| Information:
Guillermito, qui avait démontré les failles de ViGuard, est attaqué en justice par Tegam:
http://minilien.com/?9ZE02eMdva
http://www.guillermito2.net/archives/2004_03_25.html
Il risque deux ans de prison et 150.000 euros d'amende pour avoir étudié ViGuard et montré que - contrairement à ce qu'annonce la publicité - ViGuard n'est pas efficace à 100%.
Comme dit Guillermito lui-même:
"Si des chercheurs indépendants ne peuvent pas analyser les logiciels de sécurité et publier leurs découvertes, les consommateurs n'auront plus que les publicités des éditeurs pour juger de la qualité d'un logiciel. Malheureusement, c'est le monde vers lequel on se dirige." | 35 Jean-Claude, le jeudi 1 avril 2004 à 09:12:40Il ne faut jamais écouter qu'une seule version de l'histoire. Il y a d'ailleurs un démenti sur le site de tegam.fr
Aparamment guillermito n'est pas attaqué pour sa recherche de failles mais pour d'autres choses (je rappelle que le secret d'instruction ne permet pas de le savoir pour l'instant).
Ecouter qu'une seule version des faits ne suffit pas.
Quant au message de Roger, là aussi on peut se poser des questions: comment sais tu combien ils sont à la hotline de Tegam?? Quand j'appelle la hotline de HP je ne leur demande pas "bonjour, vous etes combien à la hotline??" | Aparamment guillermito n'est pas attaqué pour sa recherche de failles mais pour d'autres choses
Je pense que c'était bien pour les failles.
Quelle autre raison aurait-il ?
Voici l'article original de Guilletmito:
http://minilien.com/?6qsYpYAFpf
Libre à tous de juger ce qu'il fait dans la page.
Pour la part, j'y vois qu'il montre comment contourner ViGuard (ce que tout virus pourrait faire, d'ailleurs...) |
| Bonjour
c'est plutot pour avoir balancer sur le NET toute une procedure de comment exploiter une faille
fais ca avec : comment entrer sur votre banque
tu va voir si tu va pas avoir des gentils messieurs qui vont venir te voir :-D
tu peux tres bien trouver une faille dans un logiciel et ecrire au concepteur et expliquer comment tu l'a trouvé
son site , c'est + du disséquage | Autre comparaison avec la banque:
Tu as dit à la banque qu'il y avait un sérieux problème de sécurité, tu leur a expliqué.
Et la banque t'a dit qu'elle n'en avait rien à battre.
Est-ce que tu peux laisser les clients dans l'ignorance du danger ?
Moi, non. Ce n'est pas acceptable.
Donc, perso, j'informerais.
Et si tu informe, il faut avancer les preuves de tes dires.
Voilà ce qu'a fait Guillermito. |
| Informer gentiment oui
mais expliquer comment forcer , là non ( de meme à créer des "clés" pour rentrer ) (ref aux fichiers qu'il a crée )
et puis si tu n'es pas content de la reponse , tu peux toujours changer de banque
:-D | mais expliquer comment forcer , là non
C'est ce que font à longueur de journée des sociétés comme BugTraq, SANS ou CERT !
Et elles gagnent même de l'argent avec.
Le monde de la sécurité informatique ne fonctionne pas autrement.
Pourquoi est-ce que ces grosses sociétés seraient les seules à avoir le droit de faire cela ? |
| Je ne connais pas ces societes
mais elles demandent peut etre l'autorisation avant :-p | Répondre à sebsauvage | 45 bevinco, le mercredi 14 avril 2004 à 11:44:40Salut,
...c'est qu'on touche là à la vie privée du logiciel...
Personne n'a envie de voir dévoiler au grand jour ses défauts et petits travers ; c'est déjà dur de faire son autocritique mais si en plus il faut supporter celle des autres...
Mais dévoiler une faille de sécurité, n'est-ce pas comme mettre en avant des bugs, des conflits, des carences, des lourdeurs, des hotlines incompétentes, etc, qui peuvent participer de l'insécurité général du logiciel ou bien est-ce le crime de lèse-majesté par excellence ? | C'est justement là que je ne comprend pas le comportement de Tegam.
