’allemand ‘Mus’ pour marmelade ou bouillie.

Et être dans la mouise, comme dans la merde, désolé, ce n’a jamais été “être à l’intérieur d’une mer ouverte en deux” ^^;

Par contre, je veux bien tes sources.









Lafisk a écrit :



Je sais pas si il était vraiment sérieux dans son explications en fait … je pense que c’était plutôt une blague (je peux me gourer) pour dire que si t’es au milieu d’une mer ouverte en deux, t’es un peu dans la merde ..





Il fallait suivre la chaine de commentaires.

C’est parti d’un commentaire où mouise était écrit moïse.


votre avatar







Baldurien a écrit :



Sinon, on peut aussi revendre les failles 0day en toute confidentialité :) C’est ça qui est bien :)

Et pour alimenter le troll :http://korben.info/faille-critique-dans-le-noyau-linux.html :)





Et misère le numéro de version de mon kernel est compris dedans. <img data-src=" />


votre avatar







Winderly a écrit :



Il fallait suivre la chaine de commentaires.

C’est parti d’un commentaire où mouise était écrit moïse.







Mais j’ai bien suivi, je te rassure …


votre avatar







Winderly a écrit :



Mais où m’as tu vu dire ça ?







Lorsque tu dis ça:



J’ai surtout l’impression que chez certains cette notion est à sens unique.

Pour un peu on pourrait croire que c’est pas de la faute de Microsoft qu’il existe des failles dans ses produits.





En gros, c’est si il y a des failles c’est leur faute ils n’avaient qu’à faire un OS sans failles…





Ah d’accord, je vois le truc.

En gros tu veux dire que Microsoft manque de main d’œuvre.





Pas forcément mais vu qu’à chaque dèv de nouvelles versions de Windows ils sont à la bourre, ils peuvent avoir par moment des priorités autres que des failles jugés peu critiques





Minime ne signifie pas nulle.

Pour le reste, c’est encore et toujours l’éternel débat de l’information au maximum de monde contre son opposé.

Je pense que l’un comme l’autre ont leurs avantages et inconvénients propres.

Et tu as évidemment compris que j’ai du mal avec cette politique du secret.



Là c’est clair, nous avons un avis diamétralement opposé.





Je tiens à préciser que je ne suis aucunement celui faisant le débat du no/full disclosure, je m’en tamponne d’une force que tu ne peux peut être pas imaginer, je trouve juste exaspérant de voir certaines personnes faire pression avec des méthodes plus qu’outrancière pour faire passer, en gros, le message suivant “faite du full disclosure parce que j’aime pas votre façon de faire”.



Comme j’ai dis plus tôt, je suis sur que le mec pourrait facilement ce faire attaquer en justice pour avoir révéler une faille dans Windows de façon publique et ceux sans l’autorisation de MS. Ceci dit, je doute que MS ne l’attaque un jour, bien que pour ma part la 1ère fois ce serait rappel à l’ordre, la 2ème ce serait procès au cul vu que je considère qu’à partir du moment où je fais le choix d’une méthode il doit la respecter car c’est dans ce sens que ça fonctionne et pas l’inverse.



Après pour ou contre le full disclosure, comme tu le dis les deux ont des avantages et des inconvénients, perso, si j’avais à choisir je prendrais le no disclosure, toi le full disclosure, chacun son opinion, je respece ton choix, tu respectes le mien très bien. Si je veux participer à tes corrections de failles (car une fille chezle voisin peut très bien m’impacter aussi donc c’est dans mon intérêt quelque part) je le ferais à ta manière et si toi tu fais de même j’attend à ce que tu le fasses à ma manière aussi et non pas que tu m’imposes ta manières car tu préfères la tienne, c’est une question de respect, d’ouverture d’esprit, etc…


votre avatar







lincruste a écrit :



Ben au contraire, au lieu de batailler bénévolement pendant des mois pour que MS tienne compte du bug, il leur met le nez dans la merde pour qu’ils s’activent. Il aurait très bien pu garder ça pour lui ou vendre l’exploit.







à un certain niveau, il vaut mieux travailler en bonne intelligence, ça évite les problèmes pour tout le monde…


votre avatar







Lafisk a écrit :



Je sais pas si il était vraiment sérieux dans son explications en fait … je pense que c’était plutôt une blague (je peux me gourer) pour dire que si t’es au milieu d’une mer ouverte en deux, t’es un peu dans la merde ..







<img data-src=" />



Surtout quand elle se referme. <img data-src=" />


votre avatar

C’est évident que le mode full disclosure est beaucoup plus adapté.

Les failles sont corrigé rapidement (enfin normalement) et le laps de temps entre la diffusion et la correction n’est pas suffisamment élevé pour être exploité.



Le GROS probleme de microsoft, c’est la politique du patch thuesday qui, sauf faille critique, laisse une fenêtre d’un mois max entre la divulgation d’une faille et sa correction.

Je peut comprendre qu’on souhaite faciliter la vie aux admins en leur évitant d’avoir des patchs tous les jours, mais du coup, ca se paye et cher.



La sécurité d’un systeme d’exploitation, ca ne se mesure pas au nombre de failles, mais au temps qui passe entre leur diffusion et leur correction.



Et du coup, vu qu’ils patch leur systeme que tous les mois, c’est logique qu’ils preferent du no disclosure, car l’intervalle de temps dans laquelle les failles vont pouvoir etre exploité est beaucoup plus elevé.

votre avatar

Même si ça ne plait pas aux sociétés concernées, le principal avantage de la diffusion des failles sur des mailing-list c’est la prise en compte rapide du problème par l’éditeur du logiciel impacté.

votre avatar

Google qui publie une faille juste apres le patch tuesday…

Genre, c’est un hasard…. vraiment le mot EVIL convient desormais tres bien à Google

votre avatar







AlphaBeta a écrit :



Google qui publie une faille juste apres le patch tuesday…

Genre, c’est un hasard…. vraiment le mot EVIL convient desormais tres bien à Google





Évidemment que c’est un hasard. Tu t’imagines que s’il l’avait publié 2 semaines avant MS aurait eu le temps de patcher la faille avec toutes les validations qui suivent pour ce mardi ?


