Windows 8 : Vupen refuse de donner ses failles 0-days à des « multi-milliardaires »
Comme Microsoft, le français préfère les vendre

Le , par Gordon Fowler, Chroniqueur Actualités
Fin octobre, Vupen avait affirmé par la voix de son PDG - Chaouki BEKRAR - avoir découvert plusieurs failles dans Internet Explorer 10 qui permettaient de corrompre Windows 8. Et ce malgré les avancés du système de sécurité du nouvel OS.

La société basée à Montpellier n’a donné depuis aucune information sur son exploit (au sens informatique du terme). Elle a, en revanche, immédiatement fait savoir que les détails de l’attaque étaient à vendre.

Une décision – traditionnelle pour Vupen – que certains ont qualifié de « Grey Hat ». Autrement dit, entre les White Hat, qui œuvrent pour la sécurité du plus grand nombre, et les Black Hat, qui cherchent à tirer profit des systèmes en les piratant. C’est ce que regrette par exemple Jani Kallio, expert chez Luottokunta, le premier fournisseur de services de paiements finlandais.

D’après le dossier de L’Expansion de cette semaine qui fait un point sur la stratégie numérique française, la revente de ce type de découvertes peut dépasser les 150.000 €. C’est le prix qu’auraient payé des services de l'Etat français pour acquérir les détails d'un autre exploit qui s'appuie lui aussi sur des failles 0-days.

Rappelons qu’une faille 0-day n’est pas une « faille méconnue », comme l’écrit le magazine, mais une faille jusqu’ici inconnue et non patchée. Un 0-Day est par définition connu (ne serait-ce que par son découvreur) et documenté (ce qui fait sa dangerosité) mais pas encore divulgué (ou à un petit nombre) ni corrigé.

De son côté, Microsoft invite les hackers à participer à son programme maison (Coordinated Vulnerability Disclosure) et regrette donc en termes diplomatiques que Vupen œuvre de son côté, en monétisant ses découvertes, sans communiquer avec lui pour améliorer la sécurité de ses outils.

Un appel qui ne semble pas émouvoir Chaouki BEKRAR.


Chaouki BEKRAR, PDG de Vupen

Au contraire. Le hacker vient de féliciter sur Tweeter un de ses confrères qui a décidé d'adopter la même stratégie. « Content de voir qu’une start-up spécialisée dans la recherche trouve des 0-Days et refuse de livrer leur travail gratuitement à des fournisseurs multimilliardaires. Bienvenu au club », écrit-il.

Plusieurs analystes commencent néanmoins à poser la question de la légalité d'un tel commerce.

En attendant, les failles de Vupen - dont on ne sait rien - sur Windows 8 et son navigateur Internet Explorer 10 sont bel et bien à vendre au plus offrant. Tant pis pour ceux qui n'ont pas les moyens ?

Et vous ?

Pensez-vous que Vupen ait raison de ne pas communiquer ses travaux aux éditeurs ?
Ou considérez-vous que cela fait de ces chercheurs des « Grey Hat » ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de niuxe niuxe
http://www.developpez.com
Invité de passage
le 30/11/2012 17:47
+1 Unix / Unix like.

Il y a moins bien mais c'est plus cher
Avatar de Null4Ever Null4Ever
http://www.developpez.com
Invité de passage
le 01/12/2012 6:31
Citation Envoyé par DrHelmut  Voir le message
Mais.. M. Microsoft.. il fallait faire de l'open source pour cela !

Aujourd'hui, le problème majeur vient du fait que nombre de gens estiment que l'Open Source signifie automatiquement GRATUIT!

Si développer des solutions intéressantes en Open Source tout en protégeant ses concepteurs/développeurs qui peuvent avoir envie et/ou besoin de vendre leurs codes pour en obtenir une juste rémunération afin de pouvoir ne serait-ce qu'en vivre, je suis tout à fait d'accord avec vous.

D'autres, développant par hobby ou passe-temps peuvent tout aussi bien donner un accès complet à leur travaux sans besoin de retour financier (Free Open Source).

Cependant, si vous êtes dans la première catégorie (ceux qui veulent développer de l'Open Source et ont besoin d'en tirer quand même un minimum de revenus), comment les protégez-vous d'un quelconque "GEANT" de l'industrie du logiciel qui vous pique votre travail sans vous rémunérer ?

Ce n'est pas avec vos "Copyright" que vous serez en mesure d'affronter financièrement pendant 10 ans les cohortes de "lawyers" de ces compagnies.

Been there, done that !

La solution s'appelle alors le Freeware mais "closed source" !

Il y a plein d'exemples de ce type, mais malheureusement, dans le microcosme Linux, cela n'est pas apprécié (les geeks appellent ces logiciels des solutions "propriétaires", même si elles sont compatibles avec plein de choses et aussi gratuites) !

Les "geeks" veulent tout, tout de suite et surtout gratuitement, même si 999.99 pour 1000 (et encore je suis gentil car le ratio serait plutôt de 1 pour 1.000.000.000.000.000.000.000.000) d'entre eux sont strictement incapables de lire et de comprendre la moindre ligne de C.

De là à espérer leur demander une aide à un quelconque "déverminage"... j'en rigole tous les jours !

Donc pour ne revenir au topic de ce thread, OUI Vulpen a raison de ne pas vouloir divulguer son travail gracieusement.

Et c'est aussi une question d'éthique, car personne d'autres ne les payent pour leur job.

Si vous n'en voulez pas ou n'en avez pas besoin, alors passer votre chemin sans rien dire.

Maintenant, après, ne venez pas dire que vous n'avez pas été "gracieusement" prévenus !

Pour ceux qui ne sont pas définitivement convaincus de l'intérêt pour certains du "Freeware Closed Source", alors qu'ils commencent eux-même à jeter la première pierre autrement que par des contributions bidons en java, php, perl ou autre dans les multiples fora de geeks, solutions basiques et souvent bien bogués et peu documentées que tout le monde peut faire avec un tout petit peu de minimum d'expérience.

Just my 2 cents.
Avatar de alex_vino alex_vino
http://www.developpez.com
Membre Expert
le 01/12/2012 10:33
Les "geeks" veulent tout, tout de suite et surtout gratuitement, même si 999.99 pour 1000 (et encore je suis gentil car le ratio serait plutôt de 1 pour 1.000.000.000.000.000.000.000.000) d'entre eux sont strictement incapables de lire et de comprendre la moindre ligne de C

Tout comme le reste de ton message ca semble prétentieux et surtout fermé a toute discussion.
Je ne sais pas qu'elle est ta définition du mot "Geek" mais je voudrais te répondre que le C n'est pas l'unique language de programmation
Avatar de niuxe niuxe
http://www.developpez.com
Invité de passage
le 02/12/2012 16:24


Je sais que mon commentaire va encore avoir des signes négatifs. Perso, je m'en moque royal.
Avatar de Null4Ever Null4Ever
http://www.developpez.com
Invité de passage
le 02/12/2012 19:38
Citation Envoyé par niuxe  Voir le message


Je sais que mon commentaire va encore avoir des signes négatifs. Perso, je m'en moque royal.

En effet, très drôle!

+1
Avatar de Null4Ever Null4Ever
http://www.developpez.com
Invité de passage
le 02/12/2012 20:42
Bonjour alex_vino,

Citation Envoyé par alex_vino  Voir le message
Tout comme le reste de ton message ca semble prétentieux et surtout fermé a toute discussion.

Mon message n'a strictement rien de prétentieux.

Il n'est que le reflet de mon opinion basée sur 35 ans d'expérience (assez réussie) dans le microcosme de l'informatique.

Citation Envoyé par alex_vino  Voir le message
Je ne sais pas qu'elle est ta définition du mot "Geek" mais je voudrais te répondre que le C n'est pas l'unique language de programmation

Ma définition du Geek vise les nombreux donneurs de leçons et/ou de conseils inutiles quand ils ne sont pas erronés que l'on côtoie dans de multiples fora (et pas seulement français) de soit disant entre aide.

Pour ce qui est du C, bien sur qu'il n'est pas le seul langage de programmation.

Néanmoins, il reste toujours le plus utilisé, le plus simple à apprendre et hormis l'assembleur reste surtout le plus efficace (quand on apprend à s'en servir correctement) et possède certainement avec le Cobol la plus grande librairie de codes sources disponibles.

Et il peut parfaitement prouver son efficacité même pour le développement de sites Web2 ou d'Applications Web Riches.

Par exemple, le trop peu connu serveur web G-WAN de la société Suisse Trustleap (www.gwan.ch) démontre le bien fondé de l'utilisation de ce "vieux" langage pour les développements web en fournissant en particulier un exemple AJAX d'une application de calcul d'amortissement d'un prêt proposée en pure ANSI C, mais aussi en Java et en PHP.

Sur une machine de type PC Serveur, CPU AMD FX 8150 8 cores @ 4.2 Mhz, RAM 32 Gb DDR3, HD SSD 240 Gb, OS Linux 10.04.4, les résultats sont plus que probants:

Montant du prêt : 10.000
Intérêt : 3.5 %
Durée : 1 an

loan.c -> 0.02 milliseconde
loan.php -> 0.46 milliseconde
loan.java -> 4.60 millisecondes

Conclusion: Même pour une application purement Web, C est 23 fois plus rapide que PHP et 230 fois plus rapide que Java.

