Ouch!
Ça fait mal aux yeux de lire ça. On a soumis 3 ordinateurs munis de 3
systèmes d'exploitation (MacOSX, Linux et Windows) à des «hackers». Si
l'un d'eux pouvait réussir à prendre le contrôle de l'un d'eux, il
gagnait 20000$ ainsi que l'ordi hacké.
Le Mac... n'a pas résisté 2 minutes.
C'eût été Windows qui aurait été pris en défaut, on aurait eu une
enfilade de 50-60 intervenants en train de se moquer et de se rouler
par terre (je m'étais déjà acheté ma bouteille de vin), mais là on va
la jouer «low profile».
In article <1ieo18d.1thk4ks11ga0hoN%, (Laurent Pertois) wrote:
Celui qui a découvert la faille a donc intentionnellement cherché une faille, l'a gardé pour lui, n'a d'ailleurs rien tenté le premier jour et a juste sagement attendu le second jour avec l'assouplissement des règles pour empocher les 10000$ et le MacBook Air.
Il a fait ce que font ceux qui sont crédités de la découverte des failles telles qu'indiquées dans les informations qui accompagnent les MàJ de sécurité. Bref, un truc assez banal en fin de compte...
Patrick -- Patrick Stadelmann
In article <1ieo18d.1thk4ks11ga0hoN%laurent.pertois@alussinan.org>,
laurent.pertois@alussinan.org (Laurent Pertois) wrote:
Celui qui a découvert la faille a donc intentionnellement cherché une
faille, l'a gardé pour lui, n'a d'ailleurs rien tenté le premier jour et
a juste sagement attendu le second jour avec l'assouplissement des
règles pour empocher les 10000$ et le MacBook Air.
Il a fait ce que font ceux qui sont crédités de la découverte des
failles telles qu'indiquées dans les informations qui accompagnent les
MàJ de sécurité. Bref, un truc assez banal en fin de compte...
Patrick
--
Patrick Stadelmann <Patrick.Stadelmann@unine.ch>
In article <1ieo18d.1thk4ks11ga0hoN%, (Laurent Pertois) wrote:
Celui qui a découvert la faille a donc intentionnellement cherché une faille, l'a gardé pour lui, n'a d'ailleurs rien tenté le premier jour et a juste sagement attendu le second jour avec l'assouplissement des règles pour empocher les 10000$ et le MacBook Air.
Il a fait ce que font ceux qui sont crédités de la découverte des failles telles qu'indiquées dans les informations qui accompagnent les MàJ de sécurité. Bref, un truc assez banal en fin de compte...
Patrick -- Patrick Stadelmann
laurent.pertois
Patrick Stadelmann wrote:
In article <1ieo18d.1thk4ks11ga0hoN%, (Laurent Pertois) wrote:
Celui qui a découvert la faille a donc intentionnellement cherché une faille, l'a gardé pour lui, n'a d'ailleurs rien tenté le premier jour et a juste sagement attendu le second jour avec l'assouplissement des règles pour empocher les 10000$ et le MacBook Air.
Il a fait ce que font ceux qui sont crédités de la découverte des failles telles qu'indiquées dans les informations qui accompagnent les MàJ de sécurité. Bref, un truc assez banal en fin de compte...
-- Politically Correct Unix - UTILITIES The "touch" command has been removed from the standard distribution due to its inappropriate use by high-level managers.
Patrick Stadelmann <Patrick.Stadelmann@unine.ch> wrote:
In article <1ieo18d.1thk4ks11ga0hoN%laurent.pertois@alussinan.org>,
laurent.pertois@alussinan.org (Laurent Pertois) wrote:
Celui qui a découvert la faille a donc intentionnellement cherché une
faille, l'a gardé pour lui, n'a d'ailleurs rien tenté le premier jour et
a juste sagement attendu le second jour avec l'assouplissement des
règles pour empocher les 10000$ et le MacBook Air.
Il a fait ce que font ceux qui sont crédités de la découverte des
failles telles qu'indiquées dans les informations qui accompagnent les
MàJ de sécurité. Bref, un truc assez banal en fin de compte...
--
Politically Correct Unix - UTILITIES
The "touch" command has been removed from the standard distribution due
to its inappropriate use by high-level managers.
In article <1ieo18d.1thk4ks11ga0hoN%, (Laurent Pertois) wrote:
Celui qui a découvert la faille a donc intentionnellement cherché une faille, l'a gardé pour lui, n'a d'ailleurs rien tenté le premier jour et a juste sagement attendu le second jour avec l'assouplissement des règles pour empocher les 10000$ et le MacBook Air.
Il a fait ce que font ceux qui sont crédités de la découverte des failles telles qu'indiquées dans les informations qui accompagnent les MàJ de sécurité. Bref, un truc assez banal en fin de compte...
