Utilisation des CERT pour faire "bouger" les admins de sites vulnerables
10 réponses
Nicob
Salut !
J'ai récemment trouvé une faille de sécurité sur un site qui comporte
entre autres mes données personnelles (grosso modo, je suis membre du
club XYZ) et j'ai tenté de faire colmater la faille en m'appuyant sur
les articles de droit français obligeant les sociétés à la protection
des données personnelles.
Après avoir tenté de contacter en direct la société (via les adresses
issues de la RFC 2142) puis avoir épluché leur press-release pour
trouver des emails directs puis avoir trouvé/contacté la société ayant
créé le site puis ... ben j'ai laissé tomber.
J'ai contacté le CERT-IST (mail crypté et signé) en leur donnant le
site vulnérable et les conséquences possibles. Ils m'ont rapidement
attribué un numéro de ticket et demandé des détails techniques sur la
faille. Après leur avoir donné un PoC, j'ai eu la douce surprise de
recevoir un mail me disant qu'ils avaient contacté les admins, que ces
derniers avaient corrigé la faille et qu'ils n'attendaient plus qu'une
validation de cet état de fait de ma part pour fermer le ticket.
Ce qui fut fait ...
Voilà, c'était juste pour donner le fin mot de cette histoire, afin
d'éventuellement encourager d'autres personnes à utiliser ces structures
pour augmenter le niveau de sécurité de sites sans avoir à y perdre
trop de temps.
Tout de même, je me demande si les ressources en temps/hommes des CERTS
français seraient suffisantes si tout le monde remontait *toutes* les
failles trouvées sur des sites français ... Ca leur ferait carrément
beaucoup de travail, et ça rapellerait, AMHA, la saturation de la boite
mail de la CNIL.
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Ewa (siostra Ani)
Nicob wrote:
Voilà, c'était juste pour donner le fin mot de cette histoire, afin d'éventuellement encourager d'autres personnes à utiliser ces structures pour augmenter le niveau de sécurité de sites sans avoir à y perdre trop de temps.
Tout de même, je me demande si les ressources en temps/hommes des CERTS français seraient suffisantes si tout le monde remontait *toutes* les failles trouvées sur des sites français ... Ca leur ferait carrément beaucoup de travail, et ça rapellerait, AMHA, la saturation de la boite mail de la CNIL.
C'est la situation à un moment donné... Mais souvent, dans les administrations, l'augmentation du taux d'activité d'un service est le meilleur argument pour obtenir des moyens supplémentaires (humains et matériels). Une sorte de "cercle vertueux", en somme
Ewcia
Nicob wrote:
Voilà, c'était juste pour donner le fin mot de cette histoire, afin
d'éventuellement encourager d'autres personnes à utiliser ces structures
pour augmenter le niveau de sécurité de sites sans avoir à y perdre
trop de temps.
Tout de même, je me demande si les ressources en temps/hommes des CERTS
français seraient suffisantes si tout le monde remontait *toutes* les
failles trouvées sur des sites français ... Ca leur ferait carrément
beaucoup de travail, et ça rapellerait, AMHA, la saturation de la boite
mail de la CNIL.
C'est la situation à un moment donné... Mais souvent, dans les
administrations, l'augmentation du taux d'activité d'un service est le
meilleur argument pour obtenir des moyens supplémentaires (humains et
matériels). Une sorte de "cercle vertueux", en somme
Voilà, c'était juste pour donner le fin mot de cette histoire, afin d'éventuellement encourager d'autres personnes à utiliser ces structures pour augmenter le niveau de sécurité de sites sans avoir à y perdre trop de temps.
Tout de même, je me demande si les ressources en temps/hommes des CERTS français seraient suffisantes si tout le monde remontait *toutes* les failles trouvées sur des sites français ... Ca leur ferait carrément beaucoup de travail, et ça rapellerait, AMHA, la saturation de la boite mail de la CNIL.
