Windows 7 et 8.x : Google dévoile de nouveau les détails d'une faille non corrigée

Windows 7 et 8.x : Google dévoile de nouveau les détails d’une faille non corrigée

Je t'aime, moi non plus

Avatar de l'auteur
Sébastien Gavois

Publié dans

Internet

19/01/2015 3 minutes
335

Windows 7 et 8.x : Google dévoile de nouveau les détails d'une faille non corrigée

L'histoire se répète ces temps-ci : Google vient de dévoiler les détails d'une faille débusquée dans Windows 7 et 8.1, mais pas encore corrigée par Microsoft. Le problème se situe dans la fonction CryptProtectMemory qui, comme son nom l'indique, permet de chiffrer la mémoire.

Il y a quelques jours à peine, Microsoft fustigeait Google pour avoir dévoilé publiquement les détails d'une faille qui pouvait conduire à une élévation des privilèges et dont le correctif sortait deux jours plus tard. Cette semaine, rebelote avec la mise en ligne des détails d'une faille sur la fonction CryptProtectMemory qui s'occupe de chiffrer les données de la mémoire, notamment lors de l'échange d'informations entre deux processus.

Quand la fonction CryptProtectMemory fait parler d'elle

Le fond du problème est lié à l'implémentation de cette fonction dans CNG.sys qui ne vérifie pas correctement le niveau d'accréditation d'un utilisateur, ce qui pourrait conduire à une augmentation de privilège et à l'accès aux informations stockées en mémoire. Notez que cela concerne à la fois Windows 7 et 8.1 en versions 32 et 64 bits.

Google a identifié cette faille le 17 octobre 2014. Le chercheur à l'origine de cette découverte indique que, le 29 octobre, Microsoft aurait confirmé l'existence de ce problème et aurait réussi à la reproduire. La société de Mountain View a mis en ligne un petit fichier permettant de tester la présence de cette faille de sécurité. Le 14 janvier, Google demandait des nouvelles à Microsoft, précisant que la faille serait quoi qu'il en soit rendue publique le lendemain. Microsoft aurait alors informé Google qu'un correctif était prévu pour la mise à jour de Windows déployée en janvier, mais qu'elle avait été repoussée à cause d'« un problème de compatibilité », sans plus de précision. Elle devrait néanmoins faire partie du lot de correctifs de février.

Un correctif décalé de janvier à février, mais en attendant...

Mais, comme ce fut le cas il y a quelques jours, Google n'a pas changé son fusil d'épaule et, 90 jours après sa découverte, la faille a donc été rendue publique, qu'elle soit ou non corrigé n'entrant pas en ligne de compte pour le géant du web. Cela ne devrait évidemment pas être du goût de Microsoft, tout comme de celui des utilisateurs qui devront vraisemblablement attendre encore un mois avant que la brèche ne soit bouchée, sauf changement de dernière minute.

Certains blâmeront Google de rendre publique une faille de sécurité sans qu'elle ne soit corrigée et sans proposer de solution de contournement, tandis que d'autres fustigeront Microsoft de mettre plus de trois mois à corriger une faille. Dans tous les cas, il faudra trouver une solution, d'autant plus que les cas ont tendance à se multiplier ces dernières semaines.

 

Écrit par Sébastien Gavois

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Quand la fonction CryptProtectMemory fait parler d'elle

Un correctif décalé de janvier à février, mais en attendant...

Commentaires (335)


Un beau foutage de gueule quand eux-mêmes refusent de corriger des failles critiques sous Android.


Et au final se sont les utilisateurs qui trinquent.

<img data-src=" /> aux 2!


Lol google.


T’as des exemples ?


Franchement … quel est l’intérêt de Google de faire ça ?


Sinon, c’est quand qu’ils corrigent leur faille de sécurité sur Android qui va toucher des millions de personnes ?


Qu’une faille sur un composant de bas niveau comme cela prenne plus de trois mois à être corrigée n’a rien d’étonnant…

Google est une bande de guignols qui a envie de pousser ses minitels chromebooks par tous les moyens même les plus evil. S’ils espèrent passer pour des gens sérieux auprès des pros avec ça…








DDReaper a écrit :



Sinon, c’est quand qu’ils corrigent leur faille de sécurité sur Android qui va toucher des millions de personnes ?





Quand microsoft ou autres auront déclaré publiquement les failles avec tous ce qu’il faut pour taper dessus



<img data-src=" />



Microsoft chiffre la mémoire ?



Visiblement, ils ont des choses à cacher <img data-src=" />








FRANCKYIV a écrit :



Franchement … quel est l’intérêt de Google de faire ça ?





De faire en sorte ques les failles soient corrigées car si Google l’a trouvé, d’autres la trouveront. Plus de 3 mois pour corriger une faille, c’est n’importe quoi.



La même chose que chaque nuit, Minus. Tenter de conquérir le monde ! <img data-src=" />



Sinon d’accord pour publier les détails de failles, mais avant leur correction c’est vraiment mesquin…


http://www.zone-numerique.com/android-4-3-une-faille-qui-ne-sera-pas-corrigee-par-google.html



Et la méthode de Google pour se laver les mains c’est “ben c’est pas de notre faute, c’est les constructeurs qui mettent pas à jour vers 4.4”. (j’ai pas poussé plus loin mais ça doit pas être la seule).


guéguerre stupide gogol vs grosoft


Il faut faire appelle à Chuck Norris, les failles de sécurités fuient devant Chuck Norris ! <img data-src=" />








Ksass`Peuk a écrit :



http://www.zone-numerique.com/android-4-3-une-faille-qui-ne-sera-pas-corrigee-par-google.html



Et la méthode de Google pour se laver les mains c’est “ben c’est pas de notre faute, c’est les constructeurs qui mettent pas à jour vers 4.4”. (j’ai pas poussé plus loin mais ça doit pas être la seule).





Ouai support de 2 ans sur les anciennes versions d’android. Les constructeurs avaient tout le temps de passer kitkat.



&lt;troll&gt;Normal que ca prenne du temps, faut laisser le temps a la NSA d’ouvrir une autre faille si on bouche celle-ci.&lt;/troll&gt;



C’est peut être pas plus mal, si cela n’avait pas ete public, la faille serait reste ouverte combien de temps ???? ET pour le coup, les “clients” seraient en danger, car les “exploitants” de cette failles eux sont déjà surement au courant depuis longtemps.&nbsp; La ils vont etre force de la corriger….

&nbsp;


Ça leur fait de la “pub”.

Déjà ça met en avant l’efficacité de leur équipe de chercheurs en sécurité (regardez on trouve plein de vuln) et ça leur donne un côté “rebelle” (regardez, on va forcer les méchantes entreprise à corriger leur vulns le plus vite possible en les publiant).



Autant publier une vulnérabilité 2 jours avant le patch tuesday, je trouve ça très con, autant là… ça me choque pas énormément.

3 mois sont déjà passés et s’il faut attendre un 4e pour que les vulns soient corrigées, ça commence à faire long.








flagos_ a écrit :



De faire en sorte ques les failles soient corrigées car si Google l’a trouvé, d’autres la trouveront. Plus de 3 mois pour corriger une faille, c’est n’importe quoi.



&nbsp;



T’es spécialiste en dev bas-niveau pour dire ça ?









fr1g0 a écrit :



guéguerre stupide gogol vs grosoft





Guerre intelligente. On sait très bien que si la faille n’est pas publiée à un moment donné, les éditeurs ne s’emmerderaient pas à patcher la faille.



Un moment donné, il faut une deadline: 3 mois c’est pas aberrant. Sur linux, en général, c’set quelques jours pour patcher une faille.



Euuu… corriger une vulnérabilité sur Windows c’est pas aussi simple et rapide que faire disparaître un bug sur un site web.








flagos_ a écrit :



De faire en sorte ques les failles soient corrigées car si Google l’a trouvé, d’autres la trouveront. Plus de 3 mois pour corriger une faille, c’est n’importe quoi.







Je voulais plus dire : “quel est l’intérêt de noter les failles publiquement sur Internet ?”



Edit :

D’ailleurs, c’est bien légal de faire ça ?



<img data-src=" /> pour la photo !


Quand je pense qu’on a entendu les gens gueuler suite à l’arrêt des corrections des failles sur XP qui a plus de 10 ans,&nbsp;alors que l’autre géant laisse tomber ses versions 2 ans après… <img data-src=" />








Jed08 a écrit :



Euuu… corriger une vulnérabilité sur Windows c’est pas aussi simple et rapide que faire disparaître un bug sur un site web.





Pourtant, les failles sont rapidement comblées sur les distrib style debian, alors que le système est certainement plus complexe (car couvrant l’OS+ pas mal de software comme apache).



oui sur que ça doit être simple à corriger



Pour certaines ok pour d autres ….



&nbsp;








shadowfox a écrit :



Quand je pense qu’on a entendu les gens gueuler suite à l’arrêt des corrections des failles sur XP qui a plus de 10 ans,&nbsp;alors que l’autre géant laisse tomber ses versions 2 ans après… <img data-src=" />





Des smartphones mecs. Et puis rien n’empeche de les mettre a jour ces smartphones.



Chez Google on dirait qu’ils ne savent pas comment marche la gestion de projet informatique…

3 mois pour corriger une faille de ce type sur un OS, ça me parait limite impossible sans risquer de foutre en l’air des tonnes de trucs à côté.



Après MS n’est pas forcément clean non plus, mais la moindre des choses serait de se mettre d’accord sur une date de correction, puis si la date est dépassée balancer le truc publiquement. Car la solution arbitraire me semble un peu radicale.


Quel est l’intérêt de dénoncer publiquement les corruptions des politiciens ?








FRANCKYIV a écrit :



Je voulais plus dire : “quel est l’intérêt de noter les failles publiquement sur Internet ?”



Edit :

D’ailleurs, c’est bien légal de faire ça ?





Ce qui est illégal, c’est de l’exploiter sur des machines qui ne t’appartiennent pas. Rien n’interdit de les chercher, de les tester chez toi et de les publier.



Peut etre que MS n’a plus de PQ pour bouché les failles !








flagos_ a écrit :



De faire en sorte ques les failles soient corrigées car si Google l’a trouvé, d’autres la trouveront. Plus de 3 mois pour corriger une faille, c’est n’importe quoi.





Tu n’a aucune idée de l’étendue de la faille dans le code donc je vois pas comment tu peux juger de la facilité ou non de la correction d’une faille, c’est la même chose pour Google d’ailleurs. La seul chose qu’ils font en faisant ca c’est prévenir les hackers, en fournissant en plus du sample de code.

Si je ne m’abuse pour la première faille, Microsoft avait demandé à google de reporté de deux jours la publication de la faille (puisque le patch allait être déployé après ces deux jours) et ils ont refusés.



Ah oui comment ? (ne pas répondre cyano machin truc rom bidule chose)








AeRoX a écrit :



Chez Google on dirait qu’ils ne savent pas comment marche la gestion de projet informatique…

3 mois pour corriger une faille de ce type sur un OS, ça me parait limite impossible sans risquer de foutre en l’air des tonnes de trucs à côté.



Après MS n’est pas forcément clean non plus, mais la moindre des choses serait de se mettre d’accord sur une date de correction, puis si la date est dépassée balancer le truc publiquement. Car la solution arbitraire me semble un peu radicale.





Cette politique est la même pour tout le monde. elle ne pose de problème a personne. Que ce soit Apple, les mecs de chez Linux, Chrome OS, Android, Blackberry… tout le monde s’accomode de cette manière de fonctionner.



Sauf MS, qui comme d’habitude, passe son temps a chouiner contre Google dans les médias. Pathétique.









flagos_ a écrit :



Ouai support de 2 ans sur les anciennes versions d’android. Les constructeurs avaient tout le temps de passer kitkat.





L’age de Win 7 c’est quoi ?&nbsp;









trash54 a écrit :



Ah oui comment ? (ne pas répondre cyano machin truc rom bidule chose)





Les contructeurs sont responsables de la non mise a jour. L’utilisateur est coincé, clairement.









misterB a écrit :



L’age de Win 7 c’est quoi ?&nbsp;





C’est la version N-1.









flagos_ a écrit :



Des smartphones mecs. Et puis rien n’empeche de les mettre a jour ces smartphones.





J’espère que tu mettrais autant de vigueur à défendre Microsoft si il annonçait que pour obtenir des patch de sécurité il faudrait dorénavant demander à HP, Lenovo, Asus…









flagos_ a écrit :



C’est la version N-1.





Non la version N-1 actuellement c’est Windows 8.0, certains pourrait même dire que c’est 8.1 si on considère qu’actuellement on est sur 8.1 Update.









flagos_ a écrit :



Pourtant, les failles sont rapidement comblées sur les distrib style debian, alors que le système est certainement plus complexe (car couvrant l’OS+ pas mal de software comme apache).





J’ai du mal à voir le rapport là. Si une vulnérabilité touche l’OS je vois pas en quoi le fait que apache soit installé dessus change quelque chose.



Après, la grande force du libre sur le proprio, c’est le nombre de collaborateurs présent pour créer un patch. Ca augmente l’efficacité, il faut pas le nier.



Je ne vois pas la différence entre un ordinateur et un smartphone si ce n’est que le smartphone est un ordi embarqué. Il fonctionne sur le même principe.



De plus le verrouillage de l’os par les constructeurs empêche la mise à jour sauf autorisation du constructeur. (flash du bios, root et cie ne rentrent pas dans les solutions standards)








DDReaper a écrit :



J’espère que tu mettrais autant de vigueur à défendre Microsoft si il annonçait que pour obtenir des patch de sécurité il faudrait dorénavant demander à HP, Lenovo, Asus…





Facile celle la. Android est open-source. L’Android que tu as dans ton smartphone est celui de HTC, sony, samsung etc… Google n’intervient pas (sauf pour les play services), il ne fait qu’entretenir des repo git.









DDReaper a écrit :



Non la version N-1 actuellement c’est Windows 8.0, certains pourrait même dire que c’est 8.1 si on considère qu’actuellement on est sur 8.1 Update.





Ils se la jouent à la Tekken niveau nommage chez MS maintenant?



mode Madame Irma Dernière version avant Windows 10 : Windows 8.1 Update + plus Ultimate X racer ++. /mode Madame Irma









Jed08 a écrit :



J’ai du mal à voir le rapport là. Si une vulnérabilité touche l’OS je vois pas en quoi le fait que apache soit installé dessus change quelque chose.



Après, la grande force du libre sur le proprio, c’est le nombre de collaborateurs présent pour créer un patch. Ca augmente l’efficacité, il faut pas le nier.





Les failles peuvent intervenir sur des softs comme apache ou openssh. Les distrib maintiennent également ces logiciels, là où MS en maintient moins.&nbsp;



Je trouve que c’est ms qui chie dans la colle.



Ils ont une politique de mise a jour qui ne correspond pas à ce qu’on est censé attendre d’une boite d’informatique de ce niveau la.



Le premier mardi du mois, c’est peut-être pratique pour eux mais, dans des cas comme celui-ci, on voit très bien les limites du système…


Les distributions font de l’intégration en très large majorité, pas de la correction de faille.



Corriger une faille, c’est autre chose qu’intégrer un patch. D’abord faut trouver pourquoi la faille existe, il faut voir si c’est une erreur dans les specs ou si c’est une erreur dans le code. Il faut trouver comment faire la correction, l’effectuer, et voir si elle n’introduit pas de nouveaux comportements tordus en rejouant les tests avec un certain nombre de configurations. Alors sur un OS qui doit être de l’ordre de 80 millions de lignes aujourd’hui (au pifomètre par rapport à l’accroissement de ce genre de système, et du fait que 7 c’était environ 70 millions de lignes) c’est pas franchement de la tarte.


Je sais pas si tu es dev, mais si c’est le cas, tu devrai savoir que ce qui prend le plus de temps n’est pas la correction de faille, mais plus les tests de non régression, pour un programme pas trop complexe ça peut déjà prendre un certain temps, alors sur un os (quel qu’il soit, d’ailleur si tu penses que c’est plus court sur les autres, c’est une erreur, c’est juste que certain test sont déportés)…


Si la faille était importante et que le patch était prêt il ferait un hotfix. la c’est pas le cas.








Himurai a écrit :



Je trouve que c’est ms qui chie dans la colle.



Ils ont une politique de mise a jour qui ne correspond pas à ce qu’on est censé attendre d’une boite d’informatique de ce niveau la.



Le premier mardi du mois, c’est peut-être pratique pour eux mais, dans des cas comme celui-ci, on voit très bien les limites du système…





C’est le fond du problème. MS ne publie ses patchs qu’une fois par mois, le premier mardi. Il parait que ca fatigue trop les admins en entreprise si ca arrive plus rapidement.



Au final, ca rajoute masse de latence dans le pipe, et les patchs de securité peuvent rester longtemps bloqué avant d’être déployés… juste pour pas ennuyer quelques admins fatigués par nature.



par exemple.

Dans ce cas précis (de la news), Google se défend aussi en disant qu’il vaut mieux que les utilisateurs soient au courant de la faille, pour essayer de s’en protéger. Leur point de vue, c’est que s’ils l’ont trouvée, d’autres la trouveront aussi, et autant que les gens le sachent. Pas complètement débile non plus, ca se discute..


Bah pour le coup je trouve que Google outrepasse clairement “ses droits”.

Balancer des failles de sécurité comme ça sur le net, c’est sûr que c’est top pour les utilisateurs. A part aider les hackeurs à exploiter ces failles , je vois pas trop l’intérêt pour l’utilisateur lambda.&nbsp;

A la limite un communiqué disant “on a découvert une faille sur tel composant et MS ne l’a pas corrigé en 3 mois”, pourquoi pas (même si ça donnerait surement déjà suffisamment d’infos à un mec qui voudrait exploiter le truc), mais balancer tous les détails…



Après ça force MS ou autre à corriger, mais y a probablement des solutions moins risquées pour l’utilisateur de base.

Au final le plus emmerdé dans l’histoire, ça sera encore une fois l’utilisateur le jour où Google publiera une faille critique qui sera exploitée à grande échelle. Et Google fera le beau en disant “on les avait prévenu”.

Parenthèse à part : je serais assez curieux de savoir si toutes les failles sur leurs OS sont corrigées en moins de 3 mois d’ailleurs. Vu qu’ils diffusent eux mêmes les infos et que (à ma connaissance) personne d’autre ne le fait, de leur côté c’est facile d’être toujours à l’heure sur les corrections.








DDReaper a écrit :



Tu n’a aucune idée de l’étendue de la faille dans le code donc je vois pas comment tu peux juger de la facilité ou non de la correction d’une faille, c’est la même chose pour Google d’ailleurs. La seul chose qu’ils font en faisant ca c’est prévenir les hackers, en fournissant en plus du sample de code.

Si je ne m’abuse pour la première faille, Microsoft avait demandé à google de reporté de deux jours la publication de la faille (puisque le patch allait être déployé après ces deux jours) et ils ont refusés.





D’un autre côté, les failles critiques sont corrigées assez vite normalement. Enfin, chez les autres.

De plus, c’est pas parce qu’une faille n’est pas dévoilée qu’elle n’est pas connue ou exploitée.



Oui mais là on parle de failles qui touche le système d’exploitation !

3 mois pour reproduire l’exploitation, trouver la faille, la corriger, et s’assurer qu’il n’y a pas d’effets de bord indésirables pour la quasi-totalité des configurations pouvant exister, c’est pas réécrire une condition de 10 lignes de code.



Personnellement, je me souviens pas que quelqu’un ait publié une vulnérabilité sur le noyau Linux depuis longtemps.

Et comme tu dis, les distrib maintiennent aussi des soft comme apache ou openssh, mais elles ne les maintiennent pas entièrement tout comme le noyau Linux.








azerothl a écrit :



Je sais pas si tu es dev, mais si c’est le cas, tu devrai savoir que ce qui prend le plus de temps n’est pas la correction de faille, mais plus les tests de non régression, pour un programme pas trop complexe ça peut déjà prendre un certain temps, alors sur un os (quel qu’il soit, d’ailleur si tu penses que c’est plus court sur les autres, c’est une erreur, c’est juste que certain test sont déportés)…





J’ai bien conscience de ca, je fais justement de la vérification. Mais si les temps de régression sont longs au point de ne pas pouvoir patcher un produit en 3 mois… c’est qu’il faut revoir la suite de tests pour rendre les temps acceptables.









Jed08 a écrit :



Oui mais là on parle de failles qui touche le système d’exploitation !

3 mois pour reproduire l’exploitation, trouver la faille, la corriger, et s’assurer qu’il n’y a pas d’effets de bord indésirables pour la quasi-totalité des configurations pouvant exister, c’est pas réécrire une condition de 10 lignes de code.



Personnellement, je me souviens pas que quelqu’un ait publié une vulnérabilité sur le noyau Linux depuis longtemps.

Et comme tu dis, les distrib maintiennent aussi des soft comme apache ou openssh, mais elles ne les maintiennent pas entièrement tout comme le noyau Linux.





Franchement, a chaque fois que j’ai entendu parler d’une faille sur le noyau linux, elle était fixée et déployée en moins de 48h. Et si, les distrib maintiennent le noyau Linux, notamment si la faille prend du temps a être corrigée.



Et encore une fois, chez Apple ou autre, ca prend pas autant de temps non plus.









uzak a écrit :



Quel est l’intérêt de dénoncer publiquement les corruptions des politiciens ?







Tiens, une réponse de Normand … <img data-src=" />









AeRoX a écrit :



&nbsp;je serais assez curieux de savoir si toutes les failles sur leurs OS sont corrigées en moins de 3 mois d’ailleurs. Vu qu’ils diffusent eux mêmes les infos et que (à ma connaissance) personne d’autre ne le fait, de leur côté c’est facile d’être toujours à l’heure sur les corrections.





Ben disons qu’ils ont le beau rôle : une majorité du Kernel n’est pas écrit par eux mais par les mainteneurs de Linux, une autre large majorité de même kernel, c’est les drivers qui sont écrits par les constructeurs, donc déjà sur ce point si une faille apparaît c’est cette partie de code qui est assez massive, ils ont juste à dire que c’est pas eux de le faire.



&nbsp;Pour le reste j’ai du mal à savoir quel volume de code sort réellement de leurs mains (à part les Services Google mais desquels on ne sait approximativement rien).



Le projet Android (AOSP) est open source.

La version Android présente sur la majorité des smartphones avec les services/features/API de Google, elle ne l’est pas (ou alors très peu). Et c’est celle là qui est le plus utilisée.


Google, inspecteur des travaux finis. <img data-src=" />


L’intérêt de divulguer les failles quand elles sont corrigées, c’est la connaissance. Typiquement si tu veux faire de la recherche en sécurité, comprendre comment les autres ont fait avant toi c’est un bon moyen d’apprendre plus vite et de trouver des méthodes plus générales.



Les divulguer avant qu’elles soient corrigées, deux possibilités : si tu les vends, ça peut valoir cher, si tu les mets en ligne gratuitement, ça montre que tu as la plus grosse.








Jed08 a écrit :



Le projet Android (AOSP) est open source.

La version Android présente sur la majorité des smartphones avec les services/features/API de Google, elle ne l’est pas (ou alors très peu). Et c’est celle là qui est le plus utilisée.





Tout ce qui vient de chez Google est maintenu et mis a jour. Les problèmes évoquées venaient de la partie AOSP dont les mises a jour n’étaient pas suivis par les constructeurs.



Google n’y peut rien, il ne peut pas forcer les contructeurs a mettre a jour les telephones… malheuresement.









flagos_ a écrit :



Ce qui est illégal, c’est de l’exploiter sur des machines qui ne t’appartiennent pas. Rien n’interdit de les chercher, de les tester chez toi et de les publier.







Les chercher et les tester chez moi Ok.



Les publier tu en es bien sûr ?



Car ça reviendrait à dire que l’on peut parfaitement mettre sur Internet des plans pour construire des bombes je trouve.



J’ai l’impression que celui qui commente le plus cette news n’est pas forcément celui qui en connaît le plus sur le sujet <img data-src=" />








FRANCKYIV a écrit :



Les chercher et les tester chez moi Ok.



Les publier tu en es bien sûr ?



Car ça reviendrait à dire que l’on peut parfaitement mettre sur Internet des plans pour construire des bombes je trouve.





Heureusement que l’on peu publier des plans pour construire des bombes! Sinon ça aurait pour effet d’interdire la chimie….









Ksass`Peuk a écrit :



L’intérêt de divulguer les failles quand elles sont corrigées, c’est la connaissance. Typiquement si tu veux faire de la recherche en sécurité, comprendre comment les autres ont fait avant toi c’est un bon moyen d’apprendre plus vite et de trouver des méthodes plus générales.



Les divulguer avant qu’elles soient corrigées, deux possibilités : si tu les vends, ça peut valoir cher, si tu les mets en ligne gratuitement, ça montre que tu as la plus grosse.







<img data-src=" />



Qui te dit que je suis Normand ? <img data-src=" />








DDReaper a écrit :



J’espère que tu mettrais autant de vigueur à défendre Microsoft si il annonçait que pour obtenir des patch de sécurité il faudrait dorénavant demander à HP, Lenovo, Asus…





Pas de soucis… Mais juste faudra d’abord que Windows soit Open source, fourni gratuitement, et que les constructeurs aient foutu leurs surcouche pardessus. ;)









eliumnick a écrit :



Heureusement que l’on peu publier des plans pour construire des bombes! Sinon ça aurait pour effet d’interdire la chimie….







Donc le simple fait de faire l’apologie du terrorisme =&gt; En taule.



Pouvoir créer une bombe =&gt; No problèmo.









uzak a écrit :



Qui te dit que je suis Normand ? <img data-src=" />







<img data-src=" />



Trop fort … <img data-src=" />









flagos_ a écrit :



Tout ce qui vient de chez Google est maintenu et mis a jour. Les problèmes évoquées venaient de la partie AOSP dont les mises a jour n’étaient pas suivis par les constructeurs.



Google n’y peut rien, il ne peut pas forcer les contructeurs a mettre a jour les telephones… malheuresement.





Donc le Galaxy Nexus de Google aura pas de soucis à ce faire ?



Cuck Norris patche les failles de sécurités avant même qu’elles n’aient été crées ;)








FRANCKYIV a écrit :



Les chercher et les tester chez moi Ok.



Les publier tu en es bien sûr ?



Car ça reviendrait à dire que l’on peut parfaitement mettre sur Internet des plans pour construire des bombes je trouve.





On parle de failles dans windows hein, faut pas s’enflammer non plus… <img data-src=" />



Cachez ce bug que je ne saurais voir








ActionFighter a écrit :



Microsoft chiffre la mémoire ?



Visiblement, ils ont des choses à cacher <img data-src=" />





It’s not a bug, it’s a feature… NSA powered.<img data-src=" />



La très large majorité du parc Android aujourd’hui, c’est celui qui est fournit par le constructeur du smartphone en question qui contient entre autres :





  • les google services (close-source),

  • l’API Google (close-source),

  • les drivers des constructeurs (majoritairement close-source).



    Et ce qui est libre c’est majoritairement pas fait par eux (kernel linux + libs bas niveau standard).








flagos_ a écrit :



Franchement, a chaque fois que j’ai entendu parler d’une faille sur le noyau linux, elle était fixée et déployée en moins de 48h. Et si, les distrib maintiennent le noyau Linux, notamment si la faille prend du temps a être corrigée.



Et encore une fois, chez Apple ou autre, ca prend pas autant de temps non plus.





Oui les distrib maintiennent le noyau, mais elles sont plusieurs à le faire et ne sont pas seules. On est loin d’une équipe de 50 gars dans leur garage qui doivent maintenir à eux seul le noyau Linux, Apache, OpenSSH, OpenSSL et PostgreSQL. Il y a beaucoup de personne pour bosser dessus.



Et ça fait un bail qu’il n’y a pas eu de publication “sauvage” de failles 0day sous Linux prenant au dépourvut toute la communauté. Ce qu’on a eu concernait surtout les softs comme bash/openssl et autres.



Et sinon, concernant Mac OS : base Unix, ils attendent qu’un correctif soit publié et ensuite ils le reprennent.

Et concernant iOS j’ai pas le souvenir que les téléphones reçoivent tant de mises à jour systèmes.



De la a dire que MS joue les glandu pars que la majorité des sysadmin Windows sont des fainéant pleurnicheurs …&nbsp;



&nbsp;

Je sens que je vais pas me faire de amis la &nbsp;<img data-src=" />








uzak a écrit :



On parle de failles dans windows hein, faut pas s’enflammer non plus… <img data-src=" />





Encore un coup du gouvernement américain pour enflammer le proche orient asiatique ça…



Certains blâmeront Google de rendre publique une faille de sécurité sans qu’elle ne soit corrigée et sans proposer de solution de contournement, tandis que d’autres fustigeront Microsoft de mettre plus de trois mois à corriger une faille.



En attendant, Nxi se frotte les mains et compte les vues :)


A la conf en Australie sur le noyau Linux, Torvalds a indiqué que pour Linux 5 jours est raisonnable mais qu’il comprend que d’autres aient besoin de plus de temps.








Ksass`Peuk a écrit :



La très large majorité du parc Android aujourd’hui, c’est celui qui est fournit par le constructeur du smartphone en question qui contient entre autres :

les google services (close-source),l’API Google (close-source),les drivers des constructeurs (majoritairement close-source).





Donne moi une faille critique dans les sources fermées qui n’a pas été corrigé par Google…







… merci.



<img data-src=" />


C’est à dire que Google n’a absolument pas les moyens d’intégrer dans l’AOSP un update manager qui serait capable de recevoir les mises à jour de sécurité (limitons cela aux mises à jour de sécurité uniquement pour pas froisser les partenaires commerciaux) ?



Et le but de ma remarque était de montrer que bien qu’Android est un projet open source, la version installée sur la grande majorité des smartphones ne l’est pas totalement.

Pour reprendre les arguments des libristes : les trucs de Google ont beau être maintenu et à jour, on ne sait pas s’ils sont sécurisé et s’ils corrigent toutes les failles qu’ils voient.


Cool si MS et Google se mettent à teste les OS de chacun les bug n’en serons que plus vites corrigés!

Chacun va se mettre la pression pour que l’autre fasse du correctif rapide et efficace!








Pr. Thibault a écrit :



J’ai l’impression que celui qui commente le plus cette news n’est pas forcément celui qui en connaît le plus sur le sujet <img data-src=" />





Gros +1.



J’ai failli réagir au flot d’âneries qu’il profère, mais, non au final, car après on va encore me traiter d’anti-gogol primaire. (faut dire que cette entreprise ne fait rien pour se faire apprécier) &nbsp;



A supprimer


Si Google ne publie pas ce qu’il ne corrige pas et qu’on a pas accès aux sources, comment veux qu’on réponde à ta question ^^ <img data-src=" />


Hahaha ! La réponse qui tue, j’en ai pas vu, donc ça n’existe pas.








Jed08 a écrit :



Si Google ne publie pas ce qu’il ne corrige pas et qu’on a pas accès aux sources, comment veux qu’on réponde à ta question ^^ <img data-src=" />







<img data-src=" />



S’ils se concentraient sur la résolution des failles au lieu de s’en gueuler


Ca va se terminer en procès, et j’espère bien que Ggle va s’en prendre plein la gueule, parce que là c’est vraiment abusé je trouve.&nbsp;

C’est un peu comme si moi je publiais sur internet “mon voisin qui habite XXXX a un coffre fort plein à coté de ses toilettes et la fenêtre de ses toilettes a un petit trou qui permet de faire passer un fil de fer qui permet d’ouvrir la fenêtre, et sinon il a le système de protection YYY qu’on peut couper en envoyant un petit hélico par le conduit d’aération”.

Ah oui c’est légal, je n’ai rien fait de mal…

&nbsp;


<img data-src=" />

<img data-src=" />








jinge a écrit :



Ca va se terminer en procès, et j’espère bien que Ggle va s’en prendre plein la gueule, parce que là c’est vraiment abusé je trouve.&nbsp;

C’est un peu comme si moi je publiais sur internet “mon voisin qui habite XXXX a un coffre fort plein à coté de ses toilettes et la fenêtre de ses toilettes a un petit trou qui permet de faire passer un fil de fer qui permet d’ouvrir la fenêtre, et sinon il a le système de protection YYY qu’on peut couper en envoyant un petit hélico par le conduit d’aération”.

Ah oui c’est légal, je n’ai rien fait de mal…

&nbsp;





Pour que ta comparaison soit juste, il faudrait que ce qui se passe chez toi voisin se passe chez une grande de la population.



Concernant la sécurité d’un produit commercial utilisé massivement dans le monde… Je dirais que l’initiative est pas totalement scandaleuse.








flagos_ a écrit :



Des smartphones mecs. Et puis rien n’empêche de les mettre a jour ces smartphones.







Tu veux dire quand le constructeur n’a pas pousser de version, la compatibilité des drivers tu la fait tout seul ?

Tu veux dire que tu peux installer ta kitkat sur un téléphone qui a + de 5 ans ?



En fait tu insinues qu’il y a une date de péremption sur les téléphones et que c’est google qui la mets via la non correction des failles et la non mise a jour des téléphones par les constructeurs ?









caesar a écrit :



En fait tu insinues qu’il y a une date de péremption sur les téléphones et que c’est google qui la mets via la non correction des failles et la non mise a jour des téléphones par les constructeurs ?







Non je crois qu’il dit que la mise à jour d’Android sur les smartphone c’est absolument pas le problème de Google, c’est la merde des constructeurs et des utilisateurs qui installent pas cyanogen









Jed08 a écrit :



Si Google ne publie pas ce qu’il ne corrige pas et qu’on a pas accès aux sources, comment veux qu’on réponde à ta question ^^ <img data-src=" />





&nbsp;En me citant une actu qui met en evidence un acteur tiers qui aurait decouvert une faille critique &nbsp;dans les parties fermées d’Android/Chrome que google n’a toujours pas fixé..?

(c’est un peu le sujet de la news, en fait…)

&nbsp;





Ksass`Peuk a écrit :



Hahaha ! La réponse qui tue, j’en ai pas vu, donc ça n’existe pas.





Hein? T’as pas compris où je veux en venir, c’est pas grave…









Jed08 a écrit :



Non je crois qu’il dit que la mise à jour d’Android sur les smartphone c’est absolument pas le problème de Google, c’est la merde des constructeurs et des utilisateurs qui installent pas cyanogen





Exactement. Et c’est la valeur ajoutée des téléphones vendus par Google, dont le support est garanti pour au moins 2 ans.



Après 2 ans, en général le grand public est reparti sur un autre smartphone, les forfaits subventionnés étant encore la règle sur une grande partie de ce marché.



Pour comprendre un peu la position de Google (ou du moins du Project Zero) sur le sujet (en anglais) :https://code.google.com/p/google-security-research/issues/detail?id=118#c25


Tu veux dire comme les patchs pour shellshock ou heartbleed qui sont sortis en quelques jours mais ne corrigeait pas le problème ? Les vrais patchs sont sortit plusieurs semaines plus tard.



C’est bien beau de gesticuler pour faire croire qu’on est au taquet, mais la réalité c’est qu’à ce niveau de complexité la un correctif ça ne se fait pas en quelques jours, que ce soit linux ou windows. Il ne faut pas croire que les devs systèmes sont des crétins, faire du bon travail prends juste du temps.


C’est vrai que personne n’achète de smartphones sortis il y a 1 an ou 2 pour des raisons de coût, forfait subventionné ou non. <img data-src=" />


Facile, La plupart des gens ont un logement et ont généralement des biens de valeur. une personne bien organiser peut évaluer le moment où l’occupant es régulièrement absent. La plupart des logement peuvent être forcer… etc etc…








shadowfox a écrit :



C’est vrai que personne n’achète de smartphones sortis il y a 1 an ou 2 pour des raisons de coût, forfait subventionné ou non. <img data-src=" />





Le marché est comme ca. Google l’annonce clairement quand tu achètes le phone: le support est au moins de 2 ans, sachant que par exemple pour le N4 ou le N7, il a été plus long.&nbsp;



A toi d’acheter en conséquence, mais quand Google dit que le produit est supporté, il met pas des mois à pondre un correctif.









Boudh a écrit :



Facile, La plupart des gens ont un logement et ont généralement des biens de valeur. une personne bien organiser peut évaluer le moment où l’occupant es régulièrement absent. La plupart des logement peuvent être forcer… etc etc…





????? J’ai du mal à faire le lien. Peux-tu m’aider ?



ça reste triste car je doute sincèrement que le commun des mortels soit en mesure de passer sur cyanogen de manière autonome…

Et changer de modèle pour rester à la page…


Parce que tu penses que si tu dis ça à ton voisin il mettra plus de 3 mois à changer de coffre fort ou à se plaindre au constructeur pour le faire remplacer ? &nbsp;



Là Ms dit “on a une faille grave dans l’OS, si Google l’a découvert, des pirates peuvent l’avoir découvert aussi depuis plusieurs mois, mais bon, on va attendre encore un peu avant de la corriger”.&nbsp;



Et là Google a mis la deadline à 3 mois, Ms n’arrive pas à la tenir … il faut mettre quoi pour que ça passe ? 6 mois ? un an ?&nbsp;



Que la correction soit complexe, c’est une chose, mais dire “oh une faille de sécurité peut bien attendre 6 mois que Ms prenne son temps” … j’ai quand même un peu de mal&nbsp;<img data-src=" />








Yangzebul a écrit :



Tu veux dire comme les patchs pour shellshock ou heartbleed qui sont sortis en quelques jours mais ne corrigeait pas le problème ? Les vrais patchs sont sortit plusieurs semaines plus tard.



C’est bien beau de gesticuler pour faire croire qu’on est au taquet, mais la réalité c’est qu’à ce niveau de complexité la un correctif ça ne se fait pas en quelques jours, que ce soit linux ou windows. Il ne faut pas croire que les devs systèmes sont des crétins, faire du bon travail prends juste du temps.





shellshock, le patch a été immédiat il me semble. Heartbleed a effectivement été mise a jour en 2 temps, mais au moins, on est pas restés pendant des mois avec un truc que tout le monde sait troué.



Ne vous en déplaise, à un moment il faut bien publier la faille sinon les mecs auront toujours une bonne raison pour pas faire la mise a jour. 3 mois, franchement c’est plus que raisonnable.



Elle l’est clairement, et il faut être soit incompétent (ce qui ne semble pas être ton cas) soit mal connaitre ce domaine pour le comprendre.



Déjà, à tous ceux qui hurlent que 3 mois pour régler une faille est scandaleux : c’est faux.

Là il s’agit d’un composant bas-niveau, complexe à mettre en place, sur plusieurs systèmes & architectures, tout ça en prenant en compte que ça impact directement, ou pas, des centaines de millions d’ordinateurs dans le monde … bref.



Ensuite Google est totalement irresponsable dans ce sujet. Et tout parallèle avec Microsoft sur ce sujet est totalement malvenu : entre une société qui propose des majs uniquement sur quelques années, et encore ; et une autre qui soutient ses produits sur environ 10 ans, y’a un monde, un univers même.



Publier une faille de sécurité qui touche potentiellement l’énorme majorité des ordinateurs personnels de la planête est irresponsable, j’irais jusqu’à dire que c’est un comportement dangereux, en plus sachant que le patch est presque dans la boite et qu’il va sortir sous peu.



Je vois surtout ça comme une façon pour Google de se faire mousser et de buzzer sur le fait que “Microsoft c’est pas sécurisé et qu’ils prennent 27 ans pour combler une faille : alors viendez chez nous !”.

Une belle bande d’abrutis.


Je me met à la place de l’utilisateur lambda qui n’est pas dev. Autant je comprends ce que tu me racontes, autant je suis aussi certain qu’un utilisateur classique ne comprendra rien de la logique mise en place par Google.


Désolé, je m’y suis pris comme un pied.



C’était plus pour dire que sur le principe, que ça concerne une faible population (ramené à l’unitaire ici) ou une grande, ça reste un fonctionnement que je qualifierais de sale. Ne serait que pour la protection des utilisateurs.



Perso, j’ai l’impression que google crie sur les toits que ms fait de la merde et qu’il faut les rejoindre car ça n’arrivera pas chez eux. (mais rien ne le garanti malheureusement)


On peut voir le problème inverse aussi. MS dit “on a une faille grave dans l’OS, si Google l’a découvert, des pirates peuvent l’avoir découvert aussi depuis plusieurs mois, il va falloir se dépêcher de la corriger”



Si en 3 mois ils ont pas pu mettre au point un patch qui puisse corriger la vuln sans créer d’effets de bord, c’est pas parce que tu vas publier la vulnérabilité que les problèmes vont miraculeusement disparaitre.



A la limite ça peut forcer MS a publier un patch qui peut faire planter certaines machine. Et là c’est pas cool non plus.








atomusk a écrit :



Parce que tu penses que si tu dis ça à ton voisin il mettra plus de 3 mois à changer de coffre fort ou à se plaindre au constructeur pour le faire remplacer ?  



Là Ms dit “on a une faille grave dans l’OS, si Google l’a découvert, des pirates peuvent l’avoir découvert aussi depuis plusieurs mois, mais bon, on va attendre encore un peu avant de la corriger”. 



Et là Google a mis la deadline à 3 mois, Ms n’arrive pas à la tenir … il faut mettre quoi pour que ça passe ? 6 mois ? un an ? 



Que la correction soit complexe, c’est une chose, mais dire “oh une faille de sécurité peut bien attendre 6 mois que Ms prenne son temps” … j’ai quand même un peu de mal <img data-src=" />







comme si c’était a google de mettre des deadline <img data-src=" />









shadowfox a écrit :



Je me met à la place de l’utilisateur lambda qui n’est pas dev. Autant je comprends ce que tu me racontes, autant je suis aussi certain qu’un utilisateur classique ne comprendra rien de la logique mise en place par Google.





La sécurité, ce n’est pas à l’utilisateur de comprendre. Il a juste a faire ses mises a jour. C’est aux éditeurs de se sortir les doigts.



“shellshock, le patch a été immédiat il me semble.”



Non pas du tout. Il y a eu des “hotfix” rapidement mais qui ne corrigeait pas le problème.



http://arstechnica.com/security/2014/09/shellshock-fixes-beget-another-round-of-…

http://arstechnica.com/security/2014/09/new-shellshock-patch-rushed-out-to-resol…








flagos_ a écrit :



Après 2 ans, en général le grand public est reparti sur un autre smartphone, les forfaits subventionnés étant encore la règle sur une grande partie de ce marché.





Ouais, ça c’est plus tellement le cas : 48% sont du sans-engagement (Rapport ARCEP 3e trimestre 2014, paragraphe 2.3.









philanthropos a écrit :



Elle l’est clairement, et il faut être soit incompétent (ce qui ne semble pas être ton cas) soit mal connaitre ce domaine pour le comprendre.



Déjà, à tous ceux qui hurlent que 3 mois pour régler une faille est scandaleux : c’est faux.

Là il s’agit d’un composant bas-niveau, complexe à mettre en place, sur plusieurs systèmes & architectures, tout ça en prenant en compte que ça impact directement, ou pas, des centaines de millions d’ordinateurs dans le monde … bref.



Ensuite Google est totalement irresponsable dans ce sujet. Et tout parallèle avec Microsoft sur ce sujet est totalement malvenu : entre une société qui propose des majs uniquement sur quelques années, et encore ; et une autre qui soutient ses produits sur environ 10 ans, y’a un monde, un univers même.



Publier une faille de sécurité qui touche potentiellement l’énorme majorité des ordinateurs personnels de la planête est irresponsable, j’irais jusqu’à dire que c’est un comportement dangereux, en plus sachant que le patch est presque dans la boite et qu’il va sortir sous peu.



Je vois surtout ça comme une façon pour Google de se faire mousser et de buzzer sur le fait que “Microsoft c’est pas sécurisé et qu’ils prennent 27 ans pour combler une faille : alors viendez chez nous !”.

Une belle bande d’abrutis.





La première chose qui m’est venu à l’esprit en lisant ton commentaire “moi aussi j’aimerais bien être payé pour défendre une multinationale”….



A qui alors? &nbsp;Ms peut dire : ah non celle là on s’en fout, interdit de la publier ?&nbsp;

Donnez nous 2 ans ?&nbsp;



Ce sont les chercheurs de Google qui font le boulo, ils envoient à Ms bien à l’avance, donnent une date de disclosure.&nbsp;



Et je connais pas de loi en particulier qui leur impose de ne pas publier tant que le constructeur ne veux pas&nbsp;<img data-src=" />


Donc on laisse la faille ?








Gilgen a écrit :



Ouais, ça c’est plus tellement le cas : 48% sont du sans-engagement (Rapport ARCEP 3e trimestre 2014, paragraphe 2.3.





Ouai, en France depuis que Free est arrivé. A l’étranger, quasiment tout le monde est sur des forfaits avec engagement.









Boudh a écrit :



Désolé, je m’y suis pris comme un pied.



C’était plus pour dire que sur le principe, que ça concerne une faible population (ramené à l’unitaire ici) ou une grande, ça reste un fonctionnement que je qualifierais de sale. Ne serait que pour la protection des utilisateurs.



Perso, j’ai l’impression que google crie sur les toits que ms fait de la merde et qu’il faut les rejoindre car ça n’arrivera pas chez eux. (mais rien ne le garanti malheureusement)





Oui c’est sale, mais malheureusement il semble que ça soit la seule méthode pour que les failles soient corrigé.



Oui MS fait de la merde. Mais croire que Google n’est fait pas c’est vraiment se voiler la face.



Si le coffre fort pèse 320 kg et que la moitié de son corps est fixé dans un mur porteur… oui. <img data-src=" />



Plusieurs personne le répètent, il y a :

la faille à combler (ça doit être le plus rapide de la liste)

les test unitaires à valider

les tests de régression à valider

les test sur x config différentes hardware + logicielles

les validations de process (on reste dans une entreprise, et ça c’est sans doute un des trucs les plus longs)



Vu qu’on parle d’un OS, qu’il est en prod sur des millions de machines, et que si la maj pète, c’est catastrophique en terme d’image, 3 mois, c’est pas si long que ça…








shadowfox a écrit :



Si le coffre fort pèse 320 kg et que la moitié de son corps est fixé dans un mur porteur… oui. <img data-src=" />



Plusieurs personne le répètent, il y a :

la faille à combler (ça doit être le plus rapide de la liste)

les test unitaires à valider

les tests de régression à valider

les test sur x config différentes hardware + logicielles

les validations de process (on reste dans une entreprise, et ça c’est sans doute un des trucs les plus longs)



Vu qu’on parle d’un OS, qu’il est en prod sur des millions de machines, et que si la maj pète, c’est catastrophique en terme d’image, 3 mois, c’est pas si long que ça…





Tu répètes 4 fois la même chose différente en reformulant le nom de la chose. Oui, il faut faire passer la suite de regression.









flagos_ a écrit :



shellshock, le patch a été immédiat il me semble. Heartbleed a effectivement été mise a jour en 2 temps, mais au moins, on est pas restés pendant des mois avec un truc que tout le monde sait troué.





Ouai enfin, dans un cas on a des vulnérabilités qui concernent des logiciels causé par certaines maladresses d’un développeur, de l’autre une vulnérabilité présente dans le code source d’un OS touchant au chiffrement de la mémoire vive.

C’est pas vraiment comparable…



Ces environnements sont encore plus fermés que ceux de MS ! Un téléphone qu’on ne peut plus mettre à jour au bout de 2 ans après sa sortie commerciale, c’est du n’importe quoi.

Et bizarrement, Google ne cherche pas à arranger la situation auprès de ses partenaires, parce que ça le concerne pas et qu’il s’en fout.








eliumnick a écrit :



La première chose qui m’est venu à l’esprit en lisant ton commentaire “moi aussi j’aimerais bien être payé pour défendre une multinationale”….





Trop gros&nbsp;<img data-src=" />









eliumnick a écrit :



Oui MS fait de la merde. Mais croire que Google n’est fait pas c’est vraiment se voiler la face.





C’est bien ce qui me dérange. Un utilisateur lambda risque de mal interpréter ce genre de message. (Et on ne me fera pas croire que chez google, on ne prévoit pas ce type de malentendu)









flagos_ a écrit :



Tu répètes 4 fois la même chose différente en reformulant le nom de la chose. Oui, il faut faire passer la suite de regression.





Non non, chaque ligne est bien une action différente des autres lignes.



“la faille à combler” -&gt;&nbsp;le dev hors RTU.

Tests unitaires, le&nbsp;patch mis en place ne&nbsp;plante pas.

Tests de régression, on n’a rien pété qui fonctionnait AVANT

“les test sur x config différentes hardware + logicielles”&nbsp; -&gt; Tests d’intégration

“validations de process” -&gt; Etapes purement administratives.



Ce sont bien des choses distinctes.








atomusk a écrit :



A qui alors?  Ms peut dire : ah non celle là on s’en fout, interdit de la publier ? 

Donnez nous 2 ans ? 



Ce sont les chercheurs de Google qui font le boulo, ils envoient à Ms bien à l’avance, donnent une date de disclosure. 



Et je connais pas de loi en particulier qui leur impose de ne pas publier tant que le constructeur ne veux pas <img data-src=" />





c’est tout simplement pas son rôle, mettre en ligne une faille non corrigé c’est criminel. Google n’est pas un organisme d’état. C’est une multinational concurrente détenue par des personnes privé et a but commercial.



Ne me dites pas que ceciest autre chose qu’une publicité nauséabonde.



Il faut arrêté de penser a google comme le justicier qui arrive sur son chevale blanc. C’est une vision totalement irréfléchie et puérile.









Boudh a écrit :



C’est bien ce qui me dérange. Un utilisateur lambda risque de mal interpréter ce genre de message. (Et on ne me fera pas croire que chez google, on ne prévoit pas ce type de malentendu)





A quel moment dans l’histoire de l’informatique on a pas pris l’utilisateur lambda pour un abruti ?



J’ai jamais dit ça. Mais tu tiens un raisonnement plus ou moins radical, je te présente son équivalent de l’autre camp.

La meilleure solution aurait été que les deux boîtes travaillent ensemble sur la gestion du patch. Pas que l’un joue au con avec l’autre (que ce soit MS qui prenne son temps ou Google pour qui l’heure c’est l’heure et rien d’autre)


Si c’est le cas, si le mec qui a un coffre fort n’est pas irresponsable, il sera heureux de savoir que les données de son coffre sont en danger, et fera tout ce qu’il peux pour sortir ses données de ce “coffre en papier” pour les mettre dans un vrai coffre le temps que la faille soit corrigée.



Oh on peut faire une parallele ! Les administrations/sociétés peuvent étudier la faille et voir à sécuriser les accès si c’est possible. Dans ce cas, si c’est une élevation de privilége si les données sont trop critiques, un admin consciencieux peux bloquer les acces externes le temps que la faille soit corrigée.&nbsp;



Il sera heureux d’être mis au courant pour ne pas se retrouver “3 mois apres” quand MS aura réussi à corriger sa faille, pour s’appercevoir que ses données ont été pillés à l’occasion d’une Zero day …


Difficile de juger MS ici, sans plus de détails sur les raisons du report de cette MAJ, même si 3 mois semblent une éternité.








flagos_ a écrit :



Ouai, en France depuis que Free est arrivé. A l’étranger, quasiment tout le monde est sur des forfaits avec engagement.





Je vais encore faire mon relou, mais tu les sors d’ou des infos, est-ce que tu aurais une source par hasard ?









philanthropos a écrit :



Trop gros&nbsp;<img data-src=" />





Même pas. On dirait une ode à la gloire de cette grande et merveilleuse boite qui améliore le monde. (ok y a un peu de troll dans cette réponse ^^)



Ben si ce sont des frontends que ta solution c’est de les mettre hors ligne, ça va être beau. <img data-src=" />


Si tous les dev faisaient de meme, tout le monde se bougerais un peu plus le fion, niveau patachage de failles.

Ca reviens plus ou moins a faire du debug gratuit pour des concurrents.


Perso, je trouve aussi irresponsable une boite qui trouve une faille, prévient l’éditeur et après 3 mois la diffuse, que celle qui a une faille importante dans son produit qui est peut être déjà en cours d’exploitation, va mettre tout sous le tapis plus de 3 mois le temps de la corriger.



Perso ce que j’aimerai savoir, c’est sans l’ultimatum de Google combien de temps cette faille aurait “trainé”.


Si tu as des données ultra confidentielles sur tes frontend c’est pas joli non plus&nbsp;<img data-src=" />








ar7awn a écrit :



Ne me dites pas que ceciest autre chose qu’une publicité nauséabonde.





T’as oublié tout ça :https://code.google.com/p/google-security-research/issues/list?can=1&q=&…

en 10 mois.

D’ailleurs on remarque qu’il n’y a aucun produit Google là dedans.









atomusk a écrit :



Parce que tu penses que si tu dis ça à ton voisin il mettra plus de 3 mois à changer de coffre fort ou à se plaindre au constructeur pour le faire remplacer ?  



Là Ms dit “on a une faille grave dans l’OS, si Google l’a découvert, des pirates peuvent l’avoir découvert aussi depuis plusieurs mois, mais bon, on va attendre encore un peu avant de la corriger”. 



Et là Google a mis la deadline à 3 mois, Ms n’arrive pas à la tenir … il faut mettre quoi pour que ça passe ? 6 mois ? un an ? 



Que la correction soit complexe, c’est une chose, mais dire “oh une faille de sécurité peut bien attendre 6 mois que Ms prenne son temps” … j’ai quand même un peu de mal <img data-src=" />







Et donc parce que Microsoft mets du temps, toi tu es pour que Google divulgue la faille publiquement … pas seulement à certains hackeurs qui l’avaient déjà découverte, mais à TOUS les hackers (novice y compris).



Ca sert à quoi de montrer la faille à tout le monde ?



Tu crois que ça va accélérer le boulot de Microsoft ?

Tu penses sérieusement qu’ils font exprès de mettre du temps ?









atomusk a écrit :



Perso ce que j’aimerai savoir, c’est sans l’ultimatum de Google combien de temps cette faille aurait “trainé”.





La même&nbsp;<img data-src=" />.



Google force la main de Ms. Et peut-être de manière un peu trop agressive. Mais dans le fond, je trouve que c’est quand même ce qu’il faut faire…



Ben non ils sont parfaits.








atomusk a écrit :



Si tu as des données ultra confidentielles sur tes frontend c’est pas joli non plus&nbsp;<img data-src=" />





ça arrive héla s trop souvent, haha. <img data-src=" />

Après je suis d’accord qu’il faut un juste équilibre, MS aurait sans doute laisser trainer le problème plus longtemps&nbsp;s’il n’avait pas mis été sous les projecteurs pour des raisons de coût. Mais Google se la joue cow-boy alors qu’il vaut pas&nbsp;mieux.&nbsp;



Je crois qu’on commence à toucher à la vérité là ;)

Surtout que si on lit ton lien, il y a un petit commentaire du 1401 qui montre bien à quel point c’était utile de rendre tout ça public :

Microsoft informed us that a fix was planned for the January patches but has to be pulled due to compatibility issues. Therefore the fix is now expected in the February patches.


3 mois, quand tu touches au code source d’un système d’exploitation c’est pas si long que ça. Surtout des effets de bords sur d’autres parti du système sont créés et qu’il faut les corriger eux aussi. :/


Donc si je comprends bien: “Maintenant il y a un nouveau Shérif dans la place et son nom est Google!”



Google décide unilatéralement du temps nécessaire pour colmater une faille sur un système qu’il ne maitrise pas… avec ultimatum à la clé…



C’est beau de se sentir protéger comme cela :larmaloeil:

Bon la en même temps on est un peu moins protégé, mais bon c’est Google qui l’a décidé, donc c’est forcément bien <img data-src=" />


Parce qu’un ultimatum n’a du sens que si il est appliqué.



Si Google disait “ok, on repousse de 1 mois” à chaque fois que MS n’est pas pret, au final on revient au modele : on attend 2 ans que Ms finisse son patch.


Facile, à la préhistoire de l’informatique… <img data-src=" />

plus sérieusement, je suis ton raisonnement. mais je trouve quand même ça sale… Du coup, je dois me taper l’explication à ma mère&nbsp;<img data-src=" /> et rien que pour ça, je trouve ça pire que sale, c’est une bande de salaud.








Jed08 a écrit :



3 mois, quand tu touches au code source d’un système d’exploitation c’est pas si long que ça. Surtout des effets de bords sur d’autres parti du système sont créés et qu’il faut les corriger eux aussi. :/





Non mais laisse béton, certains s’évertuent à croire que tout patch est faisable en quelques jours, voir heures, et ce peu importe le niveau de complexité.



Et si c’est pas le cas c’est tous des incompétents qui méritent de mourir, bruler en enfer avec leur société menteuse, inutile et qui s’en branle de tout ce qu’elle fait et des clients.







Fatiguant à la longue de voir des commentaires de gens qui ont codé une ligne de HTML dans leur vie et qui n’ont jamais été confronté à des architectures plus compliquées que leur réseau local perso’.









atomusk a écrit :



Perso, je trouve aussi irresponsable une boite qui trouve une faille, prévient l’éditeur et après 3 mois la diffuse, que celle qui a une faille importante dans son produit qui est peut être déjà en cours d’exploitation, va mettre tout sous le tapis plus de 3 mois le temps de la corriger.



Perso ce que j’aimerai savoir, c’est sans l’ultimatum de Google combien de temps cette faille aurait “trainé”.





heureusement que google est là pour veiller a notre sécurité a tous…

en publiant sur internet le moyen d’exploiter une faille jusque là inconnu <img data-src=" />



je ne défend pas MS de mettre un certain temps a corriger cette faille (même si je pense que cela peut s’expliquer pour un composant intrinsèquement lier au fonctionnement de l’os.)



Mais j’accuse Google de mettre en danger certaines infrastructures critiques ainsi que plusieurs millions d’utilisateur (pour ce que j’en sais) sans aucunes légitimités et dans un but purement mercantile.









atomusk a écrit :



Parce qu’un ultimatum n’a du sens que si il est appliqué.



Si Google disait “ok, on repousse de 1 mois” à chaque fois que MS n’est pas pret, au final on revient au modele : on attend 2 ans que Ms finisse son patch.







mais qui est google pour décider ça? le nouveau gouvernement mondial?



Alors que d’autres considèrent qu’une faille zero day devrait pouvoir rester active pendant 6 mois minimum.&nbsp;



Vos données se font pomper par des pirates ? hey … notre boulo n’est pas simple :((&nbsp;



Tu penses que Ms aurait attendu 6 mois pour cette faille si ça avait été une zero day ?


Oui enfin, quand les gars t’expliquent qu’ils ont des problèmes de compatibilité et que ça a retardé la sortie du patch. Leur chier à la gueule est pas forcément la bonne solution.

De même, publier une vuln deux jours avant la sortie de la correction, ça fait un peu “super c*nnard” surtout que MS les avaient prévenu que le patch allait sortir.



Ils sont super intransigeant, ne se soucis absolument pas raisons qui font que le patch ne peut être publié dans les 3 mois. Mais par contre quand il s’agit d’eux et d’Android, le discours c’est : “Ah ben nan, les constructeurs vont pas pouvoir mettre à jour, du coup nous on va rien faire du tout.”

Pour une boite qui se préoccupe de la sécurité et qui a la main-mise sur tous ses partenaires constructeurs, ajouter une clause : “2 ans de support minimum pour l’application de correctifs de sécurité” c’est impossible.


Sauf que ça aurait du sens de prendre en compte le fait que la faille est réellement traitée, et pas ignorée (ce qui est le but recherché). Dans les deux cas, google sait qu’un patch arrive “rapidement” (calendrier ms, donc dans le mois suivant le second mardi, car failles non critiques). Aucune raison raisonnable d’en douter.&nbsp;



Imposer son propre calendrier est une connerie, ils ont intérêt à être irréprochables de leur côté, sinon ça sent le retour de bâton …


Il me parait évident qu’il ne faut pas laisser trainer les failles pendant des mois, mais un peu plus de retenue me parait essentiel sur ce type de sujet qui peut avoir des conséquences énormes.



Genre là, si on regarde la faille et le truc que j’ai quoté dans mon message précédent, MS a répondu le 1401 en disant que la correction avait pas pu passer ce mois-ci en raison de problèmes de compatibilité, mais qu’elle serait corrigée en février.

Ca me parait pas dingue dans ce cas précis de laisser plus de temps pour la correction, vu qu’il y a une réponse de MS comme quoi ils bossent dessus.

Après c’est sûr que s’ils refont le coup le mois prochain, à moins d’avoir une très bonne excuse, ça le ferait pas. Mais dans tous les cas je persiste à dire que publier le détail complet d’une faille reste du grand n’importe quoi, il y a moyen de publier moins de choses pour obtenir le même effet.


De se faire de la pub et de se venger, ils doivent pas avoir aimé les trolls que crosoft leur ont fait dans certaines de leurs campagnes publicitaires, Scroogle et tout ça ;)



Enfin moi je trouve ça dégueulasse personnellement, surtout que Android est pas non plus un modèle de sécurité car il y a des tas de terminaux pas a jours et qui sont tout de même largement utilisés…








atomusk a écrit :



Tu penses que Ms aurait attendu 6 mois pour cette faille si ça avait été une zero day ?







ils auraient fait ce qui se fait dans ce cas: un patch bien crade pour limiter la casse sans ce soucier des problèmes engendrés le temps de régler le problème correctement.









atomusk a écrit :



Alors que d’autres considèrent qu’une faille zero day devrait pouvoir rester active pendant 6 mois minimum.&nbsp;



 Vos données se font pomper par des pirates ? hey ... notre boulo n'est pas simple :((&nbsp;       

Tu penses que Ms aurait attendu 6 mois pour cette faille si ça avait été une zero day ?








Qu'est-ce qu'on peut en savoir ? On ne connait pas tous les tenants et aboutissants de la faille. Tu sais très bien que ça peut être bien plus complexe que ça en a l'air ; surtout en vue du parc en activité.     

&nbsp;

Et quand bien même, ils ne peuvent de toute façon pas mettre 200 équipes sur toutes les failles simultanément : il faut des priorités.

Dans ce cas, vu qu'elle n'était pas publique, et qu'ils ont clairement dit à Google que le patch allait être publié, c'est totalement irresponsable de leur part de balancer ça sur le net.



&nbsp;

Je vois ça comme de la com’ dangereuse sur le dos de la sécurité des utilisateurs d’un autre produit dont ils se foutent.

&nbsp;



 Le seul cas où c'est "légitime" (et encore) c'est quand une entreprise leur dira, en gros, "cette faille, on s'en branle, casse-toi".      






Après oui, leur boulot n'est pas simple, y'a pas à palabrer sur ce point je pense. Que ce soit eux ou un autre.


