IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Windows 8 : Vupen refuse de donner ses failles 0-days à des « multi-milliardaires »
Comme Microsoft, le français préfère les vendre

Le , par Gordon Fowler

27PARTAGES

11  2 
Fin octobre, Vupen avait affirmé par la voix de son PDG - Chaouki BEKRAR - avoir découvert plusieurs failles dans Internet Explorer 10 qui permettaient de corrompre Windows 8. Et ce malgré les avancés du système de sécurité du nouvel OS.

La société basée à Montpellier n’a donné depuis aucune information sur son exploit (au sens informatique du terme). Elle a, en revanche, immédiatement fait savoir que les détails de l’attaque étaient à vendre.

Une décision – traditionnelle pour Vupen – que certains ont qualifié de « Grey Hat ». Autrement dit, entre les White Hat, qui œuvrent pour la sécurité du plus grand nombre, et les Black Hat, qui cherchent à tirer profit des systèmes en les piratant. C’est ce que regrette par exemple Jani Kallio, expert chez Luottokunta, le premier fournisseur de services de paiements finlandais.

D’après le dossier de L’Expansion de cette semaine qui fait un point sur la stratégie numérique française, la revente de ce type de découvertes peut dépasser les 150.000 €. C’est le prix qu’auraient payé des services de l'Etat français pour acquérir les détails d'un autre exploit qui s'appuie lui aussi sur des failles 0-days.

Rappelons qu’une faille 0-day n’est pas une « faille méconnue », comme l’écrit le magazine, mais une faille jusqu’ici inconnue et non patchée. Un 0-Day est par définition connu (ne serait-ce que par son découvreur) et documenté (ce qui fait sa dangerosité) mais pas encore divulgué (ou à un petit nombre) ni corrigé.

De son côté, Microsoft invite les hackers à participer à son programme maison (Coordinated Vulnerability Disclosure) et regrette donc en termes diplomatiques que Vupen œuvre de son côté, en monétisant ses découvertes, sans communiquer avec lui pour améliorer la sécurité de ses outils.

Un appel qui ne semble pas émouvoir Chaouki BEKRAR.


Chaouki BEKRAR, PDG de Vupen

Au contraire. Le hacker vient de féliciter sur Tweeter un de ses confrères qui a décidé d'adopter la même stratégie. « Content de voir qu’une start-up spécialisée dans la recherche trouve des 0-Days et refuse de livrer leur travail gratuitement à des fournisseurs multimilliardaires. Bienvenu au club », écrit-il.

Plusieurs analystes commencent néanmoins à poser la question de la légalité d'un tel commerce.

En attendant, les failles de Vupen - dont on ne sait rien - sur Windows 8 et son navigateur Internet Explorer 10 sont bel et bien à vendre au plus offrant. Tant pis pour ceux qui n'ont pas les moyens ?

Et vous ?

Pensez-vous que Vupen ait raison de ne pas communiquer ses travaux aux éditeurs ?
Ou considérez-vous que cela fait de ces chercheurs des « Grey Hat » ?

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de kolodz
Modérateur https://www.developpez.com
Le 25/11/2012 à 21:43
@alex_vino : On parle ici principalement de la rémunération des entreprises travaillant dans la sécurité informatique.

Pour rappel un fail 0-days, ne se trouve pas tout les jours et nécessite des ressources pour être trouver et documenté.

Que Microsoft n'accepte pas leur "tarif de vente" est une chose et est leur droit de demander davantage, mais alors qu'ils gardent leur faille pour eux.
Pour le moment, très peu de personne accepte d'acheter ce type d'information. En effet, on considère que ces informations doivent être donner à titre gracieux pour la sécurité des utilisateurs.
Ce qu'on oublie c'est que cette sécurité est la responsabilité du producteur / distributeur. C'est à eux de faire l'investissement pour protéger leur produit pour leur client.
D'ailleurs certains sociétés et fondations propose déjà une rémunération pour ce genre d'information :

http://www.mozilla.org/security/bug-bounty.html
http://www.google.com/about/appsecur...eward-program/
http://www.facebook.com/whitehat/bounty/

Pour rappel, Microsoft comme d'autre compagnie vends des licences où il assure le support et la sécurité. Si il y a un problème de sécurité (ou autre), alors leur clients exigent un dédommagement...

Donc considérer qu'une faille découverte sur un logiciel Microsoft ne peut-être acheter que par Microsoft, qui ne veux pas les acheter n'est une bonne approche.