C'est la situation à un moment donné... Mais souvent, dans les administrations, l'augmentation du taux d'activité d'un service est le meilleur argument pour obtenir des moyens supplémentaires (humains et matériels). Une sorte de "cercle vertueux", en somme
Ewcia
djehuti
salut "Ewa (siostra Ani)" a écrit dans le message news: 3fb8cd52$0$27048$
Nicob wrote:
Voilà, c'était juste pour donner le fin mot de cette histoire, afin
d'éventuellement encourager d'autres personnes à utiliser ces structures pour augmenter le niveau de sécurité de sites sans avoir à y perdre trop de temps.
Tout de même, je me demande si les ressources en temps/hommes des CERTS français seraient suffisantes si tout le monde remontait *toutes* les failles trouvées sur des sites français ... Ca leur ferait carrément beaucoup de travail, et ça rapellerait, AMHA, la saturation de la boite mail de la CNIL.
C'est la situation à un moment donné... Mais souvent, dans les administrations, l'augmentation du taux d'activité d'un service est le meilleur argument pour obtenir des moyens supplémentaires (humains et matériels). Une sorte de "cercle vertueux", en somme
malheureusement, c'est plutôt le manque d'activité (et les mauvais résultats associés) qui sert d'argument pour réclamer des moyens supplémentaires... et là, c'est un vrai "cercle vicieux" :-(
pour en revenir au sujet (merci à Nicob pour la démonstration), il semblerait que le recours à une "autorité institutionnelle" soit payant... sûrement bien plus que la manifestation d'un simple utilisateur (ce qui ne change strictement rien au risque encouru par le SI concerné)
en clair, les admins se bougent le c.. uniquement si la "requête" émane d'un service "officiel" (et c'est bien dommage)
@tchao
salut
"Ewa (siostra Ani)" <niesz@yahoo.com> a écrit dans le message news:
3fb8cd52$0$27048$626a54ce@news.free.fr
Nicob wrote:
Voilà, c'était juste pour donner le fin mot de cette histoire,
afin
d'éventuellement encourager d'autres personnes à utiliser ces
structures pour augmenter le niveau de sécurité de sites sans avoir
à y perdre trop de temps.
Tout de même, je me demande si les ressources en temps/hommes des
CERTS français seraient suffisantes si tout le monde remontait
*toutes* les failles trouvées sur des sites français ... Ca leur
ferait carrément beaucoup de travail, et ça rapellerait, AMHA, la
saturation de la boite mail de la CNIL.
C'est la situation à un moment donné... Mais souvent, dans les
administrations, l'augmentation du taux d'activité d'un service est le
meilleur argument pour obtenir des moyens supplémentaires (humains et
matériels). Une sorte de "cercle vertueux", en somme
malheureusement, c'est plutôt le manque d'activité (et les mauvais résultats
associés) qui sert d'argument pour réclamer des moyens supplémentaires... et
là, c'est un vrai "cercle vicieux" :-(
pour en revenir au sujet (merci à Nicob pour la démonstration), il
semblerait que le recours à une "autorité institutionnelle" soit payant...
sûrement bien plus que la manifestation d'un simple utilisateur (ce qui ne
change strictement rien au risque encouru par le SI concerné)
en clair, les admins se bougent le c.. uniquement si la "requête" émane d'un
service "officiel" (et c'est bien dommage)
salut "Ewa (siostra Ani)" a écrit dans le message news: 3fb8cd52$0$27048$
Nicob wrote:
Voilà, c'était juste pour donner le fin mot de cette histoire, afin
d'éventuellement encourager d'autres personnes à utiliser ces structures pour augmenter le niveau de sécurité de sites sans avoir à y perdre trop de temps.
Tout de même, je me demande si les ressources en temps/hommes des CERTS français seraient suffisantes si tout le monde remontait *toutes* les failles trouvées sur des sites français ... Ca leur ferait carrément beaucoup de travail, et ça rapellerait, AMHA, la saturation de la boite mail de la CNIL.
C'est la situation à un moment donné... Mais souvent, dans les administrations, l'augmentation du taux d'activité d'un service est le meilleur argument pour obtenir des moyens supplémentaires (humains et matériels). Une sorte de "cercle vertueux", en somme
malheureusement, c'est plutôt le manque d'activité (et les mauvais résultats associés) qui sert d'argument pour réclamer des moyens supplémentaires... et là, c'est un vrai "cercle vicieux" :-(
pour en revenir au sujet (merci à Nicob pour la démonstration), il semblerait que le recours à une "autorité institutionnelle" soit payant... sûrement bien plus que la manifestation d'un simple utilisateur (ce qui ne change strictement rien au risque encouru par le SI concerné)
en clair, les admins se bougent le c.. uniquement si la "requête" émane d'un service "officiel" (et c'est bien dommage)
@tchao
Eric Belhomme
Nicob wrote in news::
J'ai contacté le CERT-IST (mail crypté et signé) en leur donnant le site vulnérable et les conséquences possibles. Ils m'ont rapidement attribué un numéro de ticket et demandé des détails techniques sur la faille. Après leur avoir donné un PoC, j'ai eu la douce surprise de recevoir un mail me disant qu'ils avaient contacté les admins, que ces derniers avaient corrigé la faille et qu'ils n'attendaient plus qu'une validation de cet état de fait de ma part pour fermer le ticket.
Ce qui fut fait ...
ce que je trouve magnifique dans cette histoire, c'est que c'est toi,
"simple" consommateur d'un service, qui doit fournir un PoC (tout de meme ![*]) puis valider que la correction a bien été effectuée !!! amha on nage en pleine 5 dimension la...
[*] pour peu qu'ils t'attaquent pour tentative de compromission...
-- Rico (RicoSpirit) - http://www.ricospirit.net Pour en savoir autant que moi sur INN (c.a.d. pas grand chose !) : http://www.ricospirit.net/inn/
Nicob <usenet@nicob.net> wrote in
news:pan.2003.11.17.12.55.52.399414@nicob.net:
J'ai contacté le CERT-IST (mail crypté et signé) en leur donnant le
site vulnérable et les conséquences possibles. Ils m'ont rapidement
attribué un numéro de ticket et demandé des détails techniques sur la
faille. Après leur avoir donné un PoC, j'ai eu la douce surprise de
recevoir un mail me disant qu'ils avaient contacté les admins, que ces
derniers avaient corrigé la faille et qu'ils n'attendaient plus qu'une
validation de cet état de fait de ma part pour fermer le ticket.
Ce qui fut fait ...
ce que je trouve magnifique dans cette histoire, c'est que c'est toi,
"simple" consommateur d'un service, qui doit fournir un PoC (tout de meme
![*]) puis valider que la correction a bien été effectuée !!! amha on nage
en pleine 5 dimension la...
[*] pour peu qu'ils t'attaquent pour tentative de compromission...
--
Rico (RicoSpirit) - http://www.ricospirit.net
Pour en savoir autant que moi sur INN (c.a.d. pas grand chose !) :
http://www.ricospirit.net/inn/
J'ai contacté le CERT-IST (mail crypté et signé) en leur donnant le site vulnérable et les conséquences possibles. Ils m'ont rapidement attribué un numéro de ticket et demandé des détails techniques sur la faille. Après leur avoir donné un PoC, j'ai eu la douce surprise de recevoir un mail me disant qu'ils avaient contacté les admins, que ces derniers avaient corrigé la faille et qu'ils n'attendaient plus qu'une validation de cet état de fait de ma part pour fermer le ticket.
Ce qui fut fait ...
ce que je trouve magnifique dans cette histoire, c'est que c'est toi,
"simple" consommateur d'un service, qui doit fournir un PoC (tout de meme ![*]) puis valider que la correction a bien été effectuée !!! amha on nage en pleine 5 dimension la...
