Juste fait traiter de terroriste.
Oui ça c'est hallucinant ! Enfin bref...
Juste fait traiter de terroriste.
Oui ça c'est hallucinant ! Enfin bref...
Juste fait traiter de terroriste.
Oui ça c'est hallucinant ! Enfin bref...
D'ailleurs, je me demandais s'il y avait eu dans le vaste monde de la
sécurité informatique, des cas similaires à ce qui m'est arrivé.
D'ailleurs, je me demandais s'il y avait eu dans le vaste monde de la
sécurité informatique, des cas similaires à ce qui m'est arrivé.
D'ailleurs, je me demandais s'il y avait eu dans le vaste monde de la
sécurité informatique, des cas similaires à ce qui m'est arrivé.
[Modération: Je maintiens la discussion sur fcs, mais il serait bon de
ne pas trop dévier sur le seul droit et son application, ou alors avec
un suivi sur fr.misc.droit, d'avance merci.]
[Rha, il semblerait que la plateforme web2news que j'utilise
Il interprétait là le verdict et l'ébauche de jugement, et non le
jugement lui-même. Or, force m'est de constater qu'il n'avait pas
tort. Le jugement indique clairement que les deux seuls motifs de la
condamnation, sont l'impossibilité qu'à eu Guillaume de démontrer
qu'il avait une licence[1], et le fait qu'il ait contrefait le code
de ViGuard.
Autrement dit, on n'a pas le droit de porter atteinte à
l'exploitation normale d'un logiciel, mais rien ne dit si l'on a le
droit ou non de regarder si cette exploitation est normale et ce
passe conformément à sa destination. De même, il n'y a rien en
soit qui permette de savoir si la publication d'une faille avérée est
un préjudice et s'il est ou non justifié.
La clémence du verdict pourrait être considérée comme
tendant à démontrer qu'il n'y a pas préjudice ou que celui-ci est
justifié, mais ce n'est là qu'interprétation, puisqu'au final l'on ne
peut que subodorer le pourquoi de cette clémence.
L'on n'a pas le droit[2] de reprendre le code du logiciel concerncé
pour exploiter une faille que l'on publie, mais l'on ne sait toujours
pas si l'on a le droit de publier du code permettant d'exploiter
cette faille. Le jugement n'apporte donc aucune réponse concrète
sur le full disclosure, se contentant d'indiquer qu'une chose précise
est interdite, sans laisser de pistes sur ce qui pourrait être autorisé.
Tant que tu n'es pas obligé de modifier le-dit logiciel pour le
déboguer, tu ne portes pas atteinte à son exploitation.
Par contre, il en va autrement si tu es obligé de désactiver une routine
qui testerait la présence du débogueur que tu utilises ;
cela tout simplement parce que la présence de ce test indique
explicitement que le logiciel n'est pas prévu pour fonctionner avec
ce débogueur. Ce qui donne une limite à la recherche de faille, tu
*dois* utiliser des outils compatibles avec le logiciel que tu testes.
Dès lors, toute personne reproduisant ces 40 octets est succeptible
d'être poursuivi en contrefaçon par Tegam, qui gagnera. Et cela
même si cette reproduction est fortuite. Ainsi est écrit le droit français.
C'est une bonne chose lorsqu'il s'agit d'une oeuvre littéraire ou
filmographique, par exemple.
C'est limite lorsque cela s'applique à une oeuvre musicale, ça l'est
plus encore dès lors que cela s'applique aux logiciels. Pour autant,
tant que ce dernier domaine dépendra du CPI, il en sera ainsi et il
faudra faire avec.
En aucun cas, au contraire même. Il n'est pas besoin d'en connaitre la
cause pour voir que la clémence du verdict démontre avec certitude que
la justice n'est pas sourde aux raisons à l'origine des actes.
Monsieur T., vos intentions étaient louables, mais vous avez fait
deux *bétises*, je me dois donc de vous taper sur les doigts".
Tout cela étant dit, ne pourrais-tu faire quelque chose pour les
horribles accents de tes messages ?
[Modération: Je maintiens la discussion sur fcs, mais il serait bon de
ne pas trop dévier sur le seul droit et son application, ou alors avec
un suivi sur fr.misc.droit, d'avance merci.]
[Rha, il semblerait que la plateforme web2news que j'utilise
Il interprétait là le verdict et l'ébauche de jugement, et non le
jugement lui-même. Or, force m'est de constater qu'il n'avait pas
tort. Le jugement indique clairement que les deux seuls motifs de la
condamnation, sont l'impossibilité qu'à eu Guillaume de démontrer
qu'il avait une licence[1], et le fait qu'il ait contrefait le code
de ViGuard.
Autrement dit, on n'a pas le droit de porter atteinte à
l'exploitation normale d'un logiciel, mais rien ne dit si l'on a le
droit ou non de regarder si cette exploitation est normale et ce
passe conformément à sa destination. De même, il n'y a rien en
soit qui permette de savoir si la publication d'une faille avérée est
un préjudice et s'il est ou non justifié.
La clémence du verdict pourrait être considérée comme
tendant à démontrer qu'il n'y a pas préjudice ou que celui-ci est
justifié, mais ce n'est là qu'interprétation, puisqu'au final l'on ne
peut que subodorer le pourquoi de cette clémence.
