Korben - Site d'actualité geek et tech

A propos de la divulgation coordonnée de vulnérabilités

0

Depuis un petit moment maintenant, de nombreuses sociétés et organisations tentent de trouver des solutions pour contrer le Bug Bounty sauvage (open bug bounty) ou encore empêcher le full disclosure qui consistent à révéler publiquement une faille de sécurité.

Vous connaissez aussi sans doute aussi le concept de “Divulgation Responsable” (Responsible Disclosure), qui reprend le concept du Full Disclo, à la différence prêt que cette fois, le découvreur de la faille laisse le temps à l'éditeur de publier un correctif.

Mais cela ne se passe pas toujours sans chamaillerie. En effet, les chercheurs souhaitent prévenir le plus vite possible la communauté de leur découverte et les éditeurs prennent souvent beaucoup de temps à proposer un correctif. Et pendant ce temps, le système impacté reste à la merci d'éventuels attaquants.

C’est la raison pour laquelle de nombreuses organisations plaident en faveur du concept de “Divulgation coordonnée de vulnérabilités” (DCV) afin de promouvoir et renforcer la coopération entre les différents acteurs de la cybersécurité qui tous ont un objectif commun : rendre l’Internet plus sûr.

Sur le blog de YesWeHack, nous avons publié un article à ce sujet, que je partage avec vous ici.

---

La Divulgation coordonnée de Vulnérabilités ( DCV ) est un processus visant à réduire les risques et in fine à atténuer les dommages potentiellement causés par une vulnérabilité ciblant un système d’information. La DCV ( CVD en anglais ) est un processus que l’on ne peut pas réduire au déploiement d’un correctif ou à la publication d’un rapport quand bien même ces événements sont des indicateurs de l’efficience de la coopération.

La divulgation coordonnée des vulnérabilités est donc le processus qui consiste à collecter des informations auprès des chercheurs de vulnérabilités, à coordonner le partage de ces informations entre les acteurs et à divulguer l’existence de vulnérabilités (logicielles, voire matérielles) et leurs mesures d’atténuation à diverses parties prenantes, y compris le grand public.

Cette pratique accroît de manière significative les chances de réussite de tout processus de réponse à vulnérabilité. Les contributions sont souvent des rapports de vulnérabilité rédigés par des chercheurs en sécurité.

Les rapports DCV concernant un produit (logiciel ou matériel) comprennent généralement des correctifs ainsi que des documents de rapport de vulnérabilité ou des enregistrements dans une base de données de vulnérabilités. Notez que de nombreuses vulnérabilités opérationnelles peuvent être aussi corrigées par l’opérateur et elles ne se traduisent pas forcément par une divulgation publique.

La divulgation des vulnérabilités est un processus par lequel les fournisseurs et les personnes qui découvrent des vulnérabilités peuvent travailler en collaboration pour trouver des solutions qui réduisent les risques associés à une vulnérabilité.

Norme ISO/CEI 29147 définissant la Divulgation de Vulnérabilités

Ce processus comprend des actions tels que le signalement, la coordination et la publication d’informations sur une vulnérabilité, son atténuation voire, dans l’idéal, sa résolution.

À ce stade, décortiquons la DCV :

Les principes:

  • Réduire les risques donc les dommages
  • Croire aux bonnes actions donc aux bons samaritains
  • Éviter le hasard
  • Stimuler la coopération
  • Suivre la déontologie
  • Apprendre de la boucle OODA
  • Considérer la DCV comme un processus naviguant entre le “meilleur” et le “pire”.

Les objectifs :

  • veiller à ce que les vulnérabilités identifiées soient prises en compte;
  • réduire au minimum le risque de vulnérabilité;
  • fournir aux utilisateurs suffisamment d’informations pour évaluer les risques liés aux vulnérabilités de leurs systèmes;

Les acteurs :

La Divulgation coordonnée de Vulnérabilités commence communément par la détection d’une vulnérabilité et se termine par le déploiement de correctifs ou d’atténuation.