[*] pour peu qu'ils t'attaquent pour tentative de compromission...
-- Rico (RicoSpirit) - http://www.ricospirit.net Pour en savoir autant que moi sur INN (c.a.d. pas grand chose !) : http://www.ricospirit.net/inn/
Eric Razny
"Nicob" a écrit dans le message de news:
Salut !
Voilà, c'était juste pour donner le fin mot de cette histoire, afin d'éventuellement encourager d'autres personnes à utiliser ces structures pour augmenter le niveau de sécurité de sites sans avoir à y perdre trop de temps.
Ce qui montre donc que ça a changé (j'avais testé il y a un an) et en bien! Merci pour le retour.
Pour nous donner une idée quels sont les délais que tu as constaté entre les différentes phases?
Eric, qui en profite donc pour réviser son jugement :)
"Nicob" <usenet@nicob.net> a écrit dans le message de
news:pan.2003.11.17.12.55.52.399414@nicob.net...
Salut !
Voilà, c'était juste pour donner le fin mot de cette histoire, afin
d'éventuellement encourager d'autres personnes à utiliser ces structures
pour augmenter le niveau de sécurité de sites sans avoir à y perdre
trop de temps.
Ce qui montre donc que ça a changé (j'avais testé il y a un an) et en bien!
Merci pour le retour.
Pour nous donner une idée quels sont les délais que tu as constaté entre les
différentes phases?
Eric, qui en profite donc pour réviser son jugement :)
Voilà, c'était juste pour donner le fin mot de cette histoire, afin d'éventuellement encourager d'autres personnes à utiliser ces structures pour augmenter le niveau de sécurité de sites sans avoir à y perdre trop de temps.
Ce qui montre donc que ça a changé (j'avais testé il y a un an) et en bien! Merci pour le retour.
Pour nous donner une idée quels sont les délais que tu as constaté entre les différentes phases?
Eric, qui en profite donc pour réviser son jugement :)
Nicob
On Mon, 17 Nov 2003 17:19:40 +0000, Eric Razny wrote:
Pour nous donner une idée quels sont les délais que tu as constaté entre les différentes phases?
- 1er contact : 3 Novembre, 17H26
- 1er mail de leur part (attribution du numéro de ticket, demande d'infos techniques sur la faille) : 4 Novembre, 11H39
- Réponse (PoC) : 4 Novembre, 12h41
- Demande de clôture du ticket : 13 Novembre, 16h49 - Vérif du patch et confirmation de clôture : 17 Novembre, 13h19
Nicob
On Mon, 17 Nov 2003 17:19:40 +0000, Eric Razny wrote:
Pour nous donner une idée quels sont les délais que tu as constaté
entre les différentes phases?
- 1er contact : 3 Novembre, 17H26
- 1er mail de leur part (attribution du numéro de ticket, demande
d'infos techniques sur la faille) : 4 Novembre, 11H39
- Réponse (PoC) : 4 Novembre, 12h41
- Demande de clôture du ticket : 13 Novembre, 16h49
- Vérif du patch et confirmation de clôture : 17 Novembre, 13h19
On Mon, 17 Nov 2003 17:19:40 +0000, Eric Razny wrote:
Pour nous donner une idée quels sont les délais que tu as constaté entre les différentes phases?
- 1er contact : 3 Novembre, 17H26
- 1er mail de leur part (attribution du numéro de ticket, demande d'infos techniques sur la faille) : 4 Novembre, 11H39
- Réponse (PoC) : 4 Novembre, 12h41
- Demande de clôture du ticket : 13 Novembre, 16h49 - Vérif du patch et confirmation de clôture : 17 Novembre, 13h19
Nicob
Nicob
On Mon, 17 Nov 2003 17:19:40 +0000, Eric Belhomme wrote:
ce que je trouve magnifique dans cette histoire, c'est que c'est toi, "simple" consommateur d'un service, qui doit fournir un PoC (tout de meme ![*]) puis valider que la correction a bien été effectuée !!! amha on nage en pleine 5 dimension la...