Jamais CISCO, Microsoft ou autres n'ont fait de procès à CERT, SANS ou BugTraq.
Au contraire, elles sont bien contentes d'avoir ces infos, parceque ça leur permet de corriger et mieux sécuriser leurs logiciels (même si c'est pas toujours bon pour l'image de marque).
Mais pas Tegam.
Eux, ils n'ont pas compris, ils tapent sur celui qui pourrait leur permettre d'améliorer leur logiciel.
(Note: Sauf erreur de ma part, avant de les publier, Guillermito avait informé Tegam de ces failles. C'est le silence de Tegam qui l'a décidé à les publier sur son site.
Il ne supportait pas que des clients continuent à acheter un produit prétendument 100% sûr alors qu'il y avait de grosses failles.)
ça me donne l'impression que Tegam ne veut pas assumer au grand jour ses erreurs.
Et ça, ça n'est pas ce que j'appelle de la transparence, et ça ne me donne vraiment pas confiance. |
| Mais tu crois que tes sites cités + haut , affichent sur le net comment se servir et exploiter ces failles ?
:-D | 48 bevinco, le mercredi 14 avril 2004 à 12:13:13De deux choses...les deux !!!
1/ soit la démonstration est lue par un type comme moi qui n'y connais rien et qui, de toute manière, s'en fout et ne l'exploitera pas,
2/ soit elle est lue par un type calé et malveillant à la fois qui n'aura gagné qu'un certain délai avant de la découvrir lui-même.
C'est mon avis. |
| Ouais tout simplement
c'est le fait d'afficher sur le net comment se servir des failles et en prime un fichier exemple , à la vue de tous
c'est facile a comprendre pourquoi y a procés
c'est comme si tu afficher sur le forum de microsoft comment cracker XP .... PTDR | 50 bevinco, le mercredi 14 avril 2004 à 12:29:07Chai pas...
Peut-on considérer que cracker xp, c'est mettre en évidence une de ses failles ? |
| c'est comme si tu afficher sur le forum de microsoft comment cracker XP
La limite peut paraître floue, mais c'est très différent.
Le domaine de la sécurité informatique ne fonctionne pas autrement: tout doit être publique.
Cacher, dans ce domaine, ça s'appelle "security through obscurity".
Autrement dit, essayer de faire de la sécurité en cachant les choses.
Cette pratique est considérée par tous les experts en sécurité comme un danger.
Tout doit être transparent, publié, publique.
http://en.wikipedia.org/wiki/Security_through_obscurity
(Je t'encourage à lire des ouvrages sur la sécurité informatique et sur la cryptographie: la publication est une notion importante.)
Si on autorise pas des indépendants à publier des failles, cela veut dire qu'il faudrait faire confiance uniquement à la publicité des entreprises.
Et tu peux leur faire confiance pour cacher ces failles et ne rien faire pour les corriger.
(Microsoft a laissé une faille béante pendant 8 mois ; C'est uniquement quand e-Eye a publié le fait que Microsoft ne l'avait toujours pas corrigée que Microsoft s'est décidé à faire un patch.
Pourquoi Microsoft n'a pas fait de patch plus tôt ?
Parceque e-Eye a été assez gentil pour ne pas rendre la faille publique.)
Et ce problème n'est pas spécifique à Microsoft. Loin de là. |
| .............
le fait de dire des failles ...OK
mais publier comment la retrouver , l'exploiter , la reproduire ... publiquement sur le Net , non .
Faut de lire en quelle langue ici ? :-@
PS: ton lien ne fonctionne pas | Bon sur ce , vu qu'on a pas du tout le point de vu
j'en reste là
mais je dis qu'il est dangereux d'afficher sur le net de comment profiter des bugs des autres |
| 58 bevinco, le mercredi 14 avril 2004 à 19:37:42Bon, de toute manière, le dernier mot sera pour le juge : faisons confiance en la justice, même si Guillermito, au niveau des frais d'avocat, ne peut pas avancer le même budget que tegam...enfin, je pense. |
|
|
|
|
|
|
|
|
|
|
