IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Pour ou contre la publication des failles avant la sortie d'un correctif ?
Un ingénieur de Google divulgue les détails sur un Zero-day dans Windows

Le , par Cedric Chevalier
17 commentaires

51PARTAGES

5  0 
Tarvis Ormandy est un ingénieur talentueux travaillant pour le compte de Google. C'est aussi un expert en sécurité dont les travaux avaient conduit à la découverte d'une vulnérabilité vieille d'au moins 17 ans affectant tous les noyaux 32 bits de Windows. Ladite vulnérabilité conférait aux hackers des niveaux de privilèges élevés une fois exploitée.

Décidément notre ingénieur à une attention toute particulière pour la plateforme Microsoft. Récemment encore, le même homme a rendu publique une autre vulnérabilité critique affectant le noyau pour les systèmes Windows 7 et 8.

La firme de recherche en sécurité Secunia a d'ailleurs confirmé les résultats de l'expert. Pour la firme, la vulnérabilité est présente sur les systèmes Windows 7 à jour, ainsi que sur Windows 8. D'après elle, la vulnérabilité peut être exploitée pour effectuer des attaques DoS, ou encore accroître le niveau de privilège d'un hacker.

Comme par le passé, Ormandy a une choisie de publie un code pour exploiter cette nouvelle vulnérabilité (code déjà disponible pour Metasploit). Pourtant, la découverte des failles par des experts en sécurité est souvent maintenue secret jusqu’à correction de celles-ci.

Son attitude de rendre publique une vulnérabilité ainsi que le code associé pour l'exploiter sans au préalable informé l'entreprise concernée par un canal privé, afin de lui donner le temps nécessaire pour préparer un patch a été vertement critiquée par Microsoft et d'autres experts en sécurité indépendants.

Ormandy justifie ce geste par le fait qu’il serait assez difficile de collaborer avec Microsoft sur la sécurité de ses solutions.

Un avis que ne partage pas Graham Cluley, expert en sécurité chez Sophos, qui a déclaré TheVerge que « l'équipe de sécurité de Microsoft fait un excellent travail » et recommande aux les chercheurs en sécurité de « travailler étroitement avec Microsoft afin de corriger les problèmes de manière responsable, plutôt que de prendre le risque de favoriser les pirates ».

Source: Secunia, Blog Ormandy, seclists

Et vous ?

Etes-vous pour la divulgation publique des failles avec PoC avant que l'éditeur de la solution ne soit informé ?

Sachant que Google et Microsoft sont deux firmes concurrentes, comment pourrait-on qualifier l'attitude d'Ormandy ? normale ou préméditée ?

Pour vous, doit-on normaliser le processus conduisant à la publication d'un patch de sécurité afin que de telles situations ne se reproduisent à l'avenir ?

Une erreur dans cette actualité ? Signalez-nous-la !

17 commentaires
Commenter Signaler un problème
LSMetag
Avatar de LSMetag
Expert confirmé https://www.developpez.com
Le 25/05/2013 à 10:59
D'un autre côté, ça donne une bonne raison à Microsoft de se bouger les fesses pour faire rapidement un correctif ^^'
4  1 
Bestel74
Avatar de Bestel74
Membre confirmé https://www.developpez.com
Le 25/05/2013 à 14:21
Vu ce qu'il publie sur son blog, ça peut se comprendre non ?

If you solve the mystery and determine this is a security issue, send me an email and I'll update this post. If you confirm it is exploitable, feel free to send your work to Microsoft if you feel so compelled, if this is your first time researching a potential vulnerability it might be an interesting experience.

Note that Microsoft treat vulnerability researchers with great hostility, and are often very difficult to work with. I would advise only speaking to them under a pseudonym, using tor and anonymous email to protect yourself.
Je serais lui je travaillerai à la recherche de faille sous Linux
2  0 
tp1024
Avatar de tp1024
Membre habitué https://www.developpez.com
Le 26/05/2013 à 16:37
Dans le monde des hackers, les informations circulent très bien et très vite.
Ça n'a pas du changer.
Que celui qui découvre la faille la rende publique ou non, ça ne changera pas grand chose à l'exploitation que les hackers font de la faille.

Mais la publication de la faille permet aux autres acteurs utilisant le même logiciel de faire attention et éventuellement se protéger.

Quelque part, publier la faille la rend moins nocive.

edit:
Bien sur, il faut en premier avertir la société éditrice du logiciel.

edit 2:
Je pense qu'il est dommage de cibler uniquement M$. Dernièrement Oracle s'est fait remarqué avec Java. Android n'est pas exempt de reproche, etc...