L'on n'a pas le droit[2] de reprendre le code du logiciel concerncé
pour exploiter une faille que l'on publie, mais l'on ne sait toujours
pas si l'on a le droit de publier du code permettant d'exploiter
cette faille. Le jugement n'apporte donc aucune réponse concrète
sur le full disclosure, se contentant d'indiquer qu'une chose précise
est interdite, sans laisser de pistes sur ce qui pourrait être autorisé.
Tant que tu n'es pas obligé de modifier le-dit logiciel pour le
déboguer, tu ne portes pas atteinte à son exploitation.
Par contre, il en va autrement si tu es obligé de désactiver une routine
qui testerait la présence du débogueur que tu utilises ;
cela tout simplement parce que la présence de ce test indique
explicitement que le logiciel n'est pas prévu pour fonctionner avec
ce débogueur. Ce qui donne une limite à la recherche de faille, tu
*dois* utiliser des outils compatibles avec le logiciel que tu testes.
Dès lors, toute personne reproduisant ces 40 octets est succeptible
d'être poursuivi en contrefaçon par Tegam, qui gagnera. Et cela
même si cette reproduction est fortuite. Ainsi est écrit le droit français.
C'est une bonne chose lorsqu'il s'agit d'une oeuvre littéraire ou
filmographique, par exemple.
C'est limite lorsque cela s'applique à une oeuvre musicale, ça l'est
plus encore dès lors que cela s'applique aux logiciels. Pour autant,
tant que ce dernier domaine dépendra du CPI, il en sera ainsi et il
faudra faire avec.
En aucun cas, au contraire même. Il n'est pas besoin d'en connaitre la
cause pour voir que la clémence du verdict démontre avec certitude que
la justice n'est pas sourde aux raisons à l'origine des actes.
Monsieur T., vos intentions étaient louables, mais vous avez fait
deux *bétises*, je me dois donc de vous taper sur les doigts".
Tout cela étant dit, ne pourrais-tu faire quelque chose pour les
horribles accents de tes messages ?
[Modération: Je maintiens la discussion sur fcs, mais il serait bon de
ne pas trop dévier sur le seul droit et son application, ou alors avec
un suivi sur fr.misc.droit, d'avance merci.]
[Rha, il semblerait que la plateforme web2news que j'utilise
Il interprétait là le verdict et l'ébauche de jugement, et non le
jugement lui-même. Or, force m'est de constater qu'il n'avait pas
tort. Le jugement indique clairement que les deux seuls motifs de la
condamnation, sont l'impossibilité qu'à eu Guillaume de démontrer
qu'il avait une licence[1], et le fait qu'il ait contrefait le code
de ViGuard.
Autrement dit, on n'a pas le droit de porter atteinte à
l'exploitation normale d'un logiciel, mais rien ne dit si l'on a le
droit ou non de regarder si cette exploitation est normale et ce
passe conformément à sa destination. De même, il n'y a rien en
soit qui permette de savoir si la publication d'une faille avérée est
un préjudice et s'il est ou non justifié.
La clémence du verdict pourrait être considérée comme
tendant à démontrer qu'il n'y a pas préjudice ou que celui-ci est
justifié, mais ce n'est là qu'interprétation, puisqu'au final l'on ne
peut que subodorer le pourquoi de cette clémence.
L'on n'a pas le droit[2] de reprendre le code du logiciel concerncé
pour exploiter une faille que l'on publie, mais l'on ne sait toujours
pas si l'on a le droit de publier du code permettant d'exploiter
cette faille. Le jugement n'apporte donc aucune réponse concrète
sur le full disclosure, se contentant d'indiquer qu'une chose précise
est interdite, sans laisser de pistes sur ce qui pourrait être autorisé.
Tant que tu n'es pas obligé de modifier le-dit logiciel pour le
déboguer, tu ne portes pas atteinte à son exploitation.
Par contre, il en va autrement si tu es obligé de désactiver une routine
qui testerait la présence du débogueur que tu utilises ;
cela tout simplement parce que la présence de ce test indique
explicitement que le logiciel n'est pas prévu pour fonctionner avec
ce débogueur. Ce qui donne une limite à la recherche de faille, tu
*dois* utiliser des outils compatibles avec le logiciel que tu testes.
Dès lors, toute personne reproduisant ces 40 octets est succeptible
d'être poursuivi en contrefaçon par Tegam, qui gagnera. Et cela
même si cette reproduction est fortuite. Ainsi est écrit le droit français.
C'est une bonne chose lorsqu'il s'agit d'une oeuvre littéraire ou
filmographique, par exemple.
C'est limite lorsque cela s'applique à une oeuvre musicale, ça l'est
plus encore dès lors que cela s'applique aux logiciels. Pour autant,
tant que ce dernier domaine dépendra du CPI, il en sera ainsi et il
faudra faire avec.
En aucun cas, au contraire même. Il n'est pas besoin d'en connaitre la
cause pour voir que la clémence du verdict démontre avec certitude que
la justice n'est pas sourde aux raisons à l'origine des actes.
Monsieur T., vos intentions étaient louables, mais vous avez fait
deux *bétises*, je me dois donc de vous taper sur les doigts".
