Une question plutôt théorique me vient à l'esprit.
Supposons qu'un utilisateur lambda découvre par hasard une grosse faille
de sécurité dans un logiciel ou un matériel.
Il recherche sur les sites et forums des articles rapportant cette
faille et devant le résultat négatif constate qu'il en est "l'inventeur".
Quelles sont ses responsabilités vis à vis:
- du concepteur/fabricant du logiciel/matériel.
- des autres utilisateurs du logiciel/matériel.
En gros :
Doit-il garder le secret quitte à causer par son silence du tord aux
autres utilisateurs ?
Doit-il publier malgré les tords causés au fabricant ?
Le fabricant peut-il se retourner contre lui pour ces tords ?
Au bout de combien de temps après qu'il a contacté le fabricant doit-il
rendre la faille publique sachant les tords causés
- au fabriquant
- aux autres utilisateurs ?
Si vous connaissez des pages traitants des ces aspects en droit, en
expérience...
Thierry F. wrote: :: Bonjour. :: :: Une question plutôt théorique me vient à l'esprit. :: :: Supposons qu'un utilisateur lambda découvre par hasard une grosse :: faille de sécurité dans un logiciel ou un matériel. :: Il recherche sur les sites et forums des articles rapportant cette :: faille et devant le résultat négatif constate qu'il en est :: "l'inventeur". Quelles sont ses responsabilités vis à vis: :: - du concepteur/fabricant du logiciel/matériel. :: - des autres utilisateurs du logiciel/matériel. :: :: En gros : :: :: Doit-il garder le secret quitte à causer par son silence du tord aux :: autres utilisateurs ? :: Doit-il publier malgré les tords causés au fabricant ? :: Le fabricant peut-il se retourner contre lui pour ces tords ? :: Au bout de combien de temps après qu'il a contacté le fabricant :: doit-il rendre la faille publique sachant les tords causés :: - au fabriquant :: - aux autres utilisateurs ? :: :: Si vous connaissez des pages traitants des ces aspects en droit, en :: expérience... :: :: Merci.
'jour Ce sujet est très exactement traité dans la toute récente LEN (loie sur économie numérique). Il y a eu moult débats et contreverses au point où je renonce à te donner un quelquonque lien ... Essai simplement et bonne lecture !
Thierry F. wrote:
:: Bonjour.
::
:: Une question plutôt théorique me vient à l'esprit.
::
:: Supposons qu'un utilisateur lambda découvre par hasard une grosse
:: faille de sécurité dans un logiciel ou un matériel.
:: Il recherche sur les sites et forums des articles rapportant cette
:: faille et devant le résultat négatif constate qu'il en est
:: "l'inventeur". Quelles sont ses responsabilités vis à vis:
:: - du concepteur/fabricant du logiciel/matériel.
:: - des autres utilisateurs du logiciel/matériel.
::
:: En gros :
::
:: Doit-il garder le secret quitte à causer par son silence du tord aux
:: autres utilisateurs ?
:: Doit-il publier malgré les tords causés au fabricant ?
:: Le fabricant peut-il se retourner contre lui pour ces tords ?
:: Au bout de combien de temps après qu'il a contacté le fabricant
:: doit-il rendre la faille publique sachant les tords causés
:: - au fabriquant
:: - aux autres utilisateurs ?
::
:: Si vous connaissez des pages traitants des ces aspects en droit, en
:: expérience...
::
:: Merci.
'jour
Ce sujet est très exactement traité dans la toute récente LEN (loie sur
économie numérique).
Il y a eu moult débats et contreverses au point où je renonce à te donner un
quelquonque lien ...
Essai simplement et bonne lecture !
Thierry F. wrote: :: Bonjour. :: :: Une question plutôt théorique me vient à l'esprit. :: :: Supposons qu'un utilisateur lambda découvre par hasard une grosse :: faille de sécurité dans un logiciel ou un matériel. :: Il recherche sur les sites et forums des articles rapportant cette :: faille et devant le résultat négatif constate qu'il en est :: "l'inventeur". Quelles sont ses responsabilités vis à vis: :: - du concepteur/fabricant du logiciel/matériel. :: - des autres utilisateurs du logiciel/matériel. :: :: En gros : :: :: Doit-il garder le secret quitte à causer par son silence du tord aux :: autres utilisateurs ? :: Doit-il publier malgré les tords causés au fabricant ? :: Le fabricant peut-il se retourner contre lui pour ces tords ? :: Au bout de combien de temps après qu'il a contacté le fabricant :: doit-il rendre la faille publique sachant les tords causés :: - au fabriquant :: - aux autres utilisateurs ? :: :: Si vous connaissez des pages traitants des ces aspects en droit, en :: expérience... :: :: Merci.