-- Politically Correct Unix - UTILITIES The "touch" command has been removed from the standard distribution due to its inappropriate use by high-level managers.
Patrick Stadelmann
In article <1ieo9cw.j826p1hx23qjN%, (Laurent Pertois) wrote:
C'est pas très malin de leur part d'avoir rendu publique la faille avant que le correctif ne soit dans disponible dans un MàJ officielle...
Patrick -- Patrick Stadelmann
laurent.pertois
Patrick Stadelmann wrote:
C'est pas très malin de leur part d'avoir rendu publique la faille avant que le correctif ne soit dans disponible dans un MàJ officielle...
N'est-ce pas l'inconvénient de l'Open Source ?
-- Politically Correct Unix - UTILITIES The "touch" command has been removed from the standard distribution due to its inappropriate use by high-level managers.
Patrick Stadelmann <Patrick.Stadelmann@unine.ch> wrote:
C'est pas très malin de leur part d'avoir rendu publique la faille avant
que le correctif ne soit dans disponible dans un MàJ officielle...
N'est-ce pas l'inconvénient de l'Open Source ?
--
Politically Correct Unix - UTILITIES
The "touch" command has been removed from the standard distribution due
to its inappropriate use by high-level managers.
C'est pas très malin de leur part d'avoir rendu publique la faille avant que le correctif ne soit dans disponible dans un MàJ officielle...
N'est-ce pas l'inconvénient de l'Open Source ?
-- Politically Correct Unix - UTILITIES The "touch" command has been removed from the standard distribution due to its inappropriate use by high-level managers.
Patrick Stadelmann
In article <1ieowc6.glftqu190bn83N%, (Laurent Pertois) wrote:
Patrick Stadelmann wrote:
C'est pas très malin de leur part d'avoir rendu publique la faille avant que le correctif ne soit dans disponible dans un MàJ officielle...
N'est-ce pas l'inconvénient de l'Open Source ?
Le même problème se poserait pour du code fermé si l'éditeur annonçait le détail des failles de sécurités comblées un mois avant que la MàJ soit disponible. Ca n'est donc pas directement lié à l'open source, mais au fait que les source soit disponible avant les binaires "grand public".
Patrick -- Patrick Stadelmann
In article <1ieowc6.glftqu190bn83N%laurent.pertois@alussinan.org>,
laurent.pertois@alussinan.org (Laurent Pertois) wrote:
Patrick Stadelmann <Patrick.Stadelmann@unine.ch> wrote:
C'est pas très malin de leur part d'avoir rendu publique la faille avant
que le correctif ne soit dans disponible dans un MàJ officielle...
N'est-ce pas l'inconvénient de l'Open Source ?
Le même problème se poserait pour du code fermé si l'éditeur annonçait
le détail des failles de sécurités comblées un mois avant que la MàJ
soit disponible. Ca n'est donc pas directement lié à l'open source, mais
au fait que les source soit disponible avant les binaires "grand public".
Patrick
--
Patrick Stadelmann <Patrick.Stadelmann@unine.ch>
In article <1ieowc6.glftqu190bn83N%, (Laurent Pertois) wrote:
Patrick Stadelmann wrote:
C'est pas très malin de leur part d'avoir rendu publique la faille avant que le correctif ne soit dans disponible dans un MàJ officielle...
N'est-ce pas l'inconvénient de l'Open Source ?
Le même problème se poserait pour du code fermé si l'éditeur annonçait le détail des failles de sécurités comblées un mois avant que la MàJ soit disponible. Ca n'est donc pas directement lié à l'open source, mais au fait que les source soit disponible avant les binaires "grand public".
Patrick -- Patrick Stadelmann
laurent.pertois
Patrick Stadelmann wrote:
Le même problème se poserait pour du code fermé si l'éditeur annonçait le détail des failles de sécurités comblées un mois avant que la MàJ soit disponible. Ca n'est donc pas directement lié à l'open source, mais au fait que les source soit disponible avant les binaires "grand public".
Non, mais je parlais de la publication de la correction, en closed source on ne l'aurait pas vu passer.
-- Politically Correct Unix - UTILITIES The "touch" command has been removed from the standard distribution due to its inappropriate use by high-level managers.
Patrick Stadelmann <Patrick.Stadelmann@unine.ch> wrote:
Le même problème se poserait pour du code fermé si l'éditeur annonçait
le détail des failles de sécurités comblées un mois avant que la MàJ
soit disponible. Ca n'est donc pas directement lié à l'open source, mais
au fait que les source soit disponible avant les binaires "grand public".
Non, mais je parlais de la publication de la correction, en closed
source on ne l'aurait pas vu passer.