Qu'ils me demandent un PoC (en l'occurence la chaine de texte à rentrer dans le bon formulaire), ça me semble normal. Je ne vois pourquoi ils (le CERT) perdraient du temps à retrouver la faille alors qu'il suffit que je leur envoie les infos (et vu que c'est moi qui remonte la faille, j'en connais probablement les détails techniques).
Pour vérifier la validité du patch, la même logique s'impose. Je peux ainsi directement valider qu'il n'y a pas de variante "évidente" de l'attaque, et que le patch n'a pas rajouter de nouvelle faille.
[*] pour peu qu'ils t'attaquent pour tentative de compromission...
C'est un risque à prendre. Mais la jurisprudence (Kitetoa vs. Tati) penche du bon côté. De toute façon, il faudra bien quelqu'un pour étblir une jurisprudence "grand public" (car le métier de journaliste de Mr Champagne a joué dans l'affaire Tati).
Nicob
On Mon, 17 Nov 2003 17:19:40 +0000, Eric Belhomme wrote:
ce que je trouve magnifique dans cette histoire, c'est que c'est toi,
"simple" consommateur d'un service, qui doit fournir un PoC (tout de meme
![*]) puis valider que la correction a bien été effectuée !!! amha on
nage en pleine 5 dimension la...
Qu'ils me demandent un PoC (en l'occurence la chaine de texte à rentrer
dans le bon formulaire), ça me semble normal. Je ne vois pourquoi ils (le
CERT) perdraient du temps à retrouver la faille alors qu'il suffit que je
leur envoie les infos (et vu que c'est moi qui remonte la faille, j'en
connais probablement les détails techniques).
Pour vérifier la validité du patch, la même logique s'impose. Je peux
ainsi directement valider qu'il n'y a pas de variante "évidente" de
l'attaque, et que le patch n'a pas rajouter de nouvelle faille.
[*] pour peu qu'ils t'attaquent pour tentative de compromission...
C'est un risque à prendre. Mais la jurisprudence (Kitetoa vs. Tati)
penche du bon côté. De toute façon, il faudra bien quelqu'un pour
étblir une jurisprudence "grand public" (car le métier de journaliste de
Mr Champagne a joué dans l'affaire Tati).
On Mon, 17 Nov 2003 17:19:40 +0000, Eric Belhomme wrote:
ce que je trouve magnifique dans cette histoire, c'est que c'est toi, "simple" consommateur d'un service, qui doit fournir un PoC (tout de meme ![*]) puis valider que la correction a bien été effectuée !!! amha on nage en pleine 5 dimension la...
Qu'ils me demandent un PoC (en l'occurence la chaine de texte à rentrer dans le bon formulaire), ça me semble normal. Je ne vois pourquoi ils (le CERT) perdraient du temps à retrouver la faille alors qu'il suffit que je leur envoie les infos (et vu que c'est moi qui remonte la faille, j'en connais probablement les détails techniques).
Pour vérifier la validité du patch, la même logique s'impose. Je peux ainsi directement valider qu'il n'y a pas de variante "évidente" de l'attaque, et que le patch n'a pas rajouter de nouvelle faille.
[*] pour peu qu'ils t'attaquent pour tentative de compromission...
C'est un risque à prendre. Mais la jurisprudence (Kitetoa vs. Tati) penche du bon côté. De toute façon, il faudra bien quelqu'un pour étblir une jurisprudence "grand public" (car le métier de journaliste de Mr Champagne a joué dans l'affaire Tati).
Nicob
Roland Garcia
On Mon, 17 Nov 2003 17:19:40 +0000, Eric Belhomme wrote:
[*] pour peu qu'ils t'attaquent pour tentative de compromission...
C'est un risque à prendre. Mais la jurisprudence (Kitetoa vs. Tati) penche du bon côté. De toute façon, il faudra bien quelqu'un pour étblir une jurisprudence "grand public" (car le métier de journaliste de Mr Champagne a joué dans l'affaire Tati).
Pas du tout, relis le réquisitoire du procureur Madranges:
«Il semble inenvisageable d'instaurer une jurisprudence répressive dont il résulterait une véritable insécurité permanente, juridique et judiciaire, pour les *internautes*, certes avisés, mais de bonne foi, qui découvrent les failles de systèmes informatiques manifestement non sécurisés.»
Roland Garcia
On Mon, 17 Nov 2003 17:19:40 +0000, Eric Belhomme wrote:
[*] pour peu qu'ils t'attaquent pour tentative de compromission...
C'est un risque à prendre. Mais la jurisprudence (Kitetoa vs. Tati)
penche du bon côté. De toute façon, il faudra bien quelqu'un pour
étblir une jurisprudence "grand public" (car le métier de journaliste de
Mr Champagne a joué dans l'affaire Tati).
Pas du tout, relis le réquisitoire du procureur Madranges:
«Il semble inenvisageable d'instaurer une jurisprudence répressive dont
il résulterait une véritable insécurité permanente, juridique et
judiciaire, pour les *internautes*, certes avisés, mais de bonne foi,
qui découvrent les failles de systèmes informatiques manifestement non
sécurisés.»
On Mon, 17 Nov 2003 17:19:40 +0000, Eric Belhomme wrote:
[*] pour peu qu'ils t'attaquent pour tentative de compromission...
C'est un risque à prendre. Mais la jurisprudence (Kitetoa vs. Tati) penche du bon côté. De toute façon, il faudra bien quelqu'un pour étblir une jurisprudence "grand public" (car le métier de journaliste de Mr Champagne a joué dans l'affaire Tati).
Pas du tout, relis le réquisitoire du procureur Madranges:
«Il semble inenvisageable d'instaurer une jurisprudence répressive dont il résulterait une véritable insécurité permanente, juridique et judiciaire, pour les *internautes*, certes avisés, mais de bonne foi, qui découvrent les failles de systèmes informatiques manifestement non sécurisés.»
Roland Garcia
Roland Garcia
Tout de même, je me demande si les ressources en temps/hommes des CERTS français seraient suffisantes si tout le monde remontait *toutes* les failles trouvées sur des sites français ...
Certainement pas, mais les problèmes pour être traités correctement doivent l'être à leur niveau, l'immense majorité relevant des utilisateurs/admins.
A l'opposé certains ne peuvent être sérieusement abordés qu'au niveau européen/international.
Roland Garcia
Tout de même, je me demande si les ressources en temps/hommes des CERTS
français seraient suffisantes si tout le monde remontait *toutes* les
failles trouvées sur des sites français ...
Certainement pas, mais les problèmes pour être traités correctement
doivent l'être à leur niveau, l'immense majorité relevant des
utilisateurs/admins.
A l'opposé certains ne peuvent être sérieusement abordés qu'au niveau
européen/international.
Tout de même, je me demande si les ressources en temps/hommes des CERTS français seraient suffisantes si tout le monde remontait *toutes* les failles trouvées sur des sites français ...
Certainement pas, mais les problèmes pour être traités correctement doivent l'être à leur niveau, l'immense majorité relevant des utilisateurs/admins.
A l'opposé certains ne peuvent être sérieusement abordés qu'au niveau européen/international.
Roland Garcia
Roland Garcia
Nicob wrote:
Tout de même, je me demande si les ressources en temps/hommes des CERTS français seraient suffisantes si tout le monde remontait *toutes* les failles trouvées sur des sites français ... Ca leur ferait carrément beaucoup de travail, et ça rapellerait, AMHA, la saturation de la boite mail de la CNIL.