Par conséquent, plusieurs acteurs sont impliqués dans le processus de CVD :

  • Chercheur en sécurité – la personne ou l’organisation qui identifie la vulnérabilité.
  • Rapporteur – la personne ou l’organisation qui avise le fournisseur de la vulnérabilité.
  • Fournisseur – la personne ou l’organisation qui a créé ou entretient le produit vulnérable.
  • Administrateur système – personne ou organisation qui doit déployer un correctif ou prendre d’autres mesures correctives.
  • Coordinateur – personne ou organisation qui facilite le processus d’intervention coordonnée.

Les étapes :

  • Découverte – Quelqu’un découvre une vulnérabilité dans un produit.
  • Rapport – Le fournisseur du produit ou un tiers coordinateur reçoit un rapport de vulnérabilité.
  • Qualification – Le destinataire d’un rapport le valide pour s’assurer de son exactitude avant de le prioriser en vue d’une action ultérieure.
  • Remédiation – Un plan d’assainissement (idéalement un correctif logiciel) est élaboré et mis à l’essai.
  • Sensibilisation du public – La vulnérabilité et les mesures correctrices sont divulguées au public.
  • Déploiement – Les mesures correctrices sont appliquées aux systèmes concernés.

La phase de rapport est importante, car elle requiert de créer des canaux sécurisés pour éviter que les informations transmises soient interceptées par une tierce partie.

Ce processus connaît cependant des obstacles :

  • Aucun contact du fournisseur disponible – Ceci peut se produire parce qu’un contact n’a pas pu être trouvé ou parce que le contact n’est pas réactif.
  • Cessation de coopération – les participants au processus de DCV pourraient avoir d’autres priorités qui attirent leur attention.
  • Fuites d’information – Qu’elles soient intentionnelles ou non, les informations destinées à un groupe restreint d’acteurs, peuvent être transmises à d’autres personnes qui ne participent pas au processus de DCV.
  • Découverte indépendante – Toute vulnérabilité qui peut être trouvée par un individu peut être trouvée par un autre, et tous ne vous en parleront pas.
  • Exploitation active – Les preuves qu’une vulnérabilité est activement exploitée par des adversaires nécessitent d’accélérer le processus de DCV pour réduire l’exposition des utilisateurs au risque.
  • La communication se détériore – La DCV est un processus de coordination d’activités humaines. En tant que tel, son succès dépend de la quatité des relations entre les participants.
  • Marketing – Dans certains cas, les vulnérabilités peuvent être utilisées comme un outil de marketing. Cela n’est pas toujours propice au bon déroulement du processus de DCV.

En synthèse :

Les pratiques de divulgation des vulnérabilités ne se limitent plus aux applications web. L’Internet des objets et la constellation de systèmes SCADA, d’appareils de santé connectés, de caméras de surveillance, de voitures connectées, de drones, etc. sont devenus tellement dépendants des logiciels et de l’Internet qu’ils augmentent le périmètre d’exposition et, de ce fait, seront inéluctablement exposés à de nouvelles attaques.

La Divulgation coordonnée de Vulnérabilités est une alliée majeure pour fédérer le plus grand nombre d’acteurs du cyberespace et stimuler l’échange de savoirs pour mieux assurer dès la conception : la sécurité et la protection de la vie privée.

En incitant à la coopération, la DCV permettra à tous les acteurs de la cybersécurité non seulement de défendre leurs bastions et leurs patrimoines informationnels, mais aussi de lutter plus efficacement contre le marché noir et/ou la revente de Zerodays.

Le décor est maintenant planté, alors passons de la théorie à la pratique.

Security.txt : la prometteuse RFC !

Afin de répondre au manque de contacts mis à disposition pour divulguer une vulnérabilité sur un site web , le chercheur en sécurité EdOverflow, bien inspiré par le rôle du fameux robots.txt, a suggéré depuis début août 2017 d’inclure dans chaque site web le fichier security.txt comme fichier de référence contenant la marche à suivre pour divulguer plus efficacement à l’éditeur d’un site un bug, une vulnérabilité.

Cette méthode a le mérite d’établir des lignes directrices claires pour les chercheurs en sécurité sur la façon de signaler les problèmes de sécurité et permet aux programmes de Bug Bounty de s’en inspirer pour mieux définir le périmètre d’attaque proposé aux futurs chercheurs.

Security.txt est une ébauche qui a été soumise à l’examen de la RFC. Cela signifie que security.txt en est encore aux premiers stades de développement. Vous pouvez y contribuer sur github !