Encore une fois, si c’était une zero day active et que des machines étaient entrain de se faire hacker, est ce que Ms aurait “attendu encore un mois” ?&nbsp;



&nbsp;








atomusk a écrit :



Alors que d’autres considèrent qu’une faille zero day devrait pouvoir rester active pendant 6 mois minimum.&nbsp;





Euuu ? Dafuq 6 mois ?

Jusqu’à présent, on parlait de 4 mois pour des vulnérabilités touchant des parties très sensible de l’OS et pouvait être délicate à corriger. Ton 6 mois sort d’où ? O.o



&nbsp;





Tim-timmy a écrit :



Aucune raison raisonnable d’en douter.&nbsp;





Et puis même si tu en doutes. Si un mois plus tard rien n’est paru où qu’ils te ressortent la même excuse, la tu peux croire au foutage de gueule et publier la faille.









atomusk a écrit :



Encore une fois, si c’était une zero day active et que des machines étaient entrain de se faire hacker, est ce que Ms aurait “attendu encore un mois” ?







pourquoi partir sur un postulat faux?



Ou bien Google met une double deadline : 3 mois pour qu’on leur propose un patch, jusqu’à 3 mois de plus négociable si les travaux avancent (genre si le patch existe mais n’est pas encore validé).

On est pas obligé d’être binaire dans la vie.


non, ms fait dans ce cas un patch rapide, sans les tests longs que ça implique, donc potentiellement des soucis sur pas mal de postes, mais qui corrige la faille, et un patch correctif ensuite pour stabiliser le tout. Mais ils vont pass ‘amuser à casser des machines chez les clients toutes le semaines … Donc ils ont un rythme plus lent, et plus de tests pour éviter les milliards de trucs qui peuvent foirer ..


car on n’a pas d’argument … Donc il faut inventer











Zerdligham a écrit :



Ou bien Google met une double deadline : 3 mois pour qu’on leur propose un patch, jusqu’à 3 mois de plus négociable si les travaux avancent (genre si le patch existe mais n’est pas encore validé).&nbsp;

On est pas&nbsp;obligé&nbsp;d’être binaire dans la vie.



ouep, ça semble nettement plus raisonnable déjà..



Ça n’explique toujours pas pourquoi le date de parution d’un post sur un blog a plus d’importance à 2 jours près que la sécurité de centaines de million de PC…



Avoir des deadlines est nécessaire pour faire bouger l’éditeur concurrent, que cette deadlines ne puisse pas s’adapter a un minimum de contraintes pointe une certaine irresponsabilité chez Google …



Apres MS n’est pas tout rose non plus … Vu leur implantation dans l’informatique professionnel et grand public, avoir un “jour de patch” qu’une fois par mois n’est plus adapté … Peut être qu’en avoir 1 toutes les 2 semaines serait déjà plus intéressant sans avoir a prendre au dépourvu toutes les équipes d’admins du monde professionnel avec des parutions surprises.



En tout cas, personnellement, j’ai l’impression que ça montre clairement que Google n’agit pas comme une société de software et qu’elle n’en a strictement rien a foutre du monde de l’entreprise (et les DSI qui ont opté pour une flotte de Samsung bas de gamme sous Android &lt;4.4 peuvent l’attester ..).


Mais j’en sais rien, tu n’en sais rien et Google non plus n’en sait rien.

La situation ne se pose pas, donc on ne peut qu’imaginer la réponse. Si ça te réconforte, tu peux croire que MS envoie chier Google et ses clients parce qu’ils le peuvent, et que Google est un philanthrope qui fait ça uniquement avec des bonnes intentions.



Moi je vais partir la solution la plus simple : MS travaille aussi vite que possible, et si en 3 mois ils ont pas sorti le patch, qu’ils ont prévenu Google, c’est pas parce que Google publie la vuln que le correctif sortira plus vite.

C’est même irresponsable de la part de Google. Si dans un autre domaine, un concurrent allumait un feu chez son concurrent parce que des règles de prévention anti-incendie n’ont pas été respectée, je suis sûr qu’on se poserais pas la question : mais si c’était un vrai incendie est ce qu’ils auraient pas réagit plus vite ?








Tim-timmy a écrit :



ouep, ça semble nettement plus raisonnable déjà..





ce serai tolérer que les multinationales créent elles même les règles.

Quelque soit le domaines, les entreprises ou les conditions c’est inacceptable qu’une entreprise dévoile publiquement une faille d’une entreprise concurrente. <img data-src=" />



Traduction : on est passé officiellement à 6 mois … vu qu’on leur offre 3 mois, Ms dira toujours “on travaille dessus”.


C’est quand même marrant de se prendre la tête sur un truc où l’équipe à l’origine de la parution dit elle-même qu’elle étudie l’inpact de leur politique de 90 jours et voir si elle a besoin de la faire évoluer.



L’équipe de Goolge a moins de 10 mois, et jusqu’à présent j’ai pas l’impression que leur politique de 90 jours ait posé problème. Pourtant c’est pas le seul bug qu’ils ont publié avant qu’il ne soit corrigé.


Sans doute que non mais c’est ce qu’on appel “la priorisation”&nbsp;


Waip, sauf qu’elle a potentiellement un impact sur des centaines de millions d’utilisateurs, voir plus d’un milliard possiblement selon le produit.



A partir de là, on fait attention où on fout les pieds, surtout avec des failles comme celle-ci, et on évite d’imposer ses propres règles à une entreprise qui en a d’autres et qui a incomparablement plus d’expérience dans ce domaine <img data-src=" />


C’est sympa le monde des bisounours ?&nbsp;<img data-src=" />



Dans quel monde une entreprise n’a pas le droit de “pointer du doigt” les faiblesses de son concurrent ?&nbsp;



Ms a bien les pubs Scroogle ? Apple montre à chaque conf à quel point la fragmentation d’Android est horrible.



Là Google “paye” des mecs pour trouver des failles, et les proposent à son concurent pour qu’il les corrige et lui laisse 3 mois pour y remédier …&nbsp;



Après je dis pas que ce sont des chevaliers blanc&nbsp;<img data-src=" />

Mais que dans un panier de crabe, tout le monde se bat avec les armes qu’ils ont.


Et bien de toute évidence, ils ne considéraient pas cette faille “prioritaire”.&nbsp;


Puisque tu aime bien les histoire avec des SI, le système de Google a un gros désavantage c’est que si les équipes de MS sont en train de travailler pour corriger une autre faille plus dangereuse que celle qui a été remontée par Google, ils auront pas le temps de s’occuper de cette dernière (qui sera publiée), ou alors ils laissent tout tomber et s’occupe de celle de Google (ce qui laisse la vuln’ plus grave sans correctif pour encore 3 mois), ou alors ils traitent les deux en même temps en prenant le risque de sortir à la bourre les deux patchs.



Bref le coup du 3 mois non négociable, c’est vraiment pas pratique !








Jed08 a écrit :



Concernant la sécurité d’un produit commercial utilisé massivement dans le monde… Je dirais que l’initiative est pas totalement scandaleuse.



Ce qui est scandaleux c’est l’irresponsabilité de google. Publier les failles trouvées ok, mais seulement si elles ont été corrigées, et si elles n’ont pas pu être corrigées pour de bonnes raisons, publier les détails devrait être sanctionné…





eliumnick a écrit :



Pour que ta comparaison soit juste, il faudrait que ce qui se passe chez toi voisin se passe chez une grande de la population.



Toutes les fenêtres de type ZZZ ont un défaut de fabrication, il suffit de taper 3 fois sur le gond du bas, 2 fois sur le gond du haut, sauter 3 fois sur place et crier&nbsp;cawabunga pour que la fenêtre s’ouvre.

Bon, ok, en pratique ça ne marche pas.

&nbsp;





atomusk a écrit :



Parce que tu penses que si tu dis ça à ton voisin il mettra plus de 3 mois à changer de coffre fort ou à se plaindre au constructeur pour le faire remplacer ? &nbsp;



Là Ms dit “on a une faille grave dans l’OS, si Google l’a découvert, des pirates peuvent l’avoir découvert aussi depuis plusieurs mois, mais bon, on va attendre encore un peu avant de la corriger”.&nbsp;



Et là Google a mis la deadline à 3 mois, Ms n’arrive pas à la tenir … il faut mettre quoi pour que ça passe ? 6 mois ? un an ?&nbsp;



Que la correction soit complexe, c’est une chose, mais dire “oh une faille de sécurité peut bien attendre 6 mois que Ms prenne son temps” … j’ai quand même un peu de mal&nbsp;<img data-src=" />





Là c’est clairement pas parce que MS prend son temps, et en règle générale je ne pense pas que MS prenne la sécurité à la légère (je parle au présent, le passé c’est moins sûr, mais le système était très différent à l’époque!)

Donc là c’est en quelques sortes une attaque généralisée par Google, qui se dédouane de la responsabilité en ne donnant que la procédure pour attaquer.

“Alors il y a une façon très simple pour tuer le président, …..” Ah c’est pas moi, j’ai juste dit comment on pouvait faire.

&nbsp;



&nbsp;&nbsp;



oui mais c’est pas grave.&nbsp;

Je pense que si elle a été considéré comme non critique ou faible chez MS c’est qu’il ya des raisons.

MS sait ce qu’il fait.

C’est pas des hippies dans un van VW&nbsp;








atomusk a écrit :



C’est sympa le monde des bisounours ? <img data-src=" />



Dans quel monde une entreprise n’a pas le droit de “pointer du doigt” les faiblesses de son concurrent ? 



Ms a bien les pubs Scroogle ? Apple montre à chaque conf à quel point la fragmentation d’Android est horrible.



Là Google “paye” des mecs pour trouver des failles, et les proposent à son concurent pour qu’il les corrige et lui laisse 3 mois pour y remédier … 



Après je dis pas que ce sont des chevaliers blanc <img data-src=" />

Mais que dans un panier de crabe, tout le monde se bat avec les armes qu’ils ont.







tu saisi pas la différence entre se faire de la pub avec une video et se faire de la pub en rendant une faille de sécurité d’un concurent publique?

TU sais que maintenant l’informatique ça a une influence IRL hein?!



Alors il faut qu’ils fassent un choix. Ils ont choisi de laisser tomber cette faille, et on choisi la plus importante … en effet, c’est une bonne chose&nbsp;<img data-src=" />


C’est quelle partie du mot négociable que tu n’as pas comprise?


En tout cas je me marre bien avec tout ça, il&nbsp; y en a des experts de la gestion des failles et de la complexité des codes OS (qui plus est bas-niveau). Bref avec des si on en refait des mondes.


T’es gentil, mais le patch tuesday ca existe depuis bien longtemps. Et bizarrement il y avait déjà des correctifs tous les mois, sans avoir besoin de maitresse Google qui vienne agiter le baton.



Donc les “ca serait bien plus long sans ca”, tu peux tranquillement les ranger parce que tu n’en sais rien.



&nbsp;


Quelle partie d’ultimatum tu n’as pas comprise ?&nbsp;<img data-src=" />

A partir du moment où il suffit que MS dise “on est dessus” si on rajoute 3 mois, ça veux dire que la deadline est à 6 mois.


La photo &gt;&gt;&gt;&gt;&gt;&gt; Sous titre <img data-src=" /> <img data-src=" /> <img data-src=" />


Yep, et il y a aussi des zero day, où est ce que tu veux en venir ?&nbsp;<img data-src=" />


Nouvelle règle de divulgation : “divulgation au soir du premier patch tuesday qui est à plus de 90 jours de la découverte de la faille”




  • ca couvrirait les deux cas de divulgation problématiques récents (si MS corrige bien la faille actuelle à en février, sinon c’est leur faute)

  • ca reste une deadline “fixe” et précise

  • ca se calque sur le calendrier MS existant, qui est aussi celui des admins dans les grandes boites et qui a justement pour interêt d’être régulier



    Tout le monde est content.








philanthropos a écrit :



Waip, sauf qu’elle a potentiellement un impact sur des centaines de millions d’utilisateurs, voir plus d’un milliard possiblement selon le produit.



A partir de là, on fait attention où on fout les pieds, surtout avec des failles comme celle-ci, et on évite d’imposer ses propres règles à une entreprise qui en a d’autres et qui a incomparablement plus d’expérience dans ce domaine <img data-src=" />





J’ai vu des boites se mettre d’accord pour mentir à leurs clients pour vendre leurs stocks alors qu’ils savaient que les produits vendu étaient vulnérables. J’ai même vu un type dire à un client que ce n’était pas le peine de mettre en place une solution technique qui pouvait stopper tout tentative d’attaque juste pour ne pas avoir à lui avouer que ses produits étaient atteints aussi, mettant ainsi des millions d’utilisateurs en danger (et en plus à ce moment là il y avait suffisamment de détails dans la nature pour permettre d’exploiter la faille)



Donc la responsabilités des sociétés privées vis-à-vis des corrections de failles, j’y crois pas trop.

Autant je trouverai logique que Google synchronise ses divulgations de failles qui touche MS avec les sorties de patch de MS (en arrondissant toujours à la sortie suivante) et fasse la même pour chaque éditeur ayant un cycle fixe de sortie de patch. Autant je trouve normale qu’ils leur mettent la pression avec des deadlines.



Pardon, j’avais pas compris que sur les 90 jours laissés, c’est les 2 ou 3 dernièrs jours les plus importants …&nbsp;



à moins que … comme tout être humain, on commence à bosser serieusement &nbsp;sur quelquechose que “juste avant la deadline”, et du coup au 1er souci on se retrouve à la bourre … donc c’est pas 2 jours de plus qui changeront grand chose …


J’ai peur que tes interlocuteurs, qui ont déjà lu au moins trois fois cette information dans les commentaires précédents ne fasse obstruction mentale juste pour pouvoir dégueuler sur les vilains Microsoft…



&nbsp;


Bon alors je t’explique : quand je parle négociation, ça sous-entend qu’on cherche un accord sur la base du donnant-donnant. Rien ne dit que Microsoft pourrait se permettre n’importe quoi dans cette négociation, Google peut tout à fait exiger des preuves que ça avance et des justification des délais avant de donner son accord.

Quelque chose de pas complètement binaire, quoi.



Après, c’est pas certain que Microsoft accepterait de jouer le jeu (si j’étais dev chez MS, ça me ferait mal au fondement de devoir rendre des comptes à Google!).


Ca envoi du lourd ici <img data-src=" /> .



&nbsp;A la place de Microsoft je sort le patch et si il y a effet de bord je fait une annonce pour remercier Google d’avoir mis en danger les OS. Parce qu’encore parler de Mme Michu soit … Mais le pire dans l’histoire c’est de divulger un faille qui va potentiellement affecter des entreprises ….&nbsp;



Je suis sysadmin et quand je lis ça je me dis : Heu vu le comportement de Google qu’ils aillent se faire me… pour que je déploie de leur solution chez moi.



De plus Microsoft sait sortir des patch en dehors du Tuesday Patch …. Arrêtez de délirer que c’est une fois par mois. Si ça se trouve elle sortira en dehors du cycle !



Enfin bref c’est le pot de terre contre le pot de fer ! comme d’hab. Microsoft est et trainera toujours son image de méchant et Google son image de gentil qui vous veux du bien.





&nbsp;








flagos_ a écrit :



C’est le fond du problème. MS ne publie ses patchs qu’une fois par mois, le premier mardi. Il parait que ca fatigue trop les admins en entreprise si ca arrive plus rapidement.



Au final, ca rajoute masse de latence dans le pipe, et les patchs de securité peuvent rester longtemps bloqué avant d’être déployés… juste pour pas ennuyer quelques admins fatigués par nature.





Ca se voit que tu n’y connais rien, et que tu trouves tous les prétextes pour casser du sucre sur MS (bon, comme d’hab tu me diras).

Maintenant ce sont les admins qui sont foireux et fatigués.. qu’est-ce qu’il faut pas entendre comme mauvais foi &gt;_&lt; (et je ne suis pas du tout admin)



Je fais du bruteforce, je change la formulation à chaque message des fois qu’à un moment ça fasse tilt ^^”

Ou alors je dois leur dir d’aller voir la différence entre le code de Linux et celui de openSSL pour qu’ils aient un ordre de grandeur


L’exploitation de la faille n’a pas l’air si simple.



Chez moi sur un 8.1 l’outil de test de la faille ne marche pas


Nan ce qui compte c’est la p* de date fixe des patch tuesday. C’est ce qui fait leur valeur.



Mais réveille toi ! Tu crois que si MS commencait à sortir des patch au pif en permanence les boites se mettrait à jour aussi tôt ? Tu as vu le peu de motivation que mettent les intégrateurs mobile à diffuser les nouvelles version d’android alors que tu en as 3 fois par an ?



Si tu veux le “bien commun”, tu veux une solution applicable, ce qui veut dire applicable en entreprise. Et “une fois par mois”, c’est applicable. “Quand je veux” ca ne l’est pas. Donc MS se doit d’avoir un calendrier fixe et les patch tuesday en font parti depuis des années.

&nbsp;







atomusk a écrit :



à moins que … comme tout être humain, on commence à bosser serieusement &nbsp;sur quelquechose que “juste avant la deadline”, et du coup au 1er souci on se retrouve à la bourre … donc c’est pas 2 jours de plus qui changeront grand chose …





Merci de ne pas reporter tes propres faiblesse organisationnelle sur les autres. Je suppose que tu es partisan du “vas y on balance un truc le 90 au soir, même si on a pas tout tester, on a plus le temps mec” ?









Vanilys a écrit :



Ca se voit que tu n’y connais rien, et que tu trouves tous les prétextes pour casser du sucre sur MS (bon, comme d’hab tu me diras).

Maintenant ce sont les admins qui sont foireux et fatigués.. qu’est-ce qu’il faut pas entendre comme mauvais foi &gt;_&lt; (et je ne suis pas du tout admin)





Bientôt ca sera de la faute aux utilisateurs finaux qui ne mettent pas assez la pression sur leurs admins.

&nbsp;Mais n’oublions pas, Saint Google ne dévoile les failles que pour le bien des utilisateurs finaux…









atomusk a écrit :



Là Ms dit “on a une faille grave dans l’OS, si Google l’a découvert, des pirates peuvent l’avoir découvert aussi depuis plusieurs mois, mais bon, on va attendre encore un peu avant de la corriger”. 



Et là Google a mis la deadline à 3 mois, Ms n’arrive pas à la tenir … il faut mettre quoi pour que ça passe ? 6 mois ? un an ? 



Que la correction soit complexe, c’est une chose, mais dire “oh une faille de sécurité peut bien attendre 6 mois que Ms prenne son temps” … j’ai quand même un peu de mal <img data-src=" />





Le fait de prendre du temps pour corriger une faille, c’est une chose. Microsoft se justifie, est-ce que en toute objectivité c’est vrai ou non, c’est pas le problème.

Mais le fait que Google mette à la disposition de tous comment exploiter cette faille, c’en est un autre.

Et c’est là que c’est grave ….



Car au final, quand tu y penses :




  • L’utilisateur peut éventuellement se voir hacker SI un pirate réussit à trouver la même faille que Google, l’utilise et l’exploite. Les chances sont minimes, mais elles existent.

  • Là, les chances explosent, car Google (Don’t be evil) met à la disposition de tous les connaissances et les moyens d’utiliser cette faille. Donc l’utilisateur peut en pâtir encore plus !

  • De plus, Microsoft prévient du retard, explique qu’il suffit d’attendre encore 2 jours (2 jours sur 90 jours c’est quoi ?) pour avoir la correction de cette faille, mais Google fait la sourde oreille, s’en branle et publie quand même la faille et les moyens de l’exploiter.



    Bilan : Google en a rien à foutre de l’utilisateur.

    Il fait même plus de mal que de bien au final.

    Il veut juste faire chier Microsoft, peu importe les conséquences pour le monde.



Très bien Google !&nbsp;



Microsoft doit apprendre à être plus réactif dans ces développements. Quand on voit la vitesse avec laquelle Internet explorer a évolué (et évolue) on commence à croire que Crosoft vit encore dans les années 90 lorsqu’il fallait une release de produit chaque 3 ans (ou chaque 10 ans pour XP :P)



Aller Crocro, au boulot !








Kiroha a écrit :



A la place de Microsoft je sort le patch et si il y a effet de bord je fait une annonce pour remercier Google d’avoir mis en danger les OS. Parce qu’encore parler de Mme Michu soit … Mais le pire dans l’histoire c’est de divulger un faille qui va potentiellement affecter des entreprises ….





En fait je pense qu’il y a 2 façons de penser qui s’affrontent plus ou moins ici.



D’un côté on a ceux pour qui il est plus important d’informer les utilisateurs de l’existance d’une faille pour qu’il puisse s’en protéger et de l’autre ceux qui pense que tant qu’on a pas de preuve que la faille est exploitée alors c’est comme si elle n’existait pas.



Les deux visions ont leurs avantages et inconvénients. Dans la première ça sous-entend que chaque utilisateur et capable de comprendre l’impact d’une faille et de s’en protéger ou utilise un système qui peut l’en protéger (antivirus par exemple, et encore faut-il qu’il soit bon et réactif). Dans la seconde cela sous-entend que soit une faille est publique et exploitée sois elle n’est pas publique et pas exploitée, hors c’est un peu plus compliqué que ça, ce n’est pas parce que la faille n’est pas utilisée largement et qu’on en retrouve pas de trace sur le réseau qu’elle n’est pas utilisé du tout (cf les 0-day de stuxnet par exemple).



