Un monde merveilleux… trouver la faille, vendre la faille et accessoirement combler la faille. Mais à l'origine, il y a bien des producteurs de failles… non ?

"une relative à Windows entre 60 000 et 12 000 $" 60 000 et 120 000 non ?

@cl97 : je l'avais signalé via votre fourmulaire.

*formulaire.

J'aurais pensé qu'une faille OSX valait une fortune, puisqu'elles sont si rares...

@ Kurby'S bravo ! Vous voulez un bon point ? :P

[quote]momo-fr [26/03/2012 12:52] Un monde merveilleux… trouver la faille, vendre la faille et accessoirement combler la faille.[/quote] C'est plutôt tout faire pour qu'elles ne soient pas comblé …

Moins d'ordis à la clé... Tout simplement.

@momo-fr : 'Un monde merveilleux… trouver la faille, vendre la faille et accessoirement combler la faille. Mais à l'origine, il y a bien des producteurs de failles… non ?' En effet, traitons le pb à l'origine...éradiquons les dev... Non je rigole, c'est de l'humour !

@Mr.20 : Préfère une image si ça dérange pas...

@momo-fr non les failles existent parce que les logicielles existent.

@iTroll : les failles d'osx sont très mineures...

On voit qu'Apple paye jusqu'à 250 000 $ pour une faille iOS. Cela a vraiment l'air essentiel pour elle. (Mais aussi pour nous si le paiement par tel devient effectif)

Très bon article, encore une fois. [quote=iTroll 26/03/2012 13:16] J'aurais pensé qu'une faille OSX valait une fortune, puisqu'elles sont si rares... [/quote] Le prix d'une faille est lie a son potentiel. Sur OS X la majorité des failles ont, comme pour la majorité des Unix, un impact limite. Ensuite vient la possibilité d'exploiter la faille dans le cadre d'un réseau, et la le Mac a pour force la faiblesse de son nombre... Mais la on parle de prix publics, car il y a des failles bien plus valorisables que d'autres. Les failles les plus intéressantes se trouvent dans les microcodes, les bootloader, les drivers, bref tous ce qui se trouve a un niveau en dessous du système et bien évidement des applications. Bien sur les cybercriminels vont exploiter les failles des applications pour détourner des fonds, voler des codes et des informations, faire du chantage, corrompre des bases de données... Ce sont les voleurs a la tire ou les petits malfrats du cybercrime. Vienent apres les attaques visant a détruire le fonctionnement d'une société ou d'une institution, souvent par les celebres attaques DDoS, et la il est très interressant de pouvoir corrompre les serveurs mais aussi les firewall hardware et les swicth... Puis ensuite on passe au niveau militaire. La, on trouve de l'espionnage jusqu'à l'immobilisation ou la destruction des moyens de communications. Si les failles "commerciales" les mieux valorisées sont celles d'iOS, c'est parce que c'est un OS populaire, généraliste, qui est utilisé par des personnes non spécialistes et qu'elles y mettent beaucoup de leurs informations personnelles... On pourrait se dire pourquoi pas Android, vu sa représentation? En fait Android est très fragmenté, une faille a plus de mal a toucher une grosse base. De plus Android a une réputation suspecte, donc l'utilisateur fait plus attention... Il manque dans ce tableau l'indication de l'eldorado: les réseaux sociaux... Ceci dit on parle ici de commerce et a ce qui s'y limite.

@Marc-Alouettes: Vous n'avez pas bien lu, ce n'est pas Apple ni aucune des sociétés évoquées dans l'article qui sont prêt a débourser ces sommes énormes, ce sont "les autorités européennes et américaines" autrement dit les gouvernements qui pour des raisons de sécurité et de surveillance (pour ne pas dire d'espionnage) qui le font. Article fort intéressant en tout cas.

Vu le nombre de failles dans window , chaque sortie de nouvelles versions doit faire des millionnaires.

@aleios : "ce n'est pas Apple ni aucune des sociétés évoquées dans l'article qui sont prêt a débourser ces sommes énormes" Soit, mais je présume que ces failles doivent être revendues à qui de droit pour qu'il y soit remédié, non ?

Le boulot de developpeur de grosse boite n'a jamais été aussi cool : - J'optimise pas mon code, je compte sur l'évolution matérielle - J'optimise pas la finalité de mon travail, je compte sur les mises à jour, - J'optimise pas la sécurité, je compte sur des geeks qui n'ont que cela à faire de leur temps libre.

sunjohn à moins qu'il ne sous-entende que les utilisateurs Android soient à majorité des geeks et des nerds farouchement attachés au respect de leurs vies privées

Merci MacGe pour cet article ! J'aime bien ce genre d'article, c'est très intéressant et ça colle beaucoup avec l'acutalité et la situation information actuelle. ;).

@Marc-Alouettes : Ben non. C'est des méchants qui exploitent ces failles et qui n'ont aucun intérêt à ce qu'elles soient bouchées. Donc personne, surtout, ne révèle ses failles aux constructeurs. Donc c'est pas Apple qui paye...

@rom54 Une faille critique sous un OS quel qu'il soit permet souvent de faire beaucoup de dégâts que ce soit du Windows, Unix, où autre, surtout lorsqu'elles sont ajoutés. Exemple failles classiques de Flash, PDF, ... qui donnent un accès local et ensuite faille sur d'autres outils, bouts de noyau qui permettent des accès root.

@ lmouillart : En effet, donc tu appuies rom54. Et c'est un fait, une faille qui donne un accès root est lus difficile à trouver et à exploiter sous Unix que sous Linux ou Windows. rom54 disait simplement que si sur 100 failles 2 étaient critiques sous OSX et 40 sous windows par exemple*, en moyenne les failles seront moins chères sous OSX. *non pas qu'il y ait plus de faille, mais on les trouve plus facilement, on y met plus de moyens etc... Voir le prix des failles iOS.

@ sunjohn @béber1 a en partie raison, il y a plus de geek et de nerds sous Android que sous iOS, pour des raisons aussi idéologiques(opensource, personnalisation,...) que mécaniques (prix, gammes, diffusion, quantité). Mais sinon, Apple a toujours eu une réputation de fiabilité et d'environnement épargné par les virus, l'utilisateur lui fait donc beaucoup plus confiance (aveuglement d'ailleurs). Ce qui n'est pas faux en soit, iOS est plus sécurise au niveau de l'utilisateur normal (apres Android dispose de contrôles permettant un contrôle plus profond et précis, mais nécessite une connaissance approfondie..) C'est assez basique comme principe, une personne qui développe sa confiance (habitude, sensation de maitrise,..) envers un environnement sera moins vigilante. Exemple, les accidents de la route, qui frappent bien plus gravement sur les trajets connus et courts. La personne neglige d'être vigilante, de mettre sa ceinture, de sécuriser son chargement,... Je ne dirai donc pas que l'utilisateur d'Android est plus mature ou conscient, mais comme il vient majoritairement de Windows, ou il a une culture(un conditionnement) de vivre dans un environnement hostile, il est naturellement plus méfiant.. Celui qui vient de Windows et qui va sur iOS, y va pour la simplicité et l'absence de virus. Apres quelques temps, il perd ses habitudes... L'autre point, c'est de prendre en compte que Android est open source donc la durée de vie d'une faille est bien plus courte que dans un OS propriétaire, surtout avec la dynamicite de Google...

@lmouillart A la réponse bien argumente de @Un Vrai Type, j'ajouterai en plus que si sous Windows il y a plus de failles hautement critiques c'est parce que Windows doit intégrer et gérer un environnement bien moins homogène, connu et previsible que sous Mac OS X. Ajouté au fait que l'architecture de Windows est loin d'etre aussi robuste que celle d'un Unix... De plus, sous OS X tu connais de manière exhaustive le matériel qui va tourner, et il est limité comparativement a Windows. De plus il doit être certifie par Apple. Et regardes, meme au niveau des cartes graphique, Apple modifie les drivers... De son cote l'utilisateur Windows va pouvoir installer la dernière carte graphique a la mode, installer des drivers bidouilles, et va généralement installer massivement du soft déplombe (quand c'est pas Windows lui meme)... Et il y a aussi le phénomène de durée de Windows qui le rend plus vulnérable. Aujourd'hui l'écrasant majorité des PC tournent sous XP, un système datant de 2001, massivement expose et très mal sécurise... On peut donc avoir des cascade de failles critiques(application, Windows, drivers, microcode,..) dont les bases tapent au niveau matériel, et la c'est le jackpot!

Es-ce le fait que des gouvernements paient ce genre de service que ces pratiques restent légale?? Pourquoi à la place de travailler en quelque sorte contre les développeurs d'OS ne travail t'ils pas directement avec??

@thant ce serait moins rentable de travailler directement avec le développeur.

@thant : "Pourquoi à la place de travailler contre les développeurs d'OS ne travail t'ils pas directement avec??" C'est exactement ce qui m'interpelle aussi car je suis bien certain qu'Apple serait le mieux disant pour les failles d'iOS.

ce que je vais dire est peut-être utopique, mais on légifère sur les composants chimiques dans les objets manufacturés (plomb, bisphénol, etc....et avec des réglementations RohS, LEED) et on ne légifère pas sur la "qualité de sécurité" des logiciels. Pour moi, un logiciel présentant de telles failles est "toxique", comme un jouet en plastique au plomb. après, je conviens que du code, c'est dense, c'est long, c'est complexe, mais quand même, il y a bien quelque chose qui cloche... sans même parler de la façon dont certains monétise ces failles, que je trouve abjecte.

c'est ça qui est "bien", ce n'est pas réglementé.