'jour Ce sujet est très exactement traité dans la toute récente LEN (loie sur économie numérique). Il y a eu moult débats et contreverses au point où je renonce à te donner un quelquonque lien ... Essai simplement et bonne lecture !
Doit-il publier malgré les tords causés au fabricant ? Le fabricant peut-il se retourner contre lui pour ces tords ?
Je me permets de sortir du débat théorique pour donner un conseil pratique : si tu n'as pas les moyens d'être anonyme par rapport au fabricant (i.e. le fabricant n'a rigoureusement aucun moyen de retrouver ton identité), tais-toi. Ta première responsabilité morale est de te garder hors de prison.
-- ;-)
On 23 Oct 2004 09:02:51 GMT, "Thierry F." <fronde@wanadoo.fr>:
Doit-il publier malgré les tords causés au fabricant ?
Le fabricant peut-il se retourner contre lui pour ces tords ?
Je me permets de sortir du débat théorique pour donner un conseil
pratique : si tu n'as pas les moyens d'être anonyme par rapport au
fabricant (i.e. le fabricant n'a rigoureusement aucun moyen de
retrouver ton identité), tais-toi. Ta première responsabilité morale
est de te garder hors de prison.
Doit-il publier malgré les tords causés au fabricant ? Le fabricant peut-il se retourner contre lui pour ces tords ?
Je me permets de sortir du débat théorique pour donner un conseil pratique : si tu n'as pas les moyens d'être anonyme par rapport au fabricant (i.e. le fabricant n'a rigoureusement aucun moyen de retrouver ton identité), tais-toi. Ta première responsabilité morale est de te garder hors de prison.
-- ;-)
Eric Razny
Thierry F. wrote: [entre autre, découverte d'une faille et risque de poursuite en cas de
publications]
'jour Ce sujet est très exactement traité dans la toute récente LEN (loie sur économie numérique).
"Très exactement" n'est peut être pas le terme approprié. En particulier il n'y as pas grand chose sur la publication, sans détail, de l'existance d'une faille (contrairement à la mise à dispositions d'outils pour l'exploiter).
Il y a eu moult débats et contreverses
Avant pendant et après :) Et comme cette loi est tout sauf "très exactement" claire (c'est à dire qu'il y a, amha, une interprétation à faire quasiment au cas pas cas) la controverse n'est pas prête de s'éteindre, il faudra des années avant qu'une jurisprudence stable(sic) ne s'établisse.
au point où je renonce à te donner un quelquonque lien ... Essai simplement et bonne lecture !
Je pense que le môssieur ne demandait pas un mode d'emploi de google mais plutôt s'il existe des pages synthétiques axées sur le droit, et non pas une collection de liens contradictoires et polémiques...
Malheureusement sur ce point je n'ai rien à apporter (et jusqu'à un procès avec appel et éventuelle arrêt de cass, on restera dans les suppositions).
Une "solution" évoquée ici même est, malheureusement, la protection apportée par l'anonymat. C'est quand même triste d'en arriver là.
Eric
-- L'invulnérable : Je ne pense pas etre piratable, infectable par un trojen oui! Vu sur fcs un jour de mars 2004.
Thierry F. wrote:
[entre autre, découverte d'une faille et risque de poursuite en cas de
publications]
'jour
Ce sujet est très exactement traité dans la toute récente LEN (loie sur
économie numérique).
"Très exactement" n'est peut être pas le terme approprié. En particulier
il n'y as pas grand chose sur la publication, sans détail, de
l'existance d'une faille (contrairement à la mise à dispositions
d'outils pour l'exploiter).
Il y a eu moult débats et contreverses
Avant pendant et après :)
Et comme cette loi est tout sauf "très exactement" claire (c'est à dire
qu'il y a, amha, une interprétation à faire quasiment au cas pas cas) la
controverse n'est pas prête de s'éteindre, il faudra des années avant
qu'une jurisprudence stable(sic) ne s'établisse.
au point où je renonce à te
donner un quelquonque lien ...
Essai simplement et bonne lecture !
