La menace Blaster / Lovsan n'est pas encore éradiquée !

Bonjour, Le 15/08/2003 13:51, chris a écrit le message :

Bonjour,

Je m'insère dans ce fil afin de poser la question suivante :
Une entreprise victime d'un tel ver peut-elle envisager de poursuivre
microsoft en justice ?

J'en doute ...

Ce genre de faille de sécurité n'est-elle pas un défaut de fabrication ?
J'imagine que cette question à sûrement déjà été posée.

Je n'ai pas trouvé (ou mal cherché) le contrat de licence de windows XP
sur le net (même sur le site Français de microsoft).

Cherhez sur votre disue dur le fichier eula.txt

J'ai du mal à concevoir que les entreprises restent passives face à de telles
pandémies qui doivent leur coûter assez cher.

En l'occurrence je trouve que microsft a été assez réctif et efficace (la
description du pb et le correctif sont disponibles depuis le 16 juillet sur
leur sit ile me semble)



--
Bruno

Bruno Patri wrote:

En l'occurrence je trouve que microsft a été assez réctif et efficace (la
description du pb et le correctif sont disponibles depuis le 16 juillet sur
leur sit ile me semble)
J'ajouterai que depuis la publication de cette faille le 16/07/03 par MS

bon nombre d'acteurs de notre monde de la SI se sont mobilisés pour
alerter & faire prendre conscience aux admin & users de patcher leur
systèmes, à commencer par :
- le CIAC
- le CERT
- la Black HAT/DefCon
- les médias spécialisés
- et certains mass médias
- etc...

Alors ?

Eh bien rien ! Que neni...

Donc nous nous sommes dit qu'il valait mieux vous y contraindre alors on
a passé une commande de virus. Résultat vous êtes maintenant contraints
et forcés de faire vos MAJ ! 8)

chris wrote:

Il n'y a pas trop de rapport entre une frigo et un système
d'exploitation il me semble.

Je veux dire qu'il y a des risques admis et qu'on fait avec. Moi, mon frigo
a claqué l'année dernière, j'ai pas attaqué le fabricant, j'en ai acheté un
autre.

De plus, il y a déjà eu des actions en justice contre des défauts de
fabrications sur des voitures.

Certes. Mais quel contrat est vendu avec les voitures ? Je veux dire du type
EULA... Aucun.

Ce n'est pas Michelin qui a dû rappeler nombre de pneus pour défaut de
fabrication ?

Aucune idée, possible.

Oui, tu n'as pas du trop chercher. Si tu as un disque original, le
contrat de licence d'utilisateur final y est dessus. C'est le
fichier eula.txt.

Même sous OS X ? ;-)

Ben si tu cherches un contrat Microsoft sur un OS Mac t'es pas arrivé...
;o).

Ensuite, c'est de l'informatique, une science qui NE PEUX PAS être
déterministe.

Pas tout à fait d'accord. C'est ce que l'on en fait. L'informatique
théorique (qu'on applique aujourd'hui) repose sur des bases simples
et parfaitement déterministes : avec des fonctions comme COPIE, ET,
NON tu peux calculer n'importe quoi.
Je veux bien admettre qu'il est possible de concevoir des programmes
non déterministes (comme les automates cellulaires par exemple) mais
je ne crois pas qu'on puisse dire que l'informatique toute entiere
n'est pas déterministe.
Je penche plus sur la théorie de la complexité.

C'est de l'électronique, une panne peut surgir à out moment.

Je ne parle pas d'un composant du PC qui saute, mais de logiciels.

Non, tu te trompes. Une panne matérielle peut intervenir et gêner le
fonctionement d'un logiciel, d'un OS. Voire causer des dégâts sérieux. Tu ne
peux pas le prévoir. Si une surcharge électrique arrive pendant que l'OS
écrit sur un disque (je parle en connaissance de cause, ça m'est arrivé) et
bien t'es cuit. Tu ne peux pas négliger ce problème et la dualité
matériel/logiciel.

Pourtant cette faille a été patchée. Je ne nie pas que plus un
logiciel est complexe plus les chances d'avoir des bugs augmentent.

Ce qu'il faut surtout comprendre c'est qu'un logiciel sans bug est
impossible.

Merci pour les informations ci-dessous, c'est ce que je cherchais.

C'est l'essentiel ;o).

--
AMcD

http://arnold.mcdonald.free.fr/
(still in fossilization progress but now in english, thus the whole
world can see my laziness)

Houla !

Encore un nouveau venu dont je vais avoir beaucoup de mal à me passer de la
qualité de ses interventions...

--
AMcD

http://arnold.mcdonald.free.fr/
(still in fossilization progress but now in english, thus the whole
world can see my laziness)

Cyrius. wrote:

Que c'est beau. A croire que M$ savait que son OS était, est et
restera de la merde :)

Bravo. Intervention très utile.

--
AMcD

http://arnold.mcdonald.free.fr/
(still in fossilization progress but now in english, thus the whole
world can see my laziness)

bonjour

Cyrius. wrote:

Le Fri, 15 Aug 2003 14:18:19 +0200, "Arnold McDonald (AMcD)"

EXCLUSION DE RESPONSABILITÉ POUR LES DOMMAGES
INDIRECTS. Dans toute la mesure permise par la

ABSENCE DE RESPONSABILITÉ POUR LES DOMMAGES
INDIRECTS. Selon la portée maximale autorisée par la loi

Etc.

Que c'est beau. A croire que M$ savait que son OS était, est et
restera de la merde :)

A+

d'abord ce n'était pas la peine de reprendre tout le texte (bande passante)

ensuite, il est aussi question d'Intel, s'il n'a pas de remarque de e
genre, il va être jaloux!

depuis 1969 je n'ai pas vu un fournisseur s'engager sur la qualité de
ses logiciels, et il y en a qui ne sont pas de la m...

--
mi4all

Si j'ai bien lu, le Fri, 15 Aug 2003 16:31:06 +0200, me4all a bien écrit
:

1) Avoir des logiciels originaux.

c'est quoi ça?

http://www.parinux.org/affiches/

--
-+- Dominique Marin http://txodom.free.fr -+-
«Ce n'est pas que j'aie vraiment peur de mourir,
mais disons que je préfère ne pas être là quand ça arrivera.»
-+- Woody Allen -+-

me4all wrote:

Avoir un pneu qui crève, cela arrive beaucoup moins souvent
qu'autrefois, et cela ne tenait pas au pneu uniquement!
Ici la faille est incluse dans le produit (c'est une faille, comme par
exemple un pneu qui fuit)
Et le clou, c'est msblast fabriqué en fonction du défaut du pneu.

Certes. Ta remarque est judicieuse. mais personne n'est obligé non plus de
balancer des clous sur la route...

Faudrait se mettre d'accord sur les mots. Une faille est-elle un
défaut
de fabrication?
Si ce n'est pas un défaut de fabrication, pourquoi y a-t-il des
correctifs?

Quelle remarque bizarre. Il y a des correctifs pour corriger, tout comme
quand des problèmes dangereux sont sysceptibles de survenir on fait revenir
vérifier des voitures chez le constructeur.

Les entreprises n'ont qu'à :

yaka ...

Oui, elles n'ont qu'a ! Il y en a marre de tous ces patrons qui me saoulent
avec leurs problèmes informatiques et qui payent que dalle ! Quand tu achète
une télé tu lis le mode d'emploi. Quand tu utilises l'informatique, tu dois
en connaître les défauts.

1) Avoir des logiciels originaux.

c'est quoi ça?

Acheter les logiciels. Et pas télécharger une 15e génération sur edonkey
avec 3 trojans dedans...

2) Engager du personnel compétent (rare ça en France, très rare).

d'accord

Merci.

