Windows 8 : Vupen refuse de donner ses failles 0-days à des « multi-milliardaires »
Comme Microsoft, le français préfère les vendre
Le 2012-11-25 17:24:20, par Gordon Fowler, Expert éminent sénior
Fin octobre, Vupen avait affirmé par la voix de son PDG - Chaouki BEKRAR - avoir découvert plusieurs failles dans Internet Explorer 10 qui permettaient de corrompre Windows 8. Et ce malgré les avancés du système de sécurité du nouvel OS.
La société basée à Montpellier n’a donné depuis aucune information sur son exploit (au sens informatique du terme). Elle a, en revanche, immédiatement fait savoir que les détails de l’attaque étaient à vendre.
Une décision – traditionnelle pour Vupen – que certains ont qualifié de « Grey Hat ». Autrement dit, entre les White Hat, qui œuvrent pour la sécurité du plus grand nombre, et les Black Hat, qui cherchent à tirer profit des systèmes en les piratant. C’est ce que regrette par exemple Jani Kallio, expert chez Luottokunta, le premier fournisseur de services de paiements finlandais.
D’après le dossier de L’Expansion de cette semaine qui fait un point sur la stratégie numérique française, la revente de ce type de découvertes peut dépasser les 150.000 €. C’est le prix qu’auraient payé des services de l'Etat français pour acquérir les détails d'un autre exploit qui s'appuie lui aussi sur des failles 0-days.
Rappelons qu’une faille 0-day n’est pas une « faille méconnue », comme l’écrit le magazine, mais une faille jusqu’ici inconnue et non patchée. Un 0-Day est par définition connu (ne serait-ce que par son découvreur) et documenté (ce qui fait sa dangerosité) mais pas encore divulgué (ou à un petit nombre) ni corrigé.
De son côté, Microsoft invite les hackers à participer à son programme maison (Coordinated Vulnerability Disclosure) et regrette donc en termes diplomatiques que Vupen œuvre de son côté, en monétisant ses découvertes, sans communiquer avec lui pour améliorer la sécurité de ses outils.
Un appel qui ne semble pas émouvoir Chaouki BEKRAR.
Chaouki BEKRAR, PDG de Vupen
Au contraire. Le hacker vient de féliciter sur Tweeter un de ses confrères qui a décidé d'adopter la même stratégie. « Content de voir qu’une start-up spécialisée dans la recherche trouve des 0-Days et refuse de livrer leur travail gratuitement à des fournisseurs multimilliardaires. Bienvenu au club », écrit-il.
Plusieurs analystes commencent néanmoins à poser la question de la légalité d'un tel commerce.
En attendant, les failles de Vupen - dont on ne sait rien - sur Windows 8 et son navigateur Internet Explorer 10 sont bel et bien à vendre au plus offrant. Tant pis pour ceux qui n'ont pas les moyens ?
Et vous ?
Pensez-vous que Vupen ait raison de ne pas communiquer ses travaux aux éditeurs ?
Ou considérez-vous que cela fait de ces chercheurs des « Grey Hat » ?
La société basée à Montpellier n’a donné depuis aucune information sur son exploit (au sens informatique du terme). Elle a, en revanche, immédiatement fait savoir que les détails de l’attaque étaient à vendre.
Une décision – traditionnelle pour Vupen – que certains ont qualifié de « Grey Hat ». Autrement dit, entre les White Hat, qui œuvrent pour la sécurité du plus grand nombre, et les Black Hat, qui cherchent à tirer profit des systèmes en les piratant. C’est ce que regrette par exemple Jani Kallio, expert chez Luottokunta, le premier fournisseur de services de paiements finlandais.
D’après le dossier de L’Expansion de cette semaine qui fait un point sur la stratégie numérique française, la revente de ce type de découvertes peut dépasser les 150.000 €. C’est le prix qu’auraient payé des services de l'Etat français pour acquérir les détails d'un autre exploit qui s'appuie lui aussi sur des failles 0-days.
Rappelons qu’une faille 0-day n’est pas une « faille méconnue », comme l’écrit le magazine, mais une faille jusqu’ici inconnue et non patchée. Un 0-Day est par définition connu (ne serait-ce que par son découvreur) et documenté (ce qui fait sa dangerosité) mais pas encore divulgué (ou à un petit nombre) ni corrigé.
De son côté, Microsoft invite les hackers à participer à son programme maison (Coordinated Vulnerability Disclosure) et regrette donc en termes diplomatiques que Vupen œuvre de son côté, en monétisant ses découvertes, sans communiquer avec lui pour améliorer la sécurité de ses outils.
Un appel qui ne semble pas émouvoir Chaouki BEKRAR.
Chaouki BEKRAR, PDG de Vupen
Au contraire. Le hacker vient de féliciter sur Tweeter un de ses confrères qui a décidé d'adopter la même stratégie. « Content de voir qu’une start-up spécialisée dans la recherche trouve des 0-Days et refuse de livrer leur travail gratuitement à des fournisseurs multimilliardaires. Bienvenu au club », écrit-il.
Plusieurs analystes commencent néanmoins à poser la question de la légalité d'un tel commerce.
En attendant, les failles de Vupen - dont on ne sait rien - sur Windows 8 et son navigateur Internet Explorer 10 sont bel et bien à vendre au plus offrant. Tant pis pour ceux qui n'ont pas les moyens ?
Et vous ?
-
kolodzModérateur@alex_vino : On parle ici principalement de la rémunération des entreprises travaillant dans la sécurité informatique.
Pour rappel un fail 0-days, ne se trouve pas tout les jours et nécessite des ressources pour être trouver et documenté.Que Microsoft n'accepte pas leur "tarif de vente" est une chose et est leur droit de demander davantage, mais alors qu'ils gardent leur faille pour eux.
Ce qu'on oublie c'est que cette sécurité est la responsabilité du producteur / distributeur. C'est à eux de faire l'investissement pour protéger leur produit pour leur client.
D'ailleurs certains sociétés et fondations propose déjà une rémunération pour ce genre d'information :
http://www.mozilla.org/security/bug-bounty.html
http://www.google.com/about/appsecur...eward-program/
http://www.facebook.com/whitehat/bounty/
Pour rappel, Microsoft comme d'autre compagnie vends des licences où il assure le support et la sécurité. Si il y a un problème de sécurité (ou autre), alors leur clients exigent un dédommagement...
Donc considérer qu'une faille découverte sur un logiciel Microsoft ne peut-être acheter que par Microsoft, qui ne veux pas les acheter n'est une bonne approche.
Dès banques et des états qui utilisent des logiciels Microsoft sont potentiellement de très bon client pour ce genre d'information. Eux accepteront de payer. Et demanderont poliment à Microsoft de les rembourser, lors de leur prochain achat de licence.Pensez-vous que Vupen a raison a de ne pas communiquer ses travaux aux éditeurs ?Ou considérez-vous que fait de ses chercheurs des « Grey Hat » ?
Pour rappel, le coût de développement de windows 8 est inférieur au budget marketing. Vous pensez sérieusement que Microsoft ne devrait pas dédommager les personnes qui s'occupent de la sécurité de leurs logiciel ?
Surtout qu'aujourd'hui en France un défaut de sécurité de sa connexion internet est un délit... (Si troll que ça ?)Plusieurs analystes commencent néanmoins à poser la question de la légalité d'un tel commerce.
Cordialement,
Patrick Kolodziejczyk.le 25/11/2012 à 21:43 -
TryphMembre éméritemorale de l'histoire:
microsoft ferait bien de tondre sa pelouse avant de sortir ses Windowsle 26/11/2012 à 10:56 -
TryphMembre éméritece gars n'a pas complètement tort.