Le Bug Bounty comme composant de votre politique de divulgation

Dans le cadre d’un développement agile sur leurs propres produits, de plus en plus de fournisseurs choisissent d’être pro-actifs en stimulant et en coopérant avec les chercheurs de vulnérabilités :

  • soit en misant sur les ressources et expertises en interne.
  • soit en contractant directement avec des chercheurs externes
  • soit en passant par une plateforme qui va mettre en relation des chercheurs et l’éditeur de la solution. Ce dernier paiera donc au résultat et pourra choisir différentes formules et options payantes telles que le management de programme voire le patch management si ses ressources en interne ne sont pas suffisantes.

La création et l’instauration dans la durée d’un programme de Bug Bounty sont considérées comme des indicateurs de maturité de la cybergouvernance des éditeurs en matière de vulnérabilité.

Depuis 2013, YesWeHack travaille au développement d’outils qui facilitent grandement la mise en place d’un politique incitative à la divulgation coordonnée de vulnérabilités. Sa communauté et son écosystème de services permettent aux organisations et aux chercheurs en sécurité informatique de mieux coopérer.

Grâce aux outils développés par YWG-H, les organisations bénéficiaires peuvent contourner plus aisément les obstacles rencontrés par leur politique de DCV. De plus, les organisations gagnent en notoriété en démontrant leur appétence et leur volonté d’améliorer en continu leurs systèmes.

Notre plateforme européenne de Bug Bounty a beaucoup d'avantages qui la rendent unique :

  • un recours à des partenaires et prestataires européens pour des questions de souveraineté.
  • une infrastructure légale et technique qui répond aux exigences de sécurité les plus élevées.
  • la sécurité et la confidentialité des communications basées sur le chiffrement et le respect des normes ISO.
  • une sécurisation des transactions financières entre les organisations et les chercheurs en sécurité.
  • une plateforme de paiement conforme aux dispositifs européens de lutte contre le blanchiment d’argent et contre le financement du terrorisme.
  • un accompagnement tout au long du processus : de la rédaction du programme jusqu’à l’aide aux correctifs.
  • un classement opérationnel des meilleurs chercheurs : Gestion d’une communauté de chercheurs en sécurité.
  • une réactivité qui permet de mobiliser les meilleurs chercheurs en un temps record.
  • une capacité d’organisation de différents types de programmes de Bug Bounty (Privé / public / In situ / Hardware et/ou Software).

Quelle démarche adopter si un produit ne propose ni Bug Bounty ni Security.txt ?

Il existe un outil simple et efficace pour éviter les remontées sauvages de vulnérabilités : Zerodisclo.com

Il est important de noter que certains produits (logiciel ou physique) ne disposent pas de leur propre programme de Bug Bounty. Il est ainsi délicat pour un chercheur en sécurité de pouvoir remonter une vulnérabilité à une société éditrice. Tous les pays ne disposent pas d’une loi permettant ce type de pratique comme c’est l’objet de l’article 47 de la Loi pour une République numérique initiée par l’ANSSI.

YesWeHack a crée Zerodisclo.com pour faciliter les remontées de vulnérabilités de façon sécurisée, voire anonyme, et ainsi mettre en relation les différents acteurs œuvrant pour un Internet plus sûr. Grâce à Zerodisclo plusieurs obstacles sont levés : Pas de login, anonymisation du rapport via le réseau Tor (.onion) et chiffrement obligatoire et automatique du contenu du rapport avec la clef PGP publique du CERT choisi. Vous pouvez consulter la liste des CERTs inclus dans ZeroDisclo.com

À titre d’exemple : vous pouvez aussi rapporter directement au CERT FR en cliquant sur le lien suivant > https://zerodisclo.com/#cert-fr

J'espère que certe article vous aura aidé à y voir plus clair sur ce qu'est la Divulgation coordonnée de Vulnérabilités et que cela vous aura donné envie de vous y mettre pour reprendre enfin le contrôle de vos vulnérabilités.