Dès banques et des états qui utilisent des logiciels Microsoft sont potentiellement de très bon client pour ce genre d'information. Eux accepteront de payer. Et demanderont poliment à Microsoft de les rembourser, lors de leur prochain achat de licence.

Pensez-vous que Vupen a raison a de ne pas communiquer ses travaux aux éditeurs ?
Vupen pense à l'avenir de sa boite, la vente de cette faille peut assurer la survie de sa boite pour plusieurs années.

Ou considérez-vous que fait de ses chercheurs des « Grey Hat » ?
Non, c'est certes demander quelque chose que peu de personnes demande.

Pour rappel, le coût de développement de windows 8 est inférieur au budget marketing. Vous pensez sérieusement que Microsoft ne devrait pas dédommager les personnes qui s'occupent de la sécurité de leurs logiciel ?

Surtout qu'aujourd'hui en France un défaut de sécurité de sa connexion internet est un délit... (Si troll que ça ?)

Plusieurs analystes commencent néanmoins à poser la question de la légalité d'un tel commerce.
Si on demande demande aux mêmes que pour SOPA/PIPA et HADOPI. Cela le deviendra pour une certains catégorie de la population/société.

Cordialement,
Patrick Kolodziejczyk.
20  6 
Avatar de Tryph
Membre émérite https://www.developpez.com
Le 26/11/2012 à 10:56
morale de l'histoire:
microsoft ferait bien de tondre sa pelouse avant de sortir ses Windows
12  2 
Avatar de Tryph
Membre émérite https://www.developpez.com
Le 26/11/2012 à 10:22
ce gars n'a pas complètement tort.

Microsoft fait assez d'argent avec ses différentes version de Windows, et c'est Microsoft qui devrait faire de travail de sécurisation.

Hors, comme on dit chez nous: "tout travail mérite salaire".
et faut pas prendre Microsoft pour une pauvre boite sans ressource aussi, ils ont largement de quoi rémunérer les découvertes de failles.

Alors on peut déplorer le fait que le gars envisage de vendre sa faille au plus offrant, mais on ne peut pas lui reprocher de ne pas livrer son travail gratuitement a une boite qui brasse des milliards de dollars.
10  1 
Avatar de fregolo52
Expert confirmé https://www.developpez.com
Le 26/11/2012 à 8:46
Citation Envoyé par erwanlb Voir le message
Si cela coûte des ressources et qu'ils veulent être dédommagés à hauteur de leur boulot, 2 choix très simples :

- Bosser pour Microsoft
- Ne pas chercher ces failles, cela ne leur coûtera rien !

Encore une fois le domaine informatique se démarque par sa relative virtualisation...imaginez qu'une société dise, j'ai trouvé une faille dans votre voiture, vous risquez d'avoir un accident si vous ne me payez pas....j'ai trouvé une faille dans votre tv, elle risque d'exploser à tout moment, payez moi....etc...
Dans ce cas, pourquoi Kapersky ne nous donne pas gratuitement une solution complètement gratuite ?

Donc, on doit payer un éditeur (antivirus & co) pour qu'on se protège, mais les éditeurs, eux, ne devraient pas payer pour mieux sécuriser leurs solutions ?

Le cas de Chaouki BEKRAR est peut-être un peu différent, vu qu'il menace de divulguer la faille s'il n'est pas payé.

Citation Envoyé par epsilowne Voir le message
+1 Linux
Rootkit est un terme à la mode aussi sous Linux.
9  1 
Avatar de Tryph
Membre émérite https://www.developpez.com
Le 26/11/2012 à 12:03
Citation Envoyé par alex_vino Voir le message
C'est peut-etre une des raison pour lesquelles aujourd'hui en France on n'a pas d'entreprise internationale dans les technologies grand public. Faut peut-etre arreter de raisonner de la sorte, si je bosse tous les soirs et que mon employeur ne me rémunere alors que ma productivité est largement améliorée, je ne m'en plaind pas card'une mon employeur ne m'a rien demandé et de deux je fais cela comme un investissement sur ma carriere. Eh oui, l'investissement rapporte bien plus que vivre au jour J.
c'est bien, je te souhaite bien de la réussite.
sache malgré tout qu'il est possible que tu sois viré comme un mal-popre au prochain plan social malgré ton aimable et altruiste investissement.

j'ai fait ça aussi au début... et puis vu les résultats en terme de reconnaissance, je me suis dit que j'allais arrêter de bosser gratuitement.