Microsoft fait assez d'argent avec ses différentes version de Windows, et c'est Microsoft qui devrait faire de travail de sécurisation.
Hors, comme on dit chez nous: "tout travail mérite salaire".
et faut pas prendre Microsoft pour une pauvre boite sans ressource aussi, ils ont largement de quoi rémunérer les découvertes de failles.
Alors on peut déplorer le fait que le gars envisage de vendre sa faille au plus offrant, mais on ne peut pas lui reprocher de ne pas livrer son travail gratuitement a une boite qui brasse des milliards de dollars.le 26/11/2012 à 10:22 -
fregolo52Expert confirméDans ce cas, pourquoi Kapersky ne nous donne pas gratuitement une solution complètement gratuite ?
Donc, on doit payer un éditeur (antivirus & co) pour qu'on se protège, mais les éditeurs, eux, ne devraient pas payer pour mieux sécuriser leurs solutions ?
Le cas de Chaouki BEKRAR est peut-être un peu différent, vu qu'il menace de divulguer la faille s'il n'est pas payé.
Rootkit est un terme à la mode aussi sous Linux.le 26/11/2012 à 8:46 -
TryphMembre éméritec'est bien, je te souhaite bien de la réussite.
sache malgré tout qu'il est possible que tu sois viré comme un mal-popre au prochain plan social malgré ton aimable et altruiste investissement.
j'ai fait ça aussi au début... et puis vu les résultats en terme de reconnaissance, je me suis dit que j'allais arrêter de bosser gratuitement.
en tout cas je te remercie bien chaleureusement, au nom de la France entière, pour ton investissement personnel pour le bien de la communauté
il est écrit nulle part que Vupen refuse de vendre à Microsoft. il est juste écrit qu'ils ne prennent pas part au "programme maison" de Microsoft...
mais si t'as des infos plus précises à nous communiquer au sujet du refus de Vupen de traiter avec Microsoft, je veux bien les sources.le 26/11/2012 à 12:03 -
Nathanael MarchandRédacteurMon "Oui mais la" concernait cette actualité
Ici rien n'oblige légalement Microsoft a chercher les failles dans ses OS et si il voulait le faire il aurait le choix du prestataire. C'est trop simple de faire le boulot d'abord et de négocier le tarif après, ca fait un peu chantage... (Surtout quand on a aucune preuve du travail effectué)le 26/11/2012 à 13:19 -
TryphMembre émériteen gros t'es en train de nous dire que toute entreprise qui peut sauver des vies doit le faire gratuitement. et bien ça arrive pas souvent, mais je suis entièrement d'accord avec toi
les entreprises pharmaceutiques devraient distribuer gratuitement les médicaments qu'ils fabriquent au personnes malades qui ne peuvent se payer de traitement.
Monsanto (entre autres) devrait offrir des tonnes de ses semences de céréales aux pays qui souffrent de mal/sous-nutrition.
ces gens sont dans le besoin, il est de notre devoir à tous de faire quelque chose pour eux sans demander de contrepartie.
mais en l’occurrence, le fait d'offrir gracieusement la découverte de cette faille à MS ne sauvera personne.
et puis MS n'est pas dans le besoin...
et puis au pire du pire il se passera quoi? des gens qui étalent leur vie sur facebook se feront "voler" les données qu'ils affichent partout. des pubs apparaitront intempestivement sur nos chers écrans. l'ordinateur ne voudra plus démarrer et je devrais le formater ou (horreur) l'emmener chez le réparateur !!!
non vraiment, je crois qu'il faut arrêter de s'enflammer sur les exemples et les analogies qui deviennent de plus en plus ridicules.
si vous voulez vous offusquer, vous indigner ou crier à l'injustice ou à l'immoralité, je suis persuadé que vous pouvez trouver des causes bien plus nobles que la défense d'une boite qui n'a pas tout à fait bien travaillé.
et puis en l'occurrence, je crois pas que Vupen aie mis une annonce sur leboncoindesterroristes.com pour vendre sa découverte à un "barbu kamikaze qui veut exterminer ces infidèles d'occidentaux".
moi j'ai compris qu'il vend juste la faille à ses clients pour qu'ils puissent agir de leur coté pour se protéger.le 26/11/2012 à 17:12 -
TryphMembre éméritebah en fait je suis sérieux quand je dis que les entreprises qui peuvent sauver des vies devraient le faire gratuitement.
ce qui m'insupporte, c'est votre façon à toi et erwanlb de faire dans le melodrame "fin du monde".