Cela laisse quand même un peu rêveur, non ?

Maintenant et contrairement à votre argumentation sans fondement, toute discussion est ouverte, que ce soit au sujet du topic principal de ce thread que de ce petit écart à propos du C.

Just my 2 cents.
Avatar de kratoce kratoce
http://www.developpez.com
Membre habitué
le 20/12/2012 11:19
Je pense qu'ils ne devraient pas vendre les failles trouvés, mais que c'est plutôt Microsoft qui devrait RÉCOMPENSER leur trouvaille selon la gravité de la faille. Si ils auraient fait ça tout de suite, la nouvelle n'aurai peut-être pas été aussi rependu...
Avatar de Hackoverflow Hackoverflow
http://www.developpez.com
Invité de passage
le 30/01/2013 22:45
A l"heure ou tout ou presque se paye ou se monétise, je ne vois pas ce qui peut choquer.

Ces grands groupes ont largement les moyens, avant la mise sur le marché et après d'assurer un suivi de ce genre de problèmes.

Ils devraient payer "naturellement" aux découvreurs les failles de leurs programmes.
Avatar de Nathanael Marchand Nathanael Marchand
http://www.developpez.com
Rédacteur/Modérateur
le 31/01/2013 11:51
On est a peu près au même niveau que cette dame là:
http://www.ouest-france.fr/actu/actu...57190_actu.Htm
Avatar de HawkFest HawkFest
http://www.developpez.com
Invité de passage
le 08/04/2013 22:30
D'un côté ça a du bon : il est vrai qu'il serait temps que Microsoft ou toute autre entreprise lucrative défraie les coûts de R&D pour ses produits en ce qui a trait à la sécurité, chose pourtant si importante! Mais là on ne parle que d'une pointe de l'iceberg, ce n'est pas là-dessus que compte le chiffre d'affaire de cette entreprise semble-t-il, de par son offre "au plus offrant", imposant ainsi la vulnérabilité à un paquet de gens victimes potentielles de sa clientèle "la plus offrante", et dont au final "Microstuff" se fiche bien (quand 'tas un quasi-monopole, c'est ainsi)...

Car outre le fait de vouloir passer pour un faux Robin des bois contre le méchant "Empire Microsoft", offrir au plus offrant les résultats de ses activités de hacking, c'est carrément apporter de l'eau au moulin des arnaqueurs et malhonnêtes de ce monde.

J'ai lu dans ce fil que c'est correct car on parle de "business"... Or ceux qui disent cela ne savent pas ce qu'est la différence entre de vrais hommes d'affaire et des mafieux, mais je crois que c'est générationnel quand on constate combien la bêtise ambiante alimentant de telles mentalités à gagné nos contrées, durant ces dernières décennies de néoconservatisme/néolibéralisme débridés...

C'est combien pour un banquier qui veut hacker les fichiers gouvernementaux? Pour un compétiteur qui veut hacker sa compétition? ...? Vive le règne des tricheurs? Faudrait en revenir un jour...
Avatar de HawkFest HawkFest
http://www.developpez.com
Invité de passage
le 08/04/2013 22:44
Citation Envoyé par Null4Ever  Voir le message
Et c'est aussi une question d'éthique, car personne d'autres ne les payent pour leur job.

Si vous n'en voulez pas ou n'en avez pas besoin, alors passer votre chemin sans rien dire.

En effet, ça a toujours été une question d'éthique que de ne pas engager de Hackers contre la compétition (ou contre une population/clientèle/citoyens etc., car au bout du compte ce sont NOUS et nos comptes-informations numériques-transactions qui faisons les frais des hackers et des entreprises mal protégées).

Maintenant, combien me chargeraient-ils pour ne pas divulguer mes failles au "Plus offrant"? Cette "business" en est une pour arnaqueurs et tricheurs, tenue par des maîtres-chanteurs se voulant "professionnels", et ce devrait être illégal dans sa forme actuelle (ce n'est pas parce qu'on a la possibilité de magouiller qu'il faut le faire, le "mes voisins le font alors moi aussi" est une mentalité de looser fataliste, une mentalité de lemmings, pas d'humains)!
Offres d'emploi IT
Développeur web collaboratif
CDI
Flow Line - Rhône Alpes - Bron (69500)
Parue le 17/07/2014
Ingénieur Développement Alfresco & Java/J2EE H/F
CDI
BULL FR - Aquitaine - Bordeaux (33000)
Parue le 01/07/2014
Senior hybris consultant
CDI
Eotim - Autre - Sydney
Parue le 22/07/2014

Voir plus d'offres Voir la carte des offres IT
 
 
 
 
Partenaires

PlanetHoster
Ikoula