Un groupe anonyme veut se venger de Microsoft
Après "sa campagne anti-Ormandy" et dévoile une nouvelle vulnérabilité de Windows

Le , par Idelways, Expert éminent sénior
Un groupe anonyme de chercheurs en sécurité a mis en ligne, la semaine dernière, des informations sur une faille non corrigée de Windows.

Cet acte est une réponse —selon leur communiqué— à l'hostilité chronique dont fait preuve Microsoft envers les experts en sécurité, avec récemment l'affaire Tavis Ormandy, l'ingénieur de Google qui a publié un PoC aujourd'hui exploité sur plus de 10.000 machines (Lire les détails de l'affaire).

Ils ont également annoncé la création du MSRC, Microsoft-Spurned Researcher Collective (la convention des chercheurs méprisés par Microsoft), allusion évidente au Microsoft Security Response Center qui porte les mêmes initiales (MSRC).

L'annonce de cette convention a été postée anonymement à partir d'un compte Hushmail. Elle liste six collaborateurs dont les noms sont tous représentés par des « X ». Le groupe invite d'autres chercheurs à s'y inscrire et assure avoir mis en place un système de contrôle anti- employés de Microsoft.

Microsoft, de son côté, minimise la faille dévoilée. Pour la société, un hacker doit disposer d'un accès physique ou avoir réussi un autre exploit pour l'utiliser. Elle juge ainsi le risque au dessous du seuil nécessitant une alerte de sécurité, habituellement la première étape dans la correction des problèmes de sécurité.

Reste qu'au delà du débat sur la gravité de la vulnérabilité, l'initiative du groupe d'expert est très polémique.

Aussi, et surtout, parce qu'elle est anonyme.

Un léger manque de courage ?

Source : Texte du communiqué du Groupe anonyme

Et vous ?

Que pensez-vous de cette initiative : légitime ou plutôt lâche ?
D'après vous, qui sont ces chercheurs ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de goomazio goomazio - Membre chevronné https://www.developpez.com
le 09/07/2010 à 19:10
Sans vouloir répéter inutilement...
A quel degré de précision de publication d'une faille on franchit le cap pour devenir un terroriste/criminel selon vous ?

Dans certains cas, le simple fait de dire que le logiciel x à une faille permet de déduire le problème (logiciel avec une seule fonctionnalité ?), par contre, dans d'autres, des précisions sont requises pour avoir la moindre idée d'où se trouve la faille.

En tout cas, je pense aussi que c'est idiot de risquer d'avertir des pirates de l'existence d'une faille.

Après il y a des cas où la faille ne vaut pas la peine d'ouvrir un dossier top secret et de se déplacer en personne pour avertire l'intéressé, et il doit y en avoir d'autres où ce dernier ne voit pas l'intérêt de réparer la faille, qui peuvent mener à des situations un peu plus complexes...

Je pense qu'on est dans une situation curieuse, je préférerais avoir plus d'info avant de les traiter de pirates ou de criminels, parce que sinon j'en connais d'autres qui mériteraient peut-être aussi le titre de criminel (cf. les procès d'intentions des débats sur les systèmes d'exploitation )
Avatar de B.AF B.AF - Membre chevronné https://www.developpez.com
le 09/07/2010 à 23:15
Citation Envoyé par Marco46  Voir le message
Ok donc maintenant on va batailler sur la définition de la publication d'une faille ...

Alors pour vous publier une faille c'est dire par exemple : il y a une faille sur WinXP telle version ?

A quel degré de précision de publication d'une faille on franchit le cap pour devenir un terroriste/criminel selon vous ?

C'est assez simple : c'est à partir du moment où le préjudice provoqué par la publication appartient aux critéres du crime.
Par exemple dévoiler comment percer la défense du réseau du ministére de la défense et le dévoiler publiquement serait probablement considéré comme de l'espionnage ou un acte de terrorisme.
Après il y a aussi un autre cap qui est l'argent, quand on s'attaque aux gros, ils ont les moyens de faire des procédures longues, de faire de votre vie un enfer, de faire de la communication, d'acheter des expertises....
Avatar de valkirys valkirys - Membre expérimenté https://www.developpez.com
le 10/07/2010 à 15:36
Citation Envoyé par B.AF  Voir le message
C'est assez simple : c'est à partir du moment où le préjudice provoqué par la publication appartient aux critères du crime.
Par exemple dévoiler comment percer la défense du réseau du ministère de la défense et le dévoiler publiquement serait probablement considéré comme de l'espionnage ou un acte de terrorisme.
Après il y a aussi un autre cap qui est l'argent, quand on s'attaque aux gros, ils ont les moyens de faire des procédures longues, de faire de votre vie un enfer, de faire de la communication, d'acheter des expertises....

Finalement c'est toujours les gros qui sont défendus et le quidam dont ont se fout.
Avatar de eomer212 eomer212 - Membre actif https://www.developpez.com
le 14/07/2010 à 17:24
Beaucoup posent la question de dire ou pas, dévoiler ou cacher le fait que le système est mal écrit, truffé de bugs dans tous les sens..

mais on se trouve dans un cas particulier.
ce cas particulier, c'est que le programme en question est la base de fonctionnement de nombreuses entreprises, qu'elles ont payées pour en avoir la jouissance, et qu'en plus le fournisseur et fabricant s'arrogent le droit de ne pas garantir le fonctionnement de son produit.
incroyable, impensable, mais vrai.
mais qu'attendre d'autre d'une société qui a fondé sa réussite sur l'esbrouffe, le pillage intellectuel et industriel, et la bétise ainsi que l'absence de vision autre que commerciale de ses dirigeants.

microsoft traite ses clients comme des chiens ignorants et stupide, il est normal que le retour de baton se fasse.
Il est même intéressant de se demander si ce n'est pas microsoft lui même qui pousse à la "découverte" de failles dans les systémes xp, pour pousser les entreprises qui l'utilisent à acheter des systémes d'exploitation dont elles n'ont pas besoin, et qui les forceraient à jeter au panier des appliquations qui leurs donnent satisfaction depuis longtemps.
mais fabriquer un système d'exploitation fiable n'est pas dans la logique de microsoft.
il faut qu'il soit plein de bug pour forcer après coup les utilisateurs à acheter le suivant, qui lui n'a pas toutes ces failles.. mais pleins d'autres nouvelles.. pour son successeur..
Alors, si on parlait d'un driver ou autre programme peu usité, dont on peut se passer, ça ne poserait pas de probléme, mais la on parle de quelque chose dont on ne peut pas faire l'impasse, un systéme d'exploitation.
c'est donc une question de santé publique que de dire que les choses ne marchent pas, quand à ceux qui sont partisans de le cacher, ce sont des complices de ce complot du silence.
et si le gouvernement ou l'Europe étaient un peu prévoyants, ils investiraient un tout petit peu pour faire produire un système complètement compatible xp, stable, européen, et utilisable en toute sécurité.
je ne doute pas que les resources en Europe ou alilleurs ne seraient pas capables de le faire.
Vu que microsoft n'aura jamais la volonté de le faire, ce serait sans doute la seule solution. mais espérer un peu de clairvoyance de la part des politiques est sans doute trop demander. C'était valable à l'époque de de gaule, mais aujourdhui, ils ne savent plus que réagir. trop tard, quand encore, ils le font..
l'informatique est devenue un enjeu strategique majeur, au même titre que l'energie.
Quitte à reinstaller un système, on devrait pouvoir en reinstaller un fiable. est-ce si difficile.??
c'est bien là que l'on voit l'incompetence et la duplicité de nos élus, trop pressés de profiter pour servir..
Avatar de goomazio goomazio - Membre chevronné https://www.developpez.com
le 14/07/2010 à 18:59
Attention aux procès d'intention ! Puis, il ne faut pas trop mélanger business et éthique... (et c'est moi qui dit ça )

Mais ne pas se faire marcher sur les pieds commence par ce genre réflexions, je pense... C'est moi qui ai mis le +1, pour soutenir l'utopie qu'est d'espérer voir des multinationales éthiques à tout point de vue...
Avatar de stardeath stardeath - Membre expert https://www.developpez.com
le 14/07/2010 à 21:03
Citation Envoyé par eomer212  Voir le message
...

la théorie du complot est de retour, pourquoi pas.

après le soit disant système 100% sur, inattaquable et qui fait le café n'existera jamais, pour la simple et bonne raison que c'est encore des Hommes qui écrivent des programmes, et que à moins de faire quelques choses de trivial (et encore) il y aura forcément des bugs.
on aura beau avoir tous les cerveaux les plus compétents de la terre pour faire le meilleur système d'exploitation, il y aura forcément un cas qui n'aura pas été pensé, ou alors ça serait très présomptueux.

Citation Envoyé par eomer
l'informatique est devenue un enjeu stratégique majeur, au même titre que l'énergie.

et c'est là selon moi qu'est le problème, on (en général) ne sait plus rien faire dès qu'on a pas une machine en face de soi. l'informatique n'est plus un service pour nous aider, on est devenu ses esclaves.
Avatar de cinemania cinemania - Membre expérimenté https://www.developpez.com
le 15/07/2010 à 0:27
entièrement d'accord avec stardeath...

maintenant eomer212 redescend un peu de ton perchoir... le lobby anti-microsoft est un peu dépassé de nos jours, surtout depuis que bill gates a pris sa retraite.
intéresses-toi aux autres sociétés qui vendent des soient disant systèmes sures...
Parlons des éditeurs UNIX... UNIX n'est pas plus fiable que Windows Server... et vous ne pourrez pas dire le contraire car le code source de TOUS les UNIX est closed source comme celui de Windows.
Ne demande à aucun d'entre eux de sortir un patch de sécurité... ça ne se fait pas ! Ça serait admettre qu'ils en sont réduit à cela...
Tu devras attendre la prochaine version, et l'acheter, comme tout le monde, et vu les tarifs engagé on parle pas des centaines d'euros que t'a mis pour ton Windows mais de dizaines de milliers d'euros pour des produits qui ne les valent pas.

Maintenant pourquoi personne ne cherche de faille sous linux ou sous UNIX ? la raison est évidente non ? à quoi bon emmerder 10 personnes quand on peut en emmerder 100 000... tout simplement.
et non, les failles sous linux ne sont pas corrigées dans l'heure... croire cela est totalement illusoire et utopique...
d'autant que les failles sont souvent spécifiques à une distribution et donc une société particulière... qui ne fonctionnera pas différemment de Microsoft à ceci prêt que généralement n'ayant que ce produit à développer, elles auront plus de temps et de ressources à y consacrer.

Ne crois pas pour autant que je sois pro-Microsoft. J'étais il fut un temps un Anti-Microsoft convaincu et acharné, mais bon contrairement à beaucoup, visiblement, j'ai muri, et je suis passé à autre chose de plus constructif, et il faut rendre à César ce qui est à César.
Aucune autre société ne maintient ses produits sur des anciennes versions, et même d'autres qui font des OS... Microsoft est la seule à faire de la maintenance sur une version d'un OS datant de 2002, en 2010, sachant qu'on est quand même 2 versions au dessus !

et croire que toutes les entreprises se mettent en conformité et achètent leur logiciel, ça aussi c'est utopique...
la boite où je bosse est partenaire Microsoft, une boite locale avec un parc monstrueux (on parle de plus de 2500 postes) nous a commandé un audit complet de son parc et savoir ce qui est "légal" ou pas et le résultat était plutôt éloquent...
Pratiquement AUCUN de leurs XP et Seven n'étaient légal, ils avaient même des versions pirates sur leurs serveurs !!!! c'est pour dire.
et ce constat déplorable je l'ai constaté dans la boite ou je bossais avant...