- l'un qui fantasme sur les soit disant "miliards" que Vupen demanderait à MS (vous avez vu ça ou sérieusement?).
- l'autre qui compare l'offre gracieuse d'une procédure pour exploiter une faille à une multinationale multimilliardaire au fait de sauver des centaines de millions de vies.
ça me fait penser à ces gens qui se disent "pris en otage" à la moindre grève, j'ai presque envie de les enfermer dans une cave avec un flingue sur la tempe pendant quelques mois pour leur apprendre a être plus mesurés et leur passer l'envie de s'auto-victimiser. moi c'est ce genre de comportement que j'arrive pas à comprendre...
sinon... bah non, je ne développe pas d'OS 0-faille tous les jours.
mais quand un collègue vient me voir en me disant que ce que j'ai fait ne marche pas, je demande pas à ce qu'on vienne tout m'expliquer gratuitement. et si par bonheur un collègue me dépatouille sur un sujet sur lequel je suis largué, je lui rend à un moment ou un autre, d'une façon ou d'une autre. je me contente pas de croire que tout m'est du parce que mon travail sera utilisé par d'autres.
oui, faire une erreur peut arriver à tout le monde. non, ce n'est pas une raison pour prétendre à une aide gratuite.
EDIT pour le commentaire du dessous:
- le paragraphe sur les grèves est juste là pour illustrer ce comportement de plus en plus répandu qui consiste à faire d'un gravier une montagne. ce trait qui consiste à grossir des évènements insignifiants en les comparant à des désastres ou des scandales pour leur associer une connotation horrible alors qu'ils ne sont des évènements banales et à la gravité toute relative.
- j'habite près du centre de Lyon, je prends le métro 2 fois par jours sur une distance de 8km pour aller au boulot et en revenir et quand il y a une grève, je me sens pas pris en otage. quand ça arrive, je peux encore sortir de chez moi, je suis libre de prendre mon vélo, de prendre un taxi, d'arriver en retard et de repartir plus tard le soir, de poser un jour de congé selon mon humeur... les gens qui font grève le font en général pour de bonnes raison et pas par simple plaisir. des travailleurs qui défendent leurs conditions de travail, ça ne me gène pas du tout.
bref, une grève n'a rien à voir avec une prise d'otage. pour rappel, les otages sont des gens qui sont privés de leur liberté, qui craignent bien souvent pour leur vie, et cela pendant des semaines, des mois et parfois des années. certains même en meurent... quel rapport avec une grève?
- Vuspen ne fait aucun chantage, il refuse juste d'offrir son travail gratuitement. encore une façon de réinterpréter (malhonnêtement) les faits pour les faire paraitre scandaleux (voir ci-dessus).le 26/11/2012 à 17:43 -
GruntZMembre régulierJe ne sais pas ce qui est le plus "moralement discutable" :
- Vouloir faire payer à Microsoft pour un travail de déverminage qui aurait du être réalisé par ses équipes,
- Regarder Microsoft dépenser plusieurs millions d'Euros par an en lobbying auprès des députés européens pour faire voter des lois qui l'arrangent, en frais d'avocat pour défendre son business, ou en frais de marketing pour faire accepter un OS vendu de force avec les machines.
Vupen n'agirait peut être pas de la même façon s'il découvrait une faille dans Firefox ...le 28/11/2012 à 8:46 -
erwanlbInactifle 26/11/2012 à 9:36