C'est la situation à un moment donné... Mais souvent, dans les administrations, l'augmentation du taux d'activité d'un service est le meilleur argument pour obtenir des moyens supplémentaires (humains et matériels). Une sorte de "cercle vertueux", en somme
"vertueux" ou "vicieux", le machin ayant tendance à s'auto-entretenir dans les deux cas.
Le problème franco-français c'est que tout le monde (de l'état jusqu'au particulier) veut s'occuper de tout alors qu'il n'est compétent que pour une partie, la sécurité informatique n'échappant évidemment pas à la règle......
Roland Garcia
Nicob wrote:
Tout de même, je me demande si les ressources en temps/hommes des CERTS
français seraient suffisantes si tout le monde remontait *toutes* les
failles trouvées sur des sites français ... Ca leur ferait carrément
beaucoup de travail, et ça rapellerait, AMHA, la saturation de la boite
mail de la CNIL.
C'est la situation à un moment donné... Mais souvent, dans les
administrations, l'augmentation du taux d'activité d'un service est le
meilleur argument pour obtenir des moyens supplémentaires (humains et
matériels). Une sorte de "cercle vertueux", en somme
"vertueux" ou "vicieux", le machin ayant tendance à s'auto-entretenir
dans les deux cas.
Le problème franco-français c'est que tout le monde (de l'état jusqu'au
particulier) veut s'occuper de tout alors qu'il n'est compétent que pour
une partie, la sécurité informatique n'échappant évidemment pas à la
règle......
Tout de même, je me demande si les ressources en temps/hommes des CERTS français seraient suffisantes si tout le monde remontait *toutes* les failles trouvées sur des sites français ... Ca leur ferait carrément beaucoup de travail, et ça rapellerait, AMHA, la saturation de la boite mail de la CNIL.
C'est la situation à un moment donné... Mais souvent, dans les administrations, l'augmentation du taux d'activité d'un service est le meilleur argument pour obtenir des moyens supplémentaires (humains et matériels). Une sorte de "cercle vertueux", en somme
"vertueux" ou "vicieux", le machin ayant tendance à s'auto-entretenir dans les deux cas.
Le problème franco-français c'est que tout le monde (de l'état jusqu'au particulier) veut s'occuper de tout alors qu'il n'est compétent que pour une partie, la sécurité informatique n'échappant évidemment pas à la règle......
Roland Garcia
Eric Belhomme
Nicob wrote in news::
Qu'ils me demandent un PoC (en l'occurence la chaine de texte à rentrer dans le bon formulaire), ça me semble normal. Je ne vois pourquoi ils (le CERT) perdraient du temps à retrouver la faille alors qu'il suffit que je leur envoie les infos (et vu que c'est moi qui remonte la faille, j'en connais probablement les détails techniques).
voui, effectivement, j'avais en tete quelque chose de plus "pointu" en
guise de poc :))
Pour vérifier la validité du patch, la même logique s'impose. Je peux ainsi directement valider qu'il n'y a pas de variante "évidente" de l'attaque, et que le patch n'a pas rajouter de nouvelle faille.
la par contre, je suis pas d'accord avec toi : un utilisateur remonte une
faille parce qu'il est tombé dessus par hazard. OK. par contre, rien ne permet de penser qu'il sera a meme de controler si la correction induit une regression et/ou degradation du service, ou introduit une nouvelle vulnérabilité ! amha, la validation pour cloture du ticket devrait etre faite par un spécialiste...
C'est un risque à prendre. Mais la jurisprudence (Kitetoa vs. Tati) penche du bon côté. De toute façon, il faudra bien quelqu'un pour étblir une jurisprudence "grand public" (car le métier de journaliste de Mr Champagne a joué dans l'affaire Tati).