Je pense que le môssieur ne demandait pas un mode d'emploi de google
mais plutôt s'il existe des pages synthétiques axées sur le droit, et
non pas une collection de liens contradictoires et polémiques...
Malheureusement sur ce point je n'ai rien à apporter (et jusqu'à un
procès avec appel et éventuelle arrêt de cass, on restera dans les
suppositions).
Une "solution" évoquée ici même est, malheureusement, la protection
apportée par l'anonymat. C'est quand même triste d'en arriver là.
Eric
--
L'invulnérable :
Je ne pense pas etre piratable, infectable par un trojen oui!
Vu sur fcs un jour de mars 2004.
Thierry F. wrote: [entre autre, découverte d'une faille et risque de poursuite en cas de
publications]
'jour Ce sujet est très exactement traité dans la toute récente LEN (loie sur économie numérique).
"Très exactement" n'est peut être pas le terme approprié. En particulier il n'y as pas grand chose sur la publication, sans détail, de l'existance d'une faille (contrairement à la mise à dispositions d'outils pour l'exploiter).
Il y a eu moult débats et contreverses
Avant pendant et après :) Et comme cette loi est tout sauf "très exactement" claire (c'est à dire qu'il y a, amha, une interprétation à faire quasiment au cas pas cas) la controverse n'est pas prête de s'éteindre, il faudra des années avant qu'une jurisprudence stable(sic) ne s'établisse.
au point où je renonce à te donner un quelquonque lien ... Essai simplement et bonne lecture !
Je pense que le môssieur ne demandait pas un mode d'emploi de google mais plutôt s'il existe des pages synthétiques axées sur le droit, et non pas une collection de liens contradictoires et polémiques...
Malheureusement sur ce point je n'ai rien à apporter (et jusqu'à un procès avec appel et éventuelle arrêt de cass, on restera dans les suppositions).
Une "solution" évoquée ici même est, malheureusement, la protection apportée par l'anonymat. C'est quand même triste d'en arriver là.
Eric
-- L'invulnérable : Je ne pense pas etre piratable, infectable par un trojen oui! Vu sur fcs un jour de mars 2004.
Jean-Marie Delapierre
Le Sat, 23 Oct 2004 09:02:51 +0000, Thierry F. a écrit :
Bonjour.
Une question plutôt théorique me vient à l'esprit.
Supposons qu'un utilisateur lambda découvre par hasard une grosse faille de sécurité dans un logiciel ou un matériel. Il recherche sur les sites et forums des articles rapportant cette faille et devant le résultat négatif constate qu'il en est "l'inventeur". Quelles sont ses responsabilités vis à vis: - du concepteur/fabricant du logiciel/matériel. - des autres utilisateurs du logiciel/matériel.
En gros :
Doit-il garder le secret quitte à causer par son silence du tord aux autres utilisateurs ? Doit-il publier malgré les tords causés au fabricant ? Le fabricant peut-il se retourner contre lui pour ces tords ? Au bout de combien de temps après qu'il a contacté le fabricant doit-il rendre la faille publique sachant les tords causés - au fabriquant - aux autres utilisateurs ?
Si vous connaissez des pages traitants des ces aspects en droit, en expérience...
Merci.
Je n'y connais pas grand-chose en droit, mais je peux te donner une piste : Tu envoie une description de la faille en question par lettre anonyme à la DCSSI, charge à eux de prendre contact avec la société. Avant qu'un éditeur de aille mettre l'administration française en prison pour découverte d'une faille dans un de ses logiciels...
Cordialement.
Jean-Marie
Pour me répondre, remplacer "jm" par "jean-marie"
Le Sat, 23 Oct 2004 09:02:51 +0000, Thierry F. a écrit :
Bonjour.
Une question plutôt théorique me vient à l'esprit.
Supposons qu'un utilisateur lambda découvre par hasard une grosse faille
de sécurité dans un logiciel ou un matériel.
Il recherche sur les sites et forums des articles rapportant cette
faille et devant le résultat négatif constate qu'il en est "l'inventeur".
Quelles sont ses responsabilités vis à vis:
- du concepteur/fabricant du logiciel/matériel.
- des autres utilisateurs du logiciel/matériel.
En gros :
Doit-il garder le secret quitte à causer par son silence du tord aux
autres utilisateurs ?
Doit-il publier malgré les tords causés au fabricant ?
Le fabricant peut-il se retourner contre lui pour ces tords ?
Au bout de combien de temps après qu'il a contacté le fabricant doit-il
rendre la faille publique sachant les tords causés
- au fabriquant
- aux autres utilisateurs ?
Si vous connaissez des pages traitants des ces aspects en droit, en
expérience...
Merci.
Je n'y connais pas grand-chose en droit, mais je peux te donner une piste :
Tu envoie une description de la faille en question par lettre anonyme à
la DCSSI, charge à eux de prendre contact avec la société.
Avant qu'un éditeur de aille mettre l'administration française en prison
pour découverte d'une faille dans un de ses logiciels...
Le Sat, 23 Oct 2004 09:02:51 +0000, Thierry F. a écrit :
Bonjour.
Une question plutôt théorique me vient à l'esprit.
Supposons qu'un utilisateur lambda découvre par hasard une grosse faille de sécurité dans un logiciel ou un matériel. Il recherche sur les sites et forums des articles rapportant cette faille et devant le résultat négatif constate qu'il en est "l'inventeur". Quelles sont ses responsabilités vis à vis: - du concepteur/fabricant du logiciel/matériel. - des autres utilisateurs du logiciel/matériel.
En gros :
Doit-il garder le secret quitte à causer par son silence du tord aux autres utilisateurs ? Doit-il publier malgré les tords causés au fabricant ? Le fabricant peut-il se retourner contre lui pour ces tords ? Au bout de combien de temps après qu'il a contacté le fabricant doit-il rendre la faille publique sachant les tords causés - au fabriquant - aux autres utilisateurs ?
Si vous connaissez des pages traitants des ces aspects en droit, en expérience...
Merci.
Je n'y connais pas grand-chose en droit, mais je peux te donner une piste : Tu envoie une description de la faille en question par lettre anonyme à la DCSSI, charge à eux de prendre contact avec la société. Avant qu'un éditeur de aille mettre l'administration française en prison pour découverte d'une faille dans un de ses logiciels...
Cordialement.
Jean-Marie
Pour me répondre, remplacer "jm" par "jean-marie"
Thierry F.
Une "solution" évoquée ici même est, malheureusement, la protection apportée par l'anonymat. C'est quand même triste d'en arriver là.
Merci.
Hélas, l'anonymat n'est plus garanti depuis que le fabricant est au courant de la faille (telephone hotline + email).(4 jours).
D'ailleurs je m'interroge sur la confiance à accorder à une hotline délocalisée, dans un soucis d'économie sans doute, vis à vis d'informations sensibles (Bon, après tout, si le vendeur fait confiance...).
La question qui se pose est le choix, dans le cas ou un patch n'est pas publié rapidement, de dévoiler ou pas la faille : - ternir l'image d'une entreprise, mettre en danger les systèmes des utilisateurs jusqu'à un correctif, mais avertir les utilisateurs pour leur laisser la liberté de se protéger, au pire en n'utilisant plus le produit. - garder le silence dans le soucis de se protéger soi-même et laisser les systèmes de ces utilisateurs en danger.
Le choix me semble dificile à trancher.
Il me reste aussi à définir le "rapidement" : trois jours, une semaine, plus ? pour un correctif qui -à priori- concerne la configuration d'un serveur, je dirais que 4 jours sont déja pas mal.
D'autre part, une autre question m'interroge : quelle serait la valeur d'un avertissement sans la preuve de ce qui est avancé ? Qui plus est par quelqu'un d'étranger au milieu de la sécurité informatique ? Sans doute nulle; donc une demi-mesure comme annoncer que X produit des logiciels/matériels non sécurisés sans rentrer dans les détails me parait difficile.
Une "solution" évoquée ici même est, malheureusement, la protection
apportée par l'anonymat. C'est quand même triste d'en arriver là.
Merci.
Hélas, l'anonymat n'est plus garanti depuis que le fabricant est au
courant de la faille (telephone hotline + email).(4 jours).
D'ailleurs je m'interroge sur la confiance à accorder à une hotline
délocalisée, dans un soucis d'économie sans doute, vis à vis
d'informations sensibles (Bon, après tout, si le vendeur fait confiance...).
La question qui se pose est le choix, dans le cas ou un patch n'est pas
publié rapidement, de dévoiler ou pas la faille :
- ternir l'image d'une entreprise, mettre en danger les systèmes des
utilisateurs jusqu'à un correctif, mais avertir les utilisateurs pour
leur laisser la liberté de se protéger, au pire en n'utilisant plus le
produit.
