C'est la version Cert, d'autres organismes ont d'autres délais. Toujours est-il que Guillermito n'a pas laissé 30 jours à Tegam.
sauf si la faille a été discutée publiquement (forums etc....), dans ce cas il n'y a pas nécessité à délai:
"Cette période de grâce ne s'applique qu'aux nouvelles vulnérabilités, c'est-à-dire aux vulnérabilités n'ayant pas déjà fait l'objet d'une annonce dans un forum public (mailing-list ouverte, site Web public, etc...)."
Or c'est Guillermito qui a commencé à balancer les infos ici (sans prévenir Tegam avant je suppose ?) !
-- Olivier Aichelbaum
Roland Garcia wrote:
L'usage est de 30 jours
C'est la version Cert, d'autres organismes ont d'autres délais.
Toujours est-il que Guillermito n'a pas laissé 30 jours à Tegam.
sauf si la faille a été discutée publiquement
(forums etc....), dans ce cas il n'y a pas nécessité à délai:
"Cette période de grâce ne s'applique qu'aux nouvelles vulnérabilités,
c'est-à-dire aux vulnérabilités n'ayant pas déjà fait l'objet d'une
annonce dans un forum public (mailing-list ouverte, site Web public,
etc...)."
Or c'est Guillermito qui a commencé à balancer les infos ici
(sans prévenir Tegam avant je suppose ?) !
C'est la version Cert, d'autres organismes ont d'autres délais. Toujours est-il que Guillermito n'a pas laissé 30 jours à Tegam.
sauf si la faille a été discutée publiquement (forums etc....), dans ce cas il n'y a pas nécessité à délai:
"Cette période de grâce ne s'applique qu'aux nouvelles vulnérabilités, c'est-à-dire aux vulnérabilités n'ayant pas déjà fait l'objet d'une annonce dans un forum public (mailing-list ouverte, site Web public, etc...)."
Or c'est Guillermito qui a commencé à balancer les infos ici (sans prévenir Tegam avant je suppose ?) !
-- Olivier Aichelbaum
Guillermito
Roland Garcia :
Certes mais il n'y a jamais eu en France de procès remettant en cause la publication des failles, qui est la base de toute la sécurité informatique, on toucherait à l'ordre public (et vital).
Dans un domaine très similaire, on pourrait quand même citer le procès Kitetoa / Tati, sur les failles du site web du vendeur de fringues, qui a quand même coûté du temps et de l'argent à Kitetoa - simple particulier indépendant et hobbyiste - alors qu'il avait fait les choses de manière absolument claire et comme il se doit (prévenir les responsables, attendre avant de publier l'information, etc...).
Heureusement, le premier jugement a été cassé, mais il n'empêche que ça a pris beaucoup de temps, d'énergie, un avocat... Le tout parce que Tati laissait les coordonnées de ses clients en accès libre!
Tout ça est d'une hypocrisie sans pareil. Les entreprises et leurs cabinets d'avocats ne peuvent que gagner face à des personnes seules qui cherchent les failles par pure passion et plaisir. Et ce sont ces derniers qui font progresser la sécurité globale des systèmes d'information, en publiant leurs découvertes et en forçant les produits à s'améliorer.
Dans mon cas, si insignifiant soit-il, quel que soit le résultat de la plainte de Tegam, ça n'a aucune importance: ils ont déjà gagné, puisque ma page de critiques n'est plus accessible sur le web. Utiliser la lenteur de la justice et l'asymétrie des moyens pour étouffer les critiques, finalement, c'est une bonne stratégie, la preuve.
-- Guillermito http://www.guillermito2.net
Roland Garcia <roland-garcia@wanadoo.fr> :
Certes mais il n'y a jamais eu en France de procès remettant
en cause la publication des failles, qui est la base de toute la
sécurité informatique, on toucherait à l'ordre public (et vital).
Dans un domaine très similaire, on pourrait quand même citer le procès
Kitetoa / Tati, sur les failles du site web du vendeur de fringues,
qui a quand même coûté du temps et de l'argent à Kitetoa - simple
particulier indépendant et hobbyiste - alors qu'il avait fait les
choses de manière absolument claire et comme il se doit (prévenir les
responsables, attendre avant de publier l'information, etc...).
Heureusement, le premier jugement a été cassé, mais il n'empêche que
ça a pris beaucoup de temps, d'énergie, un avocat... Le tout parce que
Tati laissait les coordonnées de ses clients en accès libre!
Tout ça est d'une hypocrisie sans pareil. Les entreprises et leurs
cabinets d'avocats ne peuvent que gagner face à des personnes seules
qui cherchent les failles par pure passion et plaisir. Et ce sont ces
derniers qui font progresser la sécurité globale des systèmes
d'information, en publiant leurs découvertes et en forçant les
produits à s'améliorer.