3) Effectuer les mise à jour nécessaires. Sur un système patché,
msblast ne passait pas.

voilà une erreur! payer dans une petite entreprise un professionnel
_compétent_ pour mettre à jour, au moins une fois par quinzaine, les
systèmes. cela change le coût, et de beaucoup!

Oui. Pour une petite entreprise ce sera chaud. Il n'empêche que tu a les
mises à jour automatique. Et puis, il faut savoir ce qu'on veut ! Un gars
n'a qu'a être chargé au moins une fois par semaine de vérifier tout ça.

il vaut mieux vendre des systèmes fiables au lieu de développer "à
mort" avec des intérimaires (voir le livre NoLogo de Naomi Klein,
attention,
c'est un gros pavé et seules deux ou trois pages concernent microsoft,
mais c'est terrible)

Tu as déjà écrit des logiciels ? C'est facile de dire il suffit de faire du
fiable. Moi, là, je suis bloqué depuis 2 semaines sur un %*$^@! de driver.
Si tu veux m'aider...

4) Appliquer un minimum une politique de sécurité adéquate.

par exemple, à commencer, techniquement, avant de parler d'anti-virus
et
de coupe-feu (alias firewall), ou de correctif, par fermer les ports
qui n'ont pas de raison d'être ouverts. (Le NSA met en ligne une
série de documents fort utiles pour les pros, voir
http://www.nsa.gov/snac/index.html)
s'il ne tenait qu'à moi, tout fournisseur qui livre une machine avec
Windows prévu pour être en accès direct à Internet et qui laisse les
portes NetBios et similaires ouvertes devrait être accusé de
négligence.

Netbios n'est pas mis par défaut sous XP. Mais ta remarque est valable.
C'est ça que j'appelle être compétent.

car enfin, le correctif msblast corrige une faille exploitable SI 135
est ouvert. la prochaine faille accessible par 135 donnera lieu aux
mêmes jérémiades. alors que fermer ce port est une mesure de prudence
normale.
mais microsoft avait des configurations par défaut où tout était
ouvert.
sur un w98SE, lorsque vous interdisez le NetBios, la bête proteste en
disant que la config n'est pas complète.
C'est tellement vrai, que microsoft chnage de politique et prend le
contrepied de cete politique (cela s'appelle du trusworthy computing
c'est à dire faites-moi confiance)

Bah, chez moi il est ouvert le 135. Comment veux-tu que je choppe els vers
sinon ? ;o))))

Ensuite, c'est de l'informatique, une science qui NE PEUX PAS être
déterministe. C'est de l'électronique, une panne peut surgir à out
moment.

ça c'est le hard, la matière, le matériel

Lié au logiciel.

Là, c'est le soft, le logiciel. Pas le même raisonement. Allez donc
expliquer cela lorsque vous livrez une paye ou comptabilité.
Il n'est pas question de bug ou pas de bug, mais du _nombre de bugs_!

Non. Le matériel et le logiciel sont liés. T'as jamais eu une carte
graphique défaillante ? Et pourtant marche à merveille ! Seulement de temps
en temps, un affichage bizarre survient... Dans ce cas, c'est le matériel
qui fait foirer le logiciel. Les deux sont liés.

ceci est l'avis d'un pro depuis 1969 (papy!), qui s'occupe aussi de
sécurité informatique

Bah, c'est pas parce que t'en fait depuis 30 ans que t'es compétent. La
durée ne fait pas la qualité. Je ne te connais pas, je parle de façon
générale, je ne te vise pas en particulier.