en tout cas je te remercie bien chaleureusement, au nom de la France entière, pour ton investissement personnel pour le bien de la communauté

Citation Envoyé par alex_vino Voir le message

Contrairement a Vupen, apres tout ils ne veulent pas vendre a Microsoft alors pourquoi parles tu des ressources de Microsoft dans le cas présent.
il est écrit nulle part que Vupen refuse de vendre à Microsoft. il est juste écrit qu'ils ne prennent pas part au "programme maison" de Microsoft...
mais si t'as des infos plus précises à nous communiquer au sujet du refus de Vupen de traiter avec Microsoft, je veux bien les sources.
8  0 
Avatar de Nathanael Marchand
Rédacteur https://www.developpez.com
Le 26/11/2012 à 13:19
Citation Envoyé par transgohan Voir le message
Je répondais à Nathanael Marchand, ma réponse était pour lui et l'histoire de débroussaillage de terrain, rien à voir avec Windows.
Mon "Oui mais la" concernait cette actualité
Ici rien n'oblige légalement Microsoft a chercher les failles dans ses OS et si il voulait le faire il aurait le choix du prestataire. C'est trop simple de faire le boulot d'abord et de négocier le tarif après, ca fait un peu chantage... (Surtout quand on a aucune preuve du travail effectué)
7  0 
Avatar de Tryph
Membre émérite https://www.developpez.com
Le 26/11/2012 à 17:12
Citation Envoyé par alex_vino Voir le message

PS: J'ai trouver un effet secondaire mortel qui peux surgir n'importe quand pour tous les consommateurs d'aspirine. Vais-je vendre la formule pour corriger le remede et sauver des centaines de millions de personnes ou vais-je le vendre a une organisation/gouvernement qui va s'en servir comme arme?
Quand je parle de banque certains ne comprennent pas, peut-etre qu'en parlant de choses vitales on arrivera enfin a comparer ce qui se passe dans les technologies avec le "monde reel". Et oui, exploiter une faille dans un OS sur une tres grande quantite d'utilisateurs crees aussi de grandes consequences a toute echelle (utilisateur qui perd toutes ses donnees et se fait derober toutes ses informations confidentielles, un couple qui se cacherait des choses, une entreprise qui se fait voler ses travaux et strategies, un pays...). Et oui, comme tu le dis si bien Bienvenue sur Terre.
en gros t'es en train de nous dire que toute entreprise qui peut sauver des vies doit le faire gratuitement. et bien ça arrive pas souvent, mais je suis entièrement d'accord avec toi

les entreprises pharmaceutiques devraient distribuer gratuitement les médicaments qu'ils fabriquent au personnes malades qui ne peuvent se payer de traitement.
Monsanto (entre autres) devrait offrir des tonnes de ses semences de céréales aux pays qui souffrent de mal/sous-nutrition.
ces gens sont dans le besoin, il est de notre devoir à tous de faire quelque chose pour eux sans demander de contrepartie.

mais en l’occurrence, le fait d'offrir gracieusement la découverte de cette faille à MS ne sauvera personne.
et puis MS n'est pas dans le besoin...
et puis au pire du pire il se passera quoi? des gens qui étalent leur vie sur facebook se feront "voler" les données qu'ils affichent partout. des pubs apparaitront intempestivement sur nos chers écrans. l'ordinateur ne voudra plus démarrer et je devrais le formater ou (horreur) l'emmener chez le réparateur !!!

non vraiment, je crois qu'il faut arrêter de s'enflammer sur les exemples et les analogies qui deviennent de plus en plus ridicules.
si vous voulez vous offusquer, vous indigner ou crier à l'injustice ou à l'immoralité, je suis persuadé que vous pouvez trouver des causes bien plus nobles que la défense d'une boite qui n'a pas tout à fait bien travaillé.

et puis en l'occurrence, je crois pas que Vupen aie mis une annonce sur leboncoindesterroristes.com pour vendre sa découverte à un "barbu kamikaze qui veut exterminer ces infidèles d'occidentaux".
moi j'ai compris qu'il vend juste la faille à ses clients pour qu'ils puissent agir de leur coté pour se protéger.
8  1 
Avatar de Tryph
Membre émérite https://www.developpez.com
Le 26/11/2012 à 17:43
Citation Envoyé par alex_vino Voir le message
Oui parce que toi tu fais dire des choses que je n'ai pas dit et manque d'arguments (je ne comprend pas ta réaction pour une petite erreur humaine faite par des collegues, mais bon j'imagine que tu développes tous les jours des OS avec 0 failles).
bah en fait je suis sérieux quand je dis que les entreprises qui peuvent sauver des vies devraient le faire gratuitement.

ce qui m'insupporte, c'est votre façon à toi et erwanlb de faire dans le melodrame "fin du monde".
- l'un qui fantasme sur les soit disant "miliards" que Vupen demanderait à MS (vous avez vu ça ou sérieusement?).
- l'autre qui compare l'offre gracieuse d'une procédure pour exploiter une faille à une multinationale multimilliardaire au fait de sauver des centaines de millions de vies.

