Contact securite Wanadoo

Roland Garcia wrote:

Bon courage. Le magazine "Le virus informatique" avait tenté de les
contacter pour un problème de sécurité. Ça a pris plusieurs mois, et
une publication de la faille dans le magazine. Je ne suis même pas sûr
que la faille est réglée.

Quand vous êtes malade vous consultez un médecin ou la presse ?

Pour traiter ce genre de problèmes informatiques il y a des organismes
reconnus et officiels:
http://groups.google.fr/group/fr.comp.securite/msg/dd57573672bd73f0?hl=fr&

message qui s'adressait à vous...

Beaucoup de monde connait votre animosité à l'égard du Virus Info & ACBM
(personnel que vous avez traité d'"escroc" et autres depuis des années).
Seulement voilà, vous n'y changerez rien : ils ont fait régler un paquet
de failles que ce soit chez France Telecom, AOL, Libertysurf, etc. Taux
de réussite : 100%. Problèmes pour ceux qui ont demandé à la rédaction
de faire l'intermédiaire : 0%.

Il est donc inutile de dénigrer le rôle de ce magazine en particulier,
et de la presse en général. S'il y a un "malade" ici ce n'est pas le
monsieur qui veut aider mais bien la société qui souffre d'une faille.

Dans la mesure du possible, lors d'une alerte, je recommande de mettre
en copie un ou plusieurs médias qui pratiquent le full disclosure *et*
un CERT. C'est complémentaire, pas concurrent. Car au delà de la
correction de la faille, il peut être utile d'informer le public.
D'autant plus quand la faille est considérée comme "fonctionnalité"
et ne sera donc pas corrigée. Exemple : nous étions les seuls à avoir
expliqué qu'il fallait créer un compte secondaire chez Wanadoo pour
être protégé du simple contrôle par IP. Aucun CERT ne l'a dit. Idem,
je n'ai vu aucune administration, CERT ou autre, signaler au public les
problèmes dévoilés dans Pirates Mag' ces dernières semaines concernant
la carte santé Vitale.

Et tout ceci de manière on ne peut plus officielle puisque le magazine
a retrouvé un agréement de CPPAP (coïncidence, le magazine avait perdu
cet agréement au moment où vous l'aviez accusé de diffuser des trojans
"qui vont flasher le Bios" puis autre coïncidence, l'a retrouvé une fois
qu'on a expliqué le caractère bidon de vos accusations continuelles).

Autre avantage de la presse sur les CERT : à condition que cela soit
fait dans les règles de l'art (aucune volonté de nuire, pas de chantage,
etc.), elle peut aussi protéger l'anonymat du découvreur de la faille.

Balancer une faille de manière anonyme ou nom dans un forum sans avoir
tenté sérieusement un contact avec la société concernée (un mail au
webmaster ne suffit pas vu les contrôles antispam foireux) est un acte
irresponsable qui expose et peut causer avant tout du tort aux clients
de cette société.

Olivier Aichelbaum

Il est donc inutile de dénigrer le rôle de ce magazine en particulier,
et de la presse en général.

Je fais un constat, avec les CERTs jamais d'ennui, avec une certaine
presse que des procès.

--
Roland Garcia

Roland Garcia wrote:

Il est donc inutile de dénigrer le rôle de ce magazine en particulier,
et de la presse en général.

Je fais un constat, avec les CERTs jamais d'ennui, avec une certaine
presse que des procès.

A part la plainte d'une banque contre Hacker Voice (classée sans suite),
je ne connais aucune poursuite avec la presse pour full disclosure, car
la presse impose avant de traiter une affaire de ne pas insulter la
société qui a une faille, de la prévenir des détails avant publication
pour qu'elle corrige à temps, de ne pas la faire chanter, etc.

--
Olivier Aichelbaum

On Wed, 10 Aug 2005 13:16:20 +0000, Olivier Aichelbaum wrote:

Autre avantage de la presse sur les CERT : à condition que cela soit
fait dans les règles de l'art (aucune volonté de nuire, pas de chantage,
etc.), elle peut aussi protéger l'anonymat du découvreur de la faille.

Par contre, il faudrait laisser au découvreur de la vulnérabilité la
possibilité d'interdire aux journaux ayant été contactés de tirer
profit (articles, ...) de ses découvertes. D'où l'idée d'une structure
dédiée, non commerciale et veillant scrupuleusement à préserver
l'éventuel anonymat de ses contributeurs ...