- garder le silence dans le soucis de se protéger soi-même et laisser
les systèmes de ces utilisateurs en danger.
Le choix me semble dificile à trancher.
Il me reste aussi à définir le "rapidement" : trois jours, une semaine,
plus ? pour un correctif qui -à priori- concerne la configuration d'un
serveur, je dirais que 4 jours sont déja pas mal.
D'autre part, une autre question m'interroge : quelle serait la valeur
d'un avertissement sans la preuve de ce qui est avancé ? Qui plus est
par quelqu'un d'étranger au milieu de la sécurité informatique ?
Sans doute nulle; donc une demi-mesure comme annoncer que X produit des
logiciels/matériels non sécurisés sans rentrer dans les détails me
parait difficile.
Une "solution" évoquée ici même est, malheureusement, la protection apportée par l'anonymat. C'est quand même triste d'en arriver là.
Merci.
Hélas, l'anonymat n'est plus garanti depuis que le fabricant est au courant de la faille (telephone hotline + email).(4 jours).
D'ailleurs je m'interroge sur la confiance à accorder à une hotline délocalisée, dans un soucis d'économie sans doute, vis à vis d'informations sensibles (Bon, après tout, si le vendeur fait confiance...).
La question qui se pose est le choix, dans le cas ou un patch n'est pas publié rapidement, de dévoiler ou pas la faille : - ternir l'image d'une entreprise, mettre en danger les systèmes des utilisateurs jusqu'à un correctif, mais avertir les utilisateurs pour leur laisser la liberté de se protéger, au pire en n'utilisant plus le produit. - garder le silence dans le soucis de se protéger soi-même et laisser les systèmes de ces utilisateurs en danger.
Le choix me semble dificile à trancher.
Il me reste aussi à définir le "rapidement" : trois jours, une semaine, plus ? pour un correctif qui -à priori- concerne la configuration d'un serveur, je dirais que 4 jours sont déja pas mal.
D'autre part, une autre question m'interroge : quelle serait la valeur d'un avertissement sans la preuve de ce qui est avancé ? Qui plus est par quelqu'un d'étranger au milieu de la sécurité informatique ? Sans doute nulle; donc une demi-mesure comme annoncer que X produit des logiciels/matériels non sécurisés sans rentrer dans les détails me parait difficile.
Thierry F.
Tu envoie une description de la faille en question par lettre anonyme à la DCSSI, charge à eux de prendre contact avec la société.
Merci.
C'est peut-être effectivement une idée à creuser, sans l'anonymat puisque le mail au support est parti de toute façon.
Tu envoie une description de la faille en question par lettre anonyme à
la DCSSI, charge à eux de prendre contact avec la société.
Merci.
C'est peut-être effectivement une idée à creuser, sans l'anonymat
puisque le mail au support est parti de toute façon.
Tu envoie une description de la faille en question par lettre anonyme à la DCSSI, charge à eux de prendre contact avec la société.
Merci.
C'est peut-être effectivement une idée à creuser, sans l'anonymat puisque le mail au support est parti de toute façon.
Steph
Thierry F. wrote:
Doit-il garder le secret quitte à causer par son silence du tord aux autres utilisateurs ?
oui
Doit-il publier malgré les tords causés au fabricant ?
non
Le fabricant peut-il se retourner contre lui pour ces tords ?
oui
Au bout de combien de temps après qu'il a contacté le fabricant doit-il rendre la faille publique sachant les tords causés - au fabriquant - aux autres utilisateurs ?
/en théorie/ 1 mois
Ne joue pas le pot de terre (quoique l'affaire Tati...). Tu t'adresses aux organismes officiels que sont: <http://www.certa.ssi.gouv.fr/> ou le: <http://www.cert-ist.com/> Charge à eux de prévenir l'intéressé.
Steph
-- Enlever l'adresse bidon invalide pour m'écrire
Thierry F. wrote:
Doit-il garder le secret quitte à causer par son silence du tord aux
autres utilisateurs ?
oui
Doit-il publier malgré les tords causés au fabricant ?
non
Le fabricant peut-il se retourner contre lui pour ces tords ?
oui
Au bout de combien de temps après qu'il a contacté le fabricant doit-il
rendre la faille publique sachant les tords causés
- au fabriquant
- aux autres utilisateurs ?