Vous avez aimé cet article ? Alors partagez-le avec vos amis en cliquant sur les boutons ci-dessous :

Twitter Facebook Google Plus Linkedin email Flattr ! Bitcoin DogeCoin

Lindy Clé USB et 4 verrous USB de sécurité

450px

18,93 € soit 35% de réduction

Cette Clé USB constitue l'outil le plus simple et efficace pour bloquer l'accès à vos ports USB Avec ce petit périphérique, les administrateurs systèmes pourront physiquement empêcher la connexion de clés, de baladeurs MP3, ou autres périphériques de stockage USB pouvant permettre le vol de données ou l'introduction de virus

Pour l'utiliser, introduisez simplement le verrou USB dans votre port USB puis utilisez la clé pour le verrouiller. Réutilisez la clé pour le déverrouiller facilement

En Savoir +

Accèder aux modules cachés de Jetpack pour WordPress

0

Si vous utilisez le WordPress pour votre site, peut-être avez-vous installé en plus, l'extension Jetpack qui permet de profiter des certaines fonctionnalités du site WordPress.com sur sa version auto-hébergée. Jetpack offre pas mal de fonctionnalités supplémentaires pour améliorer la sécurité de votre site, faire des sauvegardes, optimiser le SEO, mieux gérer votre contenu, accéder à des stats et j'en passe.

Toutefois, parce qu'ils sont encore en test, ou parce qu'ils vont bientôt être abandonnés, certains modules demeurent cachés dans l'interface de Jetpack. Voici comment les afficher pour pouvoir les installer (à vos risques et périls évidemment )

Pour cela, ouvrez la page de paramétrage de l'extension Jetpack et rendez-vous tout en bas de celle-ci. Vous devriez voir un petit lien nommé "Debug".

Cliquez dessus, et vous arriverez sur une page sur laquelle se trouve le lien suivant : "Access the full list of Jetpack modules available on your site"

Et voilà, ainsi, vous aurez accès à l'intégralité des modules proposés par cet super extension !

Enjoy !

Source

Vous avez aimé cet article ? Alors partagez-le avec vos amis en cliquant sur les boutons ci-dessous :

Twitter Facebook Google Plus Linkedin email Flattr ! Bitcoin DogeCoin

6 jours de vacances en plus pour les non-fumeurs !

7

Aaah ces fumeurs... Toujours en pause, dehors à se les geler pour griller leur clope. Alors que les non-fumeurs, eux sont au turbin !

Et les journées clope entrecoupée de pauses "boulot" sont en train de se voir dans certaines sociétés. La preuve avec Piala Inc, une boite de marketing basée au Japon, qui a reçu des plaintes du personnel non-fumeur, au sujet de leur temps de travail supérieur comparé à ceux de leurs collègues fumeurs.

Bon, il faut dire que la société Piala Inc est située au 29e étage d'un immeuble, ce qui ramène la pause clope express à 15 min minimum, le temps d'aller dehors. Du coup pour compenser, Takao Asuka, le CEO de la société a décidé de donner aux employés non-fumeurs, 6 jours de vacances supplémentaires.

Ça c'est du progrès social. Bon, sinon, Takao Asuka avaient d'autres solutions :

  • 1/ Il aurait pu faire construire un fumoir, vous savez ces bocaux plongés dans le brouillard, où les gens suffoquent.
  • 2/ Il aurait pu enlever 6 jours de congé aux fumeurs (héhé) ou pratiquer une retenue du salaire #CodeDuTravailOnTeNique
  • 3/ Il aurait pu virer les fumeurs et arrêter d'en embaucher :-D

En tout cas, espérons que ces 6 jours de vacances supplémentaires donneront envie à ceux qui fument d'arrêter la clope

Puis pour ceux qui envisageraient de commencer la cigarette, voici une petite vidéo pour vous

PS : Ami fumeur, si cet article t'as mis la rage, sache que je l'ai écris sur le ton de l'humour et que je t'aime fort fort fort... même si tu pues un peu.

Source

Vous avez aimé cet article ? Alors partagez-le avec vos amis en cliquant sur les boutons ci-dessous :

Twitter Facebook Google Plus Linkedin email Flattr ! Bitcoin DogeCoin

OVH est down – Pas de paniiiiiiique !

10

Vous connaissez sans doute tous la fameuse loi de Murphy, qui s’arrange toujours pour ajouter des problèmes sur les problèmes existants. Et en général quand une cascade débute ça s'enchaîne et tout ce qu’on peut faire c’est écoper en attendant que ça aille mieux le lendemain.

C’est ce qui arrive à OVH aujourd’hui, qui rencontre de gros soucis sur son infrastructure. Octave Klaba, son fondateur vient de poster un tweet expliquant le problème :

Nous avons un souci d'alimentation de SBG1/SBG4. Les 2 arrivées électriques EDF sont down (!!) et les 2 chaines de groupes électrogènes se sont mises en défaut (!!!). L’ensemble de 4 arrivées électriques n'alimente plus la salle de routage. Nous sommes tous sur le problème. En plus de souci sur SBG, nous avons le souci sur le réseau optique en Europe qui interconnecte RBX et GRA avec les POP. Il est down (!!).

Je publie cet article, histoire de vous tenir au courant, afin que vous ne paniquiez pas. Il n'y a pas vraiment de soucis avec votre serveur, il est juste débranché. C’est clairement exceptionnel comme situation, et j’espère qu’ils vont résoudre tout ça très vite. En attendant, inspirez et expirez profondément et profitez en pour aller respirer un peu d'air frais ou vous mettre à la méditation.

Bon courage aux équipes d'OVH et bon courage à tous ceux qui ont comme moi des serveurs, des connexions ADSL ou leur boite mail chez eux (cool, enfin un peu de calme pour bosser).

Vous avez aimé cet article ? Alors partagez-le avec vos amis en cliquant sur les boutons ci-dessous :

Twitter Facebook Google Plus Linkedin email Flattr ! Bitcoin DogeCoin

Laptop Sac à Dos Puersit 15 pouces

20,00 € au lieu de 89,99 € soit 78 % de réduction

Idées cadeaux pour les fêtes dans l'univers gaming ... Découvrez notre guide d'achat

Dimensions : 29,2 cm L x 40,6 cm H x 16,5 cm l Poids : 0,8 kg Il peut parfaitement contenir un ordinateur portable de 39,6 cm. Grande capacité : 1*compartiment principal, 2*poches frontales, 1*petite poche frontale pour porte-feuille, 2*poches latérales, 1*poche pour ordinateur portable et iPad. Matériau : tissu en nylon indéchirable, DOUBLURE EN POLYESTER de haute qualité. Léger, résistant et facile à nettoyer.

En Savoir +

Android – Comment récupérer des fichiers ou photos effacées par erreur

Android – Comment récupérer des fichiers ou photos effacées par erreur

Vous avez effacé par erreur des fichiers (photos par exemple) sur votre téléphone Android ? Pas de panique, tout n'est pas foutu ! (pas comme sur un iPhone sans iCloud quoi... )

Tout d'abord, posez-vous la bonne question... Est-ce que ces foutus fichiers étaient sur la carte SD de votre téléphone ou dans la mémoire interne ?

Fichiers effacés de la carte SD

Dans ce cas, rien de sorcier. Pour les cartes SD, il y a des tas de logiciels qui permettent de récupérer des fichiers effacés par erreur. L'un des plus connus, 100% gratuit et qui fonctionne bien s'appelle Recuva (pour Windows). Recuva fonctionnera aussi pour n'importe quel disque dur ou carte mémoire (d'appareil photo and co).

Vous mettez la carte SD dans un lecteur et vous lancez le soft... Après un rapide scan sur le bon disque, vous verrez les fichiers disparus et vous pourrez les récupérer.

Attention, la science de la récupération de fichiers n'est pas une science exacte... Si vous avez trop attendu et que l'espace disque où se trouvaient les fichiers a été réécrit, il se peut que vous ayez perdu définitivement vos documents.

Si vous vous sentez plus à l'aise avec des logiciels en ligne de commande (ou que vous voulez les intégrer dans un processus automatisé quelconque), je vous recommande TestDisk qui est capable de récupérer tout et n'importe quoi sur n'importe quel type de partitions (et donc sur les cartes SD). Si vous visez uniquement de la récupération de photos, vous pouvez aussi tester PhotoRec (en ligne de commande aussi).

Pour info, PhotoRec et TestDisk sont disponibles sur tous les systèmes d'exploitation... Windows, Mac, Linux, FreeBSD et même DOS (!!)

Fichiers effacés de la mémoire du téléphone

Je parle ici de la mémoire interne du téléphone Android et pas de la carte SD. Alors comment retrouver vos précieux sans devoir dessouder cette mémoire et l'explorer avec du matériel de la CIA ?