Conclusion: la remarque de chris peut être celle d'un consommateur, en
tant que tel, ayant eu sa machine "clef en main" et voulant pouvoir
faire comme avec une voiture, passer de temps à autre chez un
spécialiste, et le reste du temps, l'utiliser comme le suggèrent
toutes
les publicités

Eh bien faut attaquer les auteurs des publicités. Un ordinateur n'est pas
une voiture. Quand est-ce que les gens le comprendront ? Moi, ça m'énerve
quand j'entend "j'ai mon PC depuis 3 ans il est dépassé, c'est lamentable !
ma voiture...". L'informatique, c'est l'informatique. Il faut en accepter la
particularité. Ce qui ne signifie pas qu'il ne faut pas chercher à
l'améliorer et la rendre plus accessible ou "humaine".

--
AMcD

http://arnold.mcdonald.free.fr/
(still in fossilization progress but now in english, thus the whole
world can see my laziness)

Dans la news:anqpjvctseenemuncdeplb2hdrl9385qim@4ax.com,
Cyrius. <Cyrius@belgacom.net> a écrit:

Le Fri, 15 Aug 2003 14:18:19 +0200, "Arnold McDonald (AMcD)"

EXCLUSION DE RESPONSABILITÉ POUR LES DOMMAGES
INDIRECTS.
...

ABSENCE DE RESPONSABILITÉ POUR LES DOMMAGES
INDIRECTS.
....

Que c'est beau. A croire que M$ savait que son OS était, est et
restera de la merde :)

Je viens de regarder les diverses licences que j'ai chez moi (logiciels
payants et free), elles comportent toutes des mentions semblables. Ca va
être difficile de plaider "clauses abusives" à l'encontre de
Microsoft...
Il y a une exception, c'est Antivir. Mais là, ils refusent toute la
responsabilité si le logiciel n'a pas été mis à jour au moins une fois
par semaine. Eh oui.

Ewcia

--
Niesz !

On Fri, 15 Aug 2003 16:05:16 +0200, Arnold McDonald (AMcD) wrote
(in message <3f3ce895$0$1164$626a54ce@news.free.fr>):

<crouic le début>

Ensuite, c'est de l'informatique, une science qui NE PEUX PAS être
déterministe.

Pas tout à fait d'accord. C'est ce que l'on en fait. L'informatique
théorique (qu'on applique aujourd'hui) repose sur des bases simples
et parfaitement déterministes : avec des fonctions comme COPIE, ET,
NON tu peux calculer n'importe quoi.
Je veux bien admettre qu'il est possible de concevoir des programmes
non déterministes (comme les automates cellulaires par exemple) mais
je ne crois pas qu'on puisse dire que l'informatique toute entiere
n'est pas déterministe.
Je penche plus sur la théorie de la complexité.

C'est de l'électronique, une panne peut surgir à out moment.

Je ne parle pas d'un composant du PC qui saute, mais de logiciels.

Non, tu te trompes. Une panne matérielle peut intervenir et gêner le
fonctionement d'un logiciel, d'un OS. Voire causer des dégâts sérieux. Tu ne
peux pas le prévoir. Si une surcharge électrique arrive pendant que l'OS
écrit sur un disque (je parle en connaissance de cause, ça m'est arrivé) et
bien t'es cuit. Tu ne peux pas négliger ce problème et la dualité
matériel/logiciel.

Il est clair qu'un logiciel sans hardware ça ne donne pas grand chose. Mais
que le hardware tombe en panne ne signifie pas que le logiciel à un défaut.

Pourtant cette faille a été patchée. Je ne nie pas que plus un
logiciel est complexe plus les chances d'avoir des bugs augmentent.

Ce qu'il faut surtout comprendre c'est qu'un logiciel sans bug est
impossible.

Je suis d'accord si comme tu le dis, tu lies le logiciel au hardware.
On peut ainsi dire que le bien connu "Hello World" est buggé car il dépend du
compilo (qui peut etre buggé), de l'OS (qui peut etre buggé), du hardware
(qui peut planter) etc... C'est comme calculer la côte de Bretagne.
Mais, si nous lisons le code source du "Hello World", nous savons que ce
programme n'est pas buggé.

Bon, merci à tous pour vos contributions, et désolé pour le hors charte.

Cordialement,
Chris.