"Marc-Alouettes [27/03/2012 08:23] C'est exactement ce qui m'interpelle aussi car je suis bien certain qu'Apple serait le mieux disant pour les failles d'iOS." A 100 ou 250 000 $ la faille, c'est pas sûr du tout. Je sais bien que Apple est riche, mais s'il faut lâcher 1 million toute les 3 failles, elle ne va pas aller loin. Si Google ne donne que 3000 $ pour les failles d'Android, Apple ne doit pas donner plus. En tout cas, apprendre l'existence de ce commerce éclaire sur les moyens mis en oeuvre pour créer un programme comme Stuxnet.

@nicolas : Il y a un problème dans votre vision : Pour savoir si il y a du plomb dans une peinture, on peut l'analyser chimiquement. Ce test va couter en ressources (humaines, labo, produit, formation...) Mais pour qu'il n'y ait pas de plomb, il SUFFIT de ne pas en mettre... Imaginez maintenant votre peinture avec du plomb qui ne soit détectable que sous certaines conditions (alignement terre-lune-soleil, heure de la journée, pression, saturation atmosphérique en eau etc...) L'assertion "il n'y a pas de plomb dans la peinture" devient compliquée à tester. Maintenant cette peinture peut créer du plomb de manière inopinée... L'assertion "Il suffit de ne pas mettre de plomb..." tombe. Voilà pourquoi dire "Il est interdit de faire une faille de sécurité" est impossible. Il faut bien comprendre que les développeurs ne font pas exprès de créer des failles. Après, oui, il y a une différence entre le boulet qui s'en contre fiche et le développeur expert en sécurité.Mais on parle là bien de combat entre experts en sécurités.

@ Fulvio : La politique de Google/Apple et consort table aussi sur une autre approche : Une faille vendue 150 000 $ par X à un gouvernement pourrait être découverte par Y qui la vendrait seulement 3 000 $ à Google. X est beaucoup plus fort que Y, y met plus de moyen etc... Mais les Y sont très nombreux ce qui rééquilibre les chance de trouver une faille... PS : Ce commentaire n'est pas sexiste ;)

@Un Vrai Type Ou on peut s'occuper de vérifier et sanctionner quand l'éditeur ne cherche pas à corriger les failles tant qu'il n'ya aucune exploitation :) Quand certains laisse pendant 6mois voir plus un gros trou parce que non utilisé pour le moment :/ C'est déjà beaucoup plus réaliste et faisable.

Et après on viendra nous dire que les vendeurs d'Anti-Virus sont les gentils !!! Les failles des logiciels, OS, drivers, Etc... Une légende Urbaine, ou pas

Le capitalisme dans toute sa splendeur

Et pour linux, combien? Avec tous les bogues qui y courent !!!!!!! Avais essayé Unbuntu en dual boot avec XP, total après moults plantages suis resté sous xp.

En introduction, je tiens à prévenir que je suis anticapitaliste. Donc si vous voulez zapper, you're wellcome. Or comme tout le monde je vis dans une société capitaliste et qui plus est je travaille actuellement dans le milieu de la finance (au niveau technique) - faut bien manger. J'ai donc parfois des discussions houleuses avec certains de mes collègues qui sont à fond pour le système. Quand j'évoque la morale, l'éthique, on me rétorque que le capitalisme est un système et qu'un système n'a pas de morale en soit; donc que le capitalisme n'a pas de morale. Ce discours est bien gentil, mais ma réponse est que les gens ont une morale ou pas. Or il s'avère que la morale des capitalistes (ceux qui en profitent vraiment) est vraiment douteuse. Le capitalisme permet tout: Agir moralement ou non. On voit comment les restaurateurs ont tenu leur promesse. J'attends de voir à quel point les "entrepreneurs" si chers tiendront leur promesse quand leurs charges seront baissées comme ils le souhaitent. Et pour revenir à cette brève, elle montre un nième exemple de l'immoralité des gens qui ne parlent et pensent que business. Le système permet ça. Et les sociaux-démocrates vivent dans l'illusion qu'ils pourront un jour avoir un "capitalisme à visage humain". On voit ce que ça donne ! Dernier exemple : A la cantine - pardon: au restaurant d'entreprise - où je travaille, ils proposent des kiwis bio - importés de Nouvelle Zélande. Cherchez l'erreur.