Tout cela étant dit, ne pourrais-tu faire quelque chose pour les
horribles accents de tes messages ?
[Rha, il semblerait que la plateforme web2news que j'utilise ne permette
pas de positionner de fu2. Ou alors je n'ai pas trouvé l'option.]
Si quelqu'un publie un PoC qui utilise les mêmes structures de données
que PipoMessenger pour envoyer des paquets déclenchant le débordement,
ce quelqu'un devra au préalable vérifier qu'il produit un code
substantiellement différent de celui de PipoMessenger, sinon, il
risquera un procès.
Faudra que je regarde en détail quelques exploits existants, je suis
sur qu'on peut trouver plein d'exemples de "contefacons" dans ce style.
L'exception de courte citation est explicitement ou implicitement
acceptée pour tous les autres types de médias.
Tu te bases sur la sévérité du verdict. Je me base sur le texte du
jugement.
[Rha, il semblerait que la plateforme web2news que j'utilise ne permette
pas de positionner de fu2. Ou alors je n'ai pas trouvé l'option.]
Si quelqu'un publie un PoC qui utilise les mêmes structures de données
que PipoMessenger pour envoyer des paquets déclenchant le débordement,
ce quelqu'un devra au préalable vérifier qu'il produit un code
substantiellement différent de celui de PipoMessenger, sinon, il
risquera un procès.
Faudra que je regarde en détail quelques exploits existants, je suis
sur qu'on peut trouver plein d'exemples de "contefacons" dans ce style.
L'exception de courte citation est explicitement ou implicitement
acceptée pour tous les autres types de médias.
Tu te bases sur la sévérité du verdict. Je me base sur le texte du
jugement.
[Rha, il semblerait que la plateforme web2news que j'utilise ne permette
pas de positionner de fu2. Ou alors je n'ai pas trouvé l'option.]
Si quelqu'un publie un PoC qui utilise les mêmes structures de données
que PipoMessenger pour envoyer des paquets déclenchant le débordement,
ce quelqu'un devra au préalable vérifier qu'il produit un code
substantiellement différent de celui de PipoMessenger, sinon, il
risquera un procès.
Faudra que je regarde en détail quelques exploits existants, je suis
sur qu'on peut trouver plein d'exemples de "contefacons" dans ce style.
L'exception de courte citation est explicitement ou implicitement
acceptée pour tous les autres types de médias.
Tu te bases sur la sévérité du verdict. Je me base sur le texte du
jugement.
Au contraire, le texte du jugement laisse supposer que même sans ca
[NdA: l'absence de licence], Guillermito aurait été condamné. C'est
quand même une différence fondamentale.
- Soit les juges ont décidé que les analyses de Guillermito ont
porté atteinte à l'exploitation normale du logiciel (comment
interpréter le terme "exploitation", ici ? Cela fait-il référence
à l'exploitation commerciale ? Je me pose trés sérieusement la
question).
L'on n'a pas le droit[2] de reprendre le code du logiciel
concerncé pour exploiter une faille que l'on publie, mais l'on ne
sait toujours pas si l'on a le droit de publier du code
permettant d'exploiter cette faille. Le jugement n'apporte donc
aucune réponse concrète sur le full disclosure, se contentant
d'indiquer qu'une chose précise est interdite, sans laisser de
pistes sur ce qui pourrait être autorisé.
Et tu ne consideres pas qu'interdire d'utiliser une routine de
checksum dans une proof-of-concept c'est une limite au
full-disclosure, aussi minime et specifique soit-elle ?
Imagine que l'on découvre que le client de messagerie instantanée
PipoMessenger, qui utilise un format propriétaire pour transmettre
des messages, est vulnérable à un débordement de tampon. Si
quelqu'un publie un PoC qui utilise les mêmes structures de
données que PipoMessenger pour envoyer des paquets déclenchant le
débordement, ce quelqu'un devra au préalable vérifier qu'il
produit un code substantiellement différent de celui de
PipoMessenger, sinon, il risquera un procès.
Tant que tu n'es pas obligé de modifier le-dit logiciel pour le
déboguer, tu ne portes pas atteinte à son exploitation.
Désolé, mais je ne vois pas ce qui te fait dire ca.
Par contre, il en va autrement si tu es obligé de désactiver une
routine qui testerait la présence du débogueur que tu utilises ;
Ce type de désactivation se fait de toute facon la plupart du
temps en mémoire, au cours du débogage lui-même.
cela tout simplement parce que la présence de ce test indique
explicitement que le logiciel n'est pas prévu pour fonctionner
avec ce débogueur. Ce qui donne une limite à la recherche de
faille, tu *dois* utiliser des outils compatibles avec le
logiciel que tu testes.
Concrètement, selon toi, ca veut dire qu'il est interdit
d'analyser tout logicel protégé contre la copie ?
Dès lors, toute personne reproduisant ces 40 octets est
succeptible d'être poursuivi en contrefaçon par Tegam, qui
gagnera. Et cela même si cette reproduction est fortuite. Ainsi
est écrit le droit français. C'est une bonne chose lorsqu'il
s'agit d'une oeuvre littéraire ou filmographique, par exemple.