ça me fait penser à ces gens qui se disent "pris en otage" à la moindre grève, j'ai presque envie de les enfermer dans une cave avec un flingue sur la tempe pendant quelques mois pour leur apprendre a être plus mesurés et leur passer l'envie de s'auto-victimiser. moi c'est ce genre de comportement que j'arrive pas à comprendre...

sinon... bah non, je ne développe pas d'OS 0-faille tous les jours.
mais quand un collègue vient me voir en me disant que ce que j'ai fait ne marche pas, je demande pas à ce qu'on vienne tout m'expliquer gratuitement. et si par bonheur un collègue me dépatouille sur un sujet sur lequel je suis largué, je lui rend à un moment ou un autre, d'une façon ou d'une autre. je me contente pas de croire que tout m'est du parce que mon travail sera utilisé par d'autres.

oui, faire une erreur peut arriver à tout le monde. non, ce n'est pas une raison pour prétendre à une aide gratuite.

EDIT pour le commentaire du dessous:
- le paragraphe sur les grèves est juste là pour illustrer ce comportement de plus en plus répandu qui consiste à faire d'un gravier une montagne. ce trait qui consiste à grossir des évènements insignifiants en les comparant à des désastres ou des scandales pour leur associer une connotation horrible alors qu'ils ne sont des évènements banales et à la gravité toute relative.
- j'habite près du centre de Lyon, je prends le métro 2 fois par jours sur une distance de 8km pour aller au boulot et en revenir et quand il y a une grève, je me sens pas pris en otage. quand ça arrive, je peux encore sortir de chez moi, je suis libre de prendre mon vélo, de prendre un taxi, d'arriver en retard et de repartir plus tard le soir, de poser un jour de congé selon mon humeur... les gens qui font grève le font en général pour de bonnes raison et pas par simple plaisir. des travailleurs qui défendent leurs conditions de travail, ça ne me gène pas du tout.
bref, une grève n'a rien à voir avec une prise d'otage. pour rappel, les otages sont des gens qui sont privés de leur liberté, qui craignent bien souvent pour leur vie, et cela pendant des semaines, des mois et parfois des années. certains même en meurent... quel rapport avec une grève?
- Vuspen ne fait aucun chantage, il refuse juste d'offrir son travail gratuitement. encore une façon de réinterpréter (malhonnêtement) les faits pour les faire paraitre scandaleux (voir ci-dessus).
8  1 
Avatar de GruntZ
Membre régulier https://www.developpez.com
Le 28/11/2012 à 8:46
Je ne sais pas ce qui est le plus "moralement discutable" :
- Vouloir faire payer à Microsoft pour un travail de déverminage qui aurait du être réalisé par ses équipes,
- Regarder Microsoft dépenser plusieurs millions d'Euros par an en lobbying auprès des députés européens pour faire voter des lois qui l'arrangent, en frais d'avocat pour défendre son business, ou en frais de marketing pour faire accepter un OS vendu de force avec les machines.

Vupen n'agirait peut être pas de la même façon s'il découvrait une faille dans Firefox ...
8  1 
Avatar de erwanlb
Inactif https://www.developpez.com
Le 26/11/2012 à 9:36
Citation Envoyé par fregolo52 Voir le message
Dans ce cas, pourquoi Kapersky ne nous donne pas gratuitement une solution complètement gratuite ?

Donc, on doit payer un éditeur (antivirus & co) pour qu'on se protège, mais les éditeurs, eux, ne devraient pas payer pour mieux sécuriser leurs solutions ?

Le cas de Chaouki BEKRAR est peut-être un peu différent, vu qu'il menace de divulguer la faille s'il n'est pas payé.

Rootkit est un terme à la mode aussi sous Linux.
L'intêret de Vupen n'est pas que le produit soit sécurisé, au contraire....
7  1