votre avatar

On atteint des sommets dans la stupidité… (même si ca n’est pas nouveau, ca me fait toujours le même effet : “Mais quelle espèce de #)@+ celui là…”)

votre avatar

Une faille locale,j’m’e sens en insécurité totale gros !!! <img data-src=" />

votre avatar







succubbae a écrit :



On atteint des sommets dans la stupidité… (même si ca n’est pas nouveau, ca me fait toujours le même effet : “Mais quelle espèce de #)@+ celui là…”)





Ben au contraire, au lieu de batailler bénévolement pendant des mois pour que MS tienne compte du bug, il leur met le nez dans la merde pour qu’ils s’activent. Il aurait très bien pu garder ça pour lui ou vendre l’exploit.


votre avatar







lincruste a écrit :



Ben au contraire, au lieu de batailler bénévolement pendant des mois pour que MS tienne compte du bug, il leur met le nez dans la merde pour qu’ils s’activent. Il aurait très bien pu garder ça pour lui ou vendre l’exploit.







bof quand tu regardes le cas d’oracle ça fait des mois que tout le monde leur à mis le nez dans la moïse mais qu’en plus ils leur sautent à pieds joints sur la tête, ça n’a pas l’air de les stresser plus que ça.


votre avatar







Julgas a écrit :



C’est évident que le mode full disclosure est beaucoup plus adapté.

Les failles sont corrigé rapidement (enfin normalement) et le laps de temps entre la diffusion et la correction n’est pas suffisamment élevé pour être exploité.



Le GROS probleme de microsoft, c’est la politique du patch thuesday qui, sauf faille critique, laisse une fenêtre d’un mois max entre la divulgation d’une faille et sa correction.

Je peut comprendre qu’on souhaite faciliter la vie aux admins en leur évitant d’avoir des patchs tous les jours, mais du coup, ca se paye et cher.



La sécurité d’un systeme d’exploitation, ca ne se mesure pas au nombre de failles, mais au temps qui passe entre leur diffusion et leur correction.



Et du coup, vu qu’ils patch leur systeme que tous les mois, c’est logique qu’ils preferent du no disclosure, car l’intervalle de temps dans laquelle les failles vont pouvoir etre exploité est beaucoup plus elevé.





le truc, c’est que MS ce fait déjà pas mal critiquer pour le nombre trop élevé de maj par pas mal de personne … j’imagine si il passait en full disclosure et des maj distribuée dès qu’elles sont dispo …


votre avatar







DarKCallistO a écrit :



Rassure toi,on trouve encore des faille sur Windows 3.11 Workgroup,reste plus qu’a trouver encore une machine qui tourne dessus <img data-src=" />







Doit en avoir des tarées qui dev avec des licences BSD dans ce cas. <img data-src=" />





Pour la 3.11 j’en ai, celui du comptable avec notepad pour faire le tableau a base de –|||— <img data-src=" />



Pour BSD y’a peu y’avais une faille parce que le mec avait été payé ou subit des pressions de mémoire <img data-src=" />


votre avatar

Reste toujours le fait que la faille n’est vraiment pas critique là, il y a peut être plus important à corriger.



Alors le bon samaritain de google fait ça surtout pour “l’image” à mon sens.

votre avatar







nucl3arsnake a écrit :



Pour BSD y’a peu y’avais une faille parce que le mec avait été payé ou subit des pressions de mémoire <img data-src=" />







Ça dépend surtout de la licence utilisé et sur quel distrib,il y en a une flopée de distrib bsd,DragonFly BSD,OpenBSD,PC-BSD (qui est pas mal,très windows-like en plus),même Darwin,le noyau système d’Apple OSX est BSD,avec une première distrib dispo : PureDarwin







after_burner a écrit :



Reste toujours le fait que la faille n’est vraiment pas critique là, il y a peut être plus important à corriger.



Alors le bon samaritain de google fait ça surtout pour “l’image” à mon sens.







+1000



Tant que l’exploit reste locale,il y a aucune raison que Microsoft cède à la précipitation


votre avatar







Lafisk a écrit :



Lorsque tu dis ça:



J’ai surtout l’impression que chez certains cette notion est à sens unique.

Pour un peu on pourrait croire que c’est pas de la faute de Microsoft qu’il existe des failles dans ses produits.





En gros, c’est si il y a des failles c’est leur faute ils n’avaient qu’à faire un OS sans failles…

C’est bien ce que je disais, tu m’imagines des propos que j’ai pas tenus.

Je dis bien que c’est de la faute Microsoft si il y a des failles dans leur logiciel (je vois d’ailleurs pas à qui d’autre la faute pourrait revenir).

Mais par contre je vois toujours pas où j’ai écrit qu’il serait possible à Microsoft (et qui que ce soit d’autre aussi) de faire un OS (ou autre logiciel) sans faille.



Et j’ai envie de dire, on s’en fout.

Ce qui compte, c’est comment est traitée la faille.



Je suis plutôt d’accord avec la suite :





Lafisk a écrit :



Pas forcément mais vu qu’à chaque dèv de nouvelles versions de Windows ils sont à la bourre, ils peuvent avoir par moment des priorités autres que des failles jugés peu critiques







Je tiens à préciser que je ne suis aucunement celui faisant le débat du no/full disclosure, je m’en tamponne d’une force que tu ne peux peut être pas imaginer, je trouve juste exaspérant de voir certaines personnes faire pression avec des méthodes plus qu’outrancière pour faire passer, en gros, le message suivant “faite du full disclosure parce que j’aime pas votre façon de faire”.



Comme j’ai dis plus tôt, je suis sur que le mec pourrait facilement ce faire attaquer en justice pour avoir révéler une faille dans Windows de façon publique et ceux sans l’autorisation de MS. Ceci dit, je doute que MS ne l’attaque un jour, bien que pour ma part la 1ère fois ce serait rappel à l’ordre, la 2ème ce serait procès au cul vu que je considère qu’à partir du moment où je fais le choix d’une méthode il doit la respecter car c’est dans ce sens que ça fonctionne et pas l’inverse.



Après pour ou contre le full disclosure, comme tu le dis les deux ont des avantages et des inconvénients, perso, si j’avais à choisir je prendrais le no disclosure, toi le full disclosure, chacun son opinion, je respece ton choix, tu respectes le mien très bien. Si je veux participer à tes corrections de failles (car une fille chezle voisin peut très bien m’impacter aussi donc c’est dans mon intérêt quelque part) je le ferais à ta manière et si toi tu fais de même j’attend à ce que tu le fasses à ma manière aussi et non pas que tu m’imposes ta manières car tu préfères la tienne, c’est une question de respect, d’ouverture d’esprit, etc…





votre avatar







Winderly a écrit :



Et misère le numéro de version de mon kernel est compris dedans. <img data-src=" />





[img]http://www.luds.net/galeries/nelson.gif[/img]




  • AH AH <img data-src=" />







    z00p a écrit :



    “Heureusement, grâce à cet exploit rendu public, la terre entière est maintenant au courant et peut se protéger d’éventuels hackers.”



    rendu public =&gt; tiens, les gens se bougent pour corriger, tout d’un coup. Que ce soit MS ou les devs du kernel, hein Lafisk? ;) (oups, on est pas encore trolldi)





    Honnêtement, le plus important n’est pas la faille mais la réactivité à la corriger.

    Quelle soit rendue publique est un plus pour assurer sa correction et sa non exploitation à des fins douteuses (que ce soit par des états ou des mafias !). Maintenant, la mentalité reste la même :)


votre avatar



Tant que l’exploit reste locale,il y a aucune raison que Microsoft cède à la précipitation





Il y a quand meme un probleme quand une faille d’élévation de privilèges est partagée publiquement avec un exploit, c’est que les serveurs web (avec cgi autorisés), ou les serveurs terminal server sont à risque.



aussi bien sous Windows qu’avec la faille linux décrite sur le site de korben, même si la faille était corrigée dans l’heure et que tous les sysadmins appliquaient le patch dans la minute qui suit sa disponibilité (ce qui est évidemment impossible), ça laisse largement assez de temps aux hackers qui sont déjà dans le système (via un compte limité) d’exploiter la faille pour élever leurs privilèges à root/admin de manière permanente (même après que le patch ait été appliqué).

sur un serveur web partagé ça peut faire mal.



c’est pour cette raison que la divulgation publique est dangereuse et condamnable, et aussi probablement pour cette raison que les devs du kernel linux patchent des failles silencieusement, sans dire publiquement que les failles corrigées sont critiques, histoire d’éviter que les hackers essayent de développer un exploit avant que le patch soit déployé sur un maximum de systèmes.

votre avatar



Honnêtement, le plus important n’est pas la faille mais la réactivité à la corriger.

Quelle soit rendue publique est un plus pour assurer sa correction et sa non exploitation à des fins douteuses (que ce soit par des états ou des mafias !). Maintenant, la mentalité reste la même :)





pas d’accord.

mieux vaut que la faille mette un mois a être corrigée et reste secrète pendant ce temps là, plutôt que 3 jours en étant publique et en laissant faire un carnage sur tous les serveurs où les hackers ou script kiddies ont déjà un accès en mode utilisateur limité.



surtout que pour les failles kernel il y a rarement un workaround pour s’en protéger. La seule solution serait de couper les accès aux utilisateurs extérieurs en attendant le correctif, ce qui n’est évidemment pas envisageable en entreprise.

votre avatar







Lafisk a écrit :



sauf que c’est deux philosophie et qu’au final choisir l’une ou l’autre c’est un choix et que, perso, ni l’un ni l’autre ne me paraissent vraiment le choix idéal.



Pour reprendre ton exemple de serrure. Admettons qu’il y ai une série de sérrure défaillante dans la cas de no disclosure, y’aura peut être 10 gars au courant, le temps que la faille soit corrigée, admettons 6 semaines à raisons de 2 cambriolage par semaines, ça fait 120 cambriolages en tout



Dans le cas du full disclosure, tu auras 1000 gars au courant, une faille corrigée 7 jours plus tard (thuesday patch) mais 2000 cambriolage si on reste sur la base de 2 cambriolage par semaine.



alors, oui la proportion 10-1000 est totalement arbitraire mais je pense pas non plus très loin de la réalité …





Encore une fois, si tu as une chance de savoir que ta serrure n’est pas fiable, tu n’as pas à attendre le patch officiel pour contourner le problème, tu peux immédiatement mettre en oeuvre une solution qui interdit une action, voir simplement mettre un second verrou.

Si tu crois que tu as une serrure fiable tu laisses ton système ouvert.

Si ne serait ce qu’une personne sait que tel type de sécurité est contournable, il peut aller attaquer ce qu’il veut, même une banque.

si 1000 personnes savent que cette faille existe, aucun de ces 1000 ne pourra aller dans la banque car elle pourra être proactive, quiconque pourra être proactif.

On augmente le risque mais on augmente surtout les chances de résister à cet incident.

Personnellement, je n’en ai rien à foutre qu’un particulier augmente ses risques de se faire hacker par un script kiddie parce qu’une faille 0 day a été révélée, tant que ni une banque ni une administration, ni un service en ligne qui contient les infos de millions d’utilisateurs peut se protéger en étant au courant de sa faille.

Ne pas savoir qu’un danger existe ne sera jamais l’équivalant de pouvoir éviter ce danger car on le connait.


votre avatar







Capitaine dobbey a écrit :



Encore une fois, si tu as une chance de savoir que ta serrure n’est pas fiable, tu n’as pas à attendre le patch officiel pour contourner le problème, tu peux immédiatement mettre en oeuvre une solution qui interdit une action, voir simplement mettre un second verrou.

Si tu crois que tu as une serrure fiable tu laisses ton système ouvert.

Si ne serait ce qu’une personne sait que tel type de sécurité est contournable, il peut aller attaquer ce qu’il veut, même une banque.

si 1000 personnes savent que cette faille existe, aucun de ces 1000 ne pourra aller dans la banque car elle pourra être proactive, quiconque pourra être proactif.

On augmente le risque mais on augmente surtout les chances de résister à cet incident.

Personnellement, je n’en ai rien à foutre qu’un particulier augmente ses risques de se faire hacker par un script kiddie parce qu’une faille 0 day a été révélée, tant que ni une banque ni une administration, ni un service en ligne qui contient les infos de millions d’utilisateurs peut se protéger en étant au courant de sa faille.

Ne pas savoir qu’un danger existe ne sera jamais l’équivalant de pouvoir éviter ce danger car on le connait.





