La faille de dotclear

« THE WINNER IS ... - En route vers le Sud-Ouest »

Par FredLynx le mercredi 1 août 2007, 00:15 - Au Coeur de Dotclear - Lien permanent

   Un petit billet en retour d'écho de la news poster sur le site de Dotclear au sujet d'une faille dans la version 2 beta 6.

   Une faille, kezako ? C'est simplement un BUG de programmation, mais pas un BUG qui fait planter l'application, mais plutôt un BUG qui permet à des personnes nuisibles de faire des choses nuisibles!
   Pour certain c'est un sport national, ou même mondial et ces derniers s'attaquent à des "gros systèmes" (Il n'y a cas voir le nombre de mise à jour de sécurité de windows). Pour d'autre l'objectif est juste d'emmerder le monde !!! ce faire mousser !!! péter plus haut que son cul !!!.
Tous les programmes libres du net ont eu leur faille "de gloire", phpBB, wordpress, Dotclear, phpnuke etc.

!!! Ce qui me révolte !!!

C'est que certain de ces petits zigotos qui trouvent des failles s'amusent à diffuser leur exploits sans même avertir les auteurs des programmes avant, sans ce soucier de savoir si la faille est corrigée au risque de mettre en péril des dizaines de sites tout ça pour satisfaire leur EGO.

Touver des failles c'est bien, prévenir les auteurs c'est mieux, attente les correctifs avant d'en parler c'est sport...

Petite édition du 04/08/2007: Je tiens à ajouter un petit lien vers le billet qu'a fait Bertrand Hackito Ergo Sum, et qui nous explique concrètement les deux familles de Hacker ainsi que sont point de vu A CHAUD comme il le précise!

Billets en rapport

Commentaires

1. Le mercredi 1 août 2007, 09:43 par Christian

M'ENFIN !!!

2. Le mercredi 1 août 2007, 14:56 par patricia

Au Pentagone, comme chez nous à la défense, on paye des Hackers pour trouver les failles du système de sécurité. Je crois que toutes les entreprises qui utilise l'outil internet on aussi ce type d'emploi.
J'avais lu dans un article il y a trois ans qu'il existait une école pour devenir Hackers. Peut être ne leur enseigne-t-on pas les règles à suivre dans ce cas ? Ou bien ce sont de jeunes ados qui ont un don pour cette recherche et qui n'ont pas conscience de l'impact que peut avoir ce comportement. Pour eux, il s'agit alors d'un défi, un simple jeu contre le monde adulte.

Je pense comme toi que quelque soit la raison, cela est très incorrect. Mais peut-on réellement faire quelque chose ?

3. Le vendredi 3 août 2007, 10:46 par Modérateur

Je partage ce coup de gueule ! Le pire, c'est que je pense qu'un partie de ces "zigotos" ne pensent même pas aux conséquences de leurs actes...

4. Le vendredi 3 août 2007, 17:42 par Sylvie

Même si je partage ce que dit Frédéric, je pense tout de même qu'il faut faire la différence entre "hacker" et "cracker".
Le Hacker va pénétrer un système juste pour consulter des infos (chez la concurrence par ex.), voire les voler (c'est ce qu'on appelle l'espionage industriel).
Le Cracker quant à lui est nuisible, il détruit le système délibérément. Et ça, JE TROUVE CA NUL !!!
Qui ne connait pas Kevin Mitnick, le plus grand hacker de tous les temps ? J'ai lu son livre et j'avoue avoir eu mal au casque les 10 premières pages, mais après je n'ai pas pu décrocher Il est désormais consultant en sécurité informatique (il me semble que le Pentagone a déjà fait appel à ses services...). Comme quoi, le piratage peut mener (quelque fois) aux hautes sphères
Pour résumer, il est vrai que le mal persiste, il y a intrusion. Mais l'une nocive, l'autre non. Vous n'avez jamais vu le Bureau "Windows" en Chine ? Cest assez sympa

5. Le vendredi 3 août 2007, 19:16 par Christian

TUT !!! TUT!!! TUT!!!....
01001110011110000110110000011101011010110011111001
00111000110010101011100011101010101011000111000110
00110010101010010001110011000110001101010001110010

"GSDRAC" !!! NEO...J'ECOUTE....C'EST TOI...MORPHéUS???

"AH NON, C'est le pentagone, t'as encore 30 minutes de retard...allez magnes toi, on t'attend au bureau..."

OUPS !!!

6. Le vendredi 3 août 2007, 19:26 par Bertrand

Je ne suis pas tout a fait d'accord avec toi quand tu dis que certains hacker/craker publient des failles de sécurité dans l'unique objectif de satisfaire leur égo.
Il faut savoir que la majorité des failles annoncées aux éditeurs ne donnent pas souvent lieu à une réponse dudit éditeur. On trouve même des failles vieilles de plus de 260 jours en cherchant bien, c'est à dire que l'éditeur est informé de cette faille depuis plus de 260 jours et n'a toujours rien fait (et je parle bien de Microsoft et d'une faille d'IE).

Attendre la sortie de correctifs pour rendre une faille publique n'arrange en rien les choses, il vaut mieux que la faille soit annoncée publiquement par un white hat (qui fournira si possible des workarounds) plutôt que de voir un 0 day en vente sur ebay. En effet dans le cas d'une publication officielle de la faille, après avoir prévenu l'éditeur qu'une telle publication allait avoir lieu, cette faille sera donc visible par des personnes compétentes dans les entreprises utilisