Full disclosure, c'est fini

Posté par  . Édité par Benoît Sibaud, palm123, Nils Ratusznik et tuiu pol. Modéré par Nils Ratusznik. Licence CC By‑SA.
48
20
mar.
2014
Sécurité

John Cartwright a annoncé la fermeture de la liste de diffusion Full disclosure. Cette liste était destinée à la publication de failles de sécurité et à la discussion sur ce sujet. Dans son message de fermeture, John Cartwright annonce qu'il en a marre des membres de la « communauté » qui demandent la modération d'anciens messages et pense que ça devient de plus en plus difficile de maintenir un forum ouvert dans le climat légal actuel.

La liste a été créée le 9 juillet 2002 par Len Rose, et était administrée par John Cartwright. Elle était sponsorisée par Secunia, une boîte de sécurité elle aussi créée en 2002.

Wikipédia cite trois failles 0 day révélées initialement sur cette liste concernant Microsoft Windows Help and Support Center en 2010, Apache HTTP Server en 2011 et la base de données Oracle en 2012. Une petite recherche sur LinuxFr.org en signale aussi une sur FreeBSD en 2009, parmi diverses autres failles évoquées touchant des logiciels libres ou non.

Éternelle question autour du « full disclosure », de la divulgation publique opposée à la sécurité par l'obscurité ? 2002, procès Kitetoa, 2004, procès Guillermito « C'est le procès du full-disclosure », 2004, adoption de la loi sur la confiance dans l'économie numérique en France « Quel avenir pour le full-disclosure en France ? » Etc., etc.

Aller plus loin

  • # triste nouvelle

    Posté par  . Évalué à 6.

    amha c'est protégé de mauvaises pratiques et c'est l’intérêt personnel au détriment de l’intérêt général.

    Est ce possible que quelqu'un copie colle le contenu de la lettre svp ?
    Je n'ai plus de vpn dernièrement et non je ne peux pas y accéder….

    • [^] # Re: triste nouvelle

      Posté par  . Évalué à 10.

      Celle-là ?

      Hi
      
      When Len and I created the Full-Disclosure list way back in July 2002,
      we knew that we'd have our fair share of legal troubles along the way.  
      We were right.  To date we've had all sorts of requests to delete 
      things, requests not to delete things, and a variety of legal threats 
      both valid or otherwise.  However, I always assumed that the turning 
      point would be a sweeping request for large-scale deletion of 
      information that some vendor or other had taken exception to.
      
      I never imagined that request might come from a researcher within the 
      'community' itself (and I use that word loosely in modern times).  But 
      today, having spent a fair amount of time dealing with complaints from 
      a particular individual (who shall remain nameless) I realised that 
      I'm done.  The list has had its fair share of trolling, flooding, 
      furry porn, fake exploits and DoS attacks over the years, but none of 
      those things really affected the integrity of the list itself.  
      However, taking a virtual hatchet to the list archives on the whim of 
      an individual just doesn't feel right.  That 'one of our own' would 
      undermine the efforts of the last 12 years is really the straw that 
      broke the camel's back.
      
      I'm not willing to fight this fight any longer.  It's getting harder 
      to operate an open forum in today's legal climate, let alone a 
      security-related one.  There is no honour amongst hackers any more.  
      There is no real community.  There is precious little skill.  The 
      entire security game is becoming more and more regulated.  This is all 
      a sign of things to come, and a reflection on the sad state of an 
      industry that should never have become an industry.
      
      I'm suspending service indefinitely.  Thanks for playing.
      
      Cheers
      - John
      
      • [^] # Re: triste nouvelle

        Posté par  . Évalué à 1.

        merci!

        • [^] # Re: triste nouvelle

          Posté par  . Évalué à 9.

          OK, donc en fait le mec est carrément dégoûté de la scène alt.sec, car elle n'est plus.
          Ça c'est vraiment moche. Bien plus que la perte du forum itself.

          Peut on espérer que c'est un leurre pour éteindre le feu qui brûle et mieux recommencer ailleurs, plus tard ?

  • # Ca continue

    Posté par  . Évalué à 2.

    On peut être sûr que quelqu'un d'autre reprendra la flambeau. Peut-être sur un autre site. Dans un autre pays avec une législation plus libérale.

    • [^] # Re: Ca continue

      Posté par  (site web personnel) . Évalué à -5. Dernière modification le 20 mars 2014 à 15:34.

      Ou pas.
      On peu aussi se dire que le full disclosure est vraiment pourri, et que plus foule ne cautionne ce genre de bêtise.
      La sécurité, oui, mais pas en full disclosure, question d'éthique (et non pas que de question législative "horrible").
      (le full disclosure n'est utile que si l'entreprise en face ne patch pas!)

      Surtout que depuis, les Pwn2Own hackfest sont la (en plus des mailing-list de sécusrité des produits concernés) pour se faire plaisir sans mettre personne en danger.

  • # Commentaire supprimé

    Posté par  . Évalué à -5.

    Ce commentaire a été supprimé par l’équipe de modération.

    • [^] # Re: Transparence = Sécurité

      Posté par  (site web personnel) . Évalué à 8.

      Heu, faut pas tout mélanger quand même. Les choses ne sont pas si simples. Parfois divulguer des informations "secrètes", "privées", peut avoir des conséquences terribles sur des personnes qui n'ont jamais rien demandée à personne (je parle d'infos politiques en soi assez peu importantes mais qui, divulguées dans un contexte de tensions politiques, peuvent atteindre les populations elles-mêmes).

      On cache parfois des choses non pas parce qu'elles sont nocives en soi, mais parce qu'une divulgations précoces les rendraient inaudibles et brouillerait le message.

      Transparence = sécurité, c'est vrai dans certains cas, mais systématisé cela devient un cliché voire une idéologie qui se coupe d'une analyse sérieuse du réel.

      P.S. : sans parler des "simples" questions de respect de la vie privée.

    • [^] # Re: Transparence = Sécurité

      Posté par  (site web personnel) . Évalué à 6.

      Tout est dans le titre.

      Ben il n'a aucun rapport.
      Il y a une différence de taille entre le full disclosure et le responsible diclosure.

      Tu remarqueras si tu lis les lien que les deux sont "Transparence = Sécurité" et que la différence est ailleurs. Full disclosure (le site) semble avoir fait 3x fois au moins du full disclosure ("0-days"), son arrêt est très bien pour la sécurité, n'en déplaise à ta maman si elle n'est pas capable de différencier les deux (un 0 day étant tout sauf de la recherche de sécurité).

      Parler de transparence = sécurité pour défendre le full disclosure est éviter le sujet qui fâche (ceux étant contre le full disclosure n'étant pas forcément contre la transparence, vu que ce n'est pas le sujet).

      • [^] # Re: Transparence = Sécurité

        Posté par  . Évalué à 5.

        De ce que je comprends (de mon point de vue de pas expert pour 2 sous), c'est que par définition, le "Responsible Disclosure" est un sous-ensemble du "Full-Disclosure".

        Il est dommage que la liste ferme au lieu de rajouter les conditions de "Responsible Disclosure" à la charte, en passant le flambeau si les admins ne veulent plus la gérer.

        On peut même imaginer une procédure complète que les contributeurs s'engagent à suivre quand ils s'inscrivent:
        -Contacter la «cible» pour les informer du problème
        -Attendre un temps donné avant de déclarer qu'il n'y a pas eu de réponse, temps qui doit être mentionné dans la demande de contact
        -S'assurer que la cible a eu un temps raisonnable et négocié pour boucher la faille
        -Obtenir l'accord de la cible de diffuser les infos (ok, c'est bien plus sportif!). Dans le pire des cas, la diffusion se fait sans information permettant d'identifier la-dite cible

        Je rate sûrement des choses que des gens habitués à l'exercice verraient. Mais une liste régulée de la sorte n'aurait quasiment aucune surface d'attaque légale au départ, et donc sans doute moins d'ennuis pour ses admins.

        Par contre, comme le dit pBpG plus bas, elle fera moins djeunz rebelz qui prennent le contrôle du Mooooooonde.

        • [^] # Re: Transparence = Sécurité

          Posté par  (site web personnel) . Évalué à 7. Dernière modification le 21 mars 2014 à 08:50.

          De ce que je comprends (de mon point de vue de pas expert pour 2 sous), c'est que par définition, le "Responsible Disclosure" est un sous-ensemble du "Full-Disclosure".

          Full disclosure : "practice of publishing analysis of software vulnerabilities as early as possible"
          Donc incompatible avec "Responsible Disclosure" qui a pour but de ralentir (pas "as early as"!) le processus afin de laisser le temps de faire un patch.

          On peut même imaginer une procédure complète que les contributeurs s'engagent à suivre quand ils s'inscrivent:

          Justement, ça s'appelle "Responsible Disclosure" (ou "Coordinated disclosure") ;-)

          Il y a plein de débat sur le nommage, comme avec Open-Source/Libre/Libre diffusion, ne nous mélangeons pas les pates, "Full disclosure" est au "responsable disclosure" ce que les CC NC ND est au libre : des gens veulent mélanger les deux pour avoir la réputation de l'un, mais non ce n'est pas pareil et pas d'inclusions, sinon on ne s'en sort pas de savoir de quoi on parle. Le full disclosure est de l'irresponsabilité complète pour le plus grand plaisir des fouteurs de merde (et je me répète certes, mais il y a bien eu des failles 0-day publiées sur ce site, donc pas de "désolé on a utilisé le mauvais mot" non c'est bien du 0-days) sans penser aux impacts de sécurité, sous couvert de sécurité (la bonne blague, mais bon rien de nouveau dans cette histoire, on maquille comme on peut avec un verni "on est bien" quand on fait des bétises)

          Il est dommage que la liste ferme au lieu de rajouter les conditions de "Responsible Disclosure" à la charte,

          Mais pour ça, il y a déjà plein de listes (les listes sécurité des projets, les sites des projets qui s'engagent à publier tout au bout d'un certain temps nom de l'auteur compris, les Pwn2Own hackfests, les sites de publication de vulnérabilité… Et il me semble u'il y a assez d'endroits pour que si un vendeur ne réagit pas en temps et en heure, tu peux publier et faire connaitre mais comme les vedeurs sont aussi de plus en plus responsable l'utilité est faible), quel besoin non rempli y a-t-il donc? Répond d'abord à cette question avant de trouver la fermeture de ce site dommage ;-).


          Enlevons le verni des "gens qui veulent la transparence pour le bien de tous". Perso, je vois juste cette fermeture comme le sens de l'histoire, où le monde de la sécurité (autant chercheurs que vendeurs qui étaient pas des plus blancs non plus avant sur le sujet) devient adulte et souhaite non pas cacher leur bétise, mais une transparence maitrisée.

          • [^] # Re: Transparence = Sécurité

            Posté par  . Évalué à 3.

            c'est bien de se toucher la nouille sur des termes, mais est ce que tu es allé sur cette liste ?
            As-tu déjà vu les réponses et la publications des failles sur cette liste ?

            Sur cette liste, sur un grand nombre publication il y avait "j'ai contacté le vendeur, il a pas répondu, je l'ai relancé 2 semaine après, toujours pas répondu, donc au bout de 1 mois sans réponse je diffuse la faille".

            • [^] # Re: Transparence = Sécurité

              Posté par  (site web personnel) . Évalué à 0.

              sur un grand nombre publication (…)

              Un grand nombre de responsible disclosure n'excuse pas le nombre de full disclosures.
              Un seul full disclosure et ça montre le peu d'interêt pour la responsabilité.
              Faut se décider (et changer le nom de la liste au passage, pour éviter tout amalgame, bref ça fait beaucoup), avoir une politique claire sur le sujet… quand on est un administrateur de liste responsable.

    • [^] # Re: Transparence = Sécurité

      Posté par  . Évalué à 2.

      Vision "ultra court termiste" ?

      Et la tienne on va appeler ca "vision idealiste sans aucune experience du domaine"

      Le jour ou quelqu'un annonce une vulnerabilite et qu'un patch n'est pas pret. Ta grand-mere, ta tante, ta fille adolescente, ton grand-pere, etc… ils se protegent comment ?

      Ah oui, ils n'en ont aucune idee, ils ne peuvent rien faire, ils ne seront meme probablement pas au courant qu'ils sont en danger.

      Le full-disclosure c'est un truc pour les adolescents boutonneux qui ne connaissent pas grand chose au monde reel et pour les petits frustres qui se croient rebelles, c'est a peu pres tout, aucune valeur pour la population en general.

      • [^] # Re: Transparence = Sécurité

        Posté par  . Évalué à -3.

        Pour reprendre l'analogie de la culotte pleine :

        Quand je fais caca dans ma culotte, je le sais.

        Quand je suis responsable d'un programme de 300 000 lignes (libre ou pas)qui fonctionne en réseau , j'ai peut être 300 cacas dans 300 culottes, mais je ne sais pas quel caca arrive dans quelle culotte et sous quelle conditions… Ensuite, on me dit que j'ai fais caca ici à ce moment la, mais pour le nettoyer, ça va prendre du temps et ça peut générer d'autre caca (je ne sais même pas ou) !

        Bon, j'arrête avec l'analogie de la culotte pleine, je dois aller au toilette…

        • [^] # Re: Transparence = Sécurité

          Posté par  . Évalué à 7.

          Cette anal-ogie est vraiment merdique!

          (au sens sale propre comme au figuré).

          Écrit en Bépo selon l’orthographe de 1990

      • [^] # Re: Transparence = Sécurité

        Posté par  . Évalué à 5.

        Le jour ou quelqu'un annonce une vulnerabilite et qu'un patch n'est pas pret. Ta grand-mere, ta tante, ta fille adolescente, ton grand-pere, etc… ils se protegent comment ?

        De la même manière que si elle n'était pas annoncée: Ils peuvent pas. Ou alors si, ils peuvent: il n'ont qu'a pas utiliser un système troué par la pluie.

        Ah oui, ils n'en ont aucune idee, ils ne peuvent rien faire, ils ne seront meme probablement pas au courant qu'ils sont en danger.

        C'est encore pire si la vulnérabilité n'est pas annoncée, puisque même toi tu ne peux pas les protéger. Celui qui annonce la faille n'est pas forcement le premier à l'avoir découverte.

        Le full-disclosure c'est un truc pour les adolescents boutonneux qui ne connaissent pas grand chose au monde reel et pour les petits frustres qui se croient rebelles, c'est a peu pres tout, aucune valeur pour la population en general.

        Moi je préfère que les adolescents boutonneux et les petits frustrés fasse du full disclosure plutôt qu'ils s'amusent à garder ça pour eux ou à vendre ça à des gens moins sympa. Parce que si tu crois qu'ils sont assez cons pour aller contacter les auteurs tu te fourre le doigt dans l'œil. Tout le monde à retenu la leçon de Serge Humpich, même les non-informaticiens.

        • [^] # Re: Transparence = Sécurité

          Posté par  . Évalué à 2.

          De la même manière que si elle n'était pas annoncée: Ils peuvent pas. Ou alors si, ils peuvent: il n'ont qu'a pas utiliser un système troué par la pluie.

          Dans le monde reel :

          Une faille non annoncee, il n'y a que ceux qui la connaissent qui peuvent l'utiliser pour attaquer.
          Le moment ou la faille est rendu publique sans alerter l'editeur d'abord, tout le monde peut la prendre et attaquer, ce qui augmente largement le nombre de victimes. Et l'annonce ne permet qu'a tres, tres, tres peu de gens de se proteger.

          C'est EXACTEMENT ce qui s'est passe avec le 0-day poste en 2010 sur full-disclosure par Tavis Ormandy que la news mentionne. J'en sais quelque chose, j'etais de l'autre cote a voir les degats de sa connerie, et il l'a refait en 2013 toujours avec le meme resultat pourri.

          C'est encore pire si la vulnérabilité n'est pas annoncée, puisque même toi tu ne peux pas les protéger. Celui qui annonce la faille n'est pas forcement le premier à l'avoir découverte.

          Si il l'annoncait a l'editeur et lui donnait une chance de corriger le probleme, il eviterait que bcp plus de gens puissent attaquer une population qui n'a pas les moyens de se proteger seule de toute facon.

          Moi je préfère que les adolescents boutonneux et les petits frustrés fasse du full disclosure plutôt qu'ils s'amusent à garder ça pour eux ou à vendre ça à des gens moins sympa. Parce que si tu crois qu'ils sont assez cons pour aller contacter les auteurs tu te fourre le doigt dans l'œil. Tout le monde à retenu la leçon de Serge Humpich, même les non-informaticiens.

          L'enorme majorite fait justement l'inverse de ce que tu dis, ils les annoncent de maniere responsable :

          http://technet.microsoft.com/en-us/security/cc308589.aspx
          https://www.google.com/about/appsecurity/hall-of-fame/reward/
          https://www.facebook.com/whitehat/thanks/

          etc…

      • [^] # Commentaire supprimé

        Posté par  . Évalué à -2.

        Ce commentaire a été supprimé par l’équipe de modération.

        • [^] # Re: Transparence = Sécurité

          Posté par  . Évalué à 5.

          Vaut il mieux qu'un problème soit restreint à un cercle de personnes qui pourront l'exploiter pendant des mois ou bien vaut il mieux que le problème soit connu afin que :

          J'ai donne des exemples CONCRETS, cas REELS ou full-disclosure a cause des attaques sur une large population, toi tu me sors des theories fumeuses.

          La realite est qu'alerter l'editeur d'abord est la meilleur chose a faire, et si il ne repond pas dans un temps decent, alors alerter le public.

          Ca s'appelle responsible disclosure.

        • [^] # Re: Transparence = Sécurité

          Posté par  (site web personnel) . Évalué à 2. Dernière modification le 23 mars 2014 à 11:29.

          Autant accélérer les choses

          Merci de me permettre de te flinguer avec une balle dans le crane, pour permettre la science d'avancer plus rapidement.
          C'est ça qui est pratique avec cet "argument", ça évite de discuter du problème sous fausse excuse.
          Heureusement, la plupart, et de plus en plus, de gamins sortent de leur puberté un jour et deviennent responsables.
          Mais il faut encore vivre avec quelques gamins pas sortis de leur puberté et se croyant les sauveurs du monde (rien à foutre des dommages colatéraux, si il fallait penser à ça ça serait pas marrant).

          Moi je dis que la faille SSH de Debian aurait bien mérité un 0-day plutôt que le responsible disclosure, pour voir ce que ça donne sur tous les serveurs… Mais les petits gars qui ont trouvé la faille étaient "malheuresement" des adultes responsables et conscient de l'impact, zut.

      • [^] # Commentaire supprimé

        Posté par  . Évalué à -1.

        Ce commentaire a été supprimé par l’équipe de modération.

        • [^] # Re: Transparence = Sécurité

          Posté par  . Évalué à 1.

          Bah, tu sais, les problèmes de sécurité pour lesquels l'éditeur fait la sourde oreille pendant des mois, voir ne réponds jamais, ce ne sont pas des cas isolés.

          Ben justement si, ce sont des cas isoles. Mais t'es le bienvenu pour m'expliquer l'industrie de la securite software hein, j'ai juste passe les 10 dernieres annees dedans…

          Donc tu restes avec des trous potentiellement exploités pendant des années, et tu sers des fesses pour que cela ne te tombe pas dessus, et qu'il n'y en ai pas trop que d'autres aient découverts mais pour lesquels tu ne connais pas l'existence.

          T'es drole. Si tu les annonces a l'editeur et qu'il ne fait rien, t'es libre de les annoncer publiquement hein, t'es pas soudainement devenu muet.

          Quant à l'informatique grand public, ben, il me semble que le marché offre pas mal de solution de sécurité et donc tu délègues moyennant finances cette tâche à un tiers dont c'est le métier. Ensuite, si tu veux "baiser" sans capote, il faut savoir qu'il y a un risque et être prêt à l'accepter.

          Explication typique de qq'un qui au fond ne connait rien a la securite informatique.
          Un anti-virus ne te protegera jamais d'un 0-day, c'est pas concu pour. Un firewall ne va pas te proteger d'une faille dans ton browser. La sandbox de ton browser ne va pas te proteger d'un 0-day dans ton compositeur graphique, etc…

          • [^] # Commentaire supprimé

            Posté par  . Évalué à 0.

            Ce commentaire a été supprimé par l’équipe de modération.

            • [^] # Re: Transparence = Sécurité

              Posté par  . Évalué à 2.

              Les solutions de contrôle de logs, de versions applicatives, de hotfixes/patches, vulnérabilités etc … sont restés dans les laboratoires. Aucune entreprise commerciale n'a encore eu l'idée de commercialiser des solutions de ce genre. Oui c'est vrai, cela coute de l'argent, mais il faut savoir ce que l'on veut.

              Rien de cela ne fonctionnera pour le grand public. Cela a un taux de faux positifs bien trop eleve. Meme en entreprise cela a un cout non negligeable de devoir aller verifier telle et telle alerte, alors le pekin moyen qui n'y connait rien, aucune chance. Le controle de version et de hotfix/patch, ben ca ne va rien faire contre un 0-day par definition hein…

            • [^] # Re: Transparence = Sécurité

              Posté par  . Évalué à -3.

              je comprends vsin, en tant qu'admin réseau je suis au milieu de la chaîne développeur vs utilisateur final quotidiennement, je ne suis pas expert en sécu, mais je sais quand-même deux ou trois choses, genre never trust user.

              T'es drole. Si tu les annonces a l'editeur et qu'il ne fait rien, t'es libre de les annoncer publiquement hein, t'es pas soudainement devenu muet.
              Quand t'as une appli avec des trous plus gros que celui de ton nombril, et que l'éditeur ne fait rien, t'as beau les annoncer publiquement, rien ne se passe ;)
              C'est la faute à Oracle ou Adobe, qui tarde à oublier un patch…
              Avec l'expérience, j'ai fini par ne plus cogner sur l'utilisateur, ça lui fait mal et celui qui le remplace peut être pire.

              Blague à part, je partage la tristesse de John Cartwright : "**There is no honour amongst hackers any more.

              There is no real community**", ça laisse me pantois.

              Le responsible disclosure n'a aucun sens, ce n'est pas le rôle d'un hacker de se soucier de la pertinence de sa trouvaille, sinon on n'aurait jamais eu de bombe H, la terre serait encore ronde, et on n'aurait pas de lobbies.

              • [^] # Re: Transparence = Sécurité

                Posté par  . Évalué à 3.

                je ne suis pas expert en sécu, mais je sais quand-même deux ou trois choses, genre never trust user.

                Pas compris, ca veut dire quoi 'never trust user' ?

                Quand t'as une appli avec des trous plus gros que celui de ton nombril, et que l'éditeur ne fait rien, t'as beau les annoncer publiquement, rien ne se passe ;)
                C'est la faute à Oracle ou Adobe, qui tarde à oublier un patch…

                Adobe a tendance a etre plutot rapide, Oracle pas trop. Mais de nouveau, tu me donnes un scenario ou il serait preferable de livrer le 0-day au monde entier plutot que donner une chance a l'editeur ?

                Allez, moi j'ai deja donne 2 exemples ou un clown a non seulement mis en danger, mais carremment cause des attaques sur des dizaines de milliers de personnes qui ne pouvaient pas se defendre en lachant un zero-day sans que l'editeur ait eu le temps d'essayer de faire un patch meme. Si full-disclosure c'est si bien, tu vas bien arriver a nous donner des exemples ou cela est tout benef non ?

                Le responsible disclosure n'a aucun sens, ce n'est pas le rôle d'un hacker de se soucier de la pertinence de sa trouvaille, sinon on n'aurait jamais eu de bombe H, la terre serait encore ronde, et on n'aurait pas de lobbies.

                Si c'est le role du hacker d'etre une personne responsable. C'est d'ailleurs ce que la plupart d'entre eux font(cf. les liens que j'ai donne plus haut, compare au nombre de 0-days publies, la difference est gigantesque), c'est evidemment ce que les editeurs de softs veulent, et c'est aussi ce que la plupart des entreprises veulent aussi.
                Tout simplement parce que les gens ne peuvent pas dans l'enorme majorite de cas se proteger tout seul, ni se tenir au courant facilement quand un zero-day est publie. Resultat, publier un 0-day met enormement de gens en danger, et en pratique a souvent fini en attaques sur des dizaines de milliers de gens qui n'auraient pas ete attaque autrement.

                Bref, les seuls qui sont contre responsible disclosure sont ces petits frustres et rebelles boutonneux qui n'ont pas compris grand chose et les scammers/spammers qui profitent des 0-days pour se constituer des botnets, et piquer les numeros de cartes de credits des gens.

                • [^] # Re: Transparence = Sécurité

                  Posté par  . Évalué à 5.

                  On peut résumer tout ça à:

                  With great power comes great responsibility.
                  (Stan Lee)

                  Écrit en Bépo selon l’orthographe de 1990

                  • [^] # Re: Transparence = Sécurité

                    Posté par  . Évalué à -1.

                    ou Voltaire ?

                    Voltaire. Jean, Adrien. Beuchot, Quentin and Miger, Pierre, Auguste. "Œuvres de Voltaire, Volume 48". Lefèvre, 1832

                    :p

              • [^] # Re: Transparence = Sécurité

                Posté par  (site web personnel) . Évalué à 2.

                en tant qu'admin réseau

                Le responsible disclosure n'a aucun sens

                Un admin qui demande à ce qu'on lui pourrisse son réseau (car il n'aura pas le temps de corriger), c'est triste. Perso, je pense que ce genre d'admin mérite la porte, mais bon je ne suis pas ton chef ça va.

                • [^] # Re: Transparence = Sécurité

                  Posté par  . Évalué à 1.

                  ouh là, tu fais un raccourci un peu rapide entre mes deux citations. Si tu étais mon chef, tu saurais que je suis parfois bien embêté de lire qu'un prestataire nous demande de ne pas faire de mise à jour de JRE, parce qu'un correctif d'Oracle rend leur appli incompatible, ou que je rechigne à ouvrir un port web qui pointe sur une version antédiluvienne d'apache qu'un autre prestataire ne mettra pas à jour…

                  Mon post se voulait solidaire avec vsin, parce que c'est notre quotidien, et ma boutade sur la pertinence du responsible disclosure n'aurait pas du te faire tiquer, en tous cas ce n'était pas le but.

                  Je contine à penser que le full disclosure est une épée de Damoclès pour un éditeur qui ne veut rien entendre, aussi grand qu'il soit.
                  Du coup, amha, je vois une régression : "For years security by obscurity was the prevalent approach even among large software vendors – pressure from forums such as Full Disclosure helped changed that approach"

                  Je continue à affirmer ma sympathie pour vsin, parce que demain matin je vais encore passer 4 ou 5 heures à nettoyer des postes pourris de virii/trojans/adwares qui auront profité d'une faille dont je suis le dernier à être informé.
                  Nous sommes sur linuxfr, et vraiment je suis content d'avoir été moinsé comme jamais, parce que ça a permit cet échange, mais je n'arrive pas à être positif quand je lis le post de John Cartwright.

                  Et si j'étais ton chef je te demanderais, après concertation bien-sûr, de reconsidérer le poids de la porte avant de la prendre.

                  • [^] # Re: Transparence = Sécurité

                    Posté par  (site web personnel) . Évalué à 0.

                    Je contine à penser que le full disclosure est une épée de Damoclès pour un éditeur qui ne veut rien entendre, aussi grand qu'il soit.

                    Au cas où tu n'aurais pas compris : le full disclosure ne peux pas avoir, par définition, d'épée de Damoclès, donc ta phrase ne veut absolument rien dire à part montrer que tu n'as pas compris la définition de full disclosure.
                    Par contre, le responsible disclosure le peut (et quand l'épée de Damocles est utilisée, car ça arrive, personne n'en veut à celui qui diffuse la faille car il a prévenu avant l'éditeur qui n'a pas bougé).

                    Peut-être que le problème est que tu n'as pas compris la définition de full disclosure, je t'invite donc à la relire.

                    Après, du coup, ben tout le reste saute, faute de bonne base dans les définitions…

                    Du coup, amha, je vois une régression : "For years security by obscurity was the prevalent approach even among large software vendors – pressure from forums such as Full Disclosure helped changed that approach"

                    Les extrémistes pensent toujours qu'ils ont "aidé", d'autres pensent qu'au contraire ils ont empéché à ce que la sécurité par l'obscurité meurent plus rapidement en promettant la peur.
                    Aujourd'hui, c'est bien parce qu'il y a le responsible disclosure que les entreprises jouent de plus en plus le jeu (avec même de sacré récompenses financière maintenant que les failles ont un gros impact financier, ces récompenses étant clairement indiquée pour des gens ne jouant pas au full disclosure, mais sans aucunement interdire le responsible disclore : les failles sont bien publiées)

                    Et si j'étais ton chef je te demanderais, après concertation bien-sûr, de reconsidérer le poids de la porte avant de la prendre.

                    Admettons qu'il y a une erreur dans la compréhension de ce qu'est le full disclosure, donc ce sera un avertissement et une invitation à se renseigner sur ce qu'est la chose qu'on soutient (car ça impacte la liste des gens qu'on soutient)

                    • [^] # Re: Transparence = Sécurité

                      Posté par  . Évalué à 3.

                      Au cas où tu n'aurais pas compris : le full disclosure ne peux pas avoir, par définition, d'épée de Damoclès, donc ta phrase ne veut absolument rien dire à part montrer que tu n'as pas compris la définition de full disclosure.

                      Zenitram parle pas quand tu ne connais pas. Il est clair que tu t'accroches à une définition qui est très loin de la réalité de la liste cité.

                      • [^] # Re: Transparence = Sécurité

                        Posté par  (site web personnel) . Évalué à -2.

                        Tiens, c'est le même type de commentaire quand je dis que les CC -NC ne sont pas libres "Zenitram parle pas quand tu ne connais pas quand ça ne m'arrange pas, bien sûr que si."
                        Désolé d'utiliser des définitions claires dans le monde de la sécurité, à part pour ceux qui veulent mélanger les genres.
                        Ici, vu le nombre de full disclosures qu'il y a eu sur la liste, on a bien la bonne définition : pas de responsabilité pour l'admin qui laisse tout passer (responsible ou non, pas d'importance, on prend tout).

                        Démontre moi le contraire (va falloir corriger la liste de 0-days de Wikipedia).

  • # et ça repart !

    Posté par  (site web personnel) . Évalué à 1.

    • [^] # Re: et ça repart !

      Posté par  (site web personnel) . Évalué à 1.

      "researchers' right to decide how to disclose their own discovered bugs"

      Donc toujours le manque de prise de responsabilité (interdire le full disclosure, celui sans prévenir avant l'enterprise), quoi qu'en disent certains pour le défendre.
      Espérons que ça fasse un flop.

      • [^] # Re: et ça repart !

        Posté par  . Évalué à 4.

        il semblera à "certains" comme opportun de recadrer le sujet.

        Tout d'abord, le full disclosure n'est pas contraire au coordinated disclosure, c'est plutôt, selon wiki que tu te plais à citer, une "philosophie de la gestion de la sécurité complètement opposée à l'idée de sécurité par l'obscurité".

        J'ai volontairement utilisé la locution coordinated disclosure plutôt que la tienne, responsible disclosure, car toujours selon tes sources:
        Advocates for coordinated disclosure often prefer the weighted but less-descriptive term “responsible disclosure” coined by Microsoft Security Manager Scott Culp in his essay “It's Time to End Information Anarchy” (referring to full disclosure). Microsoft later asked for the term to be phased out in favour of “coordinated disclosure”.

        Quoi qu'il en soit, et pour aller dans ton sens, j'espère aussi que cette approche d'anarchiste nihiliste n'a aucun avenir. Notre différence, c'est que je préfèrerais voir le no disclosure disparaître avant, parce que ce dernier est pour moi le pire risque en matière de sécurité.
        Sans vouloir tu faire de leçons, je reviens sur ta dernière réponse :

        Au cas où tu n'aurais pas compris : le full disclosure ne peux pas avoir, par définition, d'épée de Damoclès […] et quand l'épée de Damocles est utilisée, car ça arrive, personne n'en veut à celui qui diffuse la faille car il a prévenu avant l'éditeur qui n'a pas bougé.

        Un peu gros non ? et relis un peu le sujet du post auquel tu réponds :

        Some have argued that we no longer need a Full Disclosure list, or even that mailing lists as a concept are obsolete. They say researchers should just Tweet out links to advisories that can be hosted on Pastebin or company sites. I disagree. Mailing lists create a much more permanent record and their decentralized nature makes them harder to censor or quietly alter in the future.

        Pour finir, je pense au contraire de toi qu'il faut être sacrément responsable pour maintenir cette liste, voire avoir des pxxxxxs de corones pour supporter les

        numerous trolls, DoS attacks, spammers, and legal threats from angry vendors and researchers alike

        comme l'a fait John Cartwright pendant douze ans.

        Bref, adieu John… Salut Gordon !!!
        Le roi est mort, vive le roi ! (tu vois que je ne suis pas anarchiste, et aussi que j'aime bien finir mes posts par une bonne blague bien pourrie !)

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.