Nicob

Nicob wrote:

On Wed, 10 Aug 2005 13:16:20 +0000, Olivier Aichelbaum wrote:

Autre avantage de la presse sur les CERT : à condition que cela soit
fait dans les règles de l'art (aucune volonté de nuire, pas de chantage,
etc.), elle peut aussi protéger l'anonymat du découvreur de la faille.

Par contre, il faudrait laisser au découvreur de la vulnérabilité la
possibilité d'interdire aux journaux ayant été contactés de tirer
profit (articles, ...) de ses découvertes.

Ce seraient donc les médias "non contactés" qui auraient le droit
de publier un article sur telle ou telle faille ? Car je ne vois
pas comment vous pourriez les en empêcher eux avec votre système.

AMHA si une personne émet une alerte avec un ou des média en
copie, ce n'est pas pour que l'information soit interdite dans
ces médias derrière et/ou reste réservées à une minoritée.

Bien sûr le découvreur peut toujours demander que l'article soit
diffusé gratuitement, voire l'écrire et le diffuser lui-même. Je
ne pense pas que Zataz, Hackademy et/ou Pirates Mag' refusent ce
genre de requêtes, même si je n'en ai jamais vu de telles.

--
Olivier Aichelbaum

On Wed, 10 Aug 2005 13:16:20 +0000, Olivier Aichelbaum wrote:

Autre avantage de la presse sur les CERT : à condition que cela soit
fait dans les règles de l'art (aucune volonté de nuire, pas de chantage,
etc.), elle peut aussi protéger l'anonymat du découvreur de la faille.

Par contre, il faudrait laisser au découvreur de la vulnérabilité la
possibilité d'interdire aux journaux ayant été contactés de tirer
profit (articles, ...) de ses découvertes. D'où l'idée d'une structure
dédiée, non commerciale et veillant scrupuleusement à préserver
l'éventuel anonymat de ses contributeurs ...

J'abonde. Il y a dans la sécurité informatique un aspect scientifique
qui doit rester la base, qui n'appartient à personne et qu'on ne doit
surtout pas laisser aux "commerçants".

Je note d'ailleurs une prise de conscience, témoins le dernier MISC
(avec un excellent article sur les antivirus qui remet quelques pendules
à l'heure) et le programme du futur SSTIC, tous deux axés sur les
limites (techniques) de la sécurité, limites théoriques et pratiques qui
si on laisse faire le marché ne peuvent avoir pour conséquence
qu'enfermer les RSSI dans des machines infernales.

Ce qui marche c'est laisser le développement technique aux initiatives
privées, mais la science, la règlementation et l'organisation à des
organismes dédiés et incontestés.

--
Roland Garcia

On Sat, 17 Sep 2005 00:14:05 +0000, Olivier Aichelbaum wrote:

AMHA si une personne émet une alerte avec un ou des média en
copie, ce n'est pas pour que l'information soit interdite dans
ces médias derrière et/ou reste réservées à une minoritée.

Alors j'avais mal compris. Je croyais que les journaux contactés
n'étaient là que pour couvrir les arrières de la personne ayant
découvert la faille, voire mettre un peu de pression sur les personnes en
charge de la remédiation.

Personnellement, la quasi-totalité des failles que je découvre et
remonte ne deviennent jamais publiques. Et si je mets un journal en copie,
ce n'est clairement pas pour qu'il fasse du beurre là dessus. Et comme
les autres journaux n'auront jamais vent de la faille en question, ils ne
pourront pas publier sur le sujet, donc celui mis en copie ne se sentira
pas lésé.

D'où (et je me répète) l'idée d'un organisme indépendant et non
commercial. Pour ceux qui se tâtent à remonter des vulns (par exemple
sur des applis Web publiques), voici ma méthodologie, qui pour l'instant
ne marche "pas trop mal" (quelques menaces de procès, quelques échecs
complets mais une très grande part de réussite) :

- écrire avec un "From" correspondant à un nom réel (pas de pseudo)
- mettre en copie un CERT français (selon le domaine de l'entité
vulnérable) et demander à ce qu'il reste en copie de la totalité des
échanges
- ne pas écrire depuis un compte email pro (ne pas engager son employeur)
- demander un accusé de réception du message et à parelr à un
interlocuteur technique compétent (pas la peine de faire un mail de 3
pages super technique qui sera mis à la poubelle par le PDG qui n'y a
rien compris)

L'avant-dernière vuln remontée (vol d'infos personnelles + ... + ...)
sur un site contenant plus d'un million de comptes s'est faite suivant
cette méthodologie et a été corrigé dans l'après-midi, avec les
remerciements de l'entité vulnérable. La dernière vuln portait sur la
compromission d'un "petit site" en vue d'héberger la dernière version de
Dumaru, et je n'ai toujours pas eu de réponse, alors que la
méthodologie était la même.