Alors je regrette mais les boites qui ne payent pas sont légions, elles perdent donc comme beaucoup d'utilisateurs dans le monde le droit à la parole quant à ce débat...
et ça change complètement le point de vue du problème...
surtout que parmi tous les détracteurs de microsoft qui ont pris la parole dans se débat... je parie sans trop me tromper que la quasi totalité, est sous windows... et souvent même pas en version légale.
(ça pour celui qui a insisté avec la vente forcée)
Avatar de Dididupry Dididupry - Nouveau Candidat au Club https://www.developpez.com
le 15/07/2010 à 14:45
Soyez tout de même optimistes!
Publier une faille de sécurité est une bonne chose pour la sécurité de nos applications et surtout pour la société en question.
Nous n'aurons pas aujourd'hui l'éminent Linux si des bidoulleurs n'ont pas mis des leurs!
Dans un 1er temps on le prend mal mais une fois sauvé, on a la ferme conviction que c'était bien d'être prévenu.
Remontons à l'époque de pasteur (la découverte du vaccin),ça vous dit?
Bien sûr si ce monsieur n'avait pas mis du sien... Demandez alors aux chercheurs d'arrêter leurs investigations dans tous les domaines.
Mieux vaut prévenir que guérir.
Avatar de mabeghin mabeghin - Futur Membre du Club https://www.developpez.com
le 16/07/2010 à 16:16
Citation Envoyé par joKED  Voir le message
Diffuser une faille est ridicule. Cela ne peut que nuire (tant à la société ciblée qu'aux utilisateurs).

Si je vous avertis qu'une fenêtre de chez vous est ouverte, et que vous ne me répondez pas (manque de temps pour fermer, impossibilité de fermer car vous êtes absent), ou mal ("C'est pas vos oignons"), seriez-vous content que j'aille faire le tour de tous les voleurs du coin en leur annonçant qu'on peut rentrer chez vous sans problème?

Ca colle pas ton histoire. Si il y a une faille dans windows, elle existe chez des millions de personnes. Si j'ai une fenêtre ouverte chez moi c'est juste mon problème.
Après pour le reste je m'en fous. Je trouve qu'il vaut mieux que les professionnels connaissent les problèmes de sécurité qui pourraient les toucher.
Je me demande toujours s'il y a autant de failles sous linux et sous mac et qu'on en parle moins, ou si ces systèmes sont plus safe que windows...
Avatar de grafikm_fr grafikm_fr - Expert confirmé https://www.developpez.com
le 16/07/2010 à 17:38
Citation Envoyé par cinemania  Voir le message
Parlons des éditeurs UNIX... UNIX n'est pas plus fiable que Windows Server... et vous ne pourrez pas dire le contraire car le code source de TOUS les UNIX est closed source comme celui de Windows.
Ne demande à aucun d'entre eux de sortir un patch de sécurité... ça ne se fait pas !

Oulà, oui, les IRIX et les Solaris d'il y a quelques années surclassaient tout ce qui existe au niveau du nombre de failles...
Avatar de abriotde abriotde - Membre éclairé https://www.developpez.com
le 06/09/2010 à 14:42
Citation Envoyé par joKED  Voir le message
Si je vous avertis qu'une fenêtre de chez vous est ouverte, et que vous ne me répondez pas (manque de temps pour fermer, impossibilité de fermer car vous êtes absent), ou mal ("C'est pas vos oignons"), seriez-vous content que j'aille faire le tour de tous les voleurs du coin en leur annonçant qu'on peut rentrer chez vous sans problème?

Il y a erreur. Ce ne sont pas les locaux de l'entreprise qui sont en danger par une faille mais ceux du client. On ne parle pas d'une fenêtre que le client à laisser ouverte mais que le client ne peut pas fermer. Vous ne vous en rendez pas compte, le voleur lui si (C'est un principe de sécurité). Si le fabricant refuse d'ajouter un simple verrou à la fenêtre, il est alors normal de prévenir tout le monde qu'elle n'est pas solide. Ainsi le client risque de se tourner vers un autre produit... Le vendeur va alors réagir car s'il se fiche de la qualité du produit il ne veut pas perdre le client...
C'est la loi du marché. Je n'ai jamais vu d'entreprise améliorer son produit si la demande ne vient pas du client (directement ou pas).
Offres d'emploi IT
Architecte systèmes études & scientifiques H/F
Safran - Ile de France - Vélizy-Villacoublay (78140)
Responsable transverse - engagement métiers H/F
Safran - Ile de France - Corbeil-Essonnes (91100)
Ingénieur intégration, validation, qualification du système de drone H/F
Safran - Ile de France - Éragny (95610)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil