Je cherche à contacter Wanadoo concernant un problème de sécurité sur leur
portail. Est-ce que quelqu'un connaîtrait l'adresse à utiliser pour
signaler ce genre de problème ?
On Wed, 10 Aug 2005 13:16:20 +0000, Olivier Aichelbaum wrote:
Autre avantage de la presse sur les CERT : à condition que cela soit fait dans les règles de l'art (aucune volonté de nuire, pas de chantage, etc.), elle peut aussi protéger l'anonymat du découvreur de la faille.
Je ne sais pas dans le cadre de la découverte d'une faille, mais pour ce qui est des machines compromises, les CERT protègent assez bien les données personnelles, on m'a encore récemment proposer (un CERT) de masquer un certain nombre d'informations.
Sinon, je réfléchis de plus en plus à ce que l'IICRAI (Institut International de la Coordination et de la Réponse aux Attaques Informatiques) puisse éventuellement traiter ce genre de cas, mais c'est cependant plus délicat que de traiter les attaques et origines (d'un point de vue légal).
On Wed, 10 Aug 2005 13:16:20 +0000, Olivier Aichelbaum wrote:
Autre avantage de la presse sur les CERT : à condition que cela soit
fait dans les règles de l'art (aucune volonté de nuire, pas de chantage,
etc.), elle peut aussi protéger l'anonymat du découvreur de la faille.
Je ne sais pas dans le cadre de la découverte d'une faille, mais pour ce qui
est des machines compromises, les CERT protègent assez bien les données
personnelles, on m'a encore récemment proposer (un CERT) de masquer un
certain nombre d'informations.
Sinon, je réfléchis de plus en plus à ce que l'IICRAI (Institut
International de la Coordination et de la Réponse aux Attaques
Informatiques) puisse éventuellement traiter ce genre de cas, mais c'est
cependant plus délicat que de traiter les attaques et origines (d'un point
de vue légal).
On Wed, 10 Aug 2005 13:16:20 +0000, Olivier Aichelbaum wrote:
Autre avantage de la presse sur les CERT : à condition que cela soit fait dans les règles de l'art (aucune volonté de nuire, pas de chantage, etc.), elle peut aussi protéger l'anonymat du découvreur de la faille.
Je ne sais pas dans le cadre de la découverte d'une faille, mais pour ce qui est des machines compromises, les CERT protègent assez bien les données personnelles, on m'a encore récemment proposer (un CERT) de masquer un certain nombre d'informations.
Sinon, je réfléchis de plus en plus à ce que l'IICRAI (Institut International de la Coordination et de la Réponse aux Attaques Informatiques) puisse éventuellement traiter ce genre de cas, mais c'est cependant plus délicat que de traiter les attaques et origines (d'un point de vue légal).
Certes, mais avec les caractéristiques d'une revue scientifique, y publient notamment des gens du CNRS, ESAT, EADS etc...
-- Roland Garcia
Nicob
On Sun, 18 Sep 2005 07:19:11 +0000, Olivier Aichelbaum wrote:
Si vous n'êtes pas pour le full disclosure
C'est une façon de voir les choses ;-)
que vous voulez garder les failles pour vous
Non, je veux juste qu'elles soient corrigées. Je ne me vois pas faire un advisory public sur la grosse faille du site Z, la faille de conception dans le framework de publication Web utilisé par X et Y, la possibilité de compromission des sites A, B, C, D via l'attaque Q, ...
Si l'entité que je décrivais ci-dessus se monte, ils pourraient très bien (si le découvreur donne son accord) faire un descriptif public de la faille, de sa remontée et de sa correction. Mais moi, j'ai pas que ça à faire. Donc, je ne le fais pas. Et puis je ne vois pas trop ce que ça apporterait ...
Il a est noter que quand je trouve des failles dans des softs publics, que j'estime que ces failles méritent publication et que je n'ai pas d'empêchement contractuel à cette publication, je publie, même si ça consomme énormément de temps (par rapport à celui consacré à la découverte de la vuln).
Nicob
On Sun, 18 Sep 2005 07:19:11 +0000, Olivier Aichelbaum wrote:
Si vous n'êtes pas pour le full disclosure
C'est une façon de voir les choses ;-)
que vous voulez garder les failles pour vous
Non, je veux juste qu'elles soient corrigées. Je ne me vois pas faire un
advisory public sur la grosse faille du site Z, la faille de conception
dans le framework de publication Web utilisé par X et Y, la possibilité
de compromission des sites A, B, C, D via l'attaque Q, ...
Si l'entité que je décrivais ci-dessus se monte, ils pourraient très
bien (si le découvreur donne son accord) faire un descriptif public de la
faille, de sa remontée et de sa correction. Mais moi, j'ai pas que ça à
faire. Donc, je ne le fais pas. Et puis je ne vois pas trop ce que ça
apporterait ...
Il a est noter que quand je trouve des failles dans des softs publics,
que j'estime que ces failles méritent publication et que je n'ai pas
d'empêchement contractuel à cette publication, je publie, même si ça
consomme énormément de temps (par rapport à celui consacré à la
découverte de la vuln).
On Sun, 18 Sep 2005 07:19:11 +0000, Olivier Aichelbaum wrote:
Si vous n'êtes pas pour le full disclosure
C'est une façon de voir les choses ;-)
que vous voulez garder les failles pour vous
Non, je veux juste qu'elles soient corrigées. Je ne me vois pas faire un advisory public sur la grosse faille du site Z, la faille de conception dans le framework de publication Web utilisé par X et Y, la possibilité de compromission des sites A, B, C, D via l'attaque Q, ...
Si l'entité que je décrivais ci-dessus se monte, ils pourraient très bien (si le découvreur donne son accord) faire un descriptif public de la faille, de sa remontée et de sa correction. Mais moi, j'ai pas que ça à faire. Donc, je ne le fais pas. Et puis je ne vois pas trop ce que ça apporterait ...
Il a est noter que quand je trouve des failles dans des softs publics, que j'estime que ces failles méritent publication et que je n'ai pas d'empêchement contractuel à cette publication, je publie, même si ça consomme énormément de temps (par rapport à celui consacré à la découverte de la vuln).
Nicob
Roland Garcia
Nicob wrote:
Personnellement, la quasi-totalité des failles que je découvre et remonte ne deviennent jamais publiques. Et si je mets un journal en copie, ce n'est clairement pas pour qu'il fasse du beurre là dessus. Et comme les autres journaux n'auront jamais vent de la faille en question, ils ne pourront pas publier sur le sujet, donc celui mis en copie ne se sentira pas lésé.
Si vous n'êtes pas pour le full disclosure, que vous voulez garder les failles pour vous, il suffisait de le dire. C'est un autre débat.
Qui est d'ailleurs terminé, avec la LCEN.
Le débat actuel est "qui est légitime a décider ce qui est légitime à publier ?", qui me semble également fixé par une jurisprudence en Conseil d'Etat.
-- Roland Garcia
Nicob wrote:
Personnellement, la quasi-totalité des failles que je découvre et
remonte ne deviennent jamais publiques. Et si je mets un journal en
copie,
ce n'est clairement pas pour qu'il fasse du beurre là dessus. Et comme
les autres journaux n'auront jamais vent de la faille en question, ils ne
pourront pas publier sur le sujet, donc celui mis en copie ne se sentira
pas lésé.
Si vous n'êtes pas pour le full disclosure, que vous voulez garder
les failles pour vous, il suffisait de le dire. C'est un autre débat.
Qui est d'ailleurs terminé, avec la LCEN.
Le débat actuel est "qui est légitime a décider ce qui est légitime à
publier ?", qui me semble également fixé par une jurisprudence en
Conseil d'Etat.
Personnellement, la quasi-totalité des failles que je découvre et remonte ne deviennent jamais publiques. Et si je mets un journal en copie, ce n'est clairement pas pour qu'il fasse du beurre là dessus. Et comme les autres journaux n'auront jamais vent de la faille en question, ils ne pourront pas publier sur le sujet, donc celui mis en copie ne se sentira pas lésé.
Si vous n'êtes pas pour le full disclosure, que vous voulez garder les failles pour vous, il suffisait de le dire. C'est un autre débat.
Qui est d'ailleurs terminé, avec la LCEN.
Le débat actuel est "qui est légitime a décider ce qui est légitime à publier ?", qui me semble également fixé par une jurisprudence en Conseil d'Etat.