/en théorie/ 1 mois
Ne joue pas le pot de terre (quoique l'affaire Tati...). Tu t'adresses
aux organismes officiels que sont:
<http://www.certa.ssi.gouv.fr/>
ou le:
<http://www.cert-ist.com/>
Charge à eux de prévenir l'intéressé.
Doit-il garder le secret quitte à causer par son silence du tord aux autres utilisateurs ?
oui
Doit-il publier malgré les tords causés au fabricant ?
non
Le fabricant peut-il se retourner contre lui pour ces tords ?
oui
Au bout de combien de temps après qu'il a contacté le fabricant doit-il rendre la faille publique sachant les tords causés - au fabriquant - aux autres utilisateurs ?
/en théorie/ 1 mois
Ne joue pas le pot de terre (quoique l'affaire Tati...). Tu t'adresses aux organismes officiels que sont: <http://www.certa.ssi.gouv.fr/> ou le: <http://www.cert-ist.com/> Charge à eux de prévenir l'intéressé.
Steph
-- Enlever l'adresse bidon invalide pour m'écrire
Jean-Marie Delapierre
Le Sat, 23 Oct 2004 14:38:34 +0000, Thierry F. a écrit :
Tu envoie une description de la faille en question par lettre anonyme à la DCSSI, charge à eux de prendre contact avec la société.
Merci.
C'est peut-être effectivement une idée à creuser, sans l'anonymat puisque le mail au support est parti de toute façon.
Les 2 actions ne sont pas forcement exclusives. Les experts de la DCSSI sont censés être capables de découvrir des failles touts seuls. De même, s'ils "avouent" avoir reçu l'info de manière anonyme, qui pourra prouver que c'est toi qui leur a envoyé ?
Cordialement.
Jean-Marie
Pour me répondre, remplacer "jm" par "jean-marie"
Le Sat, 23 Oct 2004 14:38:34 +0000, Thierry F. a écrit :
Tu envoie une description de la faille en question par lettre anonyme à
la DCSSI, charge à eux de prendre contact avec la société.
Merci.
C'est peut-être effectivement une idée à creuser, sans l'anonymat
puisque le mail au support est parti de toute façon.
Les 2 actions ne sont pas forcement exclusives. Les experts de la DCSSI
sont censés être capables de découvrir des failles touts seuls.
De même, s'ils "avouent" avoir reçu l'info de manière anonyme, qui
pourra prouver que c'est toi qui leur a envoyé ?
Le Sat, 23 Oct 2004 14:38:34 +0000, Thierry F. a écrit :
Tu envoie une description de la faille en question par lettre anonyme à la DCSSI, charge à eux de prendre contact avec la société.
Merci.
C'est peut-être effectivement une idée à creuser, sans l'anonymat puisque le mail au support est parti de toute façon.
Les 2 actions ne sont pas forcement exclusives. Les experts de la DCSSI sont censés être capables de découvrir des failles touts seuls. De même, s'ils "avouent" avoir reçu l'info de manière anonyme, qui pourra prouver que c'est toi qui leur a envoyé ?
Cordialement.
Jean-Marie
Pour me répondre, remplacer "jm" par "jean-marie"
Sundowne
Eric Razny wrote: :: :: :: Malheureusement sur ce point je n'ai rien à apporter (et jusqu'à un :: procès avec appel et éventuelle arrêt de cass, on restera dans les :: suppositions).
'Jour Pourquoi ne pas suivre le "cas" guillermito? @+
Eric Razny wrote:
:: ::
:: Malheureusement sur ce point je n'ai rien à apporter (et jusqu'à un
:: procès avec appel et éventuelle arrêt de cass, on restera dans les
:: suppositions).
'Jour
Pourquoi ne pas suivre le "cas" guillermito?
@+
Eric Razny wrote: :: :: :: Malheureusement sur ce point je n'ai rien à apporter (et jusqu'à un :: procès avec appel et éventuelle arrêt de cass, on restera dans les :: suppositions).
'Jour Pourquoi ne pas suivre le "cas" guillermito? @+
Jacques Caron
Salut,
On 23 Oct 2004 14:38:34 GMT, Thierry F. wrote:
Hélas, l'anonymat n'est plus garanti depuis que le fabricant est au courant de la faille (telephone hotline + email).(4 jours).
Y a-t-il eu une quelconque réaction (ne serait que la confirmation que l'information a été reçue par quelqu'un qui peut en faire quelque chose, genre "security officer" ou un développeur, pas le hotliner dans une société de sous-traitance)?
La question qui se pose est le choix, dans le cas ou un patch n'est pas publié rapidement, de dévoiler ou pas la faille : - ternir l'image d'une entreprise, mettre en danger les systèmes des utilisateurs jusqu'à un correctif, mais avertir les utilisateurs pour leur laisser la liberté de se protéger, au pire en n'utilisant plus le produit. - garder le silence dans le soucis de se protéger soi-même et laisser les systèmes de ces utilisateurs en danger.
Avez-vous tenter de passer par un organisme établi qui a l'habitude de traiter ces incidents et qui a probablement des procédures adaptées? Genre le CERT, Bugtraq, ou l'un des nombreux autres organismes de ce type (il y en a tellement)? Je pense que certains (surtout les plus anciens) ont déjà des contacts bien établis avec les bonnes personnes chez la plupart des gros éditeurs et fabricants, ça aide. Ils doivent aussi avoir une politique standard quant à la diffusion des informations, des délais pour le faire, etc.
Il me reste aussi à définir le "rapidement" : trois jours, une semaine, plus ? pour un correctif qui -à priori- concerne la configuration d'un serveur, je dirais que 4 jours sont déja pas mal.
Tout dépend de la faille. Si c'est quelque chose de facile à trouver dans un truc tout neuf, effectivement, le plus vite est le mieux. Si c'est un bug qui est là depuis 2 ans de toutes façons, on n'est pas forcément à quelques jours près... tant que l'information ne circule pas.
Un autre paramètre à prendre en compte est l'existence d'un "workaround" même en l'absence de mise à jour (possibilité de mettre un filtre, de désactiver une fonction peu importante...).
D'autre part, une autre question m'interroge : quelle serait la valeur d'un avertissement sans la preuve de ce qui est avancé ? Qui plus est par quelqu'un d'étranger au milieu de la sécurité informatique ? Sans doute nulle; donc une demi-mesure comme annoncer que X produit des logiciels/matériels non sécurisés sans rentrer dans les détails me parait difficile.
Il ne s'agit pas de dire qu'ils produisent des logiciels/matériels non sécurisés (qui n'en produit pas?). Il s'agit de prévenir qu'il y a un problème et de donner le moyen de l'éviter. En général soit un upgrade, soit un workaround. Mais transmettez l'info au CERT ou un équivalent (il y en a qui sont plus spécifiques pour tel ou tel type de produit), ils se chargeront de vérifier, et ils sauront quoi faire.
Jacques. -- Interactive Media Factory Création, développement et hébergement de services interactifs: SMS, SMS+, Audiotel... http://www.imfeurope.com/
Salut,
On 23 Oct 2004 14:38:34 GMT, Thierry F. <fronde@wanadoo.fr> wrote:
Hélas, l'anonymat n'est plus garanti depuis que le fabricant est au
courant de la faille (telephone hotline + email).(4 jours).
Y a-t-il eu une quelconque réaction (ne serait que la confirmation que
l'information a été reçue par quelqu'un qui peut en faire quelque chose,
genre "security officer" ou un développeur, pas le hotliner dans une
société de sous-traitance)?
La question qui se pose est le choix, dans le cas ou un patch n'est pas
publié rapidement, de dévoiler ou pas la faille :
- ternir l'image d'une entreprise, mettre en danger les systèmes des
utilisateurs jusqu'à un correctif, mais avertir les utilisateurs pour
leur laisser la liberté de se protéger, au pire en n'utilisant plus le
produit.
- garder le silence dans le soucis de se protéger soi-même et laisser
les systèmes de ces utilisateurs en danger.
Avez-vous tenter de passer par un organisme établi qui a l'habitude de
traiter ces incidents et qui a probablement des procédures adaptées? Genre
le CERT, Bugtraq, ou l'un des nombreux autres organismes de ce type (il y
en a tellement)? Je pense que certains (surtout les plus anciens) ont déjà
des contacts bien établis avec les bonnes personnes chez la plupart des
gros éditeurs et fabricants, ça aide. Ils doivent aussi avoir une
politique standard quant à la diffusion des informations, des délais pour
le faire, etc.
Il me reste aussi à définir le "rapidement" : trois jours, une semaine,
plus ? pour un correctif qui -à priori- concerne la configuration d'un
serveur, je dirais que 4 jours sont déja pas mal.