C'est l'informatique qui s'est emballé dans une frénésie de nouveautés et semble moins accorder d'importance à la sécurité.
Est ce que les sociétés ne se reposent pas trop sur les antivirus/firewall et les sociétés éditrice de logiciels de sécurité, plutôt que d'investir pendant la phase de développement sur un code plus fiable?
2  0 
la.lune
Avatar de la.lune
Membre chevronné https://www.developpez.com
Le 27/05/2013 à 15:15
Quand il y a des failles dans des systèmes utilisés par le grand public, il faut informer les gens et donner la solution pour se protéger contre les dégâts que ces failles peuvent causer. C'est ce qui se passe quand il y a une faille sur java, Adobe reader/flash ...
Et personne n'a jamais dit que cela devrait passer confidentiellement entre celui qui a découvert la faille et l’entreprise concerné. On publie par ce que ce sont les utilisateurs qui sont exposés au danger.

Car le moment qu'un chercheur découvre une faille qui nous dit qu'il n y a pas déjà des pirates qui l'exploitent?

Mais seulement la question ici c'est quand il y avait une faille sur le plugin de java on nous disait de désactiver le plugin et d'autres plus stricte nous demande de le désinstaller carrément de l'ordinateur, et maintenant avec cette faille sous Windows que faire en tant qu'utilisateur qui craint d'être victime
2  0 
la.lune
Avatar de la.lune
Membre chevronné https://www.developpez.com
Le 27/05/2013 à 16:10
Citation Envoyé par gangsoleil Voir le message

Ca fait partie des cotes "cool" que Google met en permanence en avant, notamment pour ameliorer son image : "Nous on est open, on fait meme des concours pour que vous trouviez des vulnerabilites sur nos produits, on ne vous poursuit pas (encore) si vous en trouvez une".
En tout cas placer plus d'un millions de dollard pour les personnes qui découvrent des failles de sécurité ce n'est pas un jeu. Si Google n'assure pas une politique de sécurité de haut niveau n'allait jamais lancer ces concours, car sinon il aurait des surprises, 60 000 dollard pour avoir découvert une faille sous chrome, ce n'est pas un petit montant!

Pour moi qu'ils restent avec leurs concurrences par ici par là ça ne me regarde pas, moi en tant qu'utilisateur je veux juste être à l'abris du danger.
2  0 
la.lune
Avatar de la.lune
Membre chevronné https://www.developpez.com
Le 27/05/2013 à 16:53
Citation Envoyé par Hellwing Voir le message
Pour quelles raisons penses-tu être plus à l'abri avec des failles publiées avant même que l'éditeur aie pu faire quoi que ce soit, que s'il en avait été informé et donc eu la possibilité de réagir rapidement (je parle bien de possibilité) ?
.
L'éditeur ne va jamais le publié. Il va attendre qu'il prépare un correctif pour nous demander d'installer le patch, durant toute cette période des gens vont l'exploiter sans nous rendre compte. Pour le cas de windows j'ai bien posé la question moi aussi: que faire étant donné que c'est un système d'exploitation, ce n'est pas comme java, ou adobe reader par exemple que tu peux juste de priver de les utiliser, en les désinstallant ou en désactivant? Possible on va installer une autre version non vulnérable dans une autre partition, en attendant la sortie d'un correctif.

Ceci n'est pas une simple blague, en entreprise les dégâts sont très énormes en cas d'exploit d'une faille.
2  0 
cbleas
Avatar de cbleas
Membre éprouvé https://www.developpez.com
Le 26/05/2013 à 8:58
Cet ingénieur a de nombreuses fois qualifié le code de windows comme étant une immondice que ses yeux ne pouvaient regarder et qu'il ne pourrait donc travailler de concert avec les incompétents qui s'en occupent.
Quant on voit le nombre de Malware qui fleurissent sur android je pense que son patron (Google) devrait l'utiliser à sécuriser ses propres produits.
Maintenant Que ce passerait il si les concurrents de Google commençaient à mettre un peu de leurs ressources a chercher les failles d'Android et à les publier.
A non pas besoin ce doit etre le code d'Android qui lui doit etre parfait et si bien écrit Qu'il est si facile a produire des malwares.
Maintenant tout code aura toujours des Bugs, des failles alors les publier avant correctif n'aura qu'un impact et se sera l'utilisateur final qui sera impacté.
Pour créer des programmes je sais qu'il est difficile de juger de la qualité d'un code à partir du moment ou il fait ce que l'on demande.
Mais je ne comprend pas pourquoi quelqu'un qui trouve que du coté de Microsoft il n'y a que des incompétents et des programmes immondes passe sont temps libre à le décortiquer est t il un peu Maso
4  3 
abriotde
Avatar de abriotde
Membre chevronné https://www.developpez.com
Le 26/05/2013 à 13:03
Je pense que cela fait partie d'un devoir éthique d'informer la société éditrice du logiciel (Microsoft en l’occurrence ici) en premier. Cependant il est vrai que certaines société ensuite mettent peu d'entrain a corrigé les problème. Il est alors tout aussi éthique de révéler la faille a tous afin d’obliger sa correction. La question est combien de temps doit on attendre? Une semaine, un mois?