Sauf qu’en connaissant un peu ce monde tu te rendrais compte que 3 jours n’est pas assez pour mettre en place des verrous supplémentaire dans les banques et encore moins dans les administrations !

Tu penses vraiment que les banques et autre ont des capacités de réaction supérieure à Microsoft ? <img data-src=" />



De plus, l’avoir révélée publiquement ne veut pas dire que chaque IT est maintenant au courant !

Bref, la méthode la plus rapide et sure pour tous c’est de la remonter à Microsoft par la voix décrite par ce dernier, ensuite, c’est à Microsoft de juger de la priorité de cette faille !



Microsoft remonte les failles à Google en suivant la procédure et puis laisse à Google le soin de gerer ça. Bref, c’est au mieux de l’excès de zèle, et au pire très mesquin !



votre avatar







Capitaine dobbey a écrit :



Encore une fois, si tu as une chance de savoir que ta serrure n’est pas fiable, tu n’as pas à attendre le patch officiel pour contourner le problème, tu peux immédiatement mettre en oeuvre une solution qui interdit une action, voir simplement mettre un second verrou.

Si tu crois que tu as une serrure fiable tu laisses ton système ouvert.

Si ne serait ce qu’une personne sait que tel type de sécurité est contournable, il peut aller attaquer ce qu’il veut, même une banque.

si 1000 personnes savent que cette faille existe, aucun de ces 1000 ne pourra aller dans la banque car elle pourra être proactive, quiconque pourra être proactif.

On augmente le risque mais on augmente surtout les chances de résister à cet incident.

Personnellement, je n’en ai rien à foutre qu’un particulier augmente ses risques de se faire hacker par un script kiddie parce qu’une faille 0 day a été révélée, tant que ni une banque ni une administration, ni un service en ligne qui contient les infos de millions d’utilisateurs peut se protéger en étant au courant de sa faille.

Ne pas savoir qu’un danger existe ne sera jamais l’équivalant de pouvoir éviter ce danger car on le connait.







Banque et proactif dans le même texte <img data-src=" />



Comme j’ai dis plus haut c’est un choix et les deux mode de fonctionnement ont leurs avantages et inconvénients. Je considère à titre personnel le no disclodure comme étant mieux, toi tu préfères le full disclosure, tant mieux pour toi. Y’a pas de débat à faire car tu pourras me sortir ce que tu veux tu ne me convaincra pas et franchement ton argumentaire n’ai pas convaincant car remplit de naïveté en plus … car des grosses infra comme google, facebook peuvent être assez réactives (et encore) mais d’autres institutions dont ce n’est pas le boulot genre les banques, les administrations etc… ne sont clairement pas proactive et souvent avec des services informatique très pauvres en terme de personnel et surtout de spécialistes. Leur infra sont vieille et de A à Z souvent très à la bourre en matière de technologies. Il n’y a qu’à la limite les mainframes qui soient bien protégés.


votre avatar

Un autre problème, c’est que pour une entreprise commerciale, la politique de sécurité est influencée par des aspects marketing.

Par exemple, si on augmente les dates de mises à jour, comme souligné par certains ici, certains clients vont râler.

Autre exemple: mieux vaut risquer qu’une faille soit exploitée sur 100 machines que de faire une mise à jour qui va faire planter 100 machines (parce qu’une mise à jour foireuse, c’est vu comme étant à 100% la faute de l’éditeur, tandis qu’un exploit parce qu’une faille est comblée en retard, l’éditeur peut toujours sortir l’excuse qu’il n’était pas au courant ou qu’elle est plus compliquée que prévue)

votre avatar







Sebdraluorg a écrit :



Sauf qu’en connaissant un peu ce monde tu te rendrais compte que 3 jours n’est pas assez pour mettre en place des verrous supplémentaire dans les banques et encore moins dans les administrations !

Tu penses vraiment que les banques et autre ont des capacités de réaction supérieure à Microsoft ? <img data-src=" />



De plus, l’avoir révélée publiquement ne veut pas dire que chaque IT est maintenant au courant !

Bref, la méthode la plus rapide et sure pour tous c’est de la remonter à Microsoft par la voix décrite par ce dernier, ensuite, c’est à Microsoft de juger de la priorité de cette faille !



Microsoft remonte les failles à Google en suivant la procédure et puis laisse à Google le soin de gerer ça. Bref, c’est au mieux de l’excès de zèle, et au pire très mesquin !





Allez, attaque ab hominem…



Je sais que seul microsoft peut combler sa faille par un patch, si il en a envie, par contre n’importe quelle société de sécurité peut mettre en oeuvre un contournement rapide en attendant ledit patch, si il arrive un jour et n’importe quel admin peut utiliser un de ses outils au moins pour surveiller cette porte dérobée.

Et c’est souvent ce qui se passe, en attendant un patch sur une faille connue, on a une solution de contournement, parfois physique, comme on a eu avec les port USB soudés pour éviter une clef usb vérolée par un virus utilisant autorun.inf.

C’est con, c’est moche, c’est bourrin, tu n’as pas besoin d’un doctorat pour savoir le faire, c’est bien plus rapide à mettre en oeuvre que d’attendre un patch microsoft et ça te protège bien plus que d’ignorer que ça peut t’arriver.


votre avatar







Capitaine dobbey a écrit :



Et c’est souvent ce qui se passe, en attendant un patch sur une faille connue, on a une solution de contournement, parfois physique, comme on a eu avec les port USB soudés pour éviter une clef usb vérolée par un virus utilisant autorun.inf.





Souder les ports USB <img data-src=" /> Pour contourner un autorun.inf <img data-src=" />

Alors, déjà c’est débile car il existe des fonctionnalités pour désactiver l’exécution de l’autorun, mais en plus, si tu as 3000 postes, tu penses vraiment que tu auras fini avant le patch de Ms ? <img data-src=" />



Bref, il arrive que l’on donne des procédures temporaire face à certains malware ou failles particulièrement facile à exploiter en attendant le patch, mais bien souvent elle est donnée par Microsoft lui-même !



Bref, dans tous les cas, on parle ici d’une faille peu importante et qui nécessite un acces local à la machine, en gros, si ta soeur n’est pas hackeur, tu ne risque pas grand chose !

Inutile de t’enfoncer avec des arguments bidons, ce qu’a fait ce type est juste pitoyable !


votre avatar

faille autorun : découvert en 95, microsoft l’a prise en compte en 2011.