Je te parie que si je reproduis deux lignes d'un bouquin de 500
pages ou d'un article de journal sur mon site web, en indiquant
clairement le lien avec la source de ces lignes, je ne serais pas
condamné.
Dans ce cas, précis, il serait bon que les logiciels soient
traités comme toutes les autres "oeuvres de l'esprit". Guillermito
n'aurait jamais été condamné pour une "citation" aussi mineure.
En aucun cas, au contraire même. Il n'est pas besoin d'en
connaitre la cause pour voir que la clémence du verdict démontre
avec certitude que la justice n'est pas sourde aux raisons à
l'origine des actes.
Tu te bases sur la sévérité du verdict. Je me base sur le texte du
jugement.
Ce qui est contestable, c'est que ce jugement restreint les
possibilités en ce qui concerne la publication de proof-of-concept.
[...] je refuse d'admettre que sur le principe réutiliser les
routines de checksum de Viguard dans ses PoC ait été une erreur.
Au contraire, le texte du jugement laisse supposer que même sans ca
[NdA: l'absence de licence], Guillermito aurait été condamné. C'est
quand même une différence fondamentale.
- Soit les juges ont décidé que les analyses de Guillermito ont
porté atteinte à l'exploitation normale du logiciel (comment
interpréter le terme "exploitation", ici ? Cela fait-il référence
à l'exploitation commerciale ? Je me pose trés sérieusement la
question).
L'on n'a pas le droit[2] de reprendre le code du logiciel
concerncé pour exploiter une faille que l'on publie, mais l'on ne
sait toujours pas si l'on a le droit de publier du code
permettant d'exploiter cette faille. Le jugement n'apporte donc
aucune réponse concrète sur le full disclosure, se contentant
d'indiquer qu'une chose précise est interdite, sans laisser de
pistes sur ce qui pourrait être autorisé.
Et tu ne consideres pas qu'interdire d'utiliser une routine de
checksum dans une proof-of-concept c'est une limite au
full-disclosure, aussi minime et specifique soit-elle ?
Imagine que l'on découvre que le client de messagerie instantanée
PipoMessenger, qui utilise un format propriétaire pour transmettre
des messages, est vulnérable à un débordement de tampon. Si
quelqu'un publie un PoC qui utilise les mêmes structures de
données que PipoMessenger pour envoyer des paquets déclenchant le
débordement, ce quelqu'un devra au préalable vérifier qu'il
produit un code substantiellement différent de celui de
PipoMessenger, sinon, il risquera un procès.
Tant que tu n'es pas obligé de modifier le-dit logiciel pour le
déboguer, tu ne portes pas atteinte à son exploitation.
Désolé, mais je ne vois pas ce qui te fait dire ca.
Par contre, il en va autrement si tu es obligé de désactiver une
routine qui testerait la présence du débogueur que tu utilises ;
Ce type de désactivation se fait de toute facon la plupart du
temps en mémoire, au cours du débogage lui-même.
cela tout simplement parce que la présence de ce test indique
explicitement que le logiciel n'est pas prévu pour fonctionner
avec ce débogueur. Ce qui donne une limite à la recherche de
faille, tu *dois* utiliser des outils compatibles avec le
logiciel que tu testes.
Concrètement, selon toi, ca veut dire qu'il est interdit
d'analyser tout logicel protégé contre la copie ?
Dès lors, toute personne reproduisant ces 40 octets est
succeptible d'être poursuivi en contrefaçon par Tegam, qui
gagnera. Et cela même si cette reproduction est fortuite. Ainsi
est écrit le droit français. C'est une bonne chose lorsqu'il
s'agit d'une oeuvre littéraire ou filmographique, par exemple.
Je te parie que si je reproduis deux lignes d'un bouquin de 500
pages ou d'un article de journal sur mon site web, en indiquant
clairement le lien avec la source de ces lignes, je ne serais pas
condamné.
Dans ce cas, précis, il serait bon que les logiciels soient
traités comme toutes les autres "oeuvres de l'esprit". Guillermito
n'aurait jamais été condamné pour une "citation" aussi mineure.
En aucun cas, au contraire même. Il n'est pas besoin d'en
connaitre la cause pour voir que la clémence du verdict démontre
avec certitude que la justice n'est pas sourde aux raisons à
l'origine des actes.
Tu te bases sur la sévérité du verdict. Je me base sur le texte du
jugement.
Ce qui est contestable, c'est que ce jugement restreint les
possibilités en ce qui concerne la publication de proof-of-concept.
[...] je refuse d'admettre que sur le principe réutiliser les
routines de checksum de Viguard dans ses PoC ait été une erreur.
Au contraire, le texte du jugement laisse supposer que même sans ca
[NdA: l'absence de licence], Guillermito aurait été condamné. C'est
quand même une différence fondamentale.
- Soit les juges ont décidé que les analyses de Guillermito ont
porté atteinte à l'exploitation normale du logiciel (comment
interpréter le terme "exploitation", ici ? Cela fait-il référence
à l'exploitation commerciale ? Je me pose trés sérieusement la
question).