Tout dépend de la faille. Si c'est quelque chose de facile à trouver dans
un truc tout neuf, effectivement, le plus vite est le mieux. Si c'est un
bug qui est là depuis 2 ans de toutes façons, on n'est pas forcément à
quelques jours près... tant que l'information ne circule pas.
Un autre paramètre à prendre en compte est l'existence d'un "workaround"
même en l'absence de mise à jour (possibilité de mettre un filtre, de
désactiver une fonction peu importante...).
D'autre part, une autre question m'interroge : quelle serait la valeur
d'un avertissement sans la preuve de ce qui est avancé ? Qui plus est
par quelqu'un d'étranger au milieu de la sécurité informatique ?
Sans doute nulle; donc une demi-mesure comme annoncer que X produit des
logiciels/matériels non sécurisés sans rentrer dans les détails me
parait difficile.
Il ne s'agit pas de dire qu'ils produisent des logiciels/matériels non
sécurisés (qui n'en produit pas?). Il s'agit de prévenir qu'il y a un
problème et de donner le moyen de l'éviter. En général soit un upgrade,
soit un workaround. Mais transmettez l'info au CERT ou un équivalent (il y
en a qui sont plus spécifiques pour tel ou tel type de produit), ils se
chargeront de vérifier, et ils sauront quoi faire.
Jacques.
--
Interactive Media Factory
Création, développement et hébergement
de services interactifs: SMS, SMS+, Audiotel...
http://www.imfeurope.com/
Hélas, l'anonymat n'est plus garanti depuis que le fabricant est au courant de la faille (telephone hotline + email).(4 jours).
Y a-t-il eu une quelconque réaction (ne serait que la confirmation que l'information a été reçue par quelqu'un qui peut en faire quelque chose, genre "security officer" ou un développeur, pas le hotliner dans une société de sous-traitance)?
La question qui se pose est le choix, dans le cas ou un patch n'est pas publié rapidement, de dévoiler ou pas la faille : - ternir l'image d'une entreprise, mettre en danger les systèmes des utilisateurs jusqu'à un correctif, mais avertir les utilisateurs pour leur laisser la liberté de se protéger, au pire en n'utilisant plus le produit. - garder le silence dans le soucis de se protéger soi-même et laisser les systèmes de ces utilisateurs en danger.
Avez-vous tenter de passer par un organisme établi qui a l'habitude de traiter ces incidents et qui a probablement des procédures adaptées? Genre le CERT, Bugtraq, ou l'un des nombreux autres organismes de ce type (il y en a tellement)? Je pense que certains (surtout les plus anciens) ont déjà des contacts bien établis avec les bonnes personnes chez la plupart des gros éditeurs et fabricants, ça aide. Ils doivent aussi avoir une politique standard quant à la diffusion des informations, des délais pour le faire, etc.
Il me reste aussi à définir le "rapidement" : trois jours, une semaine, plus ? pour un correctif qui -à priori- concerne la configuration d'un serveur, je dirais que 4 jours sont déja pas mal.
Tout dépend de la faille. Si c'est quelque chose de facile à trouver dans un truc tout neuf, effectivement, le plus vite est le mieux. Si c'est un bug qui est là depuis 2 ans de toutes façons, on n'est pas forcément à quelques jours près... tant que l'information ne circule pas.
Un autre paramètre à prendre en compte est l'existence d'un "workaround" même en l'absence de mise à jour (possibilité de mettre un filtre, de désactiver une fonction peu importante...).
D'autre part, une autre question m'interroge : quelle serait la valeur d'un avertissement sans la preuve de ce qui est avancé ? Qui plus est par quelqu'un d'étranger au milieu de la sécurité informatique ? Sans doute nulle; donc une demi-mesure comme annoncer que X produit des logiciels/matériels non sécurisés sans rentrer dans les détails me parait difficile.
Il ne s'agit pas de dire qu'ils produisent des logiciels/matériels non sécurisés (qui n'en produit pas?). Il s'agit de prévenir qu'il y a un problème et de donner le moyen de l'éviter. En général soit un upgrade, soit un workaround. Mais transmettez l'info au CERT ou un équivalent (il y en a qui sont plus spécifiques pour tel ou tel type de produit), ils se chargeront de vérifier, et ils sauront quoi faire.
Jacques. -- Interactive Media Factory Création, développement et hébergement de services interactifs: SMS, SMS+, Audiotel... http://www.imfeurope.com/