A la question “ tu penses vraiment que tu auras fini avant le patch de Ms ?” la réponse sur cet exemple c’est “oui, même si tu demandes ça à un manchot”.

votre avatar







Capitaine dobbey a écrit :



faille autorun : découvert en 95, microsoft l’a prise en compte en 2011.

A la question “ tu penses vraiment que tu auras fini avant le patch de Ms ?” la réponse sur cet exemple c’est “oui, même si tu demandes ça à un manchot”.





<img data-src=" />



Arrêtes, y a que toi pour y croire !

Ce n’est pas une faille de l’OS mais bien de l’admin qui configure les postes de travail ! <img data-src=" />


votre avatar

Je me demande quand même si certains ont ne serait-ce qu’une vague idée de la notion de responsabilité.

votre avatar







HarmattanBlow a écrit :



Pourvu que mon chat n’en apprenne pas l’existence. <img data-src=" />







Ouaip,méfie toi,leurs plan de conquête du monde risque d’avoir lieu a cause de toi.<img data-src=" />


votre avatar







GuiTheGuy a écrit :



Toutes proportions gardées, tu es donc le genre de personne qui justifie qu’un gars se pointe armé dans un lieu public pour dénoncer des manquements à la sécurité?



Nan c’est super cool comme concept par les temps qui courent hein. Et sinon, tu rentres quand en HP? Ou alors tu t’es échappé récemment peut-être?







Et toi grossier personnage, tu préfères un OS dont la sécurité est garantie par l’opacité du code et l’espoir que le premier type qui découvre la faille ne la vende pas au marché noir ?


votre avatar

Sinon à tous les mecs qui pensent qu’un exploit local est sans intérêt vous oubliez les PC d’entreprises, qui renferment des infos plus intéressantes que vos divx.

votre avatar

Ce qui est irresponsable à la base c’est de refuser de publier le code source.

votre avatar







philoxera a écrit :



Ce qui est irresponsable à la base c’est de refuser de publier le code source.





<img data-src=" />







lincruste a écrit :



Sinon à tous les mecs qui pensent qu’un exploit local est sans intérêt vous oubliez les PC d’entreprises, qui renferment des infos plus intéressantes que vos divx.





Et tu n’es pas obligé de tout prendre au premier degré.


votre avatar







lincruste a écrit :



Et toi grossier personnage, tu préfères un OS dont la sécurité est garantie par l’opacité du code et l’espoir que le premier type qui découvre la faille ne la vende pas au marché noir ?







L’histoire est pleine de gens qui ont, pour justifier l’utilisation d’une méthode douteuse, brandi l’existence potentielle d’une éventuelle menace pire. Elle ne leur a pas très bien rendu en général, et à juste titre.


votre avatar







philoxera a écrit :



Ce qui est irresponsable à la base c’est de refuser de publier le code source.





Non ça c’est leur problème, ils publient Windows comme ils veulent. Mais ils feraient mieux de payer les mecs qui leur remontent des failles au lieu de les rembarrer.


votre avatar







lincruste a écrit :



Et toi grossier personnage, tu préfères un OS dont la sécurité est garantie par l’opacité du code et l’espoir que le premier type qui découvre la faille ne la vende pas au marché noir ?







Rassure toi,on trouve encore des faille sur Windows 3.11 Workgroup,reste plus qu’a trouver encore une machine qui tourne dessus <img data-src=" />







philoxera a écrit :



Ce qui est irresponsable à la base c’est de refuser de publier le code source.







Doit en avoir des tarées qui dev avec des licences BSD dans ce cas. <img data-src=" />


votre avatar







GuiTheGuy a écrit :



Toutes proportions gardées, tu es donc le genre de personne qui justifie qu’un gars se pointe armé dans un lieu public pour dénoncer des manquements à la sécurité?





<img data-src=" /> pour l’image qui n’a rien avoir.


votre avatar







GuiTheGuy a écrit :



L’histoire est pleine de gens qui ont, pour justifier l’utilisation d’une méthode douteuse, brandi l’existence potentielle d’une éventuelle menace pire. Elle ne leur a pas très bien rendu en général, et à juste titre.





On parle d’un type qui a une longue histoire de contribution à la sécurité de Windows, et qui a goûté à l’accueil qui est fait aux types qui glissent discrètement l’info par la voie que tu préconises.

Ben il a donné une fois, je ne lui en veut pas de ne pas être masochiste au point d’opter maintenant pour l’efficacité.


votre avatar

Ce serait marrant que MS se mette à tracker les failles Android et les révèlent !

Du coup ce serait par lot, et pas que des local exploit ! <img data-src=" />



C’est un peu l’hôpital qui se fou de la charité mais bon, quand on a plus que ça pour tenter de ternir l’image d’un concurrent, je pense qu’on n’est même plus tout à fait un concurrent, car on se met hors course tout seul…



Quand je vois tout ce que fait Google en ce moment pour parer la route de MS, je ne peux m’empêcher de me dire qu’ils aperçoivent leurs limites et qu’ils pensent qu’ils ne tiendront pas sans faire de coups bas…

votre avatar

Hum une telle faille d’élévation de privilèges devrait permettre à un malware de s’echapper de la sandbox de Chrome (ou IE).



Et compte tenu du nombre très élevé de failles dans chrome et webkit découvertes chaque année, cette divulgation augmente significativement les risques pour les utilisateurs de chrome sous Windows, car comme l’ont dit plusieurs chercheurs, la seule chose qui rend chrome secure c’est sa sandbox. Sans ça, c’est un gruyère…

votre avatar

Hi,







BBT33 a écrit :



Même si ça ne plait pas aux sociétés concernées, le principal avantage de la diffusion des failles sur des mailing-list c’est la prise en compte rapide du problème par l’éditeur du logiciel impacté.





Et c’est encore plus rapide du côté des malveillants, c’est donc une très mauvaise idée.


votre avatar







lincruste a écrit :



Non mais c’est évident que le type a une dent contre MS, mais encore une fois il est dans son plein droit et ne parle qu’en son nom, pas celui de Google.

Et d’une, c’est Microsoft qui l’a affiché comme un ingé de chez Google en 2010 “des fois que” ça puisse le desservir au sein de sa boîte, mais en plus il a déjà affronté leur hostilité quand il a voulu les aider gratuitement.

Je vois pas au nom de quel grande solidarité universelle avec des mecs qui lui ont marché sur la gueule il devrait lutter pendant des semaines pour obtenir d’eux qu’ils corrigent leurs merdes.







J’ai un peu de difficulté à comprendre quelles st les exigences de ce type dans ce cas. MS n’a pas tenu compte de ses remontées et alors, le mieux qu’il ait a faire c’est de ne pas s’en occuper.



Et j’ai aussi du mal à croire à la simple explications de l’ingénieur google empli de piété et de justice qui va fouiller pour trouver des faille 0-day dans windows…



Il suffit d’inverser les rôles pour comprendre. <img data-src=" />





Surtout cette fois, ce n’est certainement pas une démarche “personnelle”.


votre avatar



On parle d’un type qui a une longue histoire de contribution à la sécurité de Windows, et qui a goûté à l’accueil qui est fait aux types qui glissent discrètement l’info par la voie que tu préconises.

Ben il a donné une fois, je ne lui en veut pas de ne pas être masochiste au point d’opter maintenant pour l’efficacité.





le gars fait ça juste pour troller.

s’il voulait tellement divulguer la faille de manière responsable sans se fatiguer, au pire il aurait contacté une des nombreuses sociétés spécialisés dans la collecte de faille et la rémunération des chercheurs. Il aurait même gagné un peu d’argent au passage, et l’entreprise aurait traité directement avec MS.



mais évidemment avec une divulgation responsable on peut pas se faire mousser dans la presse, ni se faire passer pour plus intelligent que les ingénieurs MS juste parce qu’on a trouvé une faille.

votre avatar







DarKCallistO a écrit :



Une faille locale,j’m’e sens en insécurité totale gros !!! <img data-src=" />





Tu as pensé à l’exploitation de la faille entre la chaise et le clavier pour lancer l’exploit en local ? <img data-src=" />


votre avatar







DarKCallistO a écrit :



Sauf que sortir un patch de sécurité sous windows,c’est aussi simple de changer un câble électrique d’éclairage dans un A320 <img data-src=" />





Ils ont tous les plans des circuits, qu’ils se demerdent <img data-src=" />


votre avatar







psn00ps a écrit :



Tu as pensé à l’exploitation de la faille entre la chaise et le clavier pour lancer l’exploit en local ? <img data-src=" />







Ouaip,du coup la seule option possible,c’est de me hacker moi-même.


votre avatar







DarKCallistO a écrit :



Ouaip,du coup la seule option possible,c’est de me hacker moi-même.





C’est possible quand le souci est entre la chaise et le clavier (oh des nouveaux smilies (par exemple)).


votre avatar

OK donc si je suis tout le monde …



A travaille avec une methode alpha.



B trouve une faille, et comme A bouge pas son <img data-src=" />, il peut ouvrir sa <img data-src=" /> sur la place publique avec la bonne intention que A change ca vite fait pour le bien du peuple.



Pour certain ce raisonnement est logique et devrait être normal tout en restant nullement un forcing et une mise en danger car c’est pour le bien des michus et des admins qui sont tous proactif <img data-src=" />

(ça existe ça ??? dans ma boite l’admin windows pense que 256mo sur XP suffit … et pas pour un utilisateur lambda, et pour un serveur de BDD, 1go suffit … )







Bonjour Mr le voisin, j’ai vu que tu mettais ta clef sous le tapis de chez toi, c’est super super dangereux !<img data-src=" />

Non Mr, je ne suis pas un pervers scrutant vos moindre geste, je veux vous aider contre des potentiels voleur <img data-src=" />

ATTENTION A TOUS ! Je vous interdit de prendre la clef de la maison de mon voisin, mis sous son tapis, pour entrer chez lui ! C’est pas bien ! <img data-src=" />





Bonjour Mr le directeur, vous savez, j’ai vu que X, il glande un max dans l’équipe en mission … on doit faire son boulot, et c’est un risque pour notre image face au client !

Arf .. il s’en fou … Attention les gars chefs de projet, ne prenez pas ce gars sinon vous allez avoir du mal à finir vos objectifs ! Il fait rien …

Quoi ? Non je ne suis pas un salop, je fais ca pour le bien de la compagnie ! Non les amis !!!!! <img data-src=" />

<img data-src=" /> on m’aime plus …





Bonjour Mr le Général et chef de l’Etat, votre centrale nucléaire, on peut y entrer comme dans ma maison ! Attention, pour le bien de notre pays !

Non je ne suis pas journaliste, juste un bon citoyen … quoi ? Vous voulez pas m’écouter ??!!!

Moi, français de coeur, interdit via les journaux et la TV aux terro de venir attaquer notre beau pays via ce passage secret pour faire péter notre belle centrale atomique !

Je suis un protecteur de mon pays <img data-src=" />





<img data-src=" /> ok je sors …. <img data-src=" />

votre avatar

dsl des fautes mais ce clavier US me fait …<img data-src=" />

votre avatar

PS pour les non informaticiens : ce n’est pas parce qu’on a déclaré un bug, une faille, que cela sera corrigé vite fait. Il y a un planning, il y a des priorités, des équipes ne travaillant pas à temps plein sur A ou B.

Déjà qu’en SSII/entreprise basique, on ne peut pas tout corriger vite fait, pis si on a un suivi de bug =&gt; enregistrement =&gt; planification =&gt; correction =&gt; test =&gt; release … alors dire : “j’ai vu, j’ai dit, ca doit être corrigé vite fait” …

C’est le blabla classique des utilisateurs (en entreprise ou de la vie de tous les jours) qui considèrent que la Terre tourne autours d’eux et que tout es si facile ..



bon faut que je corrige mes bugs de années a-2 après tout ce que j’ai de plus prioritaire…..<img data-src=" />

votre avatar







Winderly a écrit :



J’ai surtout l’impression que chez certains cette notion est à sens unique.

Pour un peu on pourrait croire que c’est pas de la faute de Microsoft qu’il existe des failles dans ses produits.







ben écoutes, si tu es capable de créer un OS entier avec 0 faille, je t’invites à le faire car personne n’y est arriver jusqu’à maintenant ni Google ni les différentes distro linux sont dépourvues de faille …


votre avatar







after_burner a écrit :



J’ai un peu de difficulté à comprendre quelles st les exigences de ce type dans ce cas. MS n’a pas tenu compte de ses remontées et alors, le mieux qu’il ait a faire c’est de ne pas s’en occuper.