Et c'est dans ces cas là que j'aimerai que l'Etat (via les CERT ou
autres organismes) s'implique ...


Nicob

Roland Garcia wrote:

J'abonde. Il y a dans la sécurité informatique un aspect scientifique
qui doit rester la base, qui n'appartient à personne et qu'on ne doit
surtout pas laisser aux "commerçants".

On parlait des failles logicielles.
Qui a parlé de laisser le sujet des failles aux "commerçants" ?
Ne faisons pas comme si les failles étaient des "brevets" !
Mis à part le nom du découvreur qu'il faut respecter (je pense
à certaines affaires malheureuses impliquant FrSirt), une faille
devrait être "libre" : librement diffusable sous forme analysée
par untel ou untel en fonction du public qu'il veut informer
(novice, expert, etc.) APRES qu'elle soit colmatée bien sûr
(sauf si refus de la société d'y travailler).

Je note d'ailleurs une prise de conscience, témoins le dernier MISC
(...)

Voilà, vous venez de citer Misc, un magazine. La science ne doit
pas rester dans les mains de quelques personnes, le plus grand nombre
doit y avoir accés, et ça c'est le rôle entre autre des médias.
A quand la volonté d'interdire tel sujet d'article sur la sécurité
informatique à "La recherche" au motif que c'est une boite privée
derrière ?

--
Olivier Aichelbaum

Nicob wrote:

On Wed, 10 Aug 2005 13:16:20 +0000, Olivier Aichelbaum wrote:

Autre avantage de la presse sur les CERT : à condition que cela soit
fait dans les règles de l'art (aucune volonté de nuire, pas de chantage,
etc.), elle peut aussi protéger l'anonymat du découvreur de la faille.

Par contre, il faudrait laisser au découvreur de la vulnérabilité la
possibilité d'interdire aux journaux ayant été contactés de tirer
profit (articles, ...) de ses découvertes.

Ce seraient donc les médias "non contactés" qui auraient le droit
de publier un article sur telle ou telle faille ? Car je ne vois
pas comment vous pourriez les en empêcher eux avec votre système.

AMHA si une personne émet une alerte avec un ou des média en
copie, ce n'est pas pour que l'information soit interdite dans
ces médias derrière et/ou reste réservées à une minoritée.

Bien sûr le découvreur peut toujours demander que l'article soit
diffusé gratuitement, voire l'écrire et le diffuser lui-même. Je
ne pense pas que Zataz, Hackademy et/ou Pirates Mag' refusent ce
genre de requêtes, même si je n'en ai jamais vu de telles.

C'est fou ce qu'il y a comme monde pour s'emparer du filon....

Il est sûr que c'est juteux et inépuisable, jusqu'à ce qu'une moitié de
la planète passe ses journées à rechercher des failles pendant que
l'autre moitié les comble.

Ca remplace le cercle vicieux virus/signatures, lui aussi sans fin, qui
a nourri son monde jusqu'à ce qu'on arrive à faire comprendre qu'il
n'est qu'un attrappe couillons dont on peut facilement se sortir en
respectant quelques règles rationnelles et élémentaires. Mais
l'inconvénient est que le bon sens n'est pas vendeur...

--
Roland Garcia

Nicob wrote:

Personnellement, la quasi-totalité des failles que je découvre et
remonte ne deviennent jamais publiques. Et si je mets un journal en copie,
ce n'est clairement pas pour qu'il fasse du beurre là dessus. Et comme
les autres journaux n'auront jamais vent de la faille en question, ils ne
pourront pas publier sur le sujet, donc celui mis en copie ne se sentira
pas lésé.

Si vous n'êtes pas pour le full disclosure, que vous voulez garder
les failles pour vous, il suffisait de le dire. C'est un autre débat.

--
Olivier Aichelbaum