Ici on est dans une affaire qui s'est envenimé car il y a beaucoup d'enjeux et que Microsoft avait un comportement inacceptable qui a poussé les experts a publié les failles... Microsoft a peut-être corrigé le tir les inimitiés restent.

Androïd n'est pas truffé de faille... Le problème c'est que les applications ont le droit d'avoir accès a tout si l'utilisateur accepte (Mais a moins de choses que sur un PC). A la différence des PC les smartphones ne sont pas muni d'anti-virus efficace car entre autre la puissance manque.
3  2 
MRick
Avatar de MRick
Membre du Club https://www.developpez.com
Le 27/05/2013 à 13:22
Un chercheur en sécurité devrait toujours contacter en premier l'éditeur du logiciel dans lequel il a trouvé une faille.

Après, certains éditeurs ne jouent pas le jeu, et font volontairement trainer les choses quand il s'agit de corriger des vulnérabilités.
C'est notamment le cas d'Oracle qui essuie de nombreux déboires avec Java, et qui a été aussi remarqué lors de la correction d'une faille dans MySQL qui a trainé très longtemps, alors que la même faille dans MariaDB (un fork de MySQL) était corrigée depuis longtemps.

Au bout d'un moment, quand l'éditeur a été prévenu mais qu'il refuse toujours d'allouer des moyens pour corriger la faille, il est normal aussi que la faille soit divulguée, pour mettre la pression sur l'éditeur.

Concernant Microsoft, en dehors de Travis Ormandy et quelques autres chercheurs de chez Google, plusieurs chercheurs en sécurité donnent des échos plutôt positifs, même si le temps de développement et de test des correctifs est encore relativement long (2 à 6 mois en général). L'impression que j'ai en lisant plusieurs sources différentes, c'est que Microsoft prend réellement et rapidement en compte les problèmes de sécurité qu'on leur signale, mais qu'ils ont derrière des processus un peu lourd qui font que les correctifs tardent un peu.

Mais d'autres éditeurs sont régulièrement dénoncés pour un total immobilisme, préférant allouer des ressources au développement d'une nouvelle version plutôt qu'à la correction d'une version en cours de support.

Enfin concernant Google, il faut reconnaitre qu'ils sont très rapides pour corriger les problèmes, ça s'est vu notamment depuis le concours "Pwn2own 2013", tous les éditeurs ont vu leur produits troués par les chercheurs en sécurité. Le produit le plus rapidement corrigé a été Chrome, et puis Internet Explorer a été corrigé le 14 Mai dernier. Mais certains de ces produits dont les failles ont été démontrés il y a près de 3 mois maintenant, ne sont toujours pas corrigés (C'est le cas de Oracle-Java il me semble).

Je pense donc qu'il y a une dose de mauvaise foi de la part de Travis Ormandy et/ou Google.

Enfin pour ceux dénoncent les malwares sous Android, le sujet m'intéresse, j'aimerais savoir si il y a réellement des vulnérabilités exploitées par des malware sous Android. Quelques exemples seraient les bienvenus.

Pour l'instant, dans 99,9% des cas que j'ai étudié il n'y a pas de faille de sécurité utilisée par les malware Android. Ce sont les utilisateurs eux même qui installent volontairement des applications, et acceptent (sans les lire) les conditions d'accès à leur terminal. Ça peut arriver avec Google Play, mais le risque est décuplé quand on va chercher une application dans un store alternatif. Quand a télécharger sur un site russe la version gratuite d'une application qui est payante dans Google Play, c'est vraiment de la bêtise (il n'y a pas d'autre mot), et les utilisateurs qui font ça méritent bien ce qui leur arrive.

Le 0,1% des cas, c'est quand on télécharge une application sur Google Play, qu'on vérifie ce à quoi elle demande d'accéder, qu'il n'y a rien de louche. Et puis un peu plus tard on reçoit une mise à jour de l'application qui accède à des choses qu'elle ne devrait pas. Et dans certains cas l'utilisateur ne pouvait pas voir la liste des ressource accédées.
0  0 
gangsoleil
Avatar de gangsoleil
Modérateur https://www.developpez.com
Le 27/05/2013 à 15:31
Citation Envoyé par MRick Voir le message
Un chercheur en sécurité
Tout le probleme est la : est-ce que cette personne est en premieur lieu chercheur en securite, ou bien anti-microsoft ? Ses propos ne laissent que peu d'ambiguite quant a la verite.


Enfin concernant Google, il faut reconnaitre qu'ils sont très rapides pour corriger les problèmes, ça s'est vu notamment depuis le concours "Pwn2own 2013", tous les éditeurs ont vu leur produits troués par les chercheurs en sécurité.
Ca fait partie des cotes "cool" que Google met en permanence en avant, notamment pour ameliorer son image : "Nous on est open, on fait meme des concours pour que vous trouviez des vulnerabilites sur nos produits, on ne vous poursuit pas (encore) si vous en trouvez une".
0  0 
Commenter Signaler un problème