Dans mon cas, si insignifiant soit-il, quel que soit le résultat de la
plainte de Tegam, ça n'a aucune importance: ils ont déjà gagné,
puisque ma page de critiques n'est plus accessible sur le web.
Utiliser la lenteur de la justice et l'asymétrie des moyens pour
étouffer les critiques, finalement, c'est une bonne stratégie, la
preuve.
Certes mais il n'y a jamais eu en France de procès remettant en cause la publication des failles, qui est la base de toute la sécurité informatique, on toucherait à l'ordre public (et vital).
Dans un domaine très similaire, on pourrait quand même citer le procès Kitetoa / Tati, sur les failles du site web du vendeur de fringues, qui a quand même coûté du temps et de l'argent à Kitetoa - simple particulier indépendant et hobbyiste - alors qu'il avait fait les choses de manière absolument claire et comme il se doit (prévenir les responsables, attendre avant de publier l'information, etc...).
Heureusement, le premier jugement a été cassé, mais il n'empêche que ça a pris beaucoup de temps, d'énergie, un avocat... Le tout parce que Tati laissait les coordonnées de ses clients en accès libre!
Tout ça est d'une hypocrisie sans pareil. Les entreprises et leurs cabinets d'avocats ne peuvent que gagner face à des personnes seules qui cherchent les failles par pure passion et plaisir. Et ce sont ces derniers qui font progresser la sécurité globale des systèmes d'information, en publiant leurs découvertes et en forçant les produits à s'améliorer.
Dans mon cas, si insignifiant soit-il, quel que soit le résultat de la plainte de Tegam, ça n'a aucune importance: ils ont déjà gagné, puisque ma page de critiques n'est plus accessible sur le web. Utiliser la lenteur de la justice et l'asymétrie des moyens pour étouffer les critiques, finalement, c'est une bonne stratégie, la preuve.
-- Guillermito http://www.guillermito2.net
Roland Garcia
"Cette période de grâce ne s'applique qu'aux nouvelles vulnérabilités, c'est-à-dire aux vulnérabilités n'ayant pas déjà fait l'objet d'une annonce dans un forum public (mailing-list ouverte, site Web public, etc...)."
Or c'est Guillermito qui a commencé à balancer les infos ici
Je dirais plutôt vous deux, mais certainement pas moi.
Roland Garcia
"Cette période de grâce ne s'applique qu'aux nouvelles vulnérabilités,
c'est-à-dire aux vulnérabilités n'ayant pas déjà fait l'objet d'une
annonce dans un forum public (mailing-list ouverte, site Web public,
etc...)."
Or c'est Guillermito qui a commencé à balancer les infos ici
Je dirais plutôt vous deux, mais certainement pas moi.
"Cette période de grâce ne s'applique qu'aux nouvelles vulnérabilités, c'est-à-dire aux vulnérabilités n'ayant pas déjà fait l'objet d'une annonce dans un forum public (mailing-list ouverte, site Web public, etc...)."
Or c'est Guillermito qui a commencé à balancer les infos ici
Je dirais plutôt vous deux, mais certainement pas moi.
Roland Garcia
Olivier Aichelbaum
Guillermito wrote:
A propos, un grand bravo pour le brio avec lequel tu évites de répondre aux questions. J'ai failli me faire avoir. Donc: quels liens y a-t-il entre Roland et moi? Ca m'intéresse de découvrir des choses nouvelles sur ma vie, quand même.
news:
-- Olivier Aichelbaum
Guillermito wrote:
A propos, un grand bravo pour le brio avec lequel tu évites de
répondre aux questions. J'ai failli me faire avoir. Donc: quels liens
y a-t-il entre Roland et moi? Ca m'intéresse de découvrir des choses
nouvelles sur ma vie, quand même.
A propos, un grand bravo pour le brio avec lequel tu évites de répondre aux questions. J'ai failli me faire avoir. Donc: quels liens y a-t-il entre Roland et moi? Ca m'intéresse de découvrir des choses nouvelles sur ma vie, quand même.
news:
-- Olivier Aichelbaum
Olivier Aichelbaum
Roland Garcia wrote:
Certes mais il n'y a jamais eu en France de procès remettant en cause la publication des failles, qui est la base de toute la sécurité informatique, on toucherait à l'ordre public (et vital).
Pour une fois nous sommes d'accord.
-- Olivier Aichelbaum
Roland Garcia wrote:
Certes mais il n'y a jamais eu en France de procès remettant
en cause la publication des failles, qui est la base de toute la
sécurité informatique, on toucherait à l'ordre public (et vital).