Il faut bien se rendre compte que tant que le patch n’est pas disponible la faille existe, qu’elle soit publique ou non. Le fait qu’elle soit connue est une propriété difficile à établir. Donc laisser une faille ouverte sans donner d’informations aux gens pour s’en protéger fait courir un risque à tout les utilisateurs.

Un peu comme dans les films catastrophes où le héros sait que la ville va exploser mais est tiraillé entre ne prévenir que les autorités et espérer qu’elles trouvent une solution pour mettre tout le monde en sureté et annoncer le truc publiquement qui risque de provoquer un mouvement de panique et faire que plus de gens meurent ou sont blessés que ce qui aurait pu se passer s’il avait laisser les autorités se débrouiller.

Dans le second cas évidemment les autorités vont le blâmer en disant qu’avec leur solution il n’y aurait pas eu de blessés. Mais si ça se trouve elles n’auraient pas trouvé de solution à temps et beaucoup plus de monde serait mort.



Donc c’est pas si évident que ça du côté de celui qui connaît la faille. D’où l’idée de la deadline fixe je pense.









Vanilys a écrit :





  • De plus, Microsoft prévient du retard, explique qu’il suffit d’attendre encore 2 jours (2 jours sur 90 jours c’est quoi ?) pour avoir la correction de cette faille, mais Google fait la sourde oreille, s’en branle et publie quand même la faille et les moyens de l’exploiter.





    Pas 2 jours. 1 mois.



C’est de la gestion de risque après.

Est ce que MS prend le risque de sortir un patch corrigeant la vuln mais faisant planté un poste sur deux, ou alors MS se dit que de toute façon la faille reste compliqué à trouver ET à exploité, et que du coup ils peuvent prendre leur temps et s’assurer que le correctif ne fait pas régresser le système.


Est-on obligé de dévoiler le fonctionnement d’une faille pour fournir un moyen de s’en protéger ?








misterB a écrit :



L’age de Win 7 c’est quoi ?&nbsp;







si tu savais tout ce qu’on peut faire avec windows 7!!! si si je te jure!&nbsp; tu n’en reviendrais pas….









Vanilys a écrit :



Bilan : Google en a rien à foutre de l’utilisateur.





Bilan : impossible de recevoir le PoC par mail au taff c’est filtré par l’AV (et ça gueule quand on essaie de l’exécuter aussi). Au moins en attendant le fix de MS ont peu se défendre un minimum.



Quelle brochette d’emmerdeurs chez Google! Ils comptent passer leur temps à dévoiler la moindre faille non corrigée après 3mois sur windows?



&nbsp;








shadowfox a écrit :



&nbsp;



T’es spécialiste en dev bas-niveau pour dire ça ?





C’est un spécialiste en troll MS, c’est tout ce qu’il y a à savoir.



Non tu as raison, c’est juste la 3eme faille qui loupe le coche en moins d’un mois à “2 jours pres”.&nbsp;



faut croire que le chiffre magique de réparation des failles pas 90 jours mais 92. &nbsp;pas de bol, ça se joue à 3% …&nbsp;








ouvreboite a écrit :



Est-on obligé de dévoiler le fonctionnement d’une faille pour fournir un moyen de s’en protéger ?





En général tu es obligé de donner suffisamment d’informations pour permettre à un pirate d’en déduire le fonctionnement de la faille de toute façon:

Si c’est des solutions au niveau du réseau et que tu dis quel type de paquet doit être bloqué, n’importe quel personne qui va tester ces paquets va trouver le problème en quelques heures.

Si c’est via un exploit d’un programme, il faut forcément donner des moyens permettant d’identifier la partie critique de l’exploit. Donc autant décrire l’exploit en fait, ça revient au même et les fournisseurs de solutions AV/IDS seront plus efficaces avec le vrai exploit en face pour en déduire les variantes possibles qu’avec une description plus ou moins vague.









atomusk a écrit :



Parce qu’un ultimatum n’a du sens que si il est appliqué.



Si Google disait “ok, on repousse de 1 mois” à chaque fois que MS n’est pas pret, au final on revient au modele : on attend 2 ans que Ms finisse son patch.







Donc tu préfères que des pirates (débutants) utilisent les failles alors.

Logique quoi … <img data-src=" />









after_burner a écrit :



Quelle brochette d’emmerdeurs chez Google! Ils comptent passer leur temps à dévoiler la moindre faille non corrigée après 3mois sur windows?





Sur leur bugtracker t’as aussi des failles Mac OSX qui ne sont pas corrigés dans les temps <img data-src=" />



En fait, on ne peut pas parler de “White hat” pour Google mais de “Black hat”.



Divulguer des failles (non corrigées) au publique, c’est aussi diffuser ces même failles aux mafias pirates.



<img data-src=" />








jeje07 a écrit :



si tu savais tout ce qu’on peut faire avec windows 7!!! si si je te jure!&nbsp; tu n’en reviendrais pas….





Je sais oui&nbsp;<img data-src=" />









FRANCKYIV a écrit :



Donc tu préfères que des pirates (débutants) utilisent les failles alors.

Logique quoi … <img data-src=" />





Donc toi tu préfères laisser le champs libres aux pirates expérimentés qui auront aussi trouvé la faille? À moins que tu préfères miser sur le fait que personne d’autre n’a trouvé la faille? C’est sympa ça de jouer la sécurité de centaines de millions de PC sur une supposition invérifiable…









atomusk a écrit :



Non tu as raison, c’est juste la 3eme faille qui loupe le coche en moins d’un mois à “2 jours pres”.&nbsp;



faut croire que le chiffre magique de réparation des failles pas 90 jours mais 92. &nbsp;pas de bol, ça se joue à 3% …&nbsp;





La première fois le patch était prêt et devait être diffusé deux jours plus tard.

cette fois le patch était également prêt mais provoquait des problèmes de compatibilité, donc a été reporté.



Rien à voir avec ce que tu dis, donc ….









Khalev a écrit :



Donc toi tu préfères laisser le champs libres aux pirates expérimentés qui auront aussi trouvé la faille? À moins que tu préfères miser sur le fait que personne d’autre n’a trouvé la faille? C’est sympa ça de jouer la sécurité de centaines de millions de PC sur une supposition invérifiable…







1000 personnes sont capables d’utiliser la faille.

100 000 personnes en sont capables maintenant



(chiffres totalement arbitraire)



Normal quoi … <img data-src=" />



Lors de la précédente news mes collègues du pôle juridique m’avait dit que Google se tient strictement au délai de 3 mois surement&nbsp; pour éviter des problèmes juridiques.



En effet s’il cède à MS ou un autre et qu’il ne cède pas à une autre entreprise, cette autre entreprise pourra être tenter de faire un procès en disant que Google privilégie MS et qu’il y a une sorte d’entrave à la concurrence.








FRANCKYIV a écrit :



Divulguer des failles (non corrigées) au publique, c’est aussi diffuser ces même failles aux mafias pirates.





Et c’est aussi les diffuser aux admin sys qui peuvent mettre en place les mesures pour s’en protéger, les antivirus sont mis à jours, les IDS aussi, etc…



Faut pas croire que quand une faille est publiée en FD seules les mafias pirates surveillent le truc…









Khalev a écrit :



Sur leur bugtracker t’as aussi des failles Mac OSX qui ne sont pas corrigés dans les temps <img data-src=" />





Ils mettent pas leurs propres failles par hazard??? (m’enfin je crois connaître la réponse…)



Qu’il corrigent les bugs de leur Anroïd lolipop plutôt, au lieu d’essayer de passer une fois de plus pour les “preux” de l’informatique.&nbsp;<img data-src=" />

&nbsp;

&nbsp;







&nbsp;



&nbsp;<img data-src=" />

&nbsp;









Khalev a écrit :



Et c’est aussi les diffuser aux admin sys qui peuvent mettre en place les mesures pour s’en protéger, les antivirus sont mis à jours, les IDS aussi, etc…



Faut pas croire que quand une faille est publiée en FD seules les mafias pirates surveillent le truc…







Ca veut dire quoi FD ?









FRANCKYIV a écrit :



1000 personnes sont capables d’utiliser la faille.

100 000 personnes en sont capables maintenant et 1 000 000 d’adminsys sont capables de s’en protéger.



(chiffres totalement arbitraire le mien aussi)



Normal quoi … <img data-src=" />





Sachant qu’il suffit d’une personne pour réaliser une attaque. Je préfère que les personnes capables de s’en protéger soit au courant, ça réduit grandement la surface d’attaque et les chances qu’aurait un exploit d’infecter des cibles.









FRANCKYIV a écrit :



Ca veut dire quoi FD ?





Full disclosure.



Désolé :-)









after_burner a écrit :



Ils mettent pas leurs propres failles par hazard??? (m’enfin je crois connaître la réponse…)



Qu’il corrigent les bugs de leur Anroïd lolipop plutôt, au lieu d’essayer de passer une fois de plus pour les “preux” de l’informatique. <img data-src=" />





En même temps je peux comprendre qu’une équipe dédiée à la découverte de faille se concentre sur la découverte de faille plutôt que corriger des bugs <img data-src=" />. J’ai rien trouvé comme info par contre si ils regardent aussi les produits Google et s’ils utilisent ce Bug Tracker pour les failles Google qu’ils trouvent.









Khalev a écrit :



Sachant qu’il suffit d’une personne pour réaliser une attaque. Je préfère que les personnes capables de s’en protéger soit au courant, ça réduit grandement la surface d’attaque et les chances qu’aurait un exploit d’infecter des cibles.







Pour le cas de l’antivirus qui s’adapterait pour bloquer la faille effectivement <img data-src=" />









Khalev a écrit :



Full disclosure.



Désolé :-)







ok ok









Khalev a écrit :



En même temps je peux comprendre qu’une équipe dédiée à la découverte de faille se concentre sur la découverte de faille plutôt que corriger des bugs <img data-src=" />. J’ai rien trouvé comme info par contre si ils regardent aussi les produits Google et s’ils utilisent ce Bug Tracker pour les failles Google qu’ils trouvent.





Ils ont forcément une équipe qui corrigent leurs propre bugs, évidement ils ne communiquent pas dessus si après 3mois les bugs sont toujours là, personne ne fait ça c’était juste pour troller un peu :)



Mais cet esprit d’aller pointer du doigt les bugs chez les autres et de les déballer parce qu’ils ont décidé que 3 mois c’est la limite, j’aime pas trop. <img data-src=" />









after_burner a écrit :



Mais cet esprit d’aller pointer du doigt les bugs chez les autres et de les déballer parce qu’ils ont décidé que 3 mois c’est la limite, j’aime pas trop. <img data-src=" />







+1



Pourquoi attendre 3 mois d’ailleurs ?



Si on me dis que les éditeurs d’antivirus ou autres admins pourront s’en protéger, autant divulguer tout de suite non ?



Ca fait carrément genre chantage quoi …









FRANCKYIV a écrit :



En fait, on ne peut pas parler de “White hat” pour Google mais de “Black hat”.



Divulguer des failles (non corrigées) au publique, c’est aussi diffuser ces même failles aux mafias pirates.







Au public ! Le grand public, un bien public, le public applaudit ! didiou <img data-src=" />



Sinon sympa la photo de l’article <img data-src=" />









Konrad a écrit :



Au public ! Le grand public, un bien public, le public applaudit ! didiou <img data-src=" />



Sinon sympa la photo de l’article <img data-src=" />







Désolé Maître Capello … <img data-src=" />









FRANCKYIV a écrit :



Désolé Maître Capello … <img data-src=" />







Nous vous en prions <img data-src=" />



Merci pour les utilisateurs et clients.


Pour moi la reponse est claire : si microsoft n est pas assez bon dans sa reactivite , google est clairement un malfaisant que je boycotte auant que possible !


90 jour c’est une “deadline” pas une “cible”.



Petit rappel du concept de “responsible disclosure” :



Hackers and computer security scientists have the opinion that it is their social responsibility to make the public aware of vulnerabilities with a high impact. Hiding these problems could cause a feeling of false security.&nbsp;



Alors, oui, il semble que cette partie manque : “[…] the involved parties join forces and agree on a period of time for repairing the vulnerability and preventing any future damage. “&nbsp;



Autant la soltuion de Microsoft étant : laissez nous tranquille, vous vous asseyez sur la faille (http://technet.microsoft.com/en-us/security/dn467923 ), le temps qu’on fasse notre boulo, j’ai des doutes qu’un “accord” soit possible … Google veux du “responsible”, Microsoft du “Coordinated” …&nbsp;



Maintenant si c’est pour se retrouver avec une faille en “zero day” qui avait été remontée 6 mois avant :

http://searchsecurity.techtarget.com/news/2240221143/Microsoft-fails-to-address-…


Et je sais que c’était “la” chose que tu attendais pour finalement te décider à boycotter Google&nbsp;<img data-src=" />


La réponse de ms a été : “on a bossé dessus et on déploie le patch dans&nbsp;2&nbsp;jours, vous pouvez attendre deux jours ?”

et cette fois : “on a fait un patch mais si on l’envoie tel quel, ca flingue une partie des machines sur lesquelles il va être déployé, vous pouvez attendre le temps qu’on fixe ca ?”



Alors qu’à chaque fois celle de google a été : “gnagnagna on entend pas, fuck tout le monde”



Bref, yen a un des deux qui essaye de limiter les dégâts (pas assez vite au gout de l’autre), et l’autre que ca ne dérange pas de mettre des milliards d’utilisateurs en danger (que ce soit en divulguant des failles des autres, lu en ne patchant les siennes).



Le&nbsp;point positif&nbsp;de ces histoires, c’est que de plus en plus de gens commencent&nbsp;à voir le vrai visage de google, loin de l’image de chevalier blanc que beaucoup en ont.


On parle de faille qu’existe depuis au moins 4 ans… Ou des fois depuis XP c’est pas un mois qui va changer quelque chose.&nbsp;&nbsp;&nbsp;

Sinon les antivirus ne corrigent pas les failles, ils ne font , dans la majorité des cas, que scanner ton PC avec les “signatures des virus connus”.&nbsp;

Donc divulguer la faille ne changera pas grand chose pour eux.&nbsp;&nbsp;

Et pour les IDS c’est la même chose.&nbsp;&nbsp;

Quand aux admin sys, ils se disent qu’il va encore falloir redémarrer leurs WS2003 et que ca va encore être la galère.&nbsp;&nbsp;

Perso je pense que comme tout décision radicale et généraliste, elle est complètement stupide. Et elle peut pousser n’importe quelle boite à faire moins de test avant de pousser la MAJ et de se retrouver avec des millions de PC transformés en brique à 500$


Ah qu’il est bien loin le “don’t be evil” …








fr0d0n a écrit :



Ah qu’il est bien loin le “don’t be evil” …





Il n’a surtout jamais existé. Aucune boite n’est toute blanche ou toute noire, tout secteurs confondus.



Mais faut avouer que cette politique est dangereuse et irresponsable.



Non je boycotte depuis longtemps…. mais il est toujours bon de rappeler aux fan boys bien naif à quel point google est evil,


Sérieusement: il y en a qui croit réellement que Google fait cela pour le bien de la collectivité ? <img data-src=" />


Non, ce qu’a dit Google c’est : il faut que ça soit corrigé avant dans 90 jours

Ms a dit : non, vous allez attendre qu’on ait fini

Google a dit : 90 jours



90 jours arrive, Ms a pas fini, ils disent : au sujet des 90 jours, ça passera pas



Et Google s’en est tenu à ce qu’ils ont dit depuis le début … c’est con ? Yep.

Ca fait chier MS ? yep



Mais la prochaine fois Quand Google dira 90 jours, ils mettront pas une étoile sur +90, mais sur +60&nbsp;<img data-src=" />


Mais non. Ca leur fait de la pub à Google.

Au bout d’un certain moment ils vont publiés leurs stats disant : “Alors MS a été prévenu x fois, n’a jamais corrigé y vuln, et à mis plus de 3 mois à corriger z vulns.

Vous voyez ? Nous on les prévient, on leur laisse 3 mois pour tout corriger et eux ils se permettent de faire les difficiles”


Non, clairement c’est une méthode pour mettre la pression à Ms et faire passer un message de “les experts en sécu sont chez nous”, donc ils se font une image de boite sécure et pourraient même attirer des jeunes talents.&nbsp;



Ils dépensent du fric pour payer les chercheurs, ils trouvent de vrai failles, qui “au final” améliorent la sécurité de leurs produits et des produits concurrents.&nbsp;



Derrière ils mettent en place des deadline “réalistes” (vu qu’on me dit qu’il suffisait de 2 jours et pouf, c’était parfait) et font de la news dessus … où c’est eux qui sont les experts et Ms les “mauvais élevés”.



C’est toujours mieux que de dépenser des dizaines de milliers d’euro pour faire des pubs pour dire à quel point le concurrent est EVIL &nbsp;<img data-src=" />

&nbsp;








atomusk a écrit :



C’est toujours mieux que de dépenser des dizaines de milliers d’euro pour faire des pubs pour dire à quel point le concurrent est EVIL  <img data-src=" />





Sérieusement je ne suis pas sur que la “pub” pour Google soit si positive que cela…



En tout comme dit avant ils ont intérêt à être irréprochable parceque sinon le retour de baton va être rude… et c’est un doux euphémisme…



La question est bonne …&nbsp;

Pour moi les experts en sécurité sont plutot du coté de Google (mais si je suis d’accord que ca reste discutable), parce que voir Ms ne rien faire sur une faille de sécurité remontée il y a plus de 3 mois doit faire “bouillir”.



La communauté “Open source” doit être entrain de mouiller leur pantalon&nbsp;<img data-src=" />&nbsp;on ne fait pas news plus délicieuse … (surtout après la série de mauvaise news autour de la sécurité de “bases de l’open source” <img data-src=" />).



Les entreprises ça doit être bien moins positif&nbsp;<img data-src=" />&nbsp;… mais d’un sens pas mal de DSI de grosses boites doivent se dire que si on peut éviter d’avoir une faille critique qui traine 3 mois sur le bureau de devs de MS pendant que des pirates sont entrain de me violer mes données “Sony Style” ils seraient pas contre&nbsp;<img data-src=" />.

Au moins publier clairement quels sont les risques et si c’est “trop grave” potentiellement fermer des services (comme avec Sony par exemple). Quand on voit le “full disclosure” de HeartBleed, ça a fait un SACCRE bordel, mais au moins tout le monde a pris ses responsabilités.



Reste pour moi l’image du :




  • google considère qu’une faille de sécurité ne doit pas rester plus de 90 jours dans un OS (hein ? Android ? bah ils ont qu’à installer AOSP&nbsp;<img data-src=" />), et si ce n’est pas fait =&gt; full disclosure

  • Microsoft considère qu’ils doivent avoir le temps de faire leur patch même si ça augmente le risque de zero day.


Je ne comprends vraiment pas l’objet de vos disputes. <img data-src=" />

Une faille de plus ou de moins dans Windows… <img data-src=" />


La “communauté” open-source s’en contre-fout tout du moins en tant que majorité. Et ils pensent pas tous pareil, truc énorme.&nbsp;&nbsp;&nbsp;

Les experts en sécurité ne sont pas “plutôt” du côté d’android. En tout cas pas depuis que microsoft à décider de se charger de sécuriser ses OS et une bonne partie du web (après plus ou moins que google…)&nbsp;

Les failles 0-day qui ne sont pas en “full-disclosure” ne sont généralement pas celle utilisées par les scripts kiddies pour pirater le site web du DSI moyen. Une 0-day sur windows non découverte ca tournait dans les 100k$ au marché noir l’année dernière.&nbsp;&nbsp;

Sortir un patch de chiffrement de la mémoire (je suis pas dev, je suis p-e le seul dans les commentaires à ne pas être à la fois dev, expert sécu et ingé sys) et s’assurer que ca transforme pas ton PC en brique ca m’étonnerait pas que ca prenne plus de 3 mois.

Y’a strictement aucun rapport avec l’affaire sony.

Tout le monde n’a pas pris ses responsabilités sur heartbleed une partie des serveurs sont encore exploitable.&nbsp;

&nbsp;

Pour résumer :&nbsp;&nbsp;




  • Google en passant la faille en full-disclosure a probablement fait passer la faille d’un exploitation par des pro à une exploitation par des script-kiddies un mois avant le patch&nbsp;

  • Ca aurait été fait un mois plus tard par du reverse-engineering du patch mais ca aurait laissé le temps à toute les ingés sys qui le veulent/peuvent de ne plus être INpactés.&nbsp;

  • D’un autre côté p-e que MS sera plus rapide la prochaine fois (ou pas, j’en sais rien je suis pas dev).&nbsp;

  • Est ce que c’est une bonne chose ? Aucune idée, par contre avoir une limite de 3 mois fixes quelque soit le contexte ou la situation (nombre de hardware différent), bien que ce soit complètement américain, c’est aussi complètement stupide.&nbsp;&nbsp;








Ksass`Peuk a écrit :



http://www.zone-numerique.com/android-4-3-une-faille-qui-ne-sera-pas-corrigee-par-google.html



Et la méthode de Google pour se laver les mains c’est “ben c’est pas de notre faute, c’est les constructeurs qui mettent pas à jour vers 4.4”. (j’ai pas poussé plus loin mais ça doit pas être la seule).





