Entrez vos identifiants

x
OU
Vous avez oublié votre mot de passe ?
Utilisateur wiki : vous n'aviez pas d'email ?

Korben - Site d'actualité geek et tech

Go Top

Hack de Imageshack pour arrêter le full disclosure : Un combat juste ?

imageshackhack

Anti-Sec est un groupe qui réclame que la pratique du full disclosure dans l'industrie de la sécurité soit définitivement stoppée.

Le full disclosure, ça consiste à rendre public la moindre faille et les "exploits" qui y sont associés (exploit = petit bout de code permettant d'exploiter la faille). Les raisons que mettent en avant Anti-Sec, c'est que le full disclosure est une publicité permanente pour les éditeurs d'antivirus, de firewalls et aux sociétés dont le métier est la sécurité mais aussi parce que les scripts kiddies (petits crackers en culotte courte) s'emparent des exploits pour casser tout ce qui est cassable.

L'objectif de tout ça est donc selon AntiSec d'instaurer une espèce de peur pour l'internaute et les entreprises, qui dépenseront par conséquent beaucoup plus d'argent pour leur sécurité (enfin, la sécurtié de leurs données).

Tout ceci est donc une question de point de vue... Doit on ou non, rendre public chaque faille / exploit trouvé dans le moindre logiciel ?

En ce qui me concerne, j'aime bien voir comment ça fonctionne et comment c'est fait donc je serai plutôt partisan du full disclosure et d'un autre côté, c'est vrai que les script kiddies sont un fléau.

Bref, tout ça pour dire que le groupe Anti Sec s'est lancé cette nuit dans une bataille acharnée et a commencé par cracker le service d'hébergements d'images : Imageshack.us

A la place de chaque image hebergée sur Imageshack et affichée sur le moindre site, les internautes ont pu voir ceci :

Sympa non ? Rassurez vous, aucune image n'a été supprimée et tout est revenu à la normale actuellement, mais le coup de pub était bon.

Quoiqu'il en soit, maintenant que Anti Sec est parti sur des chemins obscurs, leur message va être plus difficile à faire passer. On ne prône pas la paix en faisant la guerre (avis perso hein... je sais qu'il y en a qui pratiquent :-) mais j'ai des doutes sur l'efficacité de la chose... Arf !

Et vous qu'en pensez vous ?

Merci à Jean Yves pour l'info


Facebook Twitter Email Copier Url

50 Responses to “Hack de Imageshack pour arrêter le full disclosure : Un combat juste ?”

  1. ATP dit :

    Les Anti-Sec, c’est bien eux aussi qui s’en sont prit récemment à l’un des serveurs d’Astalavista (récit et détail sur Tux-Planet.fr).

  2.  nineosoe dit :

    “En ce qui me concerne, j’aime bien voir comment ça fonctionne et comment c’est fait donc je serai plutôt partisan du full disclosure et d’un autre côté, c’est vrai que les script kiddies sont un fléau.”

    +1 Korben, c’est plus fort que moi, ca me grignotte le ventre de savoir ;) mais c’est plus par curiosité technique que machiavelique.

  3. La publication d’exploits publics ainsi que des failles est nécessaire afin de corriger les systèmes ainsi que pour réaliser des fois empreintes du flux de données (couche application) pour les NIDS/HIDS.

    Perso, je suis pour une totale publication des exploits et vulnérabilités rencontrées. Cependant, je suis par ailleurs pour le sabotage des sploits empêchant donc les SK de s’amuser avec car il faut regarder dans les lignes où est le problème.

    Si l’on ferme la publication des vulnérabilités, les chercheurs en sécu informatique ayant une petite âme de pirates s’en donneront à cœur joie…

    Aussi un petit lien (où ils insultent le SANS suite à leur article) : http://tinyurl.com/kr46z6

  4. aciDben dit :

    oué mais non, quand on voit les exploits en VB pour les PHPBB ou wordpress par exemple, où il ne suffit que de rentrer l’url du site dans un petit exe pour etre admin, et qu’on voit que des gamins de 14ans se régalent a défacer tout ce qu’il trouvent juste pour passer sur Zataz et se prendre pour Mitnik, je suis 100% Ok avec Anti-Sec.

    Si ta porte ferme mal faut pas le dire a tout ton quartier, Lao-Tseu l’as dit ;)

  5. Dans ton article aussi, tu oublie que par ailleurs, il faut mentionner que cette histoire est en partie connue suite à la possible découverte par ce groupe d’une faille dans OpenSSH (version 4.3 à 4.5). Cela reste qu’une rumeur mais depuis quelques jours, elle ébranle la scène upper & underground mondiale, car personne ne sait si les hacks ont étés commis par Bruteforce où bien par un sploit élaboré sur une vulz.

  6. Rufo dit :

    Vue à quelle vitesse certains admin “s’empressent” d’appliquer les patch de sécurité, je pense que révéler les failles les forcent à aller plus vite. De même, pour les dév, ça leur permet de progresser et pas refaire les mêmes erreurs.

  7. guillnux dit :

    tous ce que l’homme construit l’homme peut le détruire
    c’est un jeu sans fin
    je suis partisan d’etre contre tous ce que les gouvernements font et dans les haute sphère
    je trouve ca bien qu il ce batte

  8. backup dit :

    personnellement j’aimerais bien savoir si mon modèle de voiture a un problème de sortie d’usine et a quelle niveau avant de prendre le volant (valable pour tout ce qui est usuel), maintenant si cela met toute une frange de société de sécurisation sur la paille et bien c’est dommage; mais ils n’ont qu’a les intégrer dans leur structure de fabrication de logiciel, l’utilisateur aura donc un vrais produit fini et ne devra pas payer deux fois une pour le logiciel et une pour la sécurité de celui ci, et rendre publique les erreurs des société met a mal leurs profits…

  9. cynoque dit :

    la révolution sans violence…
    il a été prouvé (?) que c’est inutile.
    la violence est (j’en suis de plus en plus persuadé) nécessaire pour faire tomber certaines choses plus ancrées dans le béton que la tour Eiffel, choses qui font souffrir beaucoup de monde et ne sont là que pour rendre heureux une petite poignée d’habitants des hautes sphères.
    faire tomber une injustice est plus difficile tant l’injustice est forte…
    (oui je sais je suis un peu hors sujet mais on parle bien d’une sorte de révolution qu’engage ce goupe, non?)

    ceci dit je ne suis pas d’accord sur le principe (le sujet)

  10. psychoz dit :

    heu non tout n’est pas revenu a la normal :)

  11. bliz dit :

    moi je suis pour devoiler les failles mais pas les script ou en tout cas pas tout de suite

    la raison est simple une faille devoilée sera plus vite corrigée (regarder les failles de chez microsoft…)

    apres anti sec qui “pirate” pour dire ca je trouve ca un peut moin bof ! meme si c’est pas tres nuisible dans ce cas

  12. Yurexa dit :

    Je trouve que les hackers ont su garder la mentalité si rare du vrai hacker : hacker un site juste pour avertir les utilisateurs, et ce sans aucune destruction de donnée !

    Je suis tout à fait pour ce genre de pratique qui permet de mettre en garde les utilisateurs/administrateurs/… et qui les obligent à améliorer leurs codes.

  13. ATP dit :

    @Yurexa : oui, enfin dans l’histoire avec l’un des admins d’Astalavista (cf. premier post), ce groupe a été jusqu’à jusqu’à effacer irrémédiablement l’ensemble des données et des backups distants.

    Pour rééquilibrer un peu la “balance” il me semble qu’il y a une histoire de provocations de la part de cet admin, mais bon, il devait y avoir des manières plus correctes de se venger, puisque tel était le but de la démarche semble t-il.

  14. Raool dit :

    Et ils prônent quoi exactement ?
    Le retour à la Sécurité par l’Obscurité ? (Cf http://fr.wikipedia.org/wiki/S%C3%A9curit%C3%A9_par_l%27obscurit%C3%A9)
    La fin du logiciel libre ?

    @Korben
    “On ne prône pas la paix en faisant la guerre”
    Héhyé, c’est tout à fait ça :)

  15. hichamsoft dit :

    En se qui me concerne je croie que tout les Hacker confirmé, voir la plupart d’entre eux sont passé par le stade de scripts kiddies alors pourquoi en faire toute une histoire. Et se qui m’intrigue le plus c’est qu’il attaque des sites web pour défendre leurs poins de vue ce qui donne une images plutôt genre “scripts kiddies” quoi :lol:
    Allez je vais allé sauvegardé ma base de donné mdr

    Ah oui autres chose si les duplicateurs mettez des exploits avec du code moquant sa serai bien, comme sa les poussera à apprendre le langage en question, sa s’ils ne trouve pas une autre solution :P

  16. mapics dit :

    Perso j’utilise un petit site http://www.pix-host.com comme ça pas de problème d’affichage d’image.

  17. @hichamsoft: C’est déjà le cas pour certains sploits.

    @Raool: Non, simplement la non divulgation des sploits & failles au grand public. Cela n’a rien à voir avec le logiciel libre (tout du moins l’open source). L’obsfucation de code c’est du côté des développeurs, non du côté des attaquants. L’openSource est l’une des meilleures choses en sécurité car toute une communauté peut chercher dans le code des failles (donc pas uniquement les développeurs) sans passer uniquement par des méthodes de fuzzing. Ce qui permet de déceler les failles plus rapidement.

  18. MikeZ dit :

    Tout d’abord si tu trouve une faille tu prévient le site victme pour qu’il corrige et tu gardes ca pour toi..

    Si au bout d’une certaine période (genre un mois ou deux) la faille n’est pas corrigée, tu la balance dans la nature pour forcer les gens à réagir..

    C’est ce qu’un hacker confirmé ferait je pense.

    Ou alors il garde la faille pour lui et l’utilise :)

    Le groupe Anti machin la c’est de la poudre aux yeux. Ce qu’il veulent c’est pas empêcher les kiddies c’est garder les failles pour eux et les exploiter
    en secret… Franchement quel bande de #@&~!}

    On avait par mégarde accédé (/admin) à la partie admin d’un petit site marchand non protégé (par défaut dans OScommerce, c’est la faute du système libre sur le coup), on aurais pu me faire envoyer des saucissons gratos :p..

    On a prévenu le type. Normal.

    Je pense à truc. Le rendu public d’une faille c’est ptet aussi se la raconter “regardez, j’ai la plus grosse, j’ai trouvé une faille dans google”.. La ok , j’aime pas !

  19. ap0 dit :

    La sécurité par l’obscurité est une imbécillité énorme.
    Rendre les faille spubliques, c’est forcer les gens à les corriger.

    Imaginez une “elite”, seule au courant des failles…

  20. Targhan dit :

    Moi je suis pour une solution entre les deux :

    Black Out le temps de la sortie du patch + un délai de déploiements de ce patch. Et ensuite expliquer en détail comment le hack fonctionnait.

    Et si la société ne corrige pas le trou de sécurité au bout de X semaines, on dévoile quand même.

  21. Idris dit :

    @Targhan: Exactement, cela s’appelle le Responsable Disclosure si je ne m’abuse. Je pense vraiment que c’est la solution qu’il faut adopter !

  22. ap0 dit :

    @Idris et Targhan : et pour l’openSource, on fait comment ?

  23. Idris dit :

    @ap0: Quel est le problème pour l’Open Source ?

  24. backup dit :

    @ap0: pour l’open source vue que c’est pour tous et par tous, les failles sont testées par tous et sont solutionnées par tous aussi….

    et en plus tu ne payes pas une fois pour le produit et une deuxième fois pour sa sécurisation….:o) que du bonheur quoi…

  25. Bjnn dit :

    Je pense qui faut pas pousser le vice trop loin, pour exploiter un exploit quel qu’il soit faut un minimum savoir comme ça marche, et c’est loin d’être à la porté de tout les script-kiders. C’est surtout les trojans qui se font passer pour de gentil logiciel de gestion a distance qui faudrait éradiqué u_u, mettez un vrai scipt-kiders sur millworm ou devant un dictionaire chinois->polonais c’est pareil.

    Les defacers/méchants hackers restent une minorité, et mieux vaux une diffusion public de ces faille permettant leurs corrections que leurs circulations dans un cercle restreint de méchant du net.

  26. Eno dit :

    La grande différence entre un hacker et un script kiddie, c’est que le hacker ne va pas deface en random site pour le plaisir.

  27. Nispaur dit :

    @Eno: Faux, dans les “hackers” il y a deux familles, les White Hats et les Black Hats.

    Ceux qui préférent la philosophie White hats, trouvent divulgent les failles et aident à les corriger notemment sur les projets Open Source.

    Les Black hats quant à eux, utilisent leurs exploits pour… le plaisir de detruire gratuitement (?), ou revendiquer une action quelquonque.

    Le script kiddie lui se contente d’aller sur milw0rm aller chercher le code d’un des deux type de hackers et de les utiliser à tout bout de champ pour diverses raisons (vengeance, sentiment de toute puissance dans cet age ou l’être est si perturbé, etc…)

    – Pour plus d’informations –

    http://fr.wikipedia.org/wiki/Black_hat
    http://fr.wikipedia.org/wiki/White_hat
    http://fr.wikipedia.org/wiki/Script_kiddie

    (Pas exact à 100%, normal c’est wikipedia, et la version anglaise est beaucoup plus détaillée à ce sujet)

  28. Galdon dit :

    J’ai vu ça hier sur un forum, et j’avais pas trop compris ce que voulais dire le texte.

    Maintenant ça va.

  29. R. dit :

    @Nispaur: Faux aussi, les limites sont très floues dans la scène, des fois les chats sont les souris et les souris sont des chats. Il y’a a pas de “Black hat” ou de “White hat” à 100%. Tout dépend de leur cible. C’est pour cela que la majorité des pirates se disent “Grey” Hat afin de mettre fin à ce troll. (quoi, qui dit que je débute un troll ?)

    Après il y a l’industrie de la sécurité, qui elle ne se définie pas… car elle en rentre pas du tout dans la philosophie du piratage et du hacking, voulant simplement faire de l’argent sur le dos de certains, donnant leur sources gratuitement (et c’est aussi contre cela qu’anti sec se bat…)

  30. XPO dit :

    Ce qui est ambigu dans leur démarche, c’est que leur volonté de lutter contre l’industrie de la sécurité se concrétise par des activités qui ne font qu’alimenter le FUD ambiant et renforcer le besoin des gestionnaires vis à vis des solutions de cette industrie.

  31. MikeZ dit :

    White hat/black hat quelle ânerie..
    C’est le monde des bisounours ou ya le gentil et le méchant :)
    On est ptet l’un des deux a un instant T mais bon

    En hackant comme ca un site super connu tu fais grimper les sociétés de sécurisation.. Sont vraiment cons dans leur démarche :)

    Tant qu’a faire ils auraient du parler des relations entre les sociétés d’antivirus et les auteurs de virus… Ca c’est vraiment trouble et abusé !

    En mettant bien sur la fiabilité des infos de feu le “Virus Informatique” dans la balance, on peu quand même remarquer que quand ils on voulut évoquer le sujet ils se sont fait laminer , campagnes de calomnies et j’en passent…

    Moi je vous le dit, les vrai pourris sont chez les éditeurs d’antivirus.

    Je m’avance pas plus , ou korben va avoir des problèmes : DDOS du site, débarquement de Roland Garcia l’expert INDEPENDANT (LOL) mystère qui sort de sa boite et manie la menace des tribunaux des que l’on a le malheur de mettre en doute ses “constatations”.

  32. lemuria dit :

    Stop pleurer , un webmaster qui ne corrige pas les failles de son site est un mauvais webmaster , go faire un skyblog ou autre….La vente d’antivirus n’a rien a voir avec la divulgation de failles , et tant mieux pour eux si il y a encore des gros con qui achetent des licences..Ensuite les S-k ne sont pas une menace , il obligenre les webmaster a se tenir au courant … ENsuite le full disclosure est con , car la minorité des cracker connaisant une faille va l’utiliser a ses propore fin ( argent , pouvoir ,etc.. :) ).
    ENsuite je lance peut etre un troll , mais un hacker c’est gentil , un cracker c’est mechant , merci de faire la difference …

  33. lemuria dit :

    @Nispaur
    “Le script kiddie lui se contente d’aller sur milw0rm aller chercher le code d’un des deux type de hackers et de les utiliser à tout bout de champ pour diverses raisons (vengeance, sentiment de toute puissance dans cet age ou l’être est si perturbé, etc…)”
    Arrete de dire n’importe quoi , stop analyser leur “sentiment de toute puissance” , j’ai 15 ans et je t’em***de cordialement.
    Edit : Ce collectif est composé de cracker , le hack de 2 site en est la preuve , sir ce qu’il avance est vrai , il aurait pu allez se faire embaucher facilement..

  34. rl0 dit :

    @lemuria:
    Stop pleurer
    stop analyser
    il obligenre
    go faire
    il aurait pu allez se faire

    Sérieusement, au lieu de faire kikoolol j’ai 15 ans et j’analyse les hacker, “go école” comme tu dis :)

    Ah,
    “j’ai 15 ans et je t’em***de cordialement.”
    La politesse arrive aussi à la puberté ?

  35. MikeZ dit :

    Sans parler de mentallement perturbé je dirais surtout

    “oué regarde je h@ck da wolrd j’ai TELECHARGE Subseven , yeah”
    “oué ta rézon tu RoXXe mdr lol ptdr”
    “oué, je suis 1 den G pour le monde libre, PHEAAAAR !!”
    “Vien on dessine des tetes de mort partout”

    (fautes d’origine :)

    “j’ai 15 ans et je t’em***de ** ”

    Voila typiquement une réaction puérile doublée d’une réponse constructive :p. J’ai pas compris :
    * Tu défend le “script kidding?” -> OMG pauvre ptit va..
    * Tu réfutes les accusations qu’on fait aux kiddies?

    C’est pas possible , le principe du kiddie c’est
    * j’exploite un truc tout fait où j’ai rien à faire pour hacker
    * “c moi kai la plus grosse”
    * “je h@ck da world”

    mais uniquement pendant les heures de gouter attention !

    * Tu n’est pas un kiddie et tu maitrise
    dans ce cas, pourquoi défendre ces petits m*rdeux?

    Parce que pour les défendre faut vraiment en etre un…
    Le kiddie est incapable de réfléchir par lui même pour hacker.

    hacker , cracker : personne n’est d’accord..

    A la base hacker ca veut dire bidouilleur, pas pirate !
    Et “cracker” est beaucoup plus employé pour les fabriquants de “patch” ou “keygens” qui déplombent les logiciels…
    Tous ca c’est des querelles de clocher stériles cette sémantique

  36. Swopyl dit :

    La seule chose que les scripts kiddies maitrisent c’est Google…

  37. kruggs dit :

    Perso, je prefere voir les code source exploit, vuln etc partout sur le net.
    Pourquoi : c’est tout simple
    Si on planque les failles qui les devinera ?
    parceque faut pas rêver, il n’y pas que les grosse boite qui trouve les failles…ils pompe sur le net aussi pour faire leur business.
    De plus si seul les societes gardes les exploits, euu on se protege comment nous ? on attend que la boite sorte un patch, et ou que on paye un boite en securité ?? loool tout sa pour avoir plus de pognon…

    En ayant droit a ces sources on apprend a reagir, et reflechir comme les hacker ou autre, du coup on sais comment patcher sois meme, et surtout c’est une veille important je trouve d’etre au courant des vulnerabilité.

    Enfin bon c’est comme toute choses, les gros veulent tout planker pour garder pour eux :)

  38. M dit :

    La semi disclosure est indispensable a toute réelle sécurité

    Pourquoi uniquement semi ?

    Parceque ça laisse un temps à l’admin / dévellopeur de remercier et corriger la faille et ou a propager les MAJ afin que personne ne soit bêtement hacké par des kiddies en manque d’occupation

    Pourquoi quand même semi ?

    Parceque dans le cas d’un admin/dev/sté/orga véreuse ou qui s’en fout “tant que ça marche on laisse comme c’est” powered, ça les pousse a s’activer et a corriger, sous la menace que ça devienne public un jour, ça les pousse a auditer leur code et a dev / bosser un peu plus proprement

    Dans les deux cas cela profite a l’utilisateur final

  39. lemuria dit :

    Je vois qu’il a plein de personne qui ont réagit :)
    @rl0 Si tu veut que je fasse des phrases longues et construites , moi ca ne me gene pas c’est juste plus long.Pour l’orthographe , j’avoue , je suis mauvais.
    Ensuite ton message a part critiquer ma sémantique , il ne sert a rien , on va dire que je fait une Métonymie , si tu vois ce que je veut dire…
    @mikez Ton message je l’aime bien :) Je ne défend pas les sk , je dénnonce le fait d’attribuer au SK un age particulier ( Mon age :p ) . Et je pense que les s-k qui arrivent a cracker certaine sécurité on un minimum d’experience , pas assez pour se rendre que ce qu’il font ne sert a rien. Un minimum d’experience , car il faut maitriser des langages de programmation pour utiliser la majorité des failles mise en ligne sur milw0rm par exemple . Ensuite les programmes dans lequel on entre une adresse et qui hack automatiquement , je pense que c’est un mythe , mais si ca éxiste , ce n’est plus du hacking.
    Pour ceux qui connaisent je traine sur hack-bbs
    Edit : +1 Kruggs et M