L'on n'a pas le droit[2] de reprendre le code du logiciel
concerncé pour exploiter une faille que l'on publie, mais l'on ne
sait toujours pas si l'on a le droit de publier du code
permettant d'exploiter cette faille. Le jugement n'apporte donc
aucune réponse concrète sur le full disclosure, se contentant
d'indiquer qu'une chose précise est interdite, sans laisser de
pistes sur ce qui pourrait être autorisé.
Et tu ne consideres pas qu'interdire d'utiliser une routine de
checksum dans une proof-of-concept c'est une limite au
full-disclosure, aussi minime et specifique soit-elle ?
Imagine que l'on découvre que le client de messagerie instantanée
PipoMessenger, qui utilise un format propriétaire pour transmettre
des messages, est vulnérable à un débordement de tampon. Si
quelqu'un publie un PoC qui utilise les mêmes structures de
données que PipoMessenger pour envoyer des paquets déclenchant le
débordement, ce quelqu'un devra au préalable vérifier qu'il
produit un code substantiellement différent de celui de
PipoMessenger, sinon, il risquera un procès.
Tant que tu n'es pas obligé de modifier le-dit logiciel pour le
déboguer, tu ne portes pas atteinte à son exploitation.
Désolé, mais je ne vois pas ce qui te fait dire ca.
Par contre, il en va autrement si tu es obligé de désactiver une
routine qui testerait la présence du débogueur que tu utilises ;
Ce type de désactivation se fait de toute facon la plupart du
temps en mémoire, au cours du débogage lui-même.
cela tout simplement parce que la présence de ce test indique
explicitement que le logiciel n'est pas prévu pour fonctionner
avec ce débogueur. Ce qui donne une limite à la recherche de
faille, tu *dois* utiliser des outils compatibles avec le
logiciel que tu testes.
Concrètement, selon toi, ca veut dire qu'il est interdit
d'analyser tout logicel protégé contre la copie ?
Dès lors, toute personne reproduisant ces 40 octets est
succeptible d'être poursuivi en contrefaçon par Tegam, qui
gagnera. Et cela même si cette reproduction est fortuite. Ainsi
est écrit le droit français. C'est une bonne chose lorsqu'il
s'agit d'une oeuvre littéraire ou filmographique, par exemple.
Je te parie que si je reproduis deux lignes d'un bouquin de 500
pages ou d'un article de journal sur mon site web, en indiquant
clairement le lien avec la source de ces lignes, je ne serais pas
condamné.
Dans ce cas, précis, il serait bon que les logiciels soient
traités comme toutes les autres "oeuvres de l'esprit". Guillermito
n'aurait jamais été condamné pour une "citation" aussi mineure.
En aucun cas, au contraire même. Il n'est pas besoin d'en
connaitre la cause pour voir que la clémence du verdict démontre
avec certitude que la justice n'est pas sourde aux raisons à
l'origine des actes.
Tu te bases sur la sévérité du verdict. Je me base sur le texte du
jugement.
Ce qui est contestable, c'est que ce jugement restreint les
possibilités en ce qui concerne la publication de proof-of-concept.
[...] je refuse d'admettre que sur le principe réutiliser les
routines de checksum de Viguard dans ses PoC ait été une erreur.
Cross-post fcs/fmdi et fu2 fmdi positionné ...
Modifié fcs/fmd, je ne vois guère le rapport avec internet.
Si quelqu'un publie un PoC qui utilise les mêmes structures de
données que PipoMessenger pour envoyer des paquets déclenchant le
débordement, ce quelqu'un devra au préalable vérifier qu'il
produit un code substantiellement différent de celui de
PipoMessenger, sinon, il risquera un procès.
Et vu que le code sera basé sur l'analyse (par quel moyen que ce
soit) du fonctionnement de PipoMessenger, l'exploit sera au moins
fonctionnellement équivalent au produit, [...]
Faudra que je regarde en détail quelques exploits existants, je
suis sur qu'on peut trouver plein d'exemples de "contefacons"
dans ce style.
Un parmi d'autres : un plugin de Nesus, où les paquets MS-SQL sont
créés à partir du reverse-engineering de captures réseau :
[Snip]
En dehors du monde de la sécurité, le projet Samba a commencé à
partir du reverse-engineering de composants SMB/CIFS de Microsoft.
L'exception de courte citation est explicitement ou implicitement
acceptée pour tous les autres types de médias.
Et 40 octets, c'est *très* peu. Il faut bien garder à l'esprit que
cela ne représente que 5 (!) caractères ASCII.
D'ailleurs, revenons sur le texte du jugement :
[...]Guillaume T. [...] ne démontre pas qu'il avait acquis la
licence de ce produit, et surtout cet article édicte in fine
"qu'il ne saurait être interprété comme permettant de porter
atteinte à l'exploitation normale du logiciel ou de causer un
préjudice injustifié à son auteur".
[snip]
* Soit le terme "exploitation normale" fait référence à
l'exploitation commerciale, [...]
* Soit ce terme désigne l'usage courant [...]
Cross-post fcs/fmdi et fu2 fmdi positionné ...
Modifié fcs/fmd, je ne vois guère le rapport avec internet.
Si quelqu'un publie un PoC qui utilise les mêmes structures de
données que PipoMessenger pour envoyer des paquets déclenchant le
débordement, ce quelqu'un devra au préalable vérifier qu'il
produit un code substantiellement différent de celui de
PipoMessenger, sinon, il risquera un procès.
Et vu que le code sera basé sur l'analyse (par quel moyen que ce
soit) du fonctionnement de PipoMessenger, l'exploit sera au moins
fonctionnellement équivalent au produit, [...]
Faudra que je regarde en détail quelques exploits existants, je
suis sur qu'on peut trouver plein d'exemples de "contefacons"
dans ce style.
Un parmi d'autres : un plugin de Nesus, où les paquets MS-SQL sont
créés à partir du reverse-engineering de captures réseau :
[Snip]
En dehors du monde de la sécurité, le projet Samba a commencé à
partir du reverse-engineering de composants SMB/CIFS de Microsoft.
L'exception de courte citation est explicitement ou implicitement
acceptée pour tous les autres types de médias.
Et 40 octets, c'est *très* peu. Il faut bien garder à l'esprit que
cela ne représente que 5 (!) caractères ASCII.
D'ailleurs, revenons sur le texte du jugement :
[...]Guillaume T. [...] ne démontre pas qu'il avait acquis la
licence de ce produit, et surtout cet article édicte in fine
"qu'il ne saurait être interprété comme permettant de porter
atteinte à l'exploitation normale du logiciel ou de causer un
préjudice injustifié à son auteur".
[snip]
* Soit le terme "exploitation normale" fait référence à
l'exploitation commerciale, [...]
* Soit ce terme désigne l'usage courant [...]
Cross-post fcs/fmdi et fu2 fmdi positionné ...
Modifié fcs/fmd, je ne vois guère le rapport avec internet.
Si quelqu'un publie un PoC qui utilise les mêmes structures de
données que PipoMessenger pour envoyer des paquets déclenchant le
débordement, ce quelqu'un devra au préalable vérifier qu'il
produit un code substantiellement différent de celui de
PipoMessenger, sinon, il risquera un procès.
Et vu que le code sera basé sur l'analyse (par quel moyen que ce
soit) du fonctionnement de PipoMessenger, l'exploit sera au moins
fonctionnellement équivalent au produit, [...]
Faudra que je regarde en détail quelques exploits existants, je
suis sur qu'on peut trouver plein d'exemples de "contefacons"
dans ce style.
Un parmi d'autres : un plugin de Nesus, où les paquets MS-SQL sont
créés à partir du reverse-engineering de captures réseau :
[Snip]
En dehors du monde de la sécurité, le projet Samba a commencé à
partir du reverse-engineering de composants SMB/CIFS de Microsoft.
L'exception de courte citation est explicitement ou implicitement
acceptée pour tous les autres types de médias.
Et 40 octets, c'est *très* peu. Il faut bien garder à l'esprit que
cela ne représente que 5 (!) caractères ASCII.
D'ailleurs, revenons sur le texte du jugement :
[...]Guillaume T. [...] ne démontre pas qu'il avait acquis la
licence de ce produit, et surtout cet article édicte in fine
"qu'il ne saurait être interprété comme permettant de porter
atteinte à l'exploitation normale du logiciel ou de causer un
préjudice injustifié à son auteur".
[snip]
* Soit le terme "exploitation normale" fait référence à
l'exploitation commerciale, [...]
* Soit ce terme désigne l'usage courant [...]
[Article 122-6-1 III]
"La personne ayant le droit d'utiliser le logiciel peut sans
l'autorisation de l'auteur observer, étudier ou tester le
fonctionnement de ce logiciel afin de déterminer les idées et principes
qui sont à la base de n'importe quel élément du logiciel lorsqu'elle
effectue toute opération de chargement, d'affichage, d'exécution, de
transmission ou de stockage du logiciel qu'elle est en droit
d'effectuer."
Autrement-dit, n'importe quelle personne est en droit d'analyser
n'importe quel logiciel, du moment qu'il possède une licence valide
pour ce logiciel.
Pas de Fu2, merci de limiter de vous mêmes et/ou de mettre un suivi
sur l'un des deux forums en fonction de la nature de votre réponse.
Attention, fr.comp.securité est modéré, prévoir un délait de
publication.
[Article 122-6-1 III]
"La personne ayant le droit d'utiliser le logiciel peut sans
l'autorisation de l'auteur observer, étudier ou tester le
fonctionnement de ce logiciel afin de déterminer les idées et principes
qui sont à la base de n'importe quel élément du logiciel lorsqu'elle
effectue toute opération de chargement, d'affichage, d'exécution, de
transmission ou de stockage du logiciel qu'elle est en droit
d'effectuer."
Autrement-dit, n'importe quelle personne est en droit d'analyser
n'importe quel logiciel, du moment qu'il possède une licence valide
pour ce logiciel.
Pas de Fu2, merci de limiter de vous mêmes et/ou de mettre un suivi
sur l'un des deux forums en fonction de la nature de votre réponse.
Attention, fr.comp.securité est modéré, prévoir un délait de
publication.
[Article 122-6-1 III]
"La personne ayant le droit d'utiliser le logiciel peut sans
l'autorisation de l'auteur observer, étudier ou tester le
fonctionnement de ce logiciel afin de déterminer les idées et principes
qui sont à la base de n'importe quel élément du logiciel lorsqu'elle
effectue toute opération de chargement, d'affichage, d'exécution, de
transmission ou de stockage du logiciel qu'elle est en droit
d'effectuer."