Les constructeurs qui mettent pas à jour en 4.4 n’auraient pas plus mis à jour en 4.3.z avec le correctif : ils ne mettent tout simplement pas à jour (ou après avoir fait quelques mises à jour, arrêtent complètement - sans le dire officiellement, et en continuant de vendre les appareils bien sûr).



Et vu qu’il n’y a pas de différence fondamentale entre un 4.3 et un 4.4, on ne peut pas trop le reprocher à Google, parce que c’est pas vraiment plus compliquer de mettre à jour d’un 4.3 à un 4.4 que d’un 4.3.z1 à un 4.3.z2. C’est comme si on reprochait à Microsoft de ne pas corriger les failles dans 8 mais uniquement dans 8.1, ou plus anciennement de ne pas corriger des failles sur XP sans Service Pack mais uniquement sur XP SP3.









misterB a écrit :



L’age de Win 7 c’est quoi ?





Il faut faire la différence entre un OS gratuit dont tu peux avoir les mises à jour sans payer donc, et un autre où il te faut payer (et cher) pour avoir la version suivante.









azerothl a écrit :



Je sais pas si tu es dev, mais si c’est le cas, tu devrai savoir que ce qui prend le plus de temps n’est pas la correction de faille, mais plus les tests de non régression, pour un programme pas trop complexe ça peut déjà prendre un certain temps, alors sur un os (quel qu’il soit, d’ailleur si tu penses que c’est plus court sur les autres, c’est une erreur, c’est juste que certain test sont déportés)…





Le plus long (pour une faille comme pour un autre bug) c’est en général plutôt la reproduction (i.e. identification de la situation dans laquelle cela se produit) et l’identification de la cause (i.e. pourquoi ça fait ça). Il est rare que la résolution soit plus longue que ne serait-ce qu’une de ces étapes (et je parles d’expérience).



Tu n’as pas compris que PCI est rempli de spécialistes improvisés en tous genres. <img data-src=" />








Jed08 a écrit :



Oui mais là on parle de failles qui touche le système d’exploitation !

3 mois pour reproduire l’exploitation, trouver la faille, la corriger, et s’assurer qu’il n’y a pas d’effets de bord indésirables pour la quasi-totalité des configurations pouvant exister, c’est pas réécrire une condition de 10 lignes de code.





Visiblement les instructions de Google concernant la faille étaient assez précise et Microsoft a pu reproduire sans problème (de ce que je comprends de l’article). Partant de là, le plus gros était fait, il restait alors comme réelle charge (en termes de ressources) l’identification de la cause, la correction étant alors le plus souvent très rapide, ou en tout cas une “première correction” corrigeant le problème même si elle nécessite d’y repasser pour que ce soit “bien fait” et ne devienne pas une future source de bugs.









Gorkk a écrit :



[…]la correction étant alors le plus souvent très rapide, ou en tout cas une “première correction” corrigeant le problème même si elle nécessite d’y repasser pour que ce soit “bien fait” et ne devienne pas une future source de bugs.






      C'est justement là tout le nœud du problème. Et vu que tu as dis dans un autre commentaire "[...]et je parle d'expérience" tu dois sans doute le savoir.           






     Tout d'abord, Google a démontré une façon d'exploit une faille, rien n'est dit qu'il n'en existe pas plusieurs variantes, ce sur quoi il faut travailler, et donc prend du temps.           






     Ensuite le soucis principal a été relevé par MS très clairement : ce n'est pas la faille elle-même qui pose problème, elle a été corrigée, mais ce sont les "effets de bord" sur tout ce qui peut être en interaction avec la fonction qui posait problème. Planter des millions de PC à travers le monde à cause d'un MAJ trop rapide (ça a été le cas y'a pas si longtemps si vous vous souvenez) ce n'est pas trop le genre de la maison, ni que quiconque d'ailleurs.           






     Alors en effet, certains ici souhaitaient sans doute que MS publie le patch tel-quel pour corriger la faille. Soit.           

Et si leur système(s), voir toute leur infra' était tombée, on sait parfaitement sur qui la faute serait retombée <img data-src=">

Je vois d'ici les "MSdaube qui sort des patch pour tout faire planter, système de merde, blablablatrolltrolltroll".






     Remarque, ça aurait bien fait les affaires de Google ça <img data-src=">  

&nbsp;

Bref, je pense que les gars qui corrigent les failles chez MS doivent avoir pas mal la pression en général au vu de l'impact de leur travail, j'ajoute sans trop me mouiller que ça doit pas être des simples stagiaires de 3ème mais bien des types chevronnés, et pour terminer au vu de l'expérience de MAJ des logiciels de MS, on a affaire a un des plus réactifs &amp; ancien dans le domaine.







Tout ça pour dire que si vous vous pensez capables, tous, de travailler chez MS pour corriger les failles bas-niveau sur un OS qui est utilisé par des centaines de millions d’utilisateurs (et autant de PC différents) tout en sachant qu’une seule faute dans le code peu planter toutes les machines : postulez ! Je suis certain qu’il y a une place pour vous. Et au vu du nombre d’experts omniscients avec 30 ans d’expérience qui trainent sur le Forum, nous sommes certains que Windows 10 sera invulnérable <img data-src=" />



Ça, on n’en sait rien s’ils ont mis 1 ou 90 jours à se mettre sur la faille.


Sauf que ça ne fonctionne pas comme ça. Pour une faille non exploitée, il ne sert à rien de déployer un patch à l’arrache, non testé qui a de grande chance d’apporter des soucis d’incompatibilité avec certains matériels et/ou logiciels. Les validations suivent des process stricts. Ce n’est pas “on corrige, on compile, on commit, on met en prod”, dans un environnement comme Windows, ce serait suicidaire.








flagos_ a écrit :



Les failles peuvent intervenir sur des softs comme apache ou openssh. Les distrib maintiennent également ces logiciels, là où MS en maintient moins.&nbsp;





IIS, Partage de fichiers windows, le spooler d’impression, le serveur DHCP et j’en passe, c’est pas eux ? Bien sûr que si ils en maintiennent, plein, c’est juste que c’est mieux intégré au système et que tu te dis que ceci ou cela c’est la même chose, non c’est pas la même chose.



Tandis que pour Apache, c’est les gus d’apache qui corrigent, Samba, c’est les types de samba, pour le serveur d’impression c’est les mecs du serveur d’impression, pour dhcpd, c’est les mecs de dhcpd et j’en passe.

Les types qui tiennent la distribution font la compilation avec les bons paramètres et font le paquet d’installation. Ils font un patch spécifique à leurs distro s’ils ont fait les kékés au point de casser quelque chose.

Ce qui change d’une distro à l’autre c’est la fréquence à la quelle les types refont une build de la version, et s’ils font que les versions stables à tout prix ou les plus récentes possible.



Je dis pas le contraire.&nbsp;

Ce que je dis c’est qu’ils ont, de toute évidence, mis la cible de lancement proche de la deadline communiquée, se mettant à risque que l’update arrive après la deadline en cas de souci, ce qui est arrivé.


C’est toujours pas ça mais c’est pas grave, tu fais vraiment exprès de ne pas comprendre ?&nbsp;

&nbsp;&nbsp;&nbsp;

Sinon, si&nbsp;on parlait de la légitimité de google à fixer des dates butoirs en&nbsp;se prenant pour la police de la sécurité&nbsp;alors qu’eux mêmes ne patchent volontairement pas des failles dangereuses pour des centaines de millions de leurs utilisateurs ? Je t’aide, elle est nulle.


Cette faille en particulier est une élévation de privilège. Destructeur quand tu es dans le système, inutile depuis l’extérieur.&nbsp;

Concrètement, si je ne m’abuse, (mais j’ai pas vraiment suivi les derniers détails) les premiers rapports de la faille de Sony étaient un piratage “depuis l’intérieur”, donc c’est en fait exactement le genre de faille qui aurait pu être utilisée dans le piratage de Sony.&nbsp;



Donc dans l’hypothèse (farfelue, je le conçoit parfaitement), ou l’attaquant aurait eut accès à cette faille “zero day” pendant tout le temps où Ms fait son patch il peut l’exploiter.&nbsp;



Maintenant si Microsoft considérait cette faille comme “prioritaire” (ce qui ne semble pas franchement être le cas), voyant qu’ils avaient loupé la deadline, ils auraient pu publier un hotfix vu qu’ils savaient que Google la publierait.



&nbsp;


&nbsp;3 lignes et autant d’âneries, tu dois détenir un record d’une certaine manière <img data-src=" />


Google a patché toutes les failles dans son Os.&nbsp;



LE souci c’est le business model qu’ils ont choisi pour Android laisse toute latitude aux OEM pour customiser l’OS, donc ils n’ont pas de latitude pour pousser un patch hors de :




  • Google services

  • Play Store



    Et justement la dernière news à la mode qui dit que Google ne “corrigera pas la faille sur les anciennes version” est juste la traduction de :

  • sur les anciennes versions on a pas laissé la main pour patcher les WebView depuis le play store

  • sur les nouvelles on a maintenant fait en sorte qu’on puisse



    Ironiquement, donc, ça traduit une avancée par rapport à avant =&gt; maintenant ils peuvent AU MOINS patcher la webView … avant ils auraient dit “c’est aux OEM d’appliquer le patch”.

    &nbsp;

    C’est con ? yep ! Ils auraient du faire un business model à la MS pour forcer les OEM à utiliser à 95% leur design de réference ? sans doute.



    En attendant leur business model leur donne des parts de marché confortable. On verra si le business model de Microsoft arrivera à remonter la pente.








philanthropos a écrit :



Tout ça pour dire que si vous vous pensez capables, tous, de travailler chez MS pour corriger les failles bas-niveau sur un OS qui est utilisé par des centaines de millions d’utilisateurs (et autant de PC différents) tout en sachant qu’une seule faute dans le code peu planter toutes les machines : postulez ! Je suis certain qu’il y a une place pour vous. Et au vu du nombre d’experts omniscients avec 30 ans d’expérience qui trainent sur le Forum, nous sommes certains que Windows 10 sera invulnérable <img data-src=" />







Y’a pas d’experts, que des mauvais commerciaux de SSII.



Tu sais, ceux qui te vendent une nouvelle application totalement inédite avec un cahier des charges de la taille d’un annuaire téléphonique pour seulement 2 jours de dev, garanti sans bugs ni failles.



Soit ça, soit du discours de manager à coup de Yaka, Faukon. Enfin en l’occurence, Yzavaika, Faukil.



Je ne connais ni l’étendue ni la complexité du code incriminé, mais ça ne devrait pas leur prendre autant de temps.

C’est peut-être encore du code hérité des anciens process de production.








atomusk a écrit :



La question est bonne … 

Pour moi les experts en sécurité sont plutot du coté de Google (mais si je suis d’accord que ca reste discutable), parce que voir Ms ne rien faire sur une faille de sécurité remontée il y a plus de 3 mois doit faire “bouillir”.





Pas d’accord avec l’ensemble de tes propos.

Dans tes phrases, tu as une manière de présenter les choses telles que Google semble “par défaut” avoir raison et que MS a tort (“Voir MS ne rien faire …”).

On ne sait rien de ce qu’il se passe derrière tout ça. La seule info officielle vérifiable, c’est que Google a lâché les infos sur une faille non corrigée.

De mon point de vue, comme déjà cité par plusieurs personnes ici, j’accepte de croire qu’une faille dans le système de chiffrement de la mémoire, donc fonction au cœur d’un système complexe, vendu à des centaines de millions d’exemplaires sur des configs toutes différentes, je veux bien croire que ça prenne du temps à corriger et à vérifier.

Que Google mette en avant un côté “chevalier blanc”, pourquoi pas. Qu’il s’érige en policier du net, certainement pas. Pour moi, Google est irresponsable dans le cas présent.



Donc en gros, tu ne connais rien du problème (comme tout le monde ici), mais tu es malgré tout sûr que ça ne devrait pas être aussi long. Balèze quand même …


Donc on a une entreprise privée qui a sur un outil de tracking une faille que tu dis critique, avec différents employés qu’on ne peux pas controler completement, avec un système qui peut tres bien avoir des failles de sécurité …&nbsp;



et on laisse trainer 3-6 mois sans prévenir personne alors que la faille est (comme tu le dit, encore) critique ?



Est ce que c’est la solution idéale ? non. &nbsp;Est ce que c’est une solution pour mettre la pression sur Ms pour publier au plus vite un correctif. Assurement.&nbsp;








Gorkk a écrit :



Il faut faire la différence entre un OS gratuit dont tu peux avoir les mises à jour sans payer donc, et un autre où il te faut payer (et cher) pour avoir la version suivante.





Non ce sont seulement deux business modèles différents, l’un tu donnes de l’argent, l’autre tes données pour cibler la pub, ça reviens au même, ce n’est pas gratuit dans les deux cas&nbsp;<img data-src=" />



&nbsp;Et quand MS dit que le correctif est prêt mais qu’il est pas encore publiable pour des soucis de compatibilité, est-ce que c’est la bonne solution pour se foutre royalement de centaines millions d’utilisateurs et les mettre encore plus en danger qu’ils ne&nbsp;l’étaient ? Assurément.


Encore une fois, 90 jours c’est la deadline, pas la cible.


AOSP n’envoit aucune données. C’est quand on ajoute les play services et qu’on inscrit son compte Google, par contre&nbsp;<img data-src=" />


Mais on s’en fout de cette deadline. Elle a été fixée arbitrairement sans aucun fondement autre que la volonté de google qui se prend pour un spécialiste de la sécurité.

&nbsp;

Si demain google a encore plus envie de faire chier le monde et&nbsp;la fixe à 3 jours “parce que ca doit être facile à réparer quand même” (comme le disent tous les experts ici présents), on fait quoi ?








darth21 a écrit :



Et quand MS dit que le correctif est prêt mais qu’il est pas encore publiable pour des soucis de compatibilité, est-ce que c’est la bonne solution pour se foutre royalement de centaines millions d’utilisateurs et les mettre encore plus en danger qu’ils ne l’étaient ? Assurément.





Sauf que tu pars du postulat que diffuser une faille mets forcément les utilisateurs en danger. Et ça c’est pas forcément vrai…



Sinon on peut aussi dire que aucun éditeur ne devrait patcher une faille tant qu’il n’a pas été prouvé qu’elle a été exploitée, puisque les pirates savent très bien faire du reverse engineering sur les patchs pour retrouver la faille. C’est donc irresponsable de la part de MS de publier un patch alors qu’on ne sait pas si la faille est exploitée mais qu’on sait très bien que tout le monde ne mets pas son système à jour immédiatement.









atomusk a écrit :



C’est sympa le monde des bisounours ? <img data-src=" />

Dans quel monde une entreprise n’a pas le droit de “pointer du doigt” les faiblesses de son concurrent ?







Du genre quand cela prend en otage les clients finaux… Tiens je vais te car-jacker pour prouver les faiblesses du constructeur de ta voiture, c’est légal c’est pour montrer les faiblesses du constructeur…



Dit comme ça, cela sonne différent, non ? C’est autre chose qu’une pub humoristique hein.









aureus a écrit :



Sinon les antivirus ne corrigent pas les failles, ils ne font , dans la majorité des cas, que scanner ton PC avec les “signatures des virus connus”. 

Donc divulguer la faille ne changera pas grand chose pour eux.  

Et pour les IDS c’est la même chose





J’ai jamais dit que les AV corrigent les failles. Par contre ils permettent de mettre en place des procéèdure de mitigation pour réduire la surface d’attaque.

Tu m’expliques sinon pourquoi je ne peux pas recevoir le PoC ou une version obfusquée par email au taff?









caesar a écrit :



Du genre quand cela prend en otage les clients finaux… Tiens je vais te car-jacker pour prouver les faiblesses du constructeur de ta voiture, c’est légal c’est pour montrer les faiblesses du constructeur…



Dit comme ça, cela sonne différent, non ? C’est autre chose qu’une pub humoristique hein.





Ton analogie est fausse. Là c’est plutôt tu postes une vidéo où tu montres comment ouvrir et démarrer la voiture sans clé.



Alors vu qu’apparemment tout le monde est expert dans la correction de failles de sécurités de bas niveau (mais que personne n’a jamais du lire le post de Google), voilà ce que l’on sait sur la failles en question :





This might be an issue if there’s a service which is vulnerable to a named pipe planting attack or is storing encrypted data in a world readable shared memory section.





Donc déjà la faille pourrait être un problème si les services qui utilisent la fonctionnalité en question sont vulnérable à une attaque spécifique (j’ai pas réussi à trouve de détail sur cette attaque) ou qu’il stocke des données chiffrées dans des sections de mémoire partagées lisibles par tous (coucou je garde mon coffre fort juste à côté de ma boite aux lettres).

Bref si MS voulait faire son “Google”, il pourrait très bien dire : “nos services utilisant cette fonction sont sécurisés et donc non vulnérables, c’est aux développeurs de faire attention à ce qu’ils font”.



Pour revenir sur mon argument principal, on a donc une vulnérabilité exploitable uniquement dans 2 cas bien précis, qui ne (contrairement à ce qui a été dit) permet une élévation de privilège que très limitée (un attaquant ne va pas pouvoir devenir admin de la machine grâce à ça), et touche une fonction qui est très certainement utilisée par plein de services différents. Donc le moindre changement pourrait causer un dysfonctionnement des services qui l’utilisent.

Il est probable que MS soit également obligé de modifier le code de tous ses services utilisant cette fonction.



Donc au final la vulnérabilité reste assez difficile à exploiter (difficile à industrialiser et à produire des script en masse), et la charge de travail nécessaire pour fournir un patch qui ne plombe pas tout l’OS peut dépasser les 3 mois.


wtf&nbsp;<img data-src=" />



Voilà sans doute l’analogie la plus bidon au monde&nbsp;<img data-src=" />



Google n’a pas volé de données … techniquement Google a annoncé que cette faille avait un potentiel de mettre en danger les utilisateurs, et a dit que si des actions n’était pas prise pour corriger cette faille sous 90 jours elle sera publique.&nbsp;



Si tu donne une faille dans le fonctionnement de la sécurité d’une voiture qui permet de faciliter grandement le car jacking, que tu prévient le constructeur -et qu’il a un moyen de corriger (genre update du firmware sur internet)- , je ne considère pas que c’est une prise d’otage que de dire : sous 90 jours je publie la faille .



Le danger est là, il est réél, n’importe qui peut le trouver, et les impacts potentiels sont largement plus importants que de se faire voler une voiture.&nbsp;



Quand tu vois les dégats qu’on fait l’attaque sur Sony ..


De tout façon, je pense qu’on va devoir s’accorder sur notre désaccord&nbsp;<img data-src=" />








Jed08 a écrit :



Donc au final la vulnérabilité reste assez difficile à exploiter (difficile à industrialiser et à produire des script en masse), et la charge de travail nécessaire pour fournir un patch qui ne plombe pas tout l’OS peut dépasser les 3 mois.





Et donc du coup c’est cohérent de la part de Google de divulguer la faille pour permettre aux gens qui sont à risques de se mettre dans une configuration non sensible à la faille.



J’ai trouvé des trucs sur les “Named Pipe Attack”

Alors apparemment ce sont des attaques qui sont connues depuis assez longtemps sur les systèmes Windows, et MS a publié il y a quelques années (au moins 8 ans) des mesures de protection permettant de se prémunire contre elles.



Donc j’ai envie de dire que si des devs créés des services Windows vulnérables sans utiliser les outils fournit par MS… C’est de leur faute si cette vuln’ est exploitable.


Dans le cas présent, oui :)

Vu que le patch de MS n’est pas obligatoire pour se protéger de cette vuln. Une mise à jour du service qui empêche une exploitation via une Named Pipe Attack et qui stocke les données chiffrées sur des sections de la mémoire qui ne sont pas en accès libre, pourrait faire l’affaire)

Et c’est cohérent (dans le cas présent aussi) de la part de MS de prendre plus de 3 mois pour la corriger (pas très grave, et affecte tous les services utilisant la fonction de chiffrement de la mémoire)








atomusk a écrit :



Si tu donne une faille dans le fonctionnement de la sécurité d’une voiture qui permet de faciliter grandement le car jacking, que tu prévient le constructeur -et qu’il a un moyen de corriger (genre update du firmware sur internet)- , je ne considère pas que c’est une prise d’otage que de dire : sous 90 jours je publie la faille .



Le danger est là, il est réél, n’importe qui peut le trouver, et les impacts potentiels sont largement plus importants que de se faire voler une voiture.







D’où le fait de prendre en otage les utilisateurs en publiant à j-2 de la diffusion du patch.



J’appelle cela faire exprès de faire le con… pour reprendre tes propos (il me semble) c’est pas très “responsible”.

