IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Un groupe anonyme veut se venger de Microsoft
Après "sa campagne anti-Ormandy" et dévoile une nouvelle vulnérabilité de Windows

Le , par Idelways
112 commentaires

0PARTAGES

6  1 
Un groupe anonyme de chercheurs en sécurité a mis en ligne, la semaine dernière, des informations sur une faille non corrigée de Windows.

Cet acte est une réponse —selon leur communiqué— à l'hostilité chronique dont fait preuve Microsoft envers les experts en sécurité, avec récemment l'affaire Tavis Ormandy, l'ingénieur de Google qui a publié un PoC aujourd'hui exploité sur plus de 10.000 machines (Lire les détails de l'affaire).

Ils ont également annoncé la création du MSRC, Microsoft-Spurned Researcher Collective (la convention des chercheurs méprisés par Microsoft), allusion évidente au Microsoft Security Response Center qui porte les mêmes initiales (MSRC).

L'annonce de cette convention a été postée anonymement à partir d'un compte Hushmail. Elle liste six collaborateurs dont les noms sont tous représentés par des « X ». Le groupe invite d'autres chercheurs à s'y inscrire et assure avoir mis en place un système de contrôle anti- employés de Microsoft.

Microsoft, de son côté, minimise la faille dévoilée. Pour la société, un hacker doit disposer d'un accès physique ou avoir réussi un autre exploit pour l'utiliser. Elle juge ainsi le risque au dessous du seuil nécessitant une alerte de sécurité, habituellement la première étape dans la correction des problèmes de sécurité.

Reste qu'au delà du débat sur la gravité de la vulnérabilité, l'initiative du groupe d'expert est très polémique.

Aussi, et surtout, parce qu'elle est anonyme.

Un léger manque de courage ?

Source : Texte du communiqué du Groupe anonyme

Et vous ?

Que pensez-vous de cette initiative : légitime ou plutôt lâche ?
D'après vous, qui sont ces chercheurs ?

Une erreur dans cette actualité ? Signalez-nous-la !

112 commentaires
Commenter Signaler un problème
Marco46
Avatar de Marco46
Expert éminent sénior https://www.developpez.com
Le 07/07/2010 à 16:49
Citation Envoyé par Kalishah Voir le message
Très clairement, en effet.

Aucun système, quel qu'il soit, n'est à l'abri d'une faille de sécurité. Rien ne justifie de la rendre publique et exploitable par des personnes malveillantes. Dans le cas contraire, moi j'appelle ça du "terrorisme"... Surtout si l'information est diffusée par des personnes "cagoulées".
Oh oui c'est au moins du terrorisme.

Diffuser une faille du soft d'un éditeur parce qu'il ne veut pas la corriger je trouve ça parfaitement normal. Pour le forcer à corriger, mais à condition qu'il ait le temps de le faire. En l'occurrence sur ce qui nous préoccupe, MS n'a pas vraiment eu le temps. 4 jours c'est peu.

Vous partez du principe que diffuser une faille va forcément mettre au courant les pirates. Mais admettez qu'il existe au moins une alternative :
Les pirates sont déjà au courant. Et dans ce cas il s'agit d'informer les utilisateurs du je m'en foutisme de l'éditeur du logiciel.

Pour reprendre vos analogies foireuses, trouveriez vous normal de publier dans la presse les défauts de construction des fenêtres si vous pensez qu'elles sont sécurisées alors que les voleurs savent déjà comment les ouvrir ?
Moi oui, ne pas diffuser l'info publiquement c'est comme taire un problème de santé publique, c'est un délit.

Ah ! ah !

Et voilà comment on retourne l'argument à l'envers.

Envoyez les petits +1 verts les copains
40  7 
Marco46
Avatar de Marco46
Expert éminent sénior https://www.developpez.com
Le 07/07/2010 à 17:11
Citation Envoyé par joKED Voir le message
Dans ce cas précis, oui.

Cependant, je te laisse le soin de prouver tes dires à propos des "pirates" soit disant déjà au courant. Surtout dans le cas d'une faille trouvée par des chercheurs indépendants qui n'a a priori jamais été exploitée.
Tu ne peux pas prouver que les pirates sont au courant et tu ne peux pas prouver que la faille découverte par les chercheurs n'a jamais été découverte par d'autres personnes.

Donc tu dois partir du principe qu'il est possible que l'on soit dans ce cas. Donc la meilleure chose à faire est d'avertir l'éditeur du logiciel du problème et de lui laisser le temps de le régler. Et s'il ne fait rien tu lâches une bombe publiquement.

C'est comme ça que ça se passe 99% du temps. Tu ne peux pas dire des choses aussi tranchées que : "Une faille ne devrait jamais être diffusée." Si on fonctionnait comme ça, la plupart des éditeurs ne feraient rien, car ça leur coûte du fric et ne leur rapporte rien.

Citation Envoyé par joKED Voir le message

La puérilité n'est pas obligatoire.
Un petit brin d'humour ne fait jamais de mal. Surtout à 17h00.
19  5 
Neko
Avatar de Neko
Membre chevronné https://www.developpez.com
Le 07/07/2010 à 17:11
Citation Envoyé par dodelria Voir le message
Microsoft n'a pas le temps ?? Quand ont y pense c'est normal en fait, y'a trop de procès à gérer .

Pour le noyau Linux, 1 jour c'est déjà trop. Une faille corrigée dans l'heure qui suit après son annonce, c'est ce qui ce passe le plus généralement.
Ouais, en une heure la faille est corrigée, le patch soumis, testé pour être sûr qu'il n'y a aucune régression. Et évidement dans la même heure tous les utilisateurs ont déjà appliqué le patch. C'est beau linux quand même.

Citation Envoyé par trenton Voir le message
Mon point est que : d'une part la divulgation de cette faille n'est rien par rapport au scandale de la vente liée. Et d'autre part, on peut comprendre que des utilisateurs qui ont été obligés de payer un logiciel use de ce genre de stratégie pour obtenir la correction de faille de sécurité. Si on peut choisir ses logiciels, alors si on est pas content de la politique de sécurité d'un éditeur, il suffit ne pas acheter ses logiciels. Mais tant qu'on aura pas le choix...
Heu... oui enfin là tu reconnaitras que c'est "juste un poil" hors sujet.
12  1 
joKED
Avatar de joKED
Membre confirmé https://www.developpez.com
Le 07/07/2010 à 16:06
Diffuser une faille est ridicule. Cela ne peut que nuire (tant à la société ciblée qu'aux utilisateurs).

Si je vous avertis qu'une fenêtre de chez vous est ouverte, et que vous ne me répondez pas (manque de temps pour fermer, impossibilité de fermer car vous êtes absent), ou mal ("C'est pas vos oignons", seriez-vous content que j'aille faire le tour de tous les voleurs du coin en leur annonçant qu'on peut rentrer chez vous sans problème?
24  15 
Neko
Avatar de Neko
Membre chevronné https://www.developpez.com
Le 07/07/2010 à 16:18
Citation Envoyé par trenton Voir le message
Oui, à conditions aussi qu'on ne soit plus obligé d'acheter les logiciels en question.
Là pour le coup, désolé mais je ne vois pas le rapport. Les problèmes de sécurité et de divulgation de failles sont valables qu'un logiciel soit payant ou non, qu'il soit open source ou pas. Vraiment, ce n’est juste pas le même sujet quoi.

Je ne dis pas que Microsoft avait raison de ne pas patcher la faille. Toute faille devrait être corrigée au plus vite, mais c'est un autre problème.
11  2 
Neko
Avatar de Neko
Membre chevronné https://www.developpez.com
Le 07/07/2010 à 18:32
Citation Envoyé par Marco46 Voir le message

Je suis trop fatigué pour vous quoter, joKED et Neko, et pointer les contradictions de vos messages, comme par exemple dire qu'il ne faut jamais publier de faille pour derrière contacter la presse. Un peu de cohérence svp.
Soit je me suis mal exprimé, soit il y a un gros mal entendu, soit t'es trop fatigué.
Tu peux (et tu dois) évidement dire à la presse ou qui que ce soit par exemple:
"J'ai découvert une faille dans les socket sous XP permettant l'exécution de code arbitraire ..." (c'est un exemple). Note qu’absolument rien ne permet de faire quoi que ce soit. Et c’est à peu près ce que publient les sites comme Secunia ou autre. Il n’y a pas d’indication sur comment exploiter la faille.
8  0 
kain_tn
Avatar de kain_tn
Expert éminent https://www.developpez.com
Le 07/07/2010 à 17:50
Citation Envoyé par joKED Voir le message

- Contacter la presse, et, à l'aide d'une démo, prouver l'existance de cette faille et sa criticité.
Euh, c'est pas équivalent à publier un PoC ça?? o_O

Citation Envoyé par joKED Voir le message
Diffuser une faille est ridicule. Cela ne peut que nuire (tant à la société ciblée qu'aux utilisateurs).

Si je vous avertis qu'une fenêtre de chez vous est ouverte, et que vous ne me répondez pas (manque de temps pour fermer, impossibilité de fermer car vous êtes absent), ou mal ("C'est pas vos oignons", seriez-vous content que j'aille faire le tour de tous les voleurs du coin en leur annonçant qu'on peut rentrer chez vous sans problème?
Ce n'est pas tout à fait ça. C'est plutôt:
1 - j'ai une maison construite par la société X.
2 - je découvre qu'en procédant d'une certaine façon il est possible d'ouvrir mes fenêtres de l'extérieur.
3 - je contacte la société X pour leur demander de régler le problème.
4 - ils refusent ou m'ignorent (c'est pour l'exemple hein?)
5 - je ne peux pas gagner en leur faisant un procès et je cherche un moyen de faire pression; je décide donc de leur faire de la mauvaise publicité auprès des éventuels clients jusqu'à ce qu'ils se décident à réparer le défaut (je peux pour ça faire une démo vidéo et l'envoyer à la presse). De plus, j'espère que les clients actuels se plaindront aussi. Entre temps je condamne ma fenêtre (firewall)

C'est plutôt comme ça qu'il faudrait présenter ton exemple même s'il ne va pas dans ton sens.

Revenons maintenant à nos OS. Windows n'étant pas open source, c'est à MS de corriger la faille. Il est donc logique de leur laisser suffisamment (et pas quatre pauvres jours pour rebondir sur la précédente affaire) de temps pour publier un correctif mais à partir du moment où on achète un logiciel, j'estime (et c'est mon opinion) qu'on peut s'en plaindre et se plaindre à l'éditeur surtout quand celui-ci fait de la publicité pour la sécurité de ses solutions.
9  2 
krapock
Avatar de krapock
Membre à l'essai https://www.developpez.com
Le 08/07/2010 à 10:27
Citation Envoyé par dvdbly Voir le message
D'un autre côté, et je suis conscient que l'analogie est un peu extrême, les résistants ne se faisaient pas non plus beaucoup de publicité, durant la seconde guerre mondiale...
1 point godwin ^_^ (amis du mauvais goût, bonsoir)
...néanmoins, j'approuve le fond: un homme masqué n'a pas forcement mauvaise conscience, nous connaissons tous la belle histoire de robin des bois, non ?
(oui, il y a les clowns aussi mais bon ...)

Citation Envoyé par Neko Voir le message
Ouais, en une heure la faille est corrigée, le patch soumis, testé pour être sûr qu'il n'y a aucune régression. Et évidement dans la même heure tous les utilisateurs ont déjà appliqué le patch. C'est beau linux quand même.
Prenons le cas d' un serveur FreeBSD "de base"
-la faille sera corrigée (cette phase peut prendre du temps, mais en moyenne 1 heure et demi pour les trucs importants genre linux, gcc, inetd,...)
-le patch sera soumis dans les 5 minutes (grâce à Git ou SVN)
-testé contre régression (1-5 minutes) (grâce aux test-case, assertions et autres techniques d'automatisation du code)
-dupliqué sur les serveurs de distribution à travers le monde(10minutes)
-installé sur les poste 'client' grâce au système de mise à jour(entre 1heure et 1 jour avec la config de base, dépendant de la version)

Je ne suis pas pro-linux, mac, win ou autre, mais il faut reconnaitre que le manchot est TRES en avance dans ce domaine.
Une preuve est que vous avez du mal à imaginer possible (d'ou l' ironie) ce qui est déjà existant !

Le débat sur le "full-disclosure" est un méandre infini et je ne trollerais pas mon avis ici. Néanmoins, j'apporte une pierre à l'édifice:
sachez que c'est la pratique courante (voire banale) chez les "éditeurs de sécurité" (synantec, et autres...) de dévoiler la faille à l'éditeur, laisser un mois de delais et ensuite de la rendre publique.

Avis aux hacker newbies dans l'assemblées, donc: la plupart des failles n'étant pas patchée chez l'utilisateur lambda, il vous suffit de fouinner sur les sites d'antivirus pour trouver des failles exploitable.
(je ne dévoile rien, c'est un truc très connu pour ceux qui prennent la peine de s'interresser au milieu)

Bon, comme je peux pas m'en empêcher, sachez tout de même que microsoft a corrigé une faille avérée depuis plus de 8ans qui permettait de prendre le contrôle total d'un winXP ou + (faille dans l'ersatz de DOS fourni)
je ne dis pas que c'est bien ou mal, mais je comprends que des gens soient frustrés par une telle attitude mercantile et inhumaine, et décident de prendre le maquis pour tirer à boulet rouge dans leur potilique (anti)sociale
8  1 
rambc
Avatar de rambc
Membre chevronné https://www.developpez.com
Le 07/07/2010 à 17:44
Citation Envoyé par cbleas
C'est vrai qu'en france un chercheur cherche mais ne trouve pas grand chose.
Un chercheur est censé aller vers l'innovation mais pas vers les anciens systèmes qui n'est maintenue que par la demande.
C'est quoi ces arguments populistes. On pourrait en dire autant de certains services de Recherche et Développement du Privé : pour changer, je donnerais l'exemple du iPad de Mac O$ qui est le degré zéro de la nouveauté technologique.

De plus, faire de la cryptanalyse par exemple, c'est s'interroger sur ce qui existe pour en trouver les failles, et ensuite on peut améliorer ce qui existe. Il faudrait cesser de croire que chercher c'est se mettre devant un bureau et hop on invente une nouveauté. La recherche est un aller-retour incessant entre l'existant et le "à découvrir", entre le "ce qui devrait marcher", et "ce que l'on n'avait pas prévu". Rechercher c'est avant tout s'interroger et non trouver.
6  0 
kain_tn
Avatar de kain_tn
Expert éminent https://www.developpez.com
Le 07/07/2010 à 20:25
Citation Envoyé par B.AF Voir le message
C'est bien ce qu'il te dit : ce n'est pas parce qu'un patch existe que tout le monde l'exploite.
Oui enfin ça après de l'éducation de l'utilisateur et c'est indépendant de l'OS utilisé.

Un utilisateur qui ne patche jamais son OS, ne télécharge jamais de mises à jours etc s'en fout à priori ou n'y connait rien. Pour pirater le premier utilisateur c'est facile puisque son OS n'est jamais mis à jour. Il croule donc sous les failles. Pour le second, pas besoin de faille: le bon vieux coup du mail de succession à un riche africain ou un trojan suffit :/

On ne peut donc pas se baser sur ce type d'utilisateur pour décider si oui ou non on doit faire pression sur l'éditeur pour sécuriser son OS.

En revanche, il faut peut-être sensibiliser les utilisateurs aux différents dangers (peut-être revoir les interfaces aussi) plutôt que de leur faire croire qu'utiliser un ordinateur c'est aussi facile que de mettre en marche une cafetière.
7  1 
Commenter Signaler un problème