Il n'y a pas 36 000 solutions... À vrai dire, LA solution s'appelle Undelete Beta. Il s'agit d'une application Android gratuite (et en beta... ceci explique peut-être cela) qui scanne directement la mémoire du téléphone Android à la recherche des fichiers perdus. L'application a besoin de droits super utilisateurs donc il faudra que votre téléphone soit rooté pour en profiter.

Cependant, il y a un bémol. En effet, Undelete Beta pour le moment ne supporte que les partitions FAT. Et en général, les partitions systèmes Android sont formatées en Ext2. Mais si votre téléphone dispose de mémoire secondaire en FAT (en gros un équivalent de la SD, mais soudé), c'est top !

L'interface est plutôt agréable et le scan est super rapide et j'espère que rapidement, les développeurs intégreront le support de l'Ext2/3/4. Autre chose bien pratique avec Undelete Beta, la possibilité de shredder, c'est-à-dire détruire une bonne fois pour toutes les fichiers encore récupérables. Indispensable pour éviter que des curieux tentent certaines choses.

En effet, si vous revendez votre téléphone en occaz, méfiez vous, car le nouveau propriétaire pourrait très bien utiliser ces mêmes techniques pour récupérer vos photos personnelles, contacts, documents...etc.

Maintenant pour récupérer des fichiers à partir d'une mémoire Ext2, malheureusement, il n'y a pas de softs "grand public" capables de faire ça. Par contre, ça semble faisable avec Debugfs et E2undel. Je n'ai pas creusé plus loin cette partie, mais si vous avez des astuces là dessus, je suis preneur.

Bonne chance !

Twitter Facebook Google Plus Linkedin email Flattr ! Bitcoin DogeCoin

Firefox qui rame et pas envie de le relancer ? Essayez cette astuce.

7

J'avais mon Firefox qui pédalait un peu dans la semoule après une grosse journée de boulot. Surement la faute à une page web trop violente ou à un plugin trop gourmand. Pas envie de le relancer et difficile d'en savoir plus...

Alors en cherchant des indications sur la consommation mémoire interne de Firefox, j'ai eu l'idée d'entrer dans la barre d'url (Oui sans chercher sur un moteur de recherche. Trop fort le gars.) :

about:memory

Et là je suis tombé sur un bouton magique : Minimize Memory Usage.

J'ai cliqué dessus et paf, plus aucun problème de ramouillage.

Si j'avais su avant... Peut être que vous connaissiez déjà, peut-être pas, mais peu importe, je partage l'astuce.

A demain !

Vous avez aimé cet article ? Alors partagez-le avec vos amis en cliquant sur les boutons ci-dessous :

Twitter Facebook Google Plus Linkedin email Flattr ! Bitcoin DogeCoin

Beaucoup de questions sur le bug qui fait mal à votre portefeuille Ethereum. Et aucune réponse pour le moment…

2

La news de ces 2 derniers jours dans la communauté cryptomonnaie, c'est bien évidemment ce "bug" dans le wallet Parity qui a provoqué la blocage de 1 million d'Ethereum (environ 280 millions de dollars au moment des faits. Environ 154 millions de dollars maintenant.).

Ouch.

Ce problème touche les wallets multisignatures créées après le 20 juillet 2017. Ces wallets multi signature disposent de mesures de sécurité cryptographiques qui nécessitent la signature par plusieurs utilisateurs d'une transaction afin qu'elle soit traitée et validée. Une fonction dans la lib de Parity permet de convertir un wallet "single owner" (avec un seul propriétaire) en wallet nécessitant des signatures multiples. Et c'est là qu'intervient le développeur Devops199 qui en modifiant le code (open source) de la lib Parity, s'est attribué la propriété de tous les nouveaux wallet multi signatures créés avec Parity.

Puis d'un coup de baguette magique, il a supprimé son smart contract, ce qui a entrainé le blocage des comptes multi signature créés après l'introduction du bug en juillet. C'est moche et j'imagine que les gens sont ravis.

Parmi ceux qui ne peuvent plus toucher à leurs Ethereum, il y a le fondateur de Parity qui se retrouve avec 90 millions de dollars pris dans la glace. Parity mène l'enquête et travaille évidemment à trouver une solution pour résoudre le problème.