Question de point de vue, mais dans le genre t’as l’air plutôt obtus… D’ailleurs, même eux se pose la question de leur connerie.









caesar a écrit :



D’où le fait de prendre en otage les utilisateurs en publiant à j-2 de la diffusion du patch.



J’appelle cela faire exprès de faire le con… pour reprendre tes propos (il me semble) c’est pas très “responsible”.

Question de point de vue, mais dans le genre t’as l’air plutôt obtus… D’ailleurs, même eux se pose la question de leur connerie.





D’ailleurs on l’a très bien vu pendant la plage des 2 jours le monde s’est effondré, les 4 cavaliers de l’apocalypse sont revenus, nous sommes tous revenu à l’age de pierre et Dieu a tué un chaton de plus.



Ou pas… Du coup c’était peut-être pas si irresponsable que ça.



M’enfin, comme la plupart des utilisateurs ne verront pas (immédiatement ou pas?) si leur bécane est devenu un zombie ou qu’ils sont en train de se faire “siphonner” leurs données personnelles et/ou leurs identifiants et mots de passe, impossible de juger de l’impact…

&nbsp;Il n’est peut-être pas indispensable de risquer de rajouter aux pirates “de métier” quelques paquets de script-kiddies qui viendront ajouter leur souk au reste, les mesures de sécurité palliatives étant hélas toujours totalement incompréhensibles pour le lambda, particulièrement en prenant en compte le fait que le nombre d’objets “connectés” par utilisateur grimpant à une telle vitesse qu’il n’aura bientôt plus matériellement le temps de s’occuper les mise à jour, de la sécurité et autres babioles…

On en arrivera bientôt à la véritable obsolescence programmée, car il deviendra dans certains cas impossible de réaliser une montée de version par sécurité, le matériel ne “suivant plus”. Cela a déjà été la cas pour les PC à une époque, et c’est hélas de plus en plus courant pour les smartphones…

Sur le fond, il ne faut pas rêver! Au niveau de la sécurité, nous n’avons pas en face un seul “grand méchant”, mais justement une accumulation de malfaisants qui cherchent en permanence, soutenu par l’argent illégal. La moindre porte entrouverte, et on augmente le nombre potentiel de malfaisants, justement lorsqu’en plus, on leur donne la clef!



  • c’est une prise d’otage



    • non c’est pas une prise d’otage

    • d’où c’est une prise d’otage





      je suis censé dire oui là ?&nbsp;&nbsp;<img data-src=" />&nbsp;c’est pas parce que tu dis que c’en est une que ça le devient tu sais ?&nbsp;<img data-src=" />









Khalev a écrit :



D’ailleurs on l’a très bien vu pendant la plage des 2 jours le monde s’est effondré, les 4 cavaliers de l’apocalypse sont revenus, nous sommes tous revenu à l’age de pierre et Dieu a tué un chaton de plus.



Ou pas… Du coup c’était peut-être pas si irresponsable que ça.







C’est vrai il faut au minimum tout ça pour prouver que c’était irresponsable, du coup heureusement c’est totalement responsable et intelligent.



Sinon une faille d’élévation de privilège sur un système qui peut équiper des entreprises sensibles de par leur taille ou départ leurs secteurs, données, etc.

Tu peux me prouver que la faille en question n’a pas été utilisée durant ces 2 jours par des hackers sans qu’aucune contre mesure n’ai pu être déployé par les clients finaux pour une histoire de 2 jours donc de qui a la plus grosse ?

Je veux bien dans le cas ou MS a clairement pas souhaiter corriger la faille, mais la ?

Biensur on parle pas de déploiement de malware exploitant la faille mais d’attaque ciblé (clairement ni toi ni moi ni les chevaliers de l’apocalypse…)



Comme je le disais question de point de vue… perso je trouve que pour 2 jours c’est de la connerie en barre.









atomusk a écrit :





  • c’est une prise d’otage



    • non c’est pas une prise d’otage

    • d’où c’est une prise d’otage





      je suis censé dire oui là ?  <img data-src=" /> c’est pas parce que tu dis que c’en est une que ça le devient tu sais ? <img data-src=" />







      Ca dépend t’aime les chatons ?




Dans l’absolue ils ont pas tort. C’est juste des conn*rd&nbsp; c’est tout ^^”

Peu importe l’argument d’un camp, il peut être utilisé dans l’autre : “Vous auriez pu attendre 2 jours de plus ça aurait rien changé”

“Ca fait longtemps que la faille existe, si on la publie 2 jours avant que le correctif ne sorte ça changera rien”



Si deux jours ne change rien dans les deux cas, ça fait quand même un peu “foutage de gueule de gamin” !



Par contre, je viens de remarquer. MS ne s’est jamais plein de la durée de 90 jours pour la correction des failles.

MS s’est plaint que Google a publié une faille 2 jours avant sa correction, mais il a jamais dit que 90 jours c’était pas assez. Il n’a jamais demandé à Google de ne pas publier la faille sur la fonction de chiffrement de la mémoire, il leur a juste dit : on a des problèmes, ça sortira en février point.



Mais le débat sur&nbsp; “est ce que 90 jours fixe est une bonne chose ?” mérite quand même d’avoir lieu (avec les concerné je parle).

Et j’aimerais aussi savoir si un jour Google trouve une faille très critique chez MS, mais également très délicate à corriger (qui se fait en plus de 3 mois), est ce qu’il la publiera quand même ?


Il y a quand même eu communication. Faut pas confondre avec un pauvre gars qui a envoyer X mail a MS pour signaler une faille sans jamais avoir de retour et que le mec publie la vuln au bout de X mois sans réponse.








Jed08 a écrit :



Dans l’absolue ils ont pas tort. C’est juste des conn*rd  c’est tout ^^”

Peu importe l’argument d’un camp, il peut être utilisé dans l’autre : “Vous auriez pu attendre 2 jours de plus ça aurait rien changé”

“Ca fait longtemps que la faille existe, si on la publie 2 jours avant que le correctif ne sorte ça changera rien”



Si deux jours ne change rien dans les deux cas, ça fait quand même un peu “foutage de gueule de gamin” !



Par contre, je viens de remarquer. MS ne s’est jamais plein de la durée de 90 jours pour la correction des failles.

MS s’est plaint que Google a publié une faille 2 jours avant sa correction, mais il a jamais dit que 90 jours c’était pas assez. Il n’a jamais demandé à Google de ne pas publier la faille sur la fonction de chiffrement de la mémoire, il leur a juste dit : on a des problèmes, ça sortira en février point.



Mais le débat sur  “est ce que 90 jours fixe est une bonne chose ?” mérite quand même d’avoir lieu (avec les concerné je parle).







2 jours ça suffit largement pour un hacker dans les bonnes conditions pour l’exploiter sur une cible précise. Donc ça change la donne.





Et j’aimerais aussi savoir si un jour Google trouve une faille très critique chez MS, mais également très délicate à corriger (qui se fait en plus de 3 mois), est ce qu’il la publiera quand même ?





Ca m’etonnerait qu’a moitié que x google ai trouvé des failles sur les systèmes google et que la faille ai mis plus de 3 mois a être corrigé/déployer.

D’ailleurs niveau politique c’est plus que limite de publier les failles des autres mais pas les siennes… (Paille poutre toussa)



Si, j’ai vu passer les résultats d’une etude sur une news d’un autre site (je sais plus lequel) qui montrait justement qu’une fois dévoilée, une faille était beaucoup plus exploitée (ce qui est totalement logique).


Ceux que ça choque, qui trouvent des excuses à MS “tu comprends, les tests de non regression, c’est difficile et long”, …



90j pour la première boite de soft au monde. Une élévation de privilèges à distance ne devrait pas être traité par l’équipe de stagiaires bulgaro-islandaise au fond d’une cave sombre, mais être une priorité absolue pour tous les dev’ devant les nouvelles fonctions ou les nouveaux produits. Ca, c’est que la sécurité est une priorité face au marketing.



Putain, heureusement que quand on détecte un risque sur la sécurité dans les autres secteurs technologiques, on ne dit pas au bout de 90j “on n’a pas eu le temps”. L’industrie du logiciel me rend toujours admiratif dans sa capacité à nous enfiler des excuses à la con et qui passe tranquillement sans toucher les bords.


J’ai noté qu’on compare beaucoup les déploiements d’Android et de Windows 78. Qu’en est-il pour Linux desktop (disons Ubuntu, Debian, Fedora, Mint) et OS X? Quel temps ça prend?


Pour référence, le CERT/CC&nbsp; ne laisse que 45 jours, qu’un correctif soit disponible ou pas, mais se reverse le droit de moduler en fonction des risques, et de l’importance du patch



&nbsp;








Jed08 a écrit :



Mais le débat sur  “est ce que 90 jours fixe est une bonne chose ?” mérite quand même d’avoir lieu (avec les concerné je parle).





Apparemment le gars de l’équipe de Google avait l’air de dire que le choix du nombre de jours s’étaient fait après discussion avec d’autres acteurs, que c’est pas un truc qui sort de derrière un chapeau mais plutôt le résultat de 13 ans d’expérience.



Après on ne saura surement jamais comment la décision a été réellement prise de toute façon.









darth21 a écrit :



Si, j’ai vu passer les résultats d’une etude sur une news d’un autre site (je sais plus lequel) qui montrait justement qu’une fois dévoilée, une faille était beaucoup plus exploitée (ce qui est totalement logique).





Si tu pouvais la retrouver ça serait pas mal parce que là il y a trop d’interprétation possible.



De plus c’est aussi le cas après la publication des patchs. 2h après la sortie du patch Wordpress de décembre on voyait déjà des exploits circuler. T’était en train de dormir? Dommage…

Donc ce qui serait intéressant c’est aussi d’avoir une étude équivalent sur l’après sortie des patchs: les fameux Sasser et ILoveYou étaient aussi sortis après la publication du patch corrigeant leur faille, même si on a fait des progrès niveau update, on est toujours pas à 100% de machines mis à jour dans les jours qui suivent - genre sur mon PC je n’ai vu la màj disponible que ce week-end, pourtant j’ai les paramètres d’update par défaut et je l’avais lancé toute la semaine.







caesar a écrit :



C’est vrai il faut au minimum tout ça pour prouver que c’était irresponsable, du coup heureusement c’est totalement responsable et intelligent.





Ironie, exagération, tout ça…





caesar a écrit :



Tu peux me prouver que la faille en question n’a pas été utilisée durant ces 2 jours par des hackers





Tu peux prouver qu’elle n’était pas déjà utilisé avant que Google ne publie la faille?





caesar a écrit :



sans qu’aucune contre mesure n’ai pu être déployé par les clients finaux





Cette partie là est fausse. Connaître la faille c’est pouvoir s’en protéger. Comme déjà dit, le PoC et une version recodée par moi-même sont bloqués par l’antivirus de ma boite.





caesar a écrit :



Comme je le disais question de point de vue… perso je trouve que pour 2 jours c’est de la connerie en barre.





Je trouve aussi que pour 2 jours Google aurait pu attendre, surtout que le contenu du patch était publié la semaine précédente. Mais pour la patch dont il est question dans la news il faut attendre 3 semaines avant d’avoir le patch correctif. C’est à dire qu’on passe de 90 jours à plus de 110 jours. C’est quoi la limite après? Bon on a laissé 110 jours, on peut bien en laisser 120, 130, 140,… ?

Je trouve logique de la part de Google qu’à partir du moment où ils annoncent 90 jours ils s’y tiennent. Par contre je trouverai logique que dorénavent ils concertent un minimum la boite en face avant d’annoncer les 90 jours, histoire de synchroniser le truc un minimum.

Après c’est aussi un problème de confiance entre celui qui a trouvé la faille et celui qui la corrige. Pour avoir parfois remonté des failles les gars en face m’ont parfois fait patienter plus de 6 mois avant d’enfin corriger une faille plutôt critique (et j’ai aussi vu des trucs pas jolis en interne dans les boites où j’ai bossé) du coup maintenant je suis devenu inflexible, estimant qu’il vaut mieux avertir les utilisateurs du danger qu’ils courent que de les laisser dans l’ignorance.









Khalev a écrit :



Tu peux prouver qu’elle n’était pas déjà utilisé avant que Google ne publie la faille?







Tu veux dire par des gens qui la connaissent ? la publication ne change pas grand chose pour eux, non ?

En revanche pour les gens mal intentionnées qui ne le connaissait pas c’est tout benef.







Khalev a écrit :



Cette partie là est fausse. Connaître la faille c’est pouvoir s’en protéger. Comme déjà dit, le PoC et une version recodée par moi-même sont bloqués par l’antivirus de ma boite.







Rien n’empêche de divulguer la faille aux AV de façon discrète.







Khalev a écrit :



Je trouve aussi que pour 2 jours Google aurait pu attendre, surtout que le contenu du patch était publié la semaine précédente. Mais pour la patch dont il est question dans la news il faut attendre 3 semaines avant d’avoir le patch correctif. C’est à dire qu’on passe de 90 jours à plus de 110 jours. C’est quoi la limite après? Bon on a laissé 110 jours, on peut bien en laisser 120, 130, 140,… ?

Je trouve logique de la part de Google qu’à partir du moment où ils annoncent 90 jours ils s’y tiennent. Par contre je trouverai logique que dorénavent ils concertent un minimum la boite en face avant d’annoncer les 90 jours, histoire de synchroniser le truc un minimum.

Après c’est aussi un problème de confiance entre celui qui a trouvé la faille et celui qui la corrige. Pour avoir parfois remonté des failles les gars en face m’ont parfois fait patienter plus de 6 mois avant d’enfin corriger une faille plutôt critique (et j’ai aussi vu des trucs pas jolis en interne dans les boites où j’ai bossé) du coup maintenant je suis devenu inflexible, estimant qu’il vaut mieux avertir les utilisateurs du danger qu’ils courent que de les laisser dans l’ignorance.







Effectivement, je pense que la bonne chose c’est de voir avec l’éditeur si un délai raisonnable de correction peut être trouvé en l’occurrence, +30% cela reste un délai acceptable. Le but de la sécurité c’est de combler les failles.



Mais bon ce X google est plus la pour “montrer” les faiblesses des concurrents plus que pour réellement faire de la sécurité. Comme je l’ai dit plus haut, pourquoi ils publient les failles corrigées dans les délais par les concurrents mais qu’aucune faille trouvés sur les applications google ne sont publiées ? Complètement bullshit.



En fait c’est juste une cellule marketing… amha et c’est pour ça que je crache dessus.



Ps : tout comme le status “WontFix” … :vomi:









atomusk a écrit :



Donc on a une entreprise privée qui a sur un outil de tracking une faille que tu dis critique, avec différents employés qu’on ne peux pas controler completement, avec un système qui peut tres bien avoir des failles de sécurité … 



et on laisse trainer 3-6 mois sans prévenir personne alors que la faille est (comme tu le dit, encore) critique ?



Est ce que c’est la solution idéale ? non.  Est ce que c’est une solution pour mettre la pression sur Ms pour publier au plus vite un correctif. Assurement.





On n’a aucune info sur la complexité de la faille et de sa correction.

A partir de là, tout n’est qu’hypothèse.

MS n’a pas besoin de Google pour sortir des correctif hors du cadre du patch tuesday si nécessaire, il l’ont déjà fait.

Google n’a pas à jouer lui-même le gendarme.



Merci pour cette intervention, donc toi qui a l’air de bien t’y connaitre, est ce que tu pourrai nous donner la durer nécessaire a la correction de cette faille pour les versions n, n-1 et n-2 s’il te plait ?

De mon coté, je trouve que 90j selon la complexité de la faille et les process engagé, ça peut être un peu court (à moins de sortir un patch de porc a l’arrache qui risque de tuer les 34 de tes machines, dans ce cas ça peut être fait en 1 semaine), mais&nbsp;ça n’engage que moi.&nbsp;


Euuu si ! On a des infos sur la complexité de la failles. On a pas toutes les infos, il manque certains trucs notamment sur la complexité de la correction, mais on en a !

https://code.google.com/p/google-security-research/issues/detail?id=128



Les infos sont pas accessible au néophyte qui n’y connait rien en développement windows, en mécanisme d’authentification ou en sécurité, mais le billet n’est pas là pour ça.



Après l’initiative de Google est louable. Ils informent les boites de vulnérabilités détectables, exploitables et présentes dans leurs produits. Tout le monde est gagnant dans l’histoire.

Après, concernant l’ultimatum de 90 jours non négociable, quand le patch doit sortir 2 jours après je trouve que c’est vraiment pas cool de leur part.

Concernant la limite de 90 jours en règle générale, si personne ne s’en plaint, au final, pourquoi on irait gueuler ? (après quelques recherches, MS a uniquement reproché à Google de pas avoir attendu 2j avant de publier la vuln. Tout le reste, MS n’a rien dit)








caesar a écrit :



Tu veux dire par des gens qui la connaissent ? la publication ne change pas grand chose pour eux, non ?

En revanche pour les gens mal intentionnées qui ne le connaissait pas c’est tout benef.





Et si ça se trouve des entreprises étaient en train de se faire infecter et la publication de Google qui leur a fait mettre en place des précautions a permis de bloquer l’infection.

J’ai l’impression que tu as du mal à comprendre qu’une faille publiée même sans patch peut aussi rendre service aux “gentils”.







caesar a écrit :



Rien n’empêche de divulguer la faille aux AV de façon discrète.





Les AV ne sont pas toujours les mieux placés pour protéger d’une faille, et ils ne sont pas les seuls à pouvoir le faire. La protection informatique c’est un ensemble d’élément technique et de bonnes pratiques. Et du coup ça devient compliquer d’informer 1 à 1 tous les acteurs possible.

En général ce sont plutôt les acteurs intéressés qui vont aller voir les différentes listes de divulgation de bugs et qui regardent s’ils peuvent faire quelque chose à leur niveau.







caesar a écrit :



Mais bon ce X google est plus la pour “montrer” les faiblesses des concurrents plus que pour réellement faire de la sécurité. Comme je l’ai dit plus haut, pourquoi ils publient les failles corrigées dans les délais par les concurrents mais qu’aucune faille trouvés sur les applications google ne sont publiées ? Complètement bullshit.



En fait c’est juste une cellule marketing… amha et c’est pour ça que je crache dessus.





Je trouve aussi que leur politique n’est pas clair là-dessus, si le but du groupe est de rendre Internet plus sûr, Google y joue un rôle important, bizarre qu’ils ne publient rien sur ce qu’ils trouvent. De là à dire que c’est uniquement du marketing… c’est quand même faire un grand écart, les gars qu’ils ont pris sont pas des brêles non plus (Il y avait GeoHotz à un moment) par contre je ne serais pas surpris qu’ils aiment bien troller un peu parfois.





caesar a écrit :



Ps : tout comme le status “WontFix” … :vomi:





Bah pourquoi? J’ai pris le premier cas : On a trouvé une potentielle faille. MS ne pense pas la corriger parce que ça ne fait que donner des infos sur le réglage de droits, donc pas critique. Ils ont décidé de ne pas la corriger de suite. On est d’accord avec eux sur le côté non critique de la chose, donc on passe ça en “wontfix” parce que ça ne sera pas corrigé et on passe à la suite.



Un autre au pif : oui c’est un bug, non c’est pas un soucis de sécurité. Hop : wontfix.



Quand t’as pas loin de 100 000 salariés sous la main, il doit y avoir moyen de faire un paquet de test en finalement peu de temps. Au moins 100 000 par jour.



Il y a combien de fois 100 000 tests dans un dev de patch ? Disons 1 mois pour dev le patch, ça nous laisse tranquillement 6 millions de tests (à raison d’un par jour, toujours) avant la fin des 90j.



Je caricature ? Oui pas mal. Mais le principe est là : ils ont une putain d’armée pour faire à peu près ce qu’ils veulent. Et ce qu’ils veulent, ça ne parait pas être la sécurité. Merci à Google de faire la piqure de rappel. Enfin Google… et les autres, parce que Google n’est pas le seul laboratoire de sécurité informatique.



La fin justifie les moyens et des moyens, Microsoft en a… 100000 personnes, 21 000 000 000US$ de bénéfice net, 78 000 000 000 de tréso, … Et pas suffisamment de mec pour corriger une faille ultra critique en 90j.



Le monde du soft est vraiment constitué de magiciens.



Arrêtez de penser à vous et vos équipes de dev de 5-10-50 mecs, on parle de la gestion des priorités d’une boite. Je ne dis d’ailleurs pas que les ingé/dev MS sont des buses, moi c’est à la structure MS que je m’attaque et à sa gestion des priorités.


Et j’oubliais : la sécurité par l’obscurantisme (car c’est de ça qu’il s’agit en ne dévoilant pas les bugs), ça n’est pas de la sécurité. Au mieux, c’est du dogme, au pire de la bétise.



&nbsp;Dormez tranquille braves gens, la Police, l’Etat et Microsoft veille sur vous.








Jed08 a écrit :



Euuu si ! On a des infos sur la complexité de la failles. On a pas toutes les infos, il manque certains trucs notamment sur la complexité de la correction, mais on en a !

https://code.google.com/p/google-security-research/issues/detail?id=128



Les infos sont pas accessible au néophyte qui n’y connait rien en développement windows, en mécanisme d’authentification ou en sécurité, mais le billet n’est pas là pour ça.