  40. MikeZ dit :

    Je vois :p A ceci près que si il sait cracker un peu la sécurité, c’est plus un kiddie du tout, sauf il se comporte comme un neuneu ! Mais on joue sur les mots quoi :)

    Et puis par “kiddie” on entend SURTOUT mentalité hein, pas l’age.. Il faut quand même avouer que la plupart sont dans cet age dit ingrat (je suis pas beaucoup plus vieux j’ai pas 28 ans ) du kikoolol..

    Sinon pareil que M.

    Il se fait tard bonne nuit

  41. J’aime bien ce débat tellement il est lamentable car rentrant de plus en plus dans le troll vu maintes et maintes fois. Ce petit débat “anti-SK” est vieux, même si au fond, tous les pirates et responsables en SSI utilisent des exploits, qu’ils soient simples d’exploitation (demandant que le target, et des fois le port) ou plus difficiles à mettre en œuvre (demandant l’application de diverses variables d’environnement, le target, l’élaboration de son propre shellcode, un playload etc.).

    J’imagine par ailleurs un DSSI ou autres (hackers, crackers, pirates (rayez la mention inutile)) auditant l’intégralité des codes sources ou faire du fuzzing ou reverse afin de posséder ses propres exploits. C’est inimaginable.

    Tous les RSSI, DSSI et tout ce qui se fini en SSI utilisent des exploits (local ou remote) durant leur pentests contre des systèmes et ce n’est pas pour cela que ce sont des “SK”.

    Oui, il y a des personnes sur les scènes se servant des exploits des autres, n’ayant vraiment pas de connaissance dans les langages de programmation ou en systèmes d’exploitation voulant pirater le plus possible, leur piratage se limitant simplement à un stade peu élaboré dont la plart son simplement la cible de certains sites web et n’iront pas au delà des bastions. On les rencontre beaucoup dès qu’une vulnérabilité est décelée par exemple sur certains CMS où ils s’amusent à rechercher les sites faillibles grâce à leur signature à partir de Google et font des mass deface, ils sont peut-être la base de la pyramide mais il faut faire avec.

    Je pense que ces débats sont inutiles, puérils et ne mènent à rien… après tout, nous sommes tous le “SK” de quelqu’un.

  42. kruggs dit :

    alors la Félix Aimé, je le pensais, mais j’hésitais a le dir de cette maniere:p
    mais tu a tout a fait raison :p
    d’une on va pas réinventé la roue, si des exploit existe et qu’il marche on prend :) et ce n’est pas pour cela qu’on est SK
    et puis bon, sert a rien tout ce debat :p

  43. Gogopex dit :

    @Félix Aimé: Bah oui, mais maintenant j’ai plus rien a dire ! :D

  44. MikeZ dit :

    Tout à fait.. Mais bon si on peut plus faire des trucs stériles :)
    Sinon rien à dire j’adhère.. Si tu me relis tu vera que les responsables IT j’en parle pas et ca,volontairement.

  45. omgwtf dit :

    Personnellement je prone un full disclosure “sauvage” en opposition au soit disant full disclosure “responsable” qui consiste à atteindre que l’éditeur de logiciel fixe le bug avant que les détails de la faille soit publiés.

    On a vu où ça menait, par exemple avec Microsoft qui peux mettre entre deux mois et une année à corriger certaines vulnérabilités (un site regroupait toutes ces vulns microsoft, je ne sais pas s’il existe toujours) et pendant ce laps de temps ce sont les utilisateurs qui trinquent.

    Après la carotte, il n’y a que la technique du baton qui fonctionne… mais il faut avouer que ça c’est amélioré : maintenant toutes les grosses boites communiquent sur leurs pbs de sécu en ouvrant des blogs sur le sujet (comme le fameux blog “Microsoft Hackers” qui toutefois n’apporte pas grand chose d’intéressant… heureusement ya Mark Russinovich pour remonter le niveau)

    Et le no-disclosure et bien on le voit toutes les semaines, des failles exploitées direct in-the-wild qui créent des botnets à gogo ou des patchs discrets qui corrigent des failles sans que l’éditeur ne les déclare publiquement et dont les patchs sont très vite analysés à des fins “malicieuses”.