-- Roland Garcia
Olivier Aichelbaum
Roland Garcia wrote:
Voilà, vous venez de citer Misc, un magazine.
Certes, mais avec les caractéristiques d'une revue scientifique, y publient notamment des gens du CNRS, ESAT, EADS etc...
Dans Pirates Mag' aussi, il y a de telles contributions extérieures. Mais le magazine fait souvent de l'investigation en sus, des révélations génantes qui entrainent des accusations de type "juif" "escroc" "lié à la société Untel" "moralité douteuse" contre ceux qui mettent leur nom en clair. Je comprends donc que les personnes qui signent préfèrent protéger leur identité.
Encore dernièrement on a vu ce que ça donnait : Patrick Gueulle, un expert reconnu de tous ici, est à l'origine de la découverte de problèmes de sécurité de la Carte Vitale, et tout ce que vous avez trouvé à nous poser comme question à ce sujet c'est si nous avons bénéficié de fausses cartes Vitales... :-( Alors qu'il aurait été plus intéressant/constructif de discuter sur ce qu'il est possible d'apporter comme améliorations au système actuel.
Au passage, je tiens à préciser que M. Creteaux qui a travaillé aussi sur la carte Vitale - et qui s'est vu qualifié de "pirate informatique" par TF1 ce soir :-( - a informé directement depuis des années le GIE de des failles qu'il trouvait. Mais n'ayant aucune réponse adaptée, il a décidé de communiquer publiquement. Un acte de bonne foi, une chronologie, qu'on ne retrouve pas dans d'autres affaires judiciaires récentes.
-- Olivier Aichelbaum
Roland Garcia wrote:
Voilà, vous venez de citer Misc, un magazine.
Certes, mais avec les caractéristiques d'une revue scientifique, y
publient notamment des gens du CNRS, ESAT, EADS etc...
Dans Pirates Mag' aussi, il y a de telles contributions extérieures.
Mais le magazine fait souvent de l'investigation en sus, des révélations
génantes qui entrainent des accusations de type "juif" "escroc" "lié à
la société Untel" "moralité douteuse" contre ceux qui mettent leur nom
en clair. Je comprends donc que les personnes qui signent préfèrent
protéger leur identité.
Encore dernièrement on a vu ce que ça donnait : Patrick Gueulle, un
expert reconnu de tous ici, est à l'origine de la découverte de
problèmes de sécurité de la Carte Vitale, et tout ce que vous avez
trouvé à nous poser comme question à ce sujet c'est si nous avons
bénéficié de fausses cartes Vitales... :-( Alors qu'il aurait été plus
intéressant/constructif de discuter sur ce qu'il est possible d'apporter
comme améliorations au système actuel.
Au passage, je tiens à préciser que M. Creteaux qui a travaillé aussi
sur la carte Vitale - et qui s'est vu qualifié de "pirate informatique"
par TF1 ce soir :-( - a informé directement depuis des années le GIE de
des failles qu'il trouvait. Mais n'ayant aucune réponse adaptée, il a
décidé de communiquer publiquement. Un acte de bonne foi, une
chronologie, qu'on ne retrouve pas dans d'autres affaires judiciaires
récentes.
Certes, mais avec les caractéristiques d'une revue scientifique, y publient notamment des gens du CNRS, ESAT, EADS etc...
Dans Pirates Mag' aussi, il y a de telles contributions extérieures. Mais le magazine fait souvent de l'investigation en sus, des révélations génantes qui entrainent des accusations de type "juif" "escroc" "lié à la société Untel" "moralité douteuse" contre ceux qui mettent leur nom en clair. Je comprends donc que les personnes qui signent préfèrent protéger leur identité.
Encore dernièrement on a vu ce que ça donnait : Patrick Gueulle, un expert reconnu de tous ici, est à l'origine de la découverte de problèmes de sécurité de la Carte Vitale, et tout ce que vous avez trouvé à nous poser comme question à ce sujet c'est si nous avons bénéficié de fausses cartes Vitales... :-( Alors qu'il aurait été plus intéressant/constructif de discuter sur ce qu'il est possible d'apporter comme améliorations au système actuel.
Au passage, je tiens à préciser que M. Creteaux qui a travaillé aussi sur la carte Vitale - et qui s'est vu qualifié de "pirate informatique" par TF1 ce soir :-( - a informé directement depuis des années le GIE de des failles qu'il trouvait. Mais n'ayant aucune réponse adaptée, il a décidé de communiquer publiquement. Un acte de bonne foi, une chronologie, qu'on ne retrouve pas dans d'autres affaires judiciaires récentes.
-- Olivier Aichelbaum
Roland Garcia
Nicob wrote:
On Wed, 10 Aug 2005 13:16:20 +0000, Olivier Aichelbaum wrote:
Autre avantage de la presse sur les CERT : à condition que cela soit fait dans les règles de l'art (aucune volonté de nuire, pas de chantage, etc.), elle peut aussi protéger l'anonymat du découvreur de la faille.
Je ne sais pas dans le cadre de la découverte d'une faille, mais pour ce qui est des machines compromises, les CERT....
C'est pourtant facile à savoir, et le secret professionnel ?
-- Roland Garcia
Nicob wrote:
On Wed, 10 Aug 2005 13:16:20 +0000, Olivier Aichelbaum wrote:
Autre avantage de la presse sur les CERT : à condition que cela soit
fait dans les règles de l'art (aucune volonté de nuire, pas de chantage,
etc.), elle peut aussi protéger l'anonymat du découvreur de la faille.
Je ne sais pas dans le cadre de la découverte d'une faille, mais pour ce qui
est des machines compromises, les CERT....
C'est pourtant facile à savoir, et le secret professionnel ?
On Wed, 10 Aug 2005 13:16:20 +0000, Olivier Aichelbaum wrote:
Autre avantage de la presse sur les CERT : à condition que cela soit fait dans les règles de l'art (aucune volonté de nuire, pas de chantage, etc.), elle peut aussi protéger l'anonymat du découvreur de la faille.
Je ne sais pas dans le cadre de la découverte d'une faille, mais pour ce qui est des machines compromises, les CERT....
C'est pourtant facile à savoir, et le secret professionnel ?
-- Roland Garcia
Erwan David
La carte vitale ne continet de toute façon que des informations *publiques*, rien de plsu que l'attestation papier...
-- Si vous embauchez, voici mon CV http://www.rail.eu.org/cv/cv.pdf
La carte vitale ne continet de toute façon que des informations
*publiques*, rien de plsu que l'attestation papier...
--
Si vous embauchez, voici mon CV
http://www.rail.eu.org/cv/cv.pdf
La carte vitale ne continet de toute façon que des informations *publiques*, rien de plsu que l'attestation papier...
-- Si vous embauchez, voici mon CV http://www.rail.eu.org/cv/cv.pdf
Olivier Aichelbaum
Erwan David wrote:
La carte vitale ne continet de toute façon que des informations *publiques*, rien de plsu que l'attestation papier...
L'ALD n'est pas une information publique, elle relève du secret médical. Et au-delà de la duplication possible de cartes, il y a le danger de la modification des droits.
-- Olivier Aichelbaum
Erwan David wrote:
La carte vitale ne continet de toute façon que des informations
*publiques*, rien de plsu que l'attestation papier...
L'ALD n'est pas une information publique, elle relève du secret
médical. Et au-delà de la duplication possible de cartes, il y
a le danger de la modification des droits.
La carte vitale ne continet de toute façon que des informations *publiques*, rien de plsu que l'attestation papier...
L'ALD n'est pas une information publique, elle relève du secret médical. Et au-delà de la duplication possible de cartes, il y a le danger de la modification des droits.
-- Olivier Aichelbaum
Roland Garcia
Erwan David wrote:
La carte vitale ne continet de toute façon que des informations *publiques*, rien de plsu que l'attestation papier...
L'ALD n'est pas une information publique, elle relève du secret médical.
Exact, mais elle est également sur l'attestation papier. Chiffrée ou pas cette information est et sera accessible aux professionnels de santé, et ne l'est que par eux (puisque c'est son pocesseur qui en dispose), et ils sont soumis au secret médical.
Et au-delà de la duplication possible de cartes, il y a le danger de la modification des droits.
Le personnel de santé n'a aucune raison, ni intérêt, à pirater l'eau tiède.