--
Politically Correct Unix - UTILITIES
The "touch" command has been removed from the standard distribution due
to its inappropriate use by high-level managers.
Le même problème se poserait pour du code fermé si l'éditeur annonçait le détail des failles de sécurités comblées un mois avant que la MàJ soit disponible. Ca n'est donc pas directement lié à l'open source, mais au fait que les source soit disponible avant les binaires "grand public".
Non, mais je parlais de la publication de la correction, en closed source on ne l'aurait pas vu passer.
-- Politically Correct Unix - UTILITIES The "touch" command has been removed from the standard distribution due to its inappropriate use by high-level managers.
jacques
patpro ~ Patrick Proniewski wrote:
ho ben c'est juste une faille de safari qui n'est pas encore bouchée et permet de prendre la main sur la machine cliente. Mais heureusement, personne n'utilise Safari. ouf.
En effet, j'utilise lynx. :-)
Et puis, c'est très pratique de prendre la main à distance sur une machine cliente. Le problème c'est qu'il faut que safari tourne :-(
Jacques -- « Mac OS X Server à votre Service » est épuisé. Vous pouvez désormais l'acquérir en PDF <http://www.foucry.net/Redaction/service/service.html
patpro ~ Patrick Proniewski <patpro@boleskine.patpro.net> wrote:
ho ben c'est juste une faille de safari qui n'est pas encore bouchée et
permet de prendre la main sur la machine cliente. Mais heureusement,
personne n'utilise Safari. ouf.
En effet, j'utilise lynx. :-)
Et puis, c'est très pratique de prendre la main à distance sur une
machine cliente. Le problème c'est qu'il faut que safari tourne :-(
Jacques
--
« Mac OS X Server à votre Service » est épuisé.
Vous pouvez désormais l'acquérir en PDF
<http://www.foucry.net/Redaction/service/service.html
ho ben c'est juste une faille de safari qui n'est pas encore bouchée et permet de prendre la main sur la machine cliente. Mais heureusement, personne n'utilise Safari. ouf.
En effet, j'utilise lynx. :-)
Et puis, c'est très pratique de prendre la main à distance sur une machine cliente. Le problème c'est qu'il faut que safari tourne :-(
Jacques -- « Mac OS X Server à votre Service » est épuisé. Vous pouvez désormais l'acquérir en PDF <http://www.foucry.net/Redaction/service/service.html
patpro ~ Patrick Proniewski
In article <1iepjp0.115tmjiophtkN%, (Jacques Foucry) wrote:
patpro ~ Patrick Proniewski wrote:
ho ben c'est juste une faille de safari qui n'est pas encore bouchée et permet de prendre la main sur la machine cliente. Mais heureusement, personne n'utilise Safari. ouf.
En effet, j'utilise lynx. :-)
Et puis, c'est très pratique de prendre la main à distance sur une machine cliente. Le problème c'est qu'il faut que safari tourne :-(
Et qu'il charge la page web du pirate. En même temps, vu le niveau général de prudence informatique, c'est l'affaire de 5 secondes si on a la victime en chat (msn/irc/ichat...).
patpro
-- A vendre ! http://www.patpro.net/blog/index.php/2008/01/12/133
In article <1iepjp0.115tmjiophtkN%jacques@foucry.net.invalid>,
jacques@foucry.net.invalid (Jacques Foucry) wrote:
patpro ~ Patrick Proniewski <patpro@boleskine.patpro.net> wrote:
ho ben c'est juste une faille de safari qui n'est pas encore bouchée et
permet de prendre la main sur la machine cliente. Mais heureusement,
personne n'utilise Safari. ouf.
En effet, j'utilise lynx. :-)
Et puis, c'est très pratique de prendre la main à distance sur une
machine cliente. Le problème c'est qu'il faut que safari tourne :-(
Et qu'il charge la page web du pirate. En même temps, vu le niveau
général de prudence informatique, c'est l'affaire de 5 secondes si on a
la victime en chat (msn/irc/ichat...).
patpro
--
A vendre ! http://www.patpro.net/blog/index.php/2008/01/12/133
In article <1iepjp0.115tmjiophtkN%, (Jacques Foucry) wrote:
patpro ~ Patrick Proniewski wrote:
ho ben c'est juste une faille de safari qui n'est pas encore bouchée et permet de prendre la main sur la machine cliente. Mais heureusement, personne n'utilise Safari. ouf.
En effet, j'utilise lynx. :-)
Et puis, c'est très pratique de prendre la main à distance sur une machine cliente. Le problème c'est qu'il faut que safari tourne :-(
Et qu'il charge la page web du pirate. En même temps, vu le niveau général de prudence informatique, c'est l'affaire de 5 secondes si on a la victime en chat (msn/irc/ichat...).
patpro
-- A vendre ! http://www.patpro.net/blog/index.php/2008/01/12/133
jacques
patpro ~ Patrick Proniewski wrote:
Et qu'il charge la page web du pirate. En même temps, vu le niveau général de prudence informatique, c'est l'affaire de 5 secondes si on a la victime en chat (msn/irc/ichat...).