Après l’initiative de Google est louable. Ils informent les boites de vulnérabilités détectables, exploitables et présentes dans leurs produits. Tout le monde est gagnant dans l’histoire.

Après, concernant l’ultimatum de 90 jours non négociable, quand le patch doit sortir 2 jours après je trouve que c’est vraiment pas cool de leur part.

Concernant la limite de 90 jours en règle générale, si personne ne s’en plaint, au final, pourquoi on irait gueuler ? (après quelques recherches, MS a uniquement reproché à Google de pas avoir attendu 2j avant de publier la vuln. Tout le reste, MS n’a rien dit)





Je pensais plutôt à des infos sur l’implémentation, et donc sur le nombre de fonctions à corriger, les effets de bord potentiels, les régressions, etc.

Pour le reste, plutôt d’accord. L’initiative est, à la base, plutôt louable, mais ça n’est pas à eux de décider de divulguer les infos, il y a un risque.

Je ne fais pas de la réponse de MS une généralité, c’est une réponse pour le cas particulier de cette faille, avec un patch dispo sous 2 jours. On n’a pas l’avis général de MS sur le sujet.









Neo_13 a écrit :



Quand t’as pas loin de 100 000 salariés sous la main, il doit y avoir moyen de faire un paquet de test en finalement peu de temps. Au moins 100 000 par jour.





Parce que tu crois qu’il y a 100.000 salariés dans le monde entier qui s’occupent de la maintenance de Windows ? Mais ce serait ingérable comme fonctionnement :/

Tu sais que MS c’est pas la communauté Linux ?

&nbsp;

Et à moins qu’ils aient une équipe “en attente des billet de Google”, les gens responsable de la maintenance de Windows ont un boulot aussi. Ils vont pas abandonner leurs projets/travaux et mettre toutes leurs ressources pour obéir à Google (surtout vu la vulnérabilité en question pour le coup).



On peut supposer qu’il a fallut réécrire des services Windows pour corriger cette faille ^^”

&nbsp;Mais effectivement, on ne sait rien de ce qu’il a fallut être implémenté.



Sinon j’ai l’impression que tu confonds les deux affaires : le problème de divulgation de la faille 2 jours avant la publication du patch qui concerne une autre faille, et la divulgation de cette vulnérabilité sur la fonction de chiffrement de la mémoire où MS a eu des problème lors de certains tests et où ils décalent la sortie du patch aux mois de février (et vu les conditions assez stricts pour exploiter cette vulns, je vois pas le problème de décaler le patch à dans un mois)


Pour le développement de Windows 7 il y’avait 25 équipes d’une quarantaine de devs, pour Windows 8, 35 equipes de 25 à 40 devs, on est loin des 100 000 devs.



Les gens n’étant pas forcément interchangeable,&nbsp;y’a peu de chance que tu puisses débarqué un mec de l’équipe d’office en lui disant “bon maintenant tu vas me faire du test unitaire sur le kernel, ok c’est vrai que tu connais rien de l’archi interne, mais c’est pas grave, tu vas deviner”.



&nbsp;


J’ai pas parlé de 100 000dev. Des dev, il en faut 1 pour corriger, et par nature celui qui a écrit la merde.



Donc 35 équipes de 25 à 40, soit en gros 1100 personnes, c’est pas assez pour mener des tests de non regression ? La qualité des tests, c’est que contrairement à l’écriture du code, ils peuvent être parallèlisé quasiment à l’infini.



90j pour corriger une faille critique quand on est une boite de 100000personnes et 21G$ de benef net, c’est plus qu’assez et ne pas l’avoir fait signifie UNIQUEMENT que les mecs étaient utilisés pour autre chose. C’est une question de priorisation dans la boite.



Après, lune doigt sage, tout ça. L’important dans mon message, c’était probablement les 100000 personnes.








Neo_13 a écrit :



J’ai pas parlé de 100 000dev. Des dev, il en faut 1 pour corriger, et par nature celui qui a écrit la merde.



Donc 35 équipes de 25 à 40, soit en gros 1100 personnes, c’est pas assez pour mener des tests de non regression ? La qualité des tests, c’est que contrairement à l’écriture du code, ils peuvent être parallèlisé quasiment à l’infini.



90j pour corriger une faille critique quand on est une boite de 100000personnes et 21G$ de benef net, c’est plus qu’assez et ne pas l’avoir fait signifie UNIQUEMENT que les mecs étaient utilisés pour autre chose. C’est une question de priorisation dans la boite.





&nbsp;Surement nombre d’entre eux sont en train de bosser sur d’autres projets (genre W10) et vu qu’on connait pas le nombre de exact de personnes maintenant W7 et W8.1, on peut difficilement dire : ils sont assez pour faire des tests.

Et quand même. Va lire le billet de Google, ça pourrait te faire comprendre quelques trucs.









Neo_13 a écrit :



[…]L’important dans mon message, c’était probablement les 100000 personnes.





Nan nan, l’important dans tes trois derniers messages c’est de montrer que tu es clairement anti-MS, pro-open-source (j’ai rien contre, mais un peu de discernement ne fait pas de mal) et que tu n’as aucune expérience en sécurité informatique sur des systèmes (ultra)complexes.



Et si tu viens nous dire le contraire, je ne pense pas être le seul qui te dira de changer de métier ou de revoir ta façon de voir le monde.

J’ajoute que ta façon de déballer toute la fortune financière et humaine de MS à grand coup de Mld$ et de K-employés est une inepsie par nature au vue du problème.

L’argent et les moyens humains aident à corriger des problèmes, mais n’en rendent pas moins certaines choses incompressibles. M’enfin à ce niveau là, te faire entrer ça dans la tête ça relève du défi.



De toute façon la réponse a déjà été donnée : le patch existe déjà, le soucis c’est qu’il provoque des effets de bords.

ALORS mon grand, si t’es si compétent, si bon, si tu connais tellement bien les process internes à MS, et que tu pense si bien les améliorer de telle façon qu’ils soient invulnérables et qu’ils nous pondent des patchs de fifou en 1 jour chrono’ : POSTULE !



Dans le cas contraire, évite de balancer une montagne de bêtises sur les process’ (que tu connais visiblement très mal) d’une boite leader en dev’ logiciel dans le monde et dont les équipes ont plus d’expérience dans ce domaine que la quasi-totalité des autres.



Edit : désolé du ton du post, mais ça commence à gaver sévère les gens qui pensent mieux faire & penser le travail d’équipes de sécu’ & dev’ ultra-calées, le tout avec un clavier dans la main droite, une bière dans la gauche et la bi à l’air …



je présume qu’ils ont une équipe pour les faille critique / zero day, qui est conséquente, et dimensionné pour répondre aux besoins de ces taches&nbsp;


A vrai dire j’en sais rien.

Mais si ce que tu dis est vrai, je pense que l’équipe est surtout dimensionnée pour répondre d’abord à des objectifs internes (x 0day trouvées/corrigées par an).

Il doit y avoir d’un côté les expert en sécurité pour trouver les failles et les mainteneurs Windows pour les corriger. Qu’une roadmap est défini pour corriger le plus vite possible les failles.&nbsp; Et quand Google (ou n’importe qui d’autres), leur présente une nouvelle faille il doivent faire un choix : ils la traitent après les autres ou avant ?



&nbsp;Donc je pense que le choix de MS se fait en fonction de la criticité des failles. C’est pour cela que la faille la plus importante a été corrigée en Janvier et que celle dont il est question dans l’article a un peu pris de retard suite à des soucis et qu’ils se sont permit de repoussé la sortie d’un patch en février.


Je parle toujours pas du travail des dev, mais d’une stratégie décidée par MS pour ne pas répondre.Mais apparemment les devs qui fréquentent ce sites souffrent d’un tel complexe, qu’ils se sentent martyrisés même quand ils ne sont pas concernés



&nbsp;Et non, je ne suis pas pro libre, je m’en bats les steacks et si la faille apparaissait dans une distribution avec des salariés (Red Hat, par exemple), je tiendrais le même discours.



&nbsp;Quant à postuler… Pourquoi&nbsp; pas… Mais mes sujets actuels, s’ils payent beaucoup moins, me stimulent beaucoup plus que d’essayer d’expliquer à une direction générale d’un grand groupe du soft qu’ils devraient revoir leur sens des priorités, avec diagrammes et chiffres à l’appui. Me battre contre des vrais problèmes est plus sympa que d’essayer de convaincre un fou de ne plus se tirer dessus tout seul.








Neo_13 a écrit :



&nbsp;Quant à postuler… Pourquoi&nbsp; pas… Mais mes sujets actuels, s’ils payent beaucoup moins, me stimulent beaucoup plus que d’essayer d’expliquer à une direction générale d’un grand groupe du soft qu’ils devraient revoir leur sens des priorités, avec diagrammes et chiffres à l’appui. Me battre contre des vrais problèmes est plus sympa que d’essayer de convaincre un fou de ne plus se tirer dessus tout seul.





Tu confirme bien ce que je disais <img data-src=" />

Bref.



Oui, très balèze <img data-src=" />



Ou peut être que je sais malgré tout de quoi je parle <img data-src=" />


That’s very cool here!

Ok, you’re right we will try to modify our process to make you proud to use W7 again. I’m so sorry for all these new lazy young developers. No stocks for Nadel this year. That’s right our market share is so huge (90 percent) that we thought that’s possible to abuse our clients but today you threat us with IOS and Android. Of course not afraid by Linux communist unpaid mad guys. Lucky John Doe can’t believe that 5 days is possible, so we can continue to mew.



Reboot first, think afterwards!








misterB a écrit :



Non ce sont seulement deux business modèles différents, l’un tu donnes de l’argent, l’autre tes données pour cibler la pub, ça reviens au même, ce n’est pas gratuit dans les deux cas <img data-src=" />





Sauf que dans un cas tu ne donnes rien de plus pour passer à la version suivante (que tu utilises la dernière version ou non, tu donnes tes données dans le cas Android), dans l’autre faut de nouveau payer.



Ce qui fait que de fait, l’un peut se permettre “je ne supporte une version que deux ans, parce que la version suivante fonctionnera toujours sur le même matériel et ne coûtera rien pour l’obtenir”, alors que pour l’autre ce serait directement la case procès (à raison).







dgfu6578 a écrit :



On en arrivera bientôt à la véritable obsolescence programmée, car il deviendra dans certains cas impossible de réaliser une montée de version par sécurité, le matériel ne “suivant plus”. Cela a déjà été la cas pour les PC à une époque, et c’est hélas de plus en plus courant pour les smartphones…





Pour la majorité des smartphones en circulation, c’est une affirmation fausse. On a :





  • Apple : effectivement chaque nouvelle version est plus gourmande

  • Microsoft : ça a l’air de partir de la même façon, mais globalement c’est surtout que c’est fermé et qu’ils ont décidé d’eux-mêmes de faire de l’obsolescence programmée sur WP7.x

  • Android : Android 4.4 tourne mieux que la version d’origine sur à peu près n’importe quel smartphones depuis au moins Android 1.7, du fait des nombreuses optimisations qu’il y a eu entre temps ; toutes les annonces des constructeurs prétendant le contraire pour justifier la non mise à jour était du foutage de gueule et le problème venait non pas de l’OS mais de leur surcouche perso, et du fait qu’ils ne voulaient pas maintenir des smartphones sortis plus d’un an avant.





    Il y a après bien sûr la question des pilotes pour Android, mais ce n’est pas un problème de l’OS ni du matériel qui “ne suit pas”, mais uniquement des fabricants de matériel qui s’en-tête avec leurs drivers propriétaires et qui refusent de les maintenir.









darth21 a écrit :



Si, j’ai vu passer les résultats d’une etude sur une news d’un autre site (je sais plus lequel) qui montrait justement qu’une fois dévoilée, une faille était beaucoup plus exploitée (ce qui est totalement logique).



&nbsp;

&nbsp;



caesar a écrit :



D’où le fait de prendre en otage les utilisateurs en publiant à j-2 de la diffusion du patch.



J’appelle cela faire exprès de faire le con… pour reprendre tes propos (il me semble) c’est pas très “responsible”.

Question de point de vue, mais dans le genre t’as l’air plutôt obtus… D’ailleurs, même eux se pose la question de leur connerie.







raah j’ai ENFIN retrouvé l’article que je cherchais …

je me souvenais bien qu’il y avait eut une news&nbsp;là dessus&nbsp;http://www.zdnet.com/article/microsoft-knew-of-ie-zero-day-flaw-since-last-september/

Une zero day annoncée à Microsoft en septembre , quelques mois plus tard, Google, entre autres entreprises americaines se font pirater en exploitant cette faille.



&nbsp;Alors oui, peut être que si dans ce cas là si c’était Google qui avait trouvé la faille et l’avait “présentée” en janvier, ils se seraient peut être fait pirater …

Mais en attendant, des entreprises se font pirater avec des zero day sur lesquelles microsoft s’assoient. Est ce que ça fait de Google un “justicier du net” ? non ! Mais c’est un citoyen du net comme les autres, et il a le droit de demander que les failles qu’il trouve soient corrigés rapidement, ou de prévenir que les produits utilisés ont des failles de sécurités qui peuvent mettre en danger leurs données.

&nbsp;



je suis trop vieux, je me résigne devant la bêtise&nbsp;&nbsp;&nbsp; <img data-src=" />


Ben là vu que c’est dans les couches basses de Windows aucun utilisateur ne peut s’en protéger sans patch MS je pense au risque de pourrir l’exécution des programmes…

Faire de la publication non qualitative de vulnérabilités à 90 jours est bien une connerie dogmatique, ni un moyen de changer l’admin sys mondialement, ni un moyen d’obliger la concurrence à bosser plus vite. C’est de la connerie pure (et probablement pleine d’arrières pensées marketing).

&nbsp;


Et pour tes collègues le fait de publier des vulnérabilités publiquement n’est pas un souci juridique?








bill_door a écrit :



That’s very cool here!

Ok, you’re right we will try to modify our process to make you proud to use W7 again. I’m so sorry for all these new lazy young developers. No stocks for Nadel this year. That’s right our market share is so huge (90 percent) that we thought that’s possible to abuse our clients but today you threat us with IOS and Android. Of course not afraid by Linux communist unpaid mad guys. Lucky John Doe can’t believe that 5 days is possible, so we can continue to mew.



Reboot first, think afterwards!





Then switch to UNIX.



Alors dans ce cas précis, la faute ne revient pas entièrement sur MS.

Certes MS était au courant de cette vulnérabilité depuis longtemps, mais ils ont pas refusé de la corrigé. Ils l’ont ajouté à la liste des vulnérabilités détectées à corriger. Alors oui, 5 mois ça fait long mais on va juste rappelé que entre octobre et février MS a corrigé 28 vulnérabilités dont 13 critiques. Ils se sont pas juste dit “on va attendre qu’il ait un vrai problème pour la corriger”



Ensuite juste, la faille a été exploitée via du phishing d’utilisateur possédant des droits administrateurs… Sérieusement ? A aucun moment on se dit que quelque part ces gens sont cons ?



Après celle que tu cite en particulier est critique et aurait du être corrigé rapidement je suis d’accord.

Mais celle de l’article est loin d’être critique et peut bien attendre février.


El l’occurrence dénigrer les gens n’est pas un argument.

S’il y avait un dev noyau windows dans les commentaires on peut présumer que la personne se serait exprimée.



Maintenant sans être expert sécurité ou dev noyau windows tu peux comprendre comment marche un ordinateur, comment marche l’adressage mémoire, et comment fonctionnent les OS et en déduire assez facilement qu’une faille impactant un composant aussi universel que les droits d’accès à la mémoire vive est moins simple à patcher sans affecter tout l’écosystème Windows qu’un dépassement de tampon dans un pilote d’imprimante…

Potentiellement tout un tas d’autres composants système ne fonctionnent plus si on bloque la faille et doivent être redéveloppés intégralement. Et là c’est plus de trois mois de correction sans que ça ne soit choquant, anormal, le fruit d’un laxisme ou d’une incompétence particulière chez Microsoft.



On peut présumer qu’ils n’ont pas envie que leur OS soit une passoire et donc leur accorder le bénéfice du doute.








yvan a écrit :



El l’occurrence dénigrer les gens n’est pas un argument.

S’il y avait un dev noyau windows dans les commentaires on peut présumer que la personne se serait exprimée.



Maintenant sans être expert sécurité ou dev noyau windows tu peux comprendre comment marche un ordinateur, comment marche l’adressage mémoire, et comment fonctionnent les OS et en déduire assez facilement qu’une faille impactant un composant aussi universel que les droits d’accès à la mémoire vive est moins simple à patcher sans affecter tout l’écosystème Windows qu’un dépassement de tampon dans un pilote d’imprimante…

Potentiellement tout un tas d’autres composants système ne fonctionnent plus si on bloque la faille et doivent être redéveloppés intégralement. Et là c’est plus de trois mois de correction sans que ça ne soit choquant, anormal, le fruit d’un laxisme ou d’une incompétence particulière chez Microsoft.



On peut présumer qu’ils n’ont pas envie que leur OS soit une passoire et donc leur accorder le bénéfice du doute.





Il y a des dev noyau, entre autres choses, dans les commentaires.



Toi? tu bosses sur le noyau des produits MS ?








yvan a écrit :



Toi? tu bosses sur le noyau des produits MS ?





Pas de MS.



Han mais le monde Unix est (à raison d’ailleurs) bien plus cloisonné niveau droits et bien plus modulaire.

Tu dois le savoir forcément&nbsp;&nbsp; <img data-src=" />



Et le délais de correction te semble anormalement long néanmoins?








yvan a écrit :



Han mais le monde Unix est (à raison d’ailleurs) bien plus cloisonné niveau droits et bien plus modulaire.

Tu dois le savoir forcément   <img data-src=" />



Et le délais de correction te semble anormalement long néanmoins?





Oui, d’autant moins compréhensible que l’équipe en charge est plutôt compétente.



Unix est une relative calamité quant à la gestion mémoire. Après, ça dépend de ce que l’on appelle modulaire. <img data-src=" />



Pas la faute de MS faut le dire vite quand même&nbsp;<img data-src=" />



Là où je veux en venir, c’est que les failles de sécurité non corrigés ne concernent pas seulement MS, mais tous les utilisateurs de produits Ms.

&nbsp;&nbsp;

Du coup, la question est justement : si Microsoft est tellement débordé qu’il lui faut plus de 5 mois pour corriger une faille critique, il faut prévenir les admins que l’outil touché par la faille n’est pas sécure.&nbsp;

Alors oui, ça ferait chier Microsoft d’annoncer à tout le monde : il y a une faille critique dans IE installez Chrome ou Firefox (&nbsp;<img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" />), au moins proposer un hotfix (ce qu’ils ont fait tres rapidement après l’officialisation de la faille de sécurité utilisée).








atomusk a écrit :



Pas la faute de MS faut le dire vite quand même&nbsp;<img data-src=" />





J’ai dis pas entièrement <img data-src=" />



&nbsp;





atomusk a écrit :



Du coup, la question est justement : si Microsoft est tellement débordé qu’il lui faut plus de 5 mois pour corriger une faille critique, il faut prévenir les admins que l’outil touché par la faille n’est pas sécure.&nbsp;

Alors oui, ça ferait chier Microsoft d’annoncer à tout le monde : il y a une faille critique dans IE installez Chrome ou Firefox (&nbsp;<img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" />), au moins proposer un hotfix (ce qu’ils ont fait tres rapidement après l’officialisation de la faille de sécurité utilisée).





Il faut installer EMET surtout !

Et dans le cas de la faille que tu mentionnais, ne pas utiliser IE n’était pas suffisant, il fallait aussi faire attention aux fichiers Office ou Access qui peuvent être malveillant et exécuter des commande ActiveX.



A trop faire chier le monde, un jour le monde te chie dessus….


On parle d’expérience ? &nbsp;<img data-src=" />



Tu as vu mon article comme quoi une faille connue chez Microsoft qui a trainé 5 mois a déclanché une serie d’attaque, entre-autre chez Google ?&nbsp;



Donc Google a toujours pas le droit de demander un délais “raisonnable” pour corriger une faille ?&nbsp;<img data-src=" />


Et la je te dirais : charité bien ordonnée commence par soi meme. Dans ce contexte, proposer une version 35 de son navigateur pour corriger les vers 1 à 34 n’est pas un comportement normal surtout vis à vis des entreprises. Quant à Android, c’est encore pire…. et des failles beantes existent depuis des années et Google nous sort que c’est la faute aux fabricants…. Heureusement que Microsoft ne nous dit pas que c’est la faute de HP ou de DELL


et je dirai : les correctifs sont là, les éditeurs Android se reservent le droit de modifier toute partie du code d’Android, donc Google n’a aucun pouvoir d’imposer une update.



Quand la régle est : pas touche, c’est les Google édition, et elles n’ont pas la faille.



Donc c’est aux OEM de faire le boulo, et pour le coup, ironiquement, Google est cohérent avec l’objet de cette news : les failles de sécurité d’Android sont “full disclosed” &nbsp;… Aux sociétés qui gérent les code de faire leur travail.



CQFD