Autrement-dit, n'importe quelle personne est en droit d'analyser
n'importe quel logiciel, du moment qu'il possède une licence valide
pour ce logiciel.
Pas de Fu2, merci de limiter de vous mêmes et/ou de mettre un suivi
sur l'un des deux forums en fonction de la nature de votre réponse.
Attention, fr.comp.securité est modéré, prévoir un délait de
publication.
Que ne faut-il entendre, mais gardons l'image.
Et qu'est-ce-qui rend une routine fautive ?
Un vers ou une strophe qui seuls ne sont pas faux mais dans le
poème mettent tour par terre. Donc la citation d'une fausse note
rend-elle compte de l'idée d'erreur ?
Que ne faut-il entendre, mais gardons l'image.
Et qu'est-ce-qui rend une routine fautive ?
Un vers ou une strophe qui seuls ne sont pas faux mais dans le
poème mettent tour par terre. Donc la citation d'une fausse note
rend-elle compte de l'idée d'erreur ?
Que ne faut-il entendre, mais gardons l'image.
Et qu'est-ce-qui rend une routine fautive ?
Un vers ou une strophe qui seuls ne sont pas faux mais dans le
poème mettent tour par terre. Donc la citation d'une fausse note
rend-elle compte de l'idée d'erreur ?
Il est donc normal qu'ils aient fait de ce point [NdA : l'absence de
license valide] le centre de leurs attaques, puisque puisqu'ils
n'avaient aucun moyen de savoir si leurs arguments convaincraient
la justice qu'il y avait bien eu contrefaçon.
Autrement-dit, n'importe quelle personne est en droit d'analyser
n'importe quel logiciel, du moment qu'il possède une licence valide
pour ce logiciel.
Quant au terme "exploitation", amha, et puisqu'il vient du CPI, il
couvre la distribution du logiciel et son utilisation.
Non, pourquoi cela serait-il une limite ? Un checksum, c'est le
calcul d'une somme, or il existe plusieurs façon de faire un
calcul, tout mathématicien te le dira. Il suffirait de faire X * Y
au lieu de Y * X et de permuter ainsi à chaque fois que cela est
possible, pour que le résultat diffère suffisement pour compliquer
la qualification du délit de contrefaçon.
De plus, il suffit d'écrire cela dans un autre langage que celui
utilisé pour faire le programme, pour que la routine soit différente.
Guillaume à commis l'erreur de reprendre la routine directement au
niveau assembleur, au lieu de chercher à la réécrire lui-même.
Pas substantiellement différent, juste différent. En dessous de 50%
de similitude du code, il ne peut en aucun cas y avoir contrefaçon.
Il suffit donc d'écrire soi-même le code créant le message, pour
que le risque de contrefaçon du code disparaisse.
Par conséquent, la seule façon de porter atteinte à l'exploitation
d'un logiciel lorsque l'on se contente de l'analyser, c'est de
modifier le-dit logiciel.
La protection contre la copie n'empèchera pas le déboggeur de
fonctionner [...]
Par contre, s'il est protégé contre le déboggage, il
faut que tu utilises un déboggeur qui ne sera pas affecté par cette
protection.
Autrement, il faudra que tu arrives à justifier la
modification que tu as effectuée pour permettre l'analyse, et donc à
démontrer que l'analyse était une obligation par laquelle tu devais
passer. Et c'est loin d'être gagné d'avance.
Pour reprendre ton analogie, si tu reproduis un poème, fut-il
issu d'un recueil de 10000 poèmes (pour conserver peut ou prou
les proportions), tu seras condamné, parce qu'il ne s'agit plus
d'une citation, mais de la reproduction d'une oeuvre à part
entière.
Un logiciel est comparable à un tel recueil, il s'agit d'une
compilation d'oeuvres, les différentes routines.
Pas de Fu2, merci de limiter de vous mêmes et/ou de mettre un suivi
sur l'un des deux forums en fonction de la nature de votre réponse.
Attention, fr.comp.securité est modéré, prévoir un délait de
publication.
Il est donc normal qu'ils aient fait de ce point [NdA : l'absence de
license valide] le centre de leurs attaques, puisque puisqu'ils
n'avaient aucun moyen de savoir si leurs arguments convaincraient
la justice qu'il y avait bien eu contrefaçon.
Autrement-dit, n'importe quelle personne est en droit d'analyser
n'importe quel logiciel, du moment qu'il possède une licence valide
pour ce logiciel.
Quant au terme "exploitation", amha, et puisqu'il vient du CPI, il
couvre la distribution du logiciel et son utilisation.
Non, pourquoi cela serait-il une limite ? Un checksum, c'est le
calcul d'une somme, or il existe plusieurs façon de faire un
calcul, tout mathématicien te le dira. Il suffirait de faire X * Y
au lieu de Y * X et de permuter ainsi à chaque fois que cela est
possible, pour que le résultat diffère suffisement pour compliquer
la qualification du délit de contrefaçon.
De plus, il suffit d'écrire cela dans un autre langage que celui
utilisé pour faire le programme, pour que la routine soit différente.
Guillaume à commis l'erreur de reprendre la routine directement au
niveau assembleur, au lieu de chercher à la réécrire lui-même.
Pas substantiellement différent, juste différent. En dessous de 50%
de similitude du code, il ne peut en aucun cas y avoir contrefaçon.
Il suffit donc d'écrire soi-même le code créant le message, pour
que le risque de contrefaçon du code disparaisse.
Par conséquent, la seule façon de porter atteinte à l'exploitation
d'un logiciel lorsque l'on se contente de l'analyser, c'est de
modifier le-dit logiciel.
La protection contre la copie n'empèchera pas le déboggeur de
fonctionner [...]
Par contre, s'il est protégé contre le déboggage, il
faut que tu utilises un déboggeur qui ne sera pas affecté par cette
protection.
Autrement, il faudra que tu arrives à justifier la
modification que tu as effectuée pour permettre l'analyse, et donc à
démontrer que l'analyse était une obligation par laquelle tu devais
passer. Et c'est loin d'être gagné d'avance.
Pour reprendre ton analogie, si tu reproduis un poème, fut-il
issu d'un recueil de 10000 poèmes (pour conserver peut ou prou
les proportions), tu seras condamné, parce qu'il ne s'agit plus
d'une citation, mais de la reproduction d'une oeuvre à part
entière.
Un logiciel est comparable à un tel recueil, il s'agit d'une
compilation d'oeuvres, les différentes routines.
Pas de Fu2, merci de limiter de vous mêmes et/ou de mettre un suivi
sur l'un des deux forums en fonction de la nature de votre réponse.
Attention, fr.comp.securité est modéré, prévoir un délait de
publication.
Il est donc normal qu'ils aient fait de ce point [NdA : l'absence de
license valide] le centre de leurs attaques, puisque puisqu'ils
n'avaient aucun moyen de savoir si leurs arguments convaincraient
la justice qu'il y avait bien eu contrefaçon.
Autrement-dit, n'importe quelle personne est en droit d'analyser
n'importe quel logiciel, du moment qu'il possède une licence valide
pour ce logiciel.
Quant au terme "exploitation", amha, et puisqu'il vient du CPI, il
couvre la distribution du logiciel et son utilisation.
Non, pourquoi cela serait-il une limite ? Un checksum, c'est le
calcul d'une somme, or il existe plusieurs façon de faire un
calcul, tout mathématicien te le dira. Il suffirait de faire X * Y
au lieu de Y * X et de permuter ainsi à chaque fois que cela est
possible, pour que le résultat diffère suffisement pour compliquer
la qualification du délit de contrefaçon.
De plus, il suffit d'écrire cela dans un autre langage que celui
utilisé pour faire le programme, pour que la routine soit différente.
Guillaume à commis l'erreur de reprendre la routine directement au
niveau assembleur, au lieu de chercher à la réécrire lui-même.
Pas substantiellement différent, juste différent. En dessous de 50%
de similitude du code, il ne peut en aucun cas y avoir contrefaçon.
Il suffit donc d'écrire soi-même le code créant le message, pour
que le risque de contrefaçon du code disparaisse.
Par conséquent, la seule façon de porter atteinte à l'exploitation
d'un logiciel lorsque l'on se contente de l'analyser, c'est de
modifier le-dit logiciel.
La protection contre la copie n'empèchera pas le déboggeur de
fonctionner [...]
Par contre, s'il est protégé contre le déboggage, il
faut que tu utilises un déboggeur qui ne sera pas affecté par cette
protection.
Autrement, il faudra que tu arrives à justifier la
modification que tu as effectuée pour permettre l'analyse, et donc à
démontrer que l'analyse était une obligation par laquelle tu devais
passer. Et c'est loin d'être gagné d'avance.
Pour reprendre ton analogie, si tu reproduis un poème, fut-il
issu d'un recueil de 10000 poèmes (pour conserver peut ou prou
les proportions), tu seras condamné, parce qu'il ne s'agit plus
d'une citation, mais de la reproduction d'une oeuvre à part
entière.
Un logiciel est comparable à un tel recueil, il s'agit d'une
compilation d'oeuvres, les différentes routines.
Pas de Fu2, merci de limiter de vous mêmes et/ou de mettre un suivi
sur l'un des deux forums en fonction de la nature de votre réponse.
Attention, fr.comp.securité est modéré, prévoir un délait de
publication.
Guillaume à commis l'erreur de reprendre la routine directement
au
niveau assembleur, au lieu de chercher à la réécrire lui-même.
Il me semble bien que Guillaume l'a réécrite de memoire, en
assembleur. Il a logiquement utilise' la méthode la plus optimale.
Guillaume à commis l'erreur de reprendre la routine directement
au
niveau assembleur, au lieu de chercher à la réécrire lui-même.
Il me semble bien que Guillaume l'a réécrite de memoire, en
assembleur. Il a logiquement utilise' la méthode la plus optimale.
Guillaume à commis l'erreur de reprendre la routine directement
au
niveau assembleur, au lieu de chercher à la réécrire lui-même.
Il me semble bien que Guillaume l'a réécrite de memoire, en
assembleur. Il a logiquement utilise' la méthode la plus optimale.