    Maintenant un france, en allemagne, on interdit le full-disclosure ou la publication d’outils d’attaque… encore une fois c’est aller dans le sens des éditeurs et pas des utilisateurs. Même le gov lui même trinque de cette bétise puisqu’il est utilisateur et c’est pas du côté du THC qu’on me contradira…

    Et enfin (pour terminer) à côté de ça il y a un sacret business autour des exploits, des sites d’enchère spécialisés ou des concours style pwn2own où des mecs touchent un pactole pour vendre leurs outils… on dit même que les govs ne sont pas les derniers à dépenser de l’argent pour ce genre de code :(

  46. Phantasmes dit :

    Ma réaction : lol.

  47. Arrgh, j’utilise Imageshack pour mon blog, je n’ai rien vérifié ce week-end, j’espère que ça s’est pas trop vu.

  48. amassine dit :

    j’utilise imagesshacks mais je ne l’aime pas

La menace des failles 0-Day

capture-vjhj

"En avril 2014, les chercheurs en sécurité de Google sont tombé sur une vulnérabilité présente à l’intérieur de la bibliothèque cryptographique OpenSSL. Petit problème, OpenSSL est utilisé sur les 2/3 des sites web qui utilisent HTTPS mais aussi par les téléphones Android. Heartbleed était né."

Si comme moi vous êtes un passionné de sécurité informatique et que vous vous demandez qu'est-ce qu'un truc comme Heartbleed peut causer comme dommages, la lecture de cet article sur les failles 0-Day est pour vous...et je vous rassure je ne parle pas du dernier film Blackhat récemment vu au ciné ;)

Lire la suite

Vous avez aimé cet article ? Alors partagez-le avec vos amis en cliquant sur les boutons ci-dessous :

Twitter Facebook Google Plus Linkedin email
Rejoignez les 55274 korbenautes
et réveillez le bidouilleur qui est en vous
abonnez-vous en savoir plus
"Vous aimez bidouiller ?" Oui j'adore l'informatique et la technologie
Suivez Korben Un jour ça vous sauvera la vie.. Ou celle d'un(e) ami(e)
  • Rejoignez les 55274 bidouilleurs de la grande famille des Korbenautes
    «Je considère que votre email est aussi important que le mien.»
    Korben
  • Univers Populaires

  • Site hébergé par
    Agarik Sponsor Korben
  • Vidéos

  • DANS TON CHAT (BASHFR)

    Lynx: autant reformuler les écritures saintes
    Lynx: par exemple l'histoire de Lucifer, le fameux ange "porteur de lumière" qui s'est rebellé contre Dieu, s'est retrouvé expulsé du Ciel et est devenu Satan, ça donnerait:
    Lynx: Lucifer, jeune cadre dynamique surdiplomé travaillait dans l'entreprise Dieu: Père, Fils & Saint Esprit©. Après une manifestation syndicale hostile, le PDG de DPF&SE©, Dieu, décida de supprimer des emplois dont celui de Lucifer. Celui décida de monter sa propre entreprise, Satan and Co. Dès lors, il tente de mener à bien une OPA sur la SPF&SE© en prenant petit à petit ses actionnaires.

    -- http://danstonchat.com/3144.html
  • Themes

  • Une astuce pour rendre

    Windows 10 plus rapide

    Si vous trouvez que Windows 10 est un peu lent, que vos applications ne se lancent pas très vite, que vos compilations prennent du temps, voici une petite astuce débusquée par Brominou pour accélérer le bouzin. Cliquez dans la zone de recherche de la barre Windows et tapez le mot clé...lire la suite

    Cryptool pour s'initier à la cryptographie

    Alors attention, ce n'est pas nouveau, mais je me suis dit que ce serait intéressant de vous en parler si vous ne connaissez pas encore. Cryptool est un logiciel open source éducatif qui va vous permettre de comprendre les principes de base de la cryptographie. Dans sa version 2, Cryptool intègre...lire la suite

    En ce moment dans l'univers "Windows"

    Voir tous les articles »