5 secondes... C'est super lent.
Rien qu'hier après la formation que j'anime (on venait de parler de sécurité, de mot de passe, etc) je vais aider un stagiaire à faire marcher le wifi sur son truc (sous debian).
Il me tent la machine allumée et me donne login et mot de passe, là, à voix haute dans le bistrot.
Un grand vide, j'ai resenti. Genre, tu viens de causer pour rien.
Jacques -- « Mac OS X Server à votre Service » est épuisé. Vous pouvez désormais l'acquérir en PDF <http://www.foucry.net/Redaction/service/service.html
patpro ~ Patrick Proniewski <patpro@boleskine.patpro.net> wrote:
Et qu'il charge la page web du pirate. En même temps, vu le niveau
général de prudence informatique, c'est l'affaire de 5 secondes si on a
la victime en chat (msn/irc/ichat...).
5 secondes... C'est super lent.
Rien qu'hier après la formation que j'anime (on venait de parler de
sécurité, de mot de passe, etc) je vais aider un stagiaire à faire
marcher le wifi sur son truc (sous debian).
Il me tent la machine allumée et me donne login et mot de passe, là, à
voix haute dans le bistrot.
Un grand vide, j'ai resenti. Genre, tu viens de causer pour rien.
Jacques
--
« Mac OS X Server à votre Service » est épuisé.
Vous pouvez désormais l'acquérir en PDF
<http://www.foucry.net/Redaction/service/service.html
Et qu'il charge la page web du pirate. En même temps, vu le niveau général de prudence informatique, c'est l'affaire de 5 secondes si on a la victime en chat (msn/irc/ichat...).
5 secondes... C'est super lent.
Rien qu'hier après la formation que j'anime (on venait de parler de sécurité, de mot de passe, etc) je vais aider un stagiaire à faire marcher le wifi sur son truc (sous debian).
Il me tent la machine allumée et me donne login et mot de passe, là, à voix haute dans le bistrot.
Un grand vide, j'ai resenti. Genre, tu viens de causer pour rien.
Jacques -- « Mac OS X Server à votre Service » est épuisé. Vous pouvez désormais l'acquérir en PDF <http://www.foucry.net/Redaction/service/service.html
filh
Laurent Pertois wrote:
Patrick Stadelmann wrote:
C'est pas très malin de leur part d'avoir rendu publique la faille avant que le correctif ne soit dans disponible dans un MàJ officielle...
N'est-ce pas l'inconvénient de l'Open Source ?
:) Non c'est l'inconvénient de programmes mal écrits :) :)
C'est quand même impressionant que l'on en soit TOUJOURS à des buffer overflow.
Et n'oublies pas que la sécurité par l'obscurité n'est pas de la sécurité, c'est juste de l'aveuglement :)
FiLH
-- Le fondement du constat bourgeois, c'est le bon sens, c'est-à-dire une vérité qui s'arrête sur l'ordre arbitraire de celui qui la parle. Roland Barthes. http://www.filh.org
Patrick Stadelmann <Patrick.Stadelmann@unine.ch> wrote:
C'est pas très malin de leur part d'avoir rendu publique la faille avant
que le correctif ne soit dans disponible dans un MàJ officielle...
N'est-ce pas l'inconvénient de l'Open Source ?
:) Non c'est l'inconvénient de programmes mal écrits :) :)
C'est quand même impressionant que l'on en soit TOUJOURS à des buffer
overflow.
Et n'oublies pas que la sécurité par l'obscurité n'est pas de la
sécurité, c'est juste de l'aveuglement :)
FiLH
--
Le fondement du constat bourgeois, c'est le bon sens, c'est-à-dire
une vérité qui s'arrête sur l'ordre arbitraire de celui qui la parle.
Roland Barthes.
http://www.filh.org
C'est pas très malin de leur part d'avoir rendu publique la faille avant que le correctif ne soit dans disponible dans un MàJ officielle...
N'est-ce pas l'inconvénient de l'Open Source ?
:) Non c'est l'inconvénient de programmes mal écrits :) :)
C'est quand même impressionant que l'on en soit TOUJOURS à des buffer overflow.
Et n'oublies pas que la sécurité par l'obscurité n'est pas de la sécurité, c'est juste de l'aveuglement :)
FiLH
-- Le fondement du constat bourgeois, c'est le bon sens, c'est-à-dire une vérité qui s'arrête sur l'ordre arbitraire de celui qui la parle. Roland Barthes. http://www.filh.org
