|
|
Full Disclosure : Microsoft se fâche avec des chercheurs en sécurité La divulgation récente d'une faille de sécurité a agacé Microsoft. En effet, le chercheur ayant découvert la brèche n'aurait pas laissé suffisamment de temps au géant américain pour déployer un correctif. Or, la réaction emportée de la firme de Redmond n'a manifestement pas plu à d'autres spécialistes, qui ont décidé de monter un groupe qui divulguera systématiquement toutes les brèches repérées.
Par ailleurs, l'autre avantage du Full Disclosure est justement de pousser l'entreprise ou le particulier à corriger le problème. En effet, sans cette divulgation publique, il est certain que de nombreuses failles resteraient accessibles. Une philosophie qui est donc nettement à l'opposée de la "sécurité par l'obscurité", qui mise plutôt sur un flou perpétuel pour se protéger. Cependant, le Full Disclosure reste un sujet particulièrement sensible, surtout lorsqu'elle concerne une société très importante du monde informatique. C'est typiquement le cas de Microsoft, puisque ses systèmes d'exploitation et ses logiciels équipent une très grande majorité des ordinateurs de la planète. Dès lors, toute divulgation publique d'une faille non résolue peut rapidement devenir une véritable menace pour de nombreux utilisateurs à travers le monde. Alors, lorsqu'un spécialiste en sécurité informatique chez Google, Tavis Ormandy, a divulgué une faille de sécurité touchant le service "Aide et Support" des systèmes d'exploitation Windows XP et Windows Server 2003, la réaction du géant de Redmond a été particulièrement négative. Selon Mike Reavey, directeur du Microsoft Security Response Center (MSRC), l'informaticien n'a pas accordé suffisamment de temps à Microsoft pour résoudre le problème. "Le problème nous a été remonté le 5 juin 2010 par un chercheur en sécurité de Google, et ensuite il a été rendu public moins de quatre jours plus tard, le 9 juin 2010. La divulgation publique des détails de cette vulnérabilité et comment l'exploiter, sans nous donner le temps de résoudre le problème affectant potentiellement nos clients, rend plus probable des attaques contre des clients à risque" a-t-il déclaré. D'ailleurs, Microsoft affirme que la décision irréfléchie de Tavis Ormandy a conduit à l'attaque de plus de 10 000 postes informatiques, selon les statistiques fournies par la firme de Redmond. Selon Ars Technica, qui rapporte cette histoire, la réaction emportée de Microsoft a manifestement déplu à d'autres chercheurs spécialisés dans la sécurité informatique. En effet, ces derniers ont constitué un groupe, le Microsoft-Spurned Researcher Collective (un groupe moquant le MSRC de Microsoft), afin de dévoiler systématiquement toutes les brèches découvertes. à lire aussi
  Prix indiqués avec livraison
23
Commentaires à propos de «Full Disclosure : Microsoft se fâche avec des chercheurs en sécurité»
Répondre
Stabbquadd
le 09/07/2010 à 10:08
C'est sûr que quand on est habitué à mettre six mois à corriger une faille, quatre jours c'est chaud !
:
Commentaire sur Numerama.com
 Mouarf, bien fait pour leur g***le.
Bon, on peut toujours se demander si 4j c'est pas trop peu pour corriger une faille. Mais après, quand on voit toutes ces grosses boites qui préfèrent attaquer en justice ceux qui découvrent les failles plutot que de les corriger, on ne peut qu'encourager ce groupe qui vient de se créer. Mettre les grand éditeurs devant leurs responsabilités. Merci.  Il faut suivre l'exemple de ZATAZ.com qui laisse aux entreprises le temps de corriger les failles avant de les divulguer.
 Il n'y a qu'un chose à conclure de tout ça : avoir trop de machine sur le même système entraine des risques considérables.
" Cependant, le Full Disclosure reste un sujet particulièrement sensible, surtout lorsqu'elle concerne une société très importante du monde informatique. C'est typiquement le cas de Microsoft, puisque ses systèmes d'exploitation et ses logiciels équipent une très grande majorité des ordinateurs de la planète. " Rappelez vous, c'est exactement pour cela que la reproduction sexuée s'est développée.  4 jours était clairement trop peu.
Un mois serait le strict minimum, car faire des patchs non testé est bien souvent pire que le mal lui même pour une entreprise !  patos, le 09/07/2010 - 10:32 4 jours était clairement trop peu. Un mois serait le strict minimum, car faire des patchs non testé est bien souvent pire que le mal lui même pour une entreprise ! Je vais me faire l'avocat de Crosoft, on en train de parler d'une entreprise qui fait bcp pour améliorer la sécurité de ses systèmes. Trouver une faille d'en l'un de leur produit, les prévenir et rendre publique cette faille plus tard en qualité d'inventeur est une bone chose. Par contre laisser 4 jour à une boite comme celle là qui à plusieurs milliards de PC à mettre à jour dans le monde c'est un peu du foutage de gueule quand même.
deadalnix, le 09/07/2010 - 10:18
Rappelez vous, c'est exactement pour cela que la reproduction sexuée s'est développée.   En même temps, la fonction d'aide et support n'a pas à avoir de failles grosses comme celle-là.
Justement parce que 95% des gens utilisent Windows, la découverte et correction de failles devrait être extrêmement rapide, plus rapide que les signatures de virus chez les éditeurs d'antivirus. On ne peut pas représenter une telle dépendance au système en délayant les correctifs sous prétexte de "risques de stabilité ou compatibilité ascendante". Microsoft a encore beaucoup à apprendre du monde du logiciel libre, où librairie par librairie tous les systèmes sont renforcés dans les heures qui suivent la découverte d'une faille. Justement parce tout est si "intégré" on retrouve X fois la même librairie, en versions différentes avec leurs failles et tout, d'un programme à un autre. Protéger un pc entier contre une faille inhérente à une librairie relève de l'impossible. Par définition, Windows ne peut pas être sûr. /me va réexpliquer ce problème à sa banque, cet après-midi. zguvus, le 09/07/2010 - 10:40 patos, le 09/07/2010 - 10:32 4 jours était clairement trop peu. Un mois serait le strict minimum, car faire des patchs non testé est bien souvent pire que le mal lui même pour une entreprise ! Faut pas éxagérer, balancer un patch correctif ne se fait pas en 5 secondes. Moi je le fais, mais pour 2 ou 3 clients et pour peu de risques. Là ce n'est pas la même dimension !! Pourquoi ne pas simplement demander à Micro$oft le délai qui leur est nécessaire, quitte à râler publiquement si ils abusent ? Une faille divulguée par un hacker n'est pas forcément une mauvaise chose. En effet, rien ne prouve que un cracker ne l'avait pas trouvé avant sans en parler à personne.
 Stabbquadd, le 09/07/2010 - 10:08 C'est sûr que quand on est habitué à mettre six mois à corriger une faille, quatre jours c'est chaud !Microsoft a de telles prétentions en matière de sécurité que ça leur fait du bien de mettre un peu le nez dans leur caca. D'ailleurs, Microsoft affirme que la décision irréfléchie de Tavis Ormandy a conduit à l'attaque de plus de 10 000 postes informatiques, selon les statistiques fournies par la firme de Redmond.
Mais bien sûr. Ce n'est pas l'auteur de la faille le coupable, mais celui qui la révèle. Bravo, belle mentalité. Cher Microsoft, ne vous estimez pas heureux d'avoir affaire à des gens honnêtes. Surtout ne les remerciez pas et même poursuivez-les en justice si possible. Comme ça la prochaine fois, ils se contenterons de vendre leurs découvertes au plus offrant. La dessus je crois que tout le monde est du même avis capello, le seul soucis dans cette histoire c'est la façon avec laquelle à été divulguée cette vulnérabilité.
Je n'en reste pas moins admiratif des dev' qui ont le courage de se plonger dans cette forêt de code. /respect à eux. Ce que je voulais ajouter, c'est que si la faille est divulguée et non corrigée, on suffit souvent de couper une fonctionnalité du système et la vulnérabilité disparait. Ensuite, si la fonctionnalité manque, alors dès que le correctif arrive, on peut la réactiver. Alors que s'il n'y a pas de diffusion, on risque pas d'empêcher des attaques.
Dans le monde du logiciel libre il ni a pas ce type de problême est de dispute sur des histoire tarabiscotée type brevet car les sources sont connues de tous, donc si un trou est découvert pas besoin de faire appel a un avocat mais plus a un bon dev pour le boucher et publier le correctif.
Lorsque on propose un soft "fermé" il faut être en mesure de répondre un plus vite au trou de sécurité puisque c'est vous seul qui en avait la charge. Ms a choisi le modele "fermé" pour fournir ses produit si il n'est pas capable d'en assurer la charge il a cas en divulguer le code source, libre a lui de choisir. Je l'ai toujours écrit et continue de le réaffirmer : les failles doivent être divulguées IMMEDIATEMENT de manière à aider les administrateurs à prendre les mesures qui s'imposent sans attendre une quelconque réaction de l'éditeur.
Dans le cas contraire c'est laisser la porte grande ouverte à l'exploitation de cette faille par le côté obscur (qui n'a pas de raison de ne pas l'avoir découverte AVANT le chercheur du bon côté). Par ailleurs, cela force les éditeurs à revoir leur politique de développement car faille après faille cela ternit leur image. Sinon la vie serait un peu trop "cool" pour eux : laissons se développer les failles vu qu'il est interdit de les réveler ! db non mais de qui se moque-t-on? divulguer l'existence d'une faille si peu de temps après sa découverte c'est débile en plus d'être de l'inconscience pure!
c'est quoi le but? faire ch*er crosoft? parce que vous croyer réellement que ça rend service aux utilisateurs? ah ouais, taper sur crosoft, l'occasion était trop belle, c'est ça? exemple: hé Stabbquadd! tu as oublier de fermé ta porte à clé quand t'es parti ce matin! je te le dis à toi tout seul, comme ça je passe pour un mec sympa, et puis dans la minute qui suit avant que tu ais eu le temps de revenir, je le dis à tous les loubards du coin! alors vieux, qu'est-ce tu fous, t'es vraiment très lent à corriger ta faille hein! ben oui c'est ta faute si ta maison est vide maintenant, pas la mienne ni celle des cambrioleurs, tu as été tellement lent! La même chose (une faille révélée avant le patch) était arrivée pour Firefox et ils n'avaient pas apprécié. Je ne sais plus laquelle mais il me semble que c'était cette année ou au pire l'année dernière. Peut-être celle de Guido Landi, mais je suis pas sûr.
Quoi qu'il en soit, le blog de mozilla montre bien qu'eux aussi préfèrent le "responsible" au "full disclosure", et ça se comprend. The security module owner, peers, and other members of the Mozilla security bug group will not be asked to sign formal nondisclosure agreements or other legal paperwork. However we do expect members of the group :
- not to disclose security bug information to others who are not members of the Mozilla security bug group or are not otherwise involved in resolving the bug,[...] - not to post descriptions of exploits in public forums like newsgroups, and - to be careful in whom they add to the CC field of a bug (since all those CC'd on a security bug potentially have access to the complete bug report). We will ask all individuals and organizations reporting security bugs through Bugzilla to follow the voluntary guidelines below:
- Before making a security bug world-readable, please provide a few days notice to the Mozilla security bug group by sending email to the private security bug group mailing list. - Please try not to keep bugs in the security-sensitive category for an unreasonably long amount of time. - Please try to be understanding and accommodating if a Mozilla distributor has a legitimate need to keep a bug in the security-sensitive category for some reasonable additional time period, e.g., to get a new release distributed to users. (Regarding this point, if all Mozilla distributors have a representative on the security bug group, then even if a bug remains in the security-sensitive category all affected distributors can still be informed and take appropriate action.) source non mais de qui se moque-t-on? divulguer l'existence d'une faille si peu de temps après sa découverte c'est débile en plus d'être de l'inconscience pure!
Ce que tu oublies et que beaucoup de monde oublie, c'est la deuxième moitié de la phrase. En effet, la faille n'a pas été découverte il y a quelque jours... Elle a été découverte il y a quelque jours PAR LE CHERCHEUR EN SECURITE DE CHEZ GOOGLE !!! c'est quoi le but? faire ch*er crosoft? parce que vous croyer réellement que ça rend service aux utilisateurs? ah ouais, taper sur crosoft, l'occasion était trop belle, c'est ça? Rien ne nous dit qu'elle n'a pas déjà été découverte par un mec qui s'en sert ou qui la revend au marché noir. De même, les faille "pas encore découverte" le sont peut être déjà (par des personnes qui se gardent bien de le publier pour en profiter un maximum...) Si la faille venait juste d'être découverte (première personne qui la trouve) alors ok je dis qu'il faut attendre un peu pour la publier. Mais étant donné qu'on en sait rien, une semaine me semble le temps maximum qu'on peut attendre pour la publier, et 4 jours et tout à fait correct selon moi (pour faire un compromis). Enfin, 4 jours pour publier un correctif est déjà énorme pour moi, surtout quand on sait le nombre de victimes potentielles... Si il n'y parviennent pas, ils ont qu'à mettre plus de monde sur le coup... La faille peut couter très cher à certains de leurs clients et c'est un manque de respect de mettre du temps à la corriger (à quand les procès pour le manque de diligence dans la correction d'une faille ?? Un peu à la HADOPI... )
|
A LA UNE
LES + COMMENTÉS
  26 offres à partir de 188 €
 8 offres à partir de 309 €
Télécharger
dvb dream,
windows live messenger,
communication msn messenger,
bittorrent emule islande,
logiciel alcatel,
gratuit pour mac,
torrent,
msn messenger,
Accès rapide :
Lecteur audio et vidéo |
Graver ou numériser |
Communication |
Encoder ou convertir |
Personnalisation |
Diagnostic |
eMule (et mods eMule) |
|
Faut-il divulguer les failles de sécurité informatique repérées par les chercheurs en informatique ? À cette question, il y a bien évidemment les 