C'est noble de ta part de vouloir te sacrifier pour la bonne cause !
personnelement, quand je vois comment ca a pu déraper sur l'affaire Tati, ca me donne pas envie de tenter le diable (meme si au bout du compte, il y a eu réparation)
-- Rico (RicoSpirit) - http://www.ricospirit.net Pour en savoir autant que moi sur INN (c.a.d. pas grand chose !) : http://www.ricospirit.net/inn/
Nicob <usenet@nicob.net> wrote in
news:pan.2003.11.17.22.16.59.56205@nicob.net:
Qu'ils me demandent un PoC (en l'occurence la chaine de texte à
rentrer dans le bon formulaire), ça me semble normal. Je ne vois
pourquoi ils (le CERT) perdraient du temps à retrouver la faille alors
qu'il suffit que je leur envoie les infos (et vu que c'est moi qui
remonte la faille, j'en connais probablement les détails techniques).
voui, effectivement, j'avais en tete quelque chose de plus "pointu" en
guise de poc :))
Pour vérifier la validité du patch, la même logique s'impose. Je peux
ainsi directement valider qu'il n'y a pas de variante "évidente" de
l'attaque, et que le patch n'a pas rajouter de nouvelle faille.
la par contre, je suis pas d'accord avec toi : un utilisateur remonte une
faille parce qu'il est tombé dessus par hazard. OK. par contre, rien ne
permet de penser qu'il sera a meme de controler si la correction induit une
regression et/ou degradation du service, ou introduit une nouvelle
vulnérabilité ! amha, la validation pour cloture du ticket devrait etre
faite par un spécialiste...
C'est un risque à prendre. Mais la jurisprudence (Kitetoa vs. Tati)
penche du bon côté. De toute façon, il faudra bien quelqu'un pour
étblir une jurisprudence "grand public" (car le métier de journaliste
de Mr Champagne a joué dans l'affaire Tati).
C'est noble de ta part de vouloir te sacrifier pour la bonne cause !
personnelement, quand je vois comment ca a pu déraper sur l'affaire Tati,
ca me donne pas envie de tenter le diable (meme si au bout du compte, il y
a eu réparation)
--
Rico (RicoSpirit) - http://www.ricospirit.net
Pour en savoir autant que moi sur INN (c.a.d. pas grand chose !) :
http://www.ricospirit.net/inn/
Qu'ils me demandent un PoC (en l'occurence la chaine de texte à rentrer dans le bon formulaire), ça me semble normal. Je ne vois pourquoi ils (le CERT) perdraient du temps à retrouver la faille alors qu'il suffit que je leur envoie les infos (et vu que c'est moi qui remonte la faille, j'en connais probablement les détails techniques).
voui, effectivement, j'avais en tete quelque chose de plus "pointu" en
guise de poc :))
Pour vérifier la validité du patch, la même logique s'impose. Je peux ainsi directement valider qu'il n'y a pas de variante "évidente" de l'attaque, et que le patch n'a pas rajouter de nouvelle faille.
la par contre, je suis pas d'accord avec toi : un utilisateur remonte une
faille parce qu'il est tombé dessus par hazard. OK. par contre, rien ne permet de penser qu'il sera a meme de controler si la correction induit une regression et/ou degradation du service, ou introduit une nouvelle vulnérabilité ! amha, la validation pour cloture du ticket devrait etre faite par un spécialiste...
C'est un risque à prendre. Mais la jurisprudence (Kitetoa vs. Tati) penche du bon côté. De toute façon, il faudra bien quelqu'un pour étblir une jurisprudence "grand public" (car le métier de journaliste de Mr Champagne a joué dans l'affaire Tati).
C'est noble de ta part de vouloir te sacrifier pour la bonne cause !
personnelement, quand je vois comment ca a pu déraper sur l'affaire Tati, ca me donne pas envie de tenter le diable (meme si au bout du compte, il y a eu réparation)
-- Rico (RicoSpirit) - http://www.ricospirit.net Pour en savoir autant que moi sur INN (c.a.d. pas grand chose !) : http://www.ricospirit.net/inn/