Certes mais il n'y a jamais eu en France de procès remettant en cause la publication des failles, qui est la base de toute la sécurité informatique, on toucherait à l'ordre public (et vital).
Pour une fois nous sommes d'accord.
-- Olivier Aichelbaum
Olivier Aichelbaum
Roland Garcia wrote:
Or c'est Guillermito qui a commencé à balancer les infos ici
Je dirais plutôt vous deux, mais certainement pas moi.
Je n'ai pas décompilé Viguard, et je n'aurais rien publié ici ou ailleurs sans laisser un délai à l'éditeur.
-- Olivier Aichelbaum
Roland Garcia wrote:
Or c'est Guillermito qui a commencé à balancer les infos ici
Je dirais plutôt vous deux, mais certainement pas moi.
Je n'ai pas décompilé Viguard, et je n'aurais rien publié ici ou
ailleurs sans laisser un délai à l'éditeur.
Or c'est Guillermito qui a commencé à balancer les infos ici
Je dirais plutôt vous deux, mais certainement pas moi.
Je n'ai pas décompilé Viguard, et je n'aurais rien publié ici ou ailleurs sans laisser un délai à l'éditeur.
-- Olivier Aichelbaum
Olivier Aichelbaum
AMcD wrote:
Elle me fait bien rire moi cette histoire de 3 mois avant de rendre public une faille. C'est une loi ? Je ne pense pas.
Non ce n'est pas une loi, c'est juste pour laisser le temps à l'éditeur de colmater la faille avant que les pirates ne s'en servent. C'est une sorte de compromis entre le full-disclosure immédiat et ses dangers, et la non révélation de failles et ses dangers.
Comment sont reçus les gars lorsqu'ils contactent une société pour les prévenir ? Moi, on m'a simplement raccroché au nez ou pas daigné répondre. Certains prennent des procès. Pourtant, à qui appartient la faute, à celui qui la commet ou à celui qui la dénonce ?
Nous faisons corriger des failles chaque semaine. Nous n'avons eu aucun procès, toutes les sociétés (sauf une fois Wanadoo) nous ont remercié de façon sincère ! Tout dépend si on est là pour aider ces sociétés et leurs clients, ou les dénigrer etc...
-- Olivier Aichelbaum
AMcD wrote:
Elle me fait bien rire moi cette histoire de 3 mois avant de rendre public
une faille. C'est une loi ? Je ne pense pas.
Non ce n'est pas une loi, c'est juste pour laisser le temps à l'éditeur
de colmater la faille avant que les pirates ne s'en servent. C'est une
sorte de compromis entre le full-disclosure immédiat et ses dangers,
et la non révélation de failles et ses dangers.
Comment sont reçus les gars
lorsqu'ils contactent une société pour les prévenir ? Moi, on m'a simplement
raccroché au nez ou pas daigné répondre. Certains prennent des procès.
Pourtant, à qui appartient la faute, à celui qui la commet ou à celui qui la
dénonce ?
Nous faisons corriger des failles chaque semaine. Nous n'avons eu
aucun procès, toutes les sociétés (sauf une fois Wanadoo) nous ont
remercié de façon sincère ! Tout dépend si on est là pour aider ces
sociétés et leurs clients, ou les dénigrer etc...
Elle me fait bien rire moi cette histoire de 3 mois avant de rendre public une faille. C'est une loi ? Je ne pense pas.
Non ce n'est pas une loi, c'est juste pour laisser le temps à l'éditeur de colmater la faille avant que les pirates ne s'en servent. C'est une sorte de compromis entre le full-disclosure immédiat et ses dangers, et la non révélation de failles et ses dangers.
Comment sont reçus les gars lorsqu'ils contactent une société pour les prévenir ? Moi, on m'a simplement raccroché au nez ou pas daigné répondre. Certains prennent des procès. Pourtant, à qui appartient la faute, à celui qui la commet ou à celui qui la dénonce ?
Nous faisons corriger des failles chaque semaine. Nous n'avons eu aucun procès, toutes les sociétés (sauf une fois Wanadoo) nous ont remercié de façon sincère ! Tout dépend si on est là pour aider ces sociétés et leurs clients, ou les dénigrer etc...
-- Olivier Aichelbaum
Olivier Aichelbaum
Guillermito wrote:
Dans mon cas, si insignifiant soit-il, quel que soit le résultat de la plainte de Tegam, ça n'a aucune importance: ils ont déjà gagné, puisque ma page de critiques n'est plus accessible sur le web. Utiliser la lenteur de la justice et l'asymétrie des moyens pour étouffer les critiques, finalement, c'est une bonne stratégie, la preuve.
Si le motif est celui que tu dis, il y aurait eu plainte aux USA (où tu résides) selon le DMCA. Pas en France faute de texte AMHA.