Le fameux Devops199 que beaucoup de personnes doivent avoir envie de tuer, s'est fait connaitre sur le Slack du projet et semble s'inquiéter des éventuelles poursuites judiciaires.

La première question qui me vient à l'esprit, c'est : Ne l'aurait-il pas fait exprès ? Ça me semble gros et l'erreur est humaine, mais le gars n'est peut-être pas si innocent que ça. Peut-être voulait-il introduire un genre de backdoor dans Parity et il s'est emmêlé les pinceaux, a paniqué puis a supprimé le wallet qui lui donnait accès à ces comptes multisignature... Je pense que ça mérite une petite enquête quand même.

La seconde question que je me pose c'est concernant les process de dev chez Parity. Ok c'est de l'open source, c'est cool, chacun peut apporter sa pierre à l'édifice, mais là, on parle quand même d'un outil utilisé pour stocker quelque chose qui a une valeur monétaire. C'est un peu comme si j'étais un fabriquant de coffres forts et que je laissais de parfaits inconnus fabriquer des coffres à ma place sans en vérifier la qualité ni s'ils sont percés. Ce n’est pas un peu risqué vis-à-vis de la clientèle ?

La troisième question à se poser, c'est concernant la solidité d'Ethereum concernant son langage "Solidity" (et des outils qui y sont associés comme le compilateur). Là dessus, je ne suis pas expert, mais je vous partage le point de vue de l'expert en sécurité Matthieu Suiche, qui pense que le "vendeur" (Ethereum donc) a aussi sa part de responsabilité.

Enfin, la dernière, mais pas des moindres : Est-ce que c'est réparable ? Honnêtement, mon sentiment le plus profond est que sans hard fork rétropédalé, cela a peu de chance de se résoudre. Mais on verra bien si Parity trouve la clé de cet épineux problème.

J'espère que de votre côté, vous n'avez pas été impacté par ce problème.

Vous avez aimé cet article ? Alors partagez-le avec vos amis en cliquant sur les boutons ci-dessous :

Twitter Facebook Google Plus Linkedin email Flattr ! Bitcoin DogeCoin

  • DANS TON CHAT (BASHFR)

    <Tomja> Quand j'entends le prof de philo parler, la seule chose qui me vient a l'esprit c'est: "KAMOULOX!!!!"

    -- http://danstonchat.com/7246.html
  • Ensemble Meuble TV Mural Copenhague (2 coloris)

    999,00 € au lieu 1 162,00 €

    Ce meuble télé comprend deux vitrines, deux meubles bas, une étagère et des lumières LED que vous pourrez placer sur les étagères en verre des vitrines

    Caractéristiques: L'ensemble comprend :Une vitrine à poser au sol de 60 x 35 x 116 cm (l,l,h) avec deux étagères en bois, une étagère en verre et une lumière LED. Une vitrine suspendue avec 3 étagères (2 bois et 1 verre) et une lumière LED. La porte en partie en verre s'ouvre sur la droite. La vitrine mesure 60 x 35 x 114 cm (l,l,h) Une étagère de 120 x 32 x 15 cm (l,l,h), Un élément bas avec deux tiroirs de 120 x 47 x 36 cm (l,l,h) Un élément bas à porte abaissable avec deux logements de 90 x 47 x 36 cm (l,l,h

    En Savoir +

  • RSS Emplois sécurité

  • Site hébergé par
    Agarik Sponsor Korben
  • Selection de contenus

  • 5 Live CD Linux pour faire du clustering

    Si vous possèdez une floppée d’ordinateurs dont vous ne savez que faire, pourquoi ne pas vous lancer dans du clustering ?
    Le clustering pour ceux qui ne savent pas est une technique qui consiste a mettre en réseau plusieurs ordinateurs afin de partager entre eux un traitement informatique ou une tâche plus ou moins balèze

    Comment s’installer un petit VPN maison

    quand on n’est pas un gros barbu

    Je pars en déplacement à la fin de la semaine, et comme je n’aurai qu’une connexion d’hôtel probablement vérolée, ça m’a pris comme une envie de pisser de me monter un petit VPN.
    Mais j’avais quelques exigences dignes d’une princesse monégasque !