Ses exigences j’en sais rien, son but ultime non plus, mais dans la foulée il embête MS et c’est déjà pas mal à son niveau.


votre avatar







z00p a écrit :



Désolé, et ce n’est en aucun cas contre toi (plusieurs posteurs ici ont eu la même réaction), mais depuis quand révéler une faille de sécurité constitue un risque pour la “sécurité des utilisateurs”? Au contraire, le fait qu’elle soit dissimulée et reste cachée aux yeux de Microsoft et des différents éditeurs de solution antivirus est bien plus dangereux. Là, ils sont obligés de réagir, et vite. Et tant mieux. Une faille cachée au vu et au su de tous, que ce soit dans un environnement Windows (en entreprise notamment), ou dans un environnement Unix/Linux/BSD, c’est une faille exploitable et probablement exploitée, sans correctif.



Il vaut bien mieux que les adminsys soient au courant afin qu’ils puissent prendre les mesures de prévention nécessaires, que maintenus dans l’ignorance, ça s’appelle la proactivité. La sécurité par l’obscurité, ça ne marche pas, suffit de rechercher un peu en ligne à ce sujet.



Au delà de la polémique “Google vs Microsoft”, ce genre de révélation est, pour moi, positive, dans le sens où il vaut mieux une faille connue, voire déjà référencée et intégrée à Metasploit par exemple (à fin d’audit), qu’une faille cachée aux yeux de tous et exploitée. Par contre, les commentaires du genre “ouin ouin il a révélé la faille fallait trop pas le vilain”, c’est de l’ignorance des principes de base de la sécurité informatique.







Tu n’as strictement rien compris au problème … il y a bien une structure à laquelle on peut rapporté les failles d’un système et ceux chez chacun des éditeurs. Sauf que la au lieu de la rapporter directement à MS, elle a été postée directement sur internet. Le problème c’est qu’en attendant sa correction, les pirates pourraient très bien l’exploiter en connaissance de cause et c’est la que ça devient dangereux …



Cette faille n’est pas très dangereuse mais ce sera quoi la prochaine fois ? une faille qui donne accès à n’importe quel pc à distance aisément sans que tu ne sois au courant ? cool comme sa leshacker pourront se faire tout plein de pc zombie pour faire des attaques ddos, des serveurs de spam et j’en passe … comme si y’avait déjà pas assez de ses merde enc irculation


votre avatar







lincruste a écrit :



Ses exigences j’en sais rien, son but ultime non plus, mais dans la foulée il embête MS et c’est déjà pas mal à son niveau.







ah oui c’est bien on voit que ton niveau est le même que clui de Google, pas plus que la cour de récré de la maternelle <img data-src=" />



votre avatar







Winderly a écrit :



J’ai surtout l’impression que chez certains cette notion est à sens unique.

Pour un peu on pourrait croire que c’est pas de la faute de Microsoft qu’il existe des failles dans ses produits.







Montre moi un code de cette ampleur et de cette complexité sans aucune faille et je te montrerai une licorne.


votre avatar







Lafisk a écrit :



ah oui c’est bien on voit que ton niveau est le même que clui de Google





<img data-src=" /> merci


votre avatar







Lafisk a écrit :



ben écoutes, si tu es capable de créer un OS entier avec 0 faille, je t’invites à le faire car personne n’y est arriver jusqu’à maintenant ni Google ni les différentes distro linux sont dépourvues de faille …





Je vois pas le rapport avec mon commentaire.

Où ais-je dit qu’un OS doit avoir aucune faille ?







Crysalide a écrit :



Reporter des bugs et des failles à MS est une calimité sans nom et un vrai chemin de croix, déjà par manque de bug tracker simple à utiliser (hé oui, s’il le faut, MS n’a qu’à payer des bug triagers)…







Ça me parait simple à comprendre.

Reporter des bugs à MS est difficile.

C’est tout.


votre avatar







GuiTheGuy a écrit :



Montre moi un code de cette ampleur et de cette complexité sans aucune faille et je te montrerai une licorne.





Lafisk a un double compte ou quoi ?


votre avatar

Non non! <img data-src=" />

votre avatar







GuiTheGuy a écrit :



Non non! <img data-src=" />





Mes excuses alors, vos réponses se ressemblant tellement j’ai imaginé n’importe quoi.


votre avatar







Lafisk a écrit :



Tu n’as strictement rien compris au problème … il y a bien une structure à laquelle on peut rapporté les failles d’un système et ceux chez chacun des éditeurs. Sauf que la au lieu de la rapporter directement à MS, elle a été postée directement sur internet.







Alors, je te conseille de lire:



http://www.computerworld.com/s/article/9239477/Google_engineer_bashes_Microsoft_…



“Ormandy had first published information about the vulnerability in March to GitHub in an effort to solicit help or entice other researchers to investigate. ”



Au passage, on est presque en Juin. Quant à sa démarche, si tu prends le temps de lire l’article en question, ou différentes intervenants sont interviewés, tu verras que ses derniers rapports de failles chez Microsoft (notamment en 20102011) avaient été traités de façon fort cavalière de la part de Microsoft. Comme on dit, “chat échaudé craint l’eau froide”. Et il vaut mieux, je persiste, qu’une faille soit rendue publique, plutôt que cachée aux yeux de tous (ie, les quelques milliers voire millions de sysadmins qui se coltinent des environnements hétérogènes, comme moi), afin de pouvoir réagir de façon proactive plutôt que d’avoir à restaurer les backups, au hasard, de l’AD, de LDAP, du site ouaibe de la boate, ou de ta solution de contrôle d’accès réseau…



Désolé, mais tu te trompes de problème: ce n’est pas le fait qu’un chercheur de chez google ait révélé une faille sous windows, le problème, c’est que Microsoft n’a toujours rien fait alors qu’ils étaient pertinemment au courant, je cite:



“We are aware of claims regarding a potential issue affecting Microsoft Windows and are investigating,” said Dustin Childs, a spokesman for the company’s security response group, in an email. “We have not detected any attacks against this issue, but will take appropriate action to protect our customers.” En gros, ils ont attendu que ça devienne public, pour s’en occupper. Bravo la réactivité.