-- Olivier Aichelbaum
Guillermito wrote:
Dans mon cas, si insignifiant soit-il, quel que soit le résultat de la
plainte de Tegam, ça n'a aucune importance: ils ont déjà gagné,
puisque ma page de critiques n'est plus accessible sur le web.
Utiliser la lenteur de la justice et l'asymétrie des moyens pour
étouffer les critiques, finalement, c'est une bonne stratégie, la
preuve.
Si le motif est celui que tu dis, il y aurait eu plainte aux USA
(où tu résides) selon le DMCA. Pas en France faute de texte AMHA.
Dans mon cas, si insignifiant soit-il, quel que soit le résultat de la plainte de Tegam, ça n'a aucune importance: ils ont déjà gagné, puisque ma page de critiques n'est plus accessible sur le web. Utiliser la lenteur de la justice et l'asymétrie des moyens pour étouffer les critiques, finalement, c'est une bonne stratégie, la preuve.
Si le motif est celui que tu dis, il y aurait eu plainte aux USA (où tu résides) selon le DMCA. Pas en France faute de texte AMHA.
-- Olivier Aichelbaum
Roland Garcia
Roland Garcia :
Certes mais il n'y a jamais eu en France de procès remettant en cause la publication des failles, qui est la base de toute la sécurité informatique, on toucherait à l'ordre public (et vital).
Dans un domaine très similaire, on pourrait quand même citer le procès Kitetoa / Tati, sur les failles du site web du vendeur de fringues, qui a quand même coûté du temps et de l'argent à Kitetoa - simple particulier indépendant et hobbyiste - alors qu'il avait fait les choses de manière absolument claire et comme il se doit (prévenir les responsables, attendre avant de publier l'information, etc...).
Qu'ils ont perdu, avec une image de marque catastrophique.
Roland Garcia
Roland Garcia <roland-garcia@wanadoo.fr> :
Certes mais il n'y a jamais eu en France de procès remettant
en cause la publication des failles, qui est la base de toute la
sécurité informatique, on toucherait à l'ordre public (et vital).
Dans un domaine très similaire, on pourrait quand même citer le procès
Kitetoa / Tati, sur les failles du site web du vendeur de fringues,
qui a quand même coûté du temps et de l'argent à Kitetoa - simple
particulier indépendant et hobbyiste - alors qu'il avait fait les
choses de manière absolument claire et comme il se doit (prévenir les
responsables, attendre avant de publier l'information, etc...).
Qu'ils ont perdu, avec une image de marque catastrophique.
Certes mais il n'y a jamais eu en France de procès remettant en cause la publication des failles, qui est la base de toute la sécurité informatique, on toucherait à l'ordre public (et vital).
Dans un domaine très similaire, on pourrait quand même citer le procès Kitetoa / Tati, sur les failles du site web du vendeur de fringues, qui a quand même coûté du temps et de l'argent à Kitetoa - simple particulier indépendant et hobbyiste - alors qu'il avait fait les choses de manière absolument claire et comme il se doit (prévenir les responsables, attendre avant de publier l'information, etc...).
Qu'ils ont perdu, avec une image de marque catastrophique.
Roland Garcia
Olivier Aichelbaum
Guillermito wrote:
Dans un domaine très similaire, on pourrait quand même citer le procès Kitetoa / Tati, sur les failles du site web du vendeur de fringues, qui a quand même coûté du temps et de l'argent à Kitetoa - simple particulier indépendant et hobbyiste - alors qu'il avait fait les choses de manière absolument claire et comme il se doit (prévenir les responsables, attendre avant de publier l'information, etc...).
Tu vois que tu sais ce que tu aurais du faire pour être irréprochable.
-- Olivier Aichelbaum
Guillermito wrote:
Dans un domaine très similaire, on pourrait quand même citer le procès
Kitetoa / Tati, sur les failles du site web du vendeur de fringues,
qui a quand même coûté du temps et de l'argent à Kitetoa - simple
particulier indépendant et hobbyiste - alors qu'il avait fait les
choses de manière absolument claire et comme il se doit (prévenir les
responsables, attendre avant de publier l'information, etc...).
Tu vois que tu sais ce que tu aurais du faire pour être irréprochable.
Dans un domaine très similaire, on pourrait quand même citer le procès Kitetoa / Tati, sur les failles du site web du vendeur de fringues, qui a quand même coûté du temps et de l'argent à Kitetoa - simple particulier indépendant et hobbyiste - alors qu'il avait fait les choses de manière absolument claire et comme il se doit (prévenir les responsables, attendre avant de publier l'information, etc...).
Tu vois que tu sais ce que tu aurais du faire pour être irréprochable.