Ceci dit, êtes vous au courant des accusations et plaintes, semble t-il préalables aux plaintes contre lui, de Jérôme Crêtaux pour entre autres: vol d'information, espionnage, utilisation de chevaux de Troie ? http://www.abri.org/antidelation/article963.html
Surprenant n'est-il pas ?
Xpost et suivi fr.bio.medecine
-- Roland Garcia
Erwan David wrote:
La carte vitale ne continet de toute façon que des informations
*publiques*, rien de plsu que l'attestation papier...
L'ALD n'est pas une information publique, elle relève du secret
médical.
Exact, mais elle est également sur l'attestation papier. Chiffrée ou pas
cette information est et sera accessible aux professionnels de santé, et
ne l'est que par eux (puisque c'est son pocesseur qui en dispose), et
ils sont soumis au secret médical.
Et au-delà de la duplication possible de cartes, il y
a le danger de la modification des droits.
Le personnel de santé n'a aucune raison, ni intérêt, à pirater l'eau
tiède.
Ceci dit, êtes vous au courant des accusations et plaintes, semble t-il
préalables aux plaintes contre lui, de Jérôme Crêtaux pour entre autres:
vol d'information, espionnage, utilisation de chevaux de Troie ?
http://www.abri.org/antidelation/article963.html
La carte vitale ne continet de toute façon que des informations *publiques*, rien de plsu que l'attestation papier...
L'ALD n'est pas une information publique, elle relève du secret médical.
Exact, mais elle est également sur l'attestation papier. Chiffrée ou pas cette information est et sera accessible aux professionnels de santé, et ne l'est que par eux (puisque c'est son pocesseur qui en dispose), et ils sont soumis au secret médical.
Et au-delà de la duplication possible de cartes, il y a le danger de la modification des droits.
Le personnel de santé n'a aucune raison, ni intérêt, à pirater l'eau tiède.
Ceci dit, êtes vous au courant des accusations et plaintes, semble t-il préalables aux plaintes contre lui, de Jérôme Crêtaux pour entre autres: vol d'information, espionnage, utilisation de chevaux de Troie ? http://www.abri.org/antidelation/article963.html
Surprenant n'est-il pas ?
Xpost et suivi fr.bio.medecine
-- Roland Garcia
Olivier Aichelbaum
Roland Garcia wrote:
Ca remplace le cercle vicieux virus/signatures, lui aussi sans fin, qui a nourri son monde jusqu'à ce qu'on arrive à faire comprendre qu'il n'est qu'un attrappe couillons dont on peut facilement se sortir en respectant quelques règles rationnelles et élémentaires. Mais l'inconvénient est que le bon sens n'est pas vendeur...
Le problème du cercle vicieux que vous prenez en comparaison, ce sont les psychopathes qui diffusent les virus. Or dans le cycle découverte de failles/correction, les deux camps peuvent être "bons" et travailler ensembles, sans que cela ne choque.
Olivier Aichelbaum
Roland Garcia wrote:
Ca remplace le cercle vicieux virus/signatures, lui aussi sans fin, qui
a nourri son monde jusqu'à ce qu'on arrive à faire comprendre qu'il
n'est qu'un attrappe couillons dont on peut facilement se sortir en
respectant quelques règles rationnelles et élémentaires. Mais
l'inconvénient est que le bon sens n'est pas vendeur...
Le problème du cercle vicieux que vous prenez en comparaison, ce sont
les psychopathes qui diffusent les virus. Or dans le cycle découverte
de failles/correction, les deux camps peuvent être "bons" et travailler
ensembles, sans que cela ne choque.
Ca remplace le cercle vicieux virus/signatures, lui aussi sans fin, qui a nourri son monde jusqu'à ce qu'on arrive à faire comprendre qu'il n'est qu'un attrappe couillons dont on peut facilement se sortir en respectant quelques règles rationnelles et élémentaires. Mais l'inconvénient est que le bon sens n'est pas vendeur...
Le problème du cercle vicieux que vous prenez en comparaison, ce sont les psychopathes qui diffusent les virus. Or dans le cycle découverte de failles/correction, les deux camps peuvent être "bons" et travailler ensembles, sans que cela ne choque.