Un peu comme Oracle récemment, ou Apple avec la faille Java de l’an dernier (corrigée par oracle en un mois, correctif disponible dans les majs OSX 4 mois plus tard… il s’appellait comment, déjà, le trojan?)



Donc, ne t’inquiètes pas, je comprends tout à fait le problème, par contre il faudrait que tu revois un peu les notions de bases de la sécurité informatique, notamment la chaîne information gathering &gt; listening &gt; faille réseau (partages au hasard) &gt; injection (tiens, c’est là qu’il va être intéressant le bout de code en question) &gt; accès administrateur/root &gt; maintien dans l’infra compromise. man metasploit, dude.


votre avatar







lincruste a écrit :



<img data-src=" /> merci





ah c’est beau d’oublier la suite du commentaire. C’est bien de montrer à quel point certain peuvent devenir débile à vénéré des biotes sans aucune réflexion … m’enfin faut peut être pas trop t’en demander, troller dois prendre 99.9% de tes capacités intellectuelles …



Winderly a écrit :



Je vois pas le rapport avec mon commentaire.

Où ais-je dit qu’un OS doit avoir aucune faille ?







Disons que c’est tellement débile de dire “c’est la faute de MS si ils ont des failles, point barre” c’est tout simplement stupide vu que c’est impossible de ne pas en avoir …


votre avatar







after_burner a écrit :



J’ai un peu de difficulté à comprendre quelles st les exigences de ce type dans ce cas. MS n’a pas tenu compte de ses remontées et alors, le mieux qu’il ait a faire c’est de ne pas s’en occuper.



Et j’ai aussi du mal à croire à la simple explications de l’ingénieur google empli de piété et de justice qui va fouiller pour trouver des faille 0-day dans windows…



Il suffit d’inverser les rôles pour comprendre. <img data-src=" />





Surtout cette fois, ce n’est certainement pas une démarche “personnelle”.





La théorie du complot ici…

Le mec est ingénieur, il développe un produit en utilisant des fonctionnalités de l’OS et lors de ses tests l’appli ne fonctionne pas comme elle devrait, elle donne des droits d’écriture à un profil utilisateur qui ne devrait pas le faire, alors il debuggue son appli et il remarque que ce n’est pas son appli mais c’est l’OS qui a un bug, au bout de 100 bugs où il se fait lyncher par les mecs de Microsoft qui se disent que c’est un connard qui cherche à nuire à la boite il les envoie chier en publiant la faille direct.

C’est tellement simple que ça ne semble pas envisageable, on préfère penser que Google paye des gars juste pour faire chier Microsoft.


votre avatar

f* double post :/

votre avatar







z00p a écrit :



Alors, je te conseille de lire:



http://www.computerworld.com/s/article/9239477/Google_engineer_bashes_Microsoft_…



“Ormandy had first published information about the vulnerability in March to GitHub in an effort to solicit help or entice other researchers to investigate. ”



Au passage, on est presque en Juin. Quant à sa démarche, si tu prends le temps de lire l’article en question, ou différentes intervenants sont interviewés, tu verras que ses derniers rapports de failles chez Microsoft (notamment en 20102011) avaient été traités de façon fort cavalière de la part de Microsoft. Comme on dit, “chat échaudé craint l’eau froide”. Et il vaut mieux, je persiste, qu’une faille soit rendue publique, plutôt que cachée aux yeux de tous (ie, les quelques milliers voire millions de sysadmins qui se coltinent des environnements hétérogènes, comme moi), afin de pouvoir réagir de façon proactive plutôt que d’avoir à restaurer les backups, au hasard, de l’AD, de LDAP, du site ouaibe de la boate, ou de ta solution de contrôle d’accès réseau…



Désolé, mais tu te trompes de problème: ce n’est pas le fait qu’un chercheur de chez google ait révélé une faille sous windows, le problème, c’est que Microsoft n’a toujours rien fait alors qu’ils étaient pertinemment au courant, je cite:



“We are aware of claims regarding a potential issue affecting Microsoft Windows and are investigating,” said Dustin Childs, a spokesman for the company’s security response group, in an email. “We have not detected any attacks against this issue, but will take appropriate action to protect our customers.”



Un peu comme Oracle récemment, ou Apple avec la faille Java de l’an dernier (corrigée par oracle en un mois, correctif disponible dans les majs OSX 4 mois plus tard… il s’appellait comment, déjà, le trojan?)



Donc, ne t’inquiètes pas, je comprends tout à fait le problème, par contre il faudrait que tu revois un peu les notions de bases de la sécurité informatique, notamment la chaîne information gathering &gt; listening &gt; faille réseau (partages au hasard) &gt; injection (tiens, c’est là qu’il va être intéressant le bout de code en question) &gt; accès administrateur/root &gt; maintien dans l’infra compromise. man metasploit, dude.







Et le gars voit que la faille n’est pas corrigée donc ça justifie qu’il l’a publie sur internet ? la faille est considérée comme peu dangereuse, peut être que MS avec un Windows 8.1 en préparation etc… à autre chose à ce préoccuper que d’une faille considérer comme peu critique … bien sur dans n’importe quelle boite les petit bug/faille sont souvent les dernières à être corrigées, rien d’anormal. Qu’il soit de Google ou d’ailleurs ne lui permet en rien de divulguer une faille de façon publique … d’ailleurs limite, je pense que MS pourrait presque porter plainte pour une telle chose pour de nombreuses raisons.


votre avatar







darkbeast a écrit :



le nez dans la moïse





Info AFP/PCI : Révélation fracassante, les communautés judaïques sont abattues.

En effet, suite aux déclarations de la Bête Sombre, Moïse, connu aussi sous les patronymes de Moché ou de Moussa, s’avèrerait être de sexe féminin, contrairement à ce que l’héritage de l’humanité, au travers de la sculpture laissée par feu Michel-Ange.

Il semble donc qu’il s’agisse d’une femme à barbe, adepte de la musculation, et ayant perdu une sandale, comme l’atteste cette photo (une Cendrillon des temps anciens ^^;)



==&gt;[]



@Darkbeast : on écrit “mouise” ^^;


Windows : une faille 0day rendue publique par un ingénieur de chez Google

  • Décision radicale et agacement 

Fermer