On a vu où ça menait, par exemple avec Microsoft qui peux mettre entre deux mois et une année à corriger certaines vulnérabilités (un site regroupait toutes ces vulns microsoft, je ne sais pas s’il existe toujours) et pendant ce laps de temps ce sont les utilisateurs qui trinquent.

Après la carotte, il n’y a que la technique du baton qui fonctionne… mais il faut avouer que ça c’est amélioré : maintenant toutes les grosses boites communiquent sur leurs pbs de sécu en ouvrant des blogs sur le sujet (comme le fameux blog « Microsoft Hackers » qui toutefois n’apporte pas grand chose d’intéressant… heureusement ya Mark Russinovich pour remonter le niveau)

Et le no-disclosure et bien on le voit toutes les semaines, des failles exploitées direct in-the-wild qui créent des botnets à gogo ou des patchs discrets qui corrigent des failles sans que l’éditeur ne les déclare publiquement et dont les patchs sont très vite analysés à des fins « malicieuses ».

Maintenant un france, en allemagne, on interdit le full-disclosure ou la publication d’outils d’attaque… encore une fois c’est aller dans le sens des éditeurs et pas des utilisateurs. Même le gov lui même trinque de cette bétise puisqu’il est utilisateur et c’est pas du côté du THC qu’on me contradira…

Et enfin (pour terminer) à côté de ça il y a un sacret business autour des exploits, des sites d’enchère spécialisés ou des concours style pwn2own où des mecs touchent un pactole pour vendre leurs outils… on dit même que les govs ne sont pas les derniers à dépenser de l’argent pour ce genre de code

J’imagine par ailleurs un DSSI ou autres (hackers, crackers, pirates (rayez la mention inutile)) auditant l’intégralité des codes sources ou faire du fuzzing ou reverse afin de posséder ses propres exploits. C’est inimaginable.

Tous les RSSI, DSSI et tout ce qui se fini en SSI utilisent des exploits (local ou remote) durant leur pentests contre des systèmes et ce n’est pas pour cela que ce sont des « SK ».

Oui, il y a des personnes sur les scènes se servant des exploits des autres, n’ayant vraiment pas de connaissance dans les langages de programmation ou en systèmes d’exploitation voulant pirater le plus possible, leur piratage se limitant simplement à un stade peu élaboré dont la plart son simplement la cible de certains sites web et n’iront pas au delà des bastions. On les rencontre beaucoup dès qu’une vulnérabilité est décelée par exemple sur certains CMS où ils s’amusent à rechercher les sites faillibles grâce à leur signature à partir de Google et font des mass deface, ils sont peut-être la base de la pyramide mais il faut faire avec.

Je pense que ces débats sont inutiles, puérils et ne mènent à rien… après tout, nous sommes tous le « SK » de quelqu’un.

Et puis par « kiddie » on entend SURTOUT mentalité hein, pas l’age.. Il faut quand même avouer que la plupart sont dans cet age dit ingrat (je suis pas beaucoup plus vieux j’ai pas 28 ans ) du kikoolol..

Sinon pareil que M.

Il se fait tard bonne nuit

Pourquoi uniquement semi ?

Parceque ça laisse un temps à l’admin / dévellopeur de remercier et corriger la faille et ou a propager les MAJ afin que personne ne soit bêtement hacké par des kiddies en manque d’occupation

Pourquoi quand même semi ?

Parceque dans le cas d’un admin/dev/sté/orga véreuse ou qui s’en fout « tant que ça marche on laisse comme c’est » powered, ça les pousse a s’activer et a corriger, sous la menace que ça devienne public un jour, ça les pousse a auditer leur code et a dev / bosser un peu plus proprement

Dans les deux cas cela profite a l’utilisateur final

En ayant droit a ces sources on apprend a reagir, et reflechir comme les hacker ou autre, du coup on sais comment patcher sois meme, et surtout c’est une veille important je trouve d’etre au courant des vulnerabilité.

Enfin bon c’est comme toute choses, les gros veulent tout planker pour garder pour eux

« oué regarde je h@ck da wolrd j’ai TELECHARGE Subseven , yeah »
« oué ta rézon tu RoXXe mdr lol ptdr »
« oué, je suis 1 den G pour le monde libre, PHEAAAAR !! »
« Vien on dessine des tetes de mort partout »

(fautes d’origine

« j’ai 15 ans et je t’em***de **  »

Voila typiquement une réaction puérile doublée d’une réponse constructive :p. J’ai pas compris :
* Tu défend le « script kidding? » -> OMG pauvre ptit va..
* Tu réfutes les accusations qu’on fait aux kiddies?

C’est pas possible , le principe du kiddie c’est
* j’exploite un truc tout fait où j’ai rien à faire pour hacker
* « c moi kai la plus grosse »
* « je h@ck da world »

mais uniquement pendant les heures de gouter attention !

* Tu n’est pas un kiddie et tu maitrise
dans ce cas, pourquoi défendre ces petits m*rdeux?

Parce que pour les défendre faut vraiment en etre un…
Le kiddie est incapable de réfléchir par lui même pour hacker.

hacker , cracker : personne n’est d’accord..

A la base hacker ca veut dire bidouilleur, pas pirate !
Et « cracker » est beaucoup plus employé pour les fabriquants de « patch » ou « keygens » qui déplombent les logiciels…
Tous ca c’est des querelles de clocher stériles cette sémantique

Sérieusement, au lieu de faire kikoolol j’ai 15 ans et j’analyse les hacker, « go école » comme tu dis

Ah,
« j’ai 15 ans et je t’em***de cordialement. »
La politesse arrive aussi à la puberté ?

En hackant comme ca un site super connu tu fais grimper les sociétés de sécurisation.. Sont vraiment cons dans leur démarche

Tant qu’a faire ils auraient du parler des relations entre les sociétés d’antivirus et les auteurs de virus… Ca c’est vraiment trouble et abusé !

En mettant bien sur la fiabilité des infos de feu le « Virus Informatique » dans la balance, on peu quand même remarquer que quand ils on voulut évoquer le sujet ils se sont fait laminer , campagnes de calomnies et j’en passent…

Moi je vous le dit, les vrai pourris sont chez les éditeurs d’antivirus.

Je m’avance pas plus , ou korben va avoir des problèmes : DDOS du site, débarquement de Roland Garcia l’expert INDEPENDANT (LOL) mystère qui sort de sa boite et manie la menace des tribunaux des que l’on a le malheur de mettre en doute ses « constatations ».

Après il y a l’industrie de la sécurité, qui elle ne se définie pas… car elle en rentre pas du tout dans la philosophie du piratage et du hacking, voulant simplement faire de l’argent sur le dos de certains, donnant leur sources gratuitement (et c’est aussi contre cela qu’anti sec se bat…

Maintenant ça va.

Ceux qui préférent la philosophie White hats, trouvent divulgent les failles et aident à les corriger notemment sur les projets Open Source.

Les Black hats quant à eux, utilisent leurs exploits pour… le plaisir de detruire gratuitement (?), ou revendiquer une action quelquonque.

Le script kiddie lui se contente d’aller sur milw0rm aller chercher le code d’un des deux type de hackers et de les utiliser à tout bout de champ pour diverses raisons (vengeance, sentiment de toute puissance dans cet age ou l’être est si perturbé, etc…

- Pour plus d’informations –

http://fr.wikipedia.org/wiki/Black_hat
http://fr.wikipedia.org/wiki/White_hat
http://fr.wikipedia.org/wiki/Script_kiddie

(Pas exact à 100%, normal c’est wikipedia, et la version anglaise est beaucoup plus détaillée à ce sujet)

Les defacers/méchants hackers restent une minorité, et mieux vaux une diffusion public de ces faille permettant leurs corrections que leurs circulations dans un cercle restreint de méchant du net.

et en plus tu ne payes pas une fois pour le produit et une deuxième fois pour sa sécurisation….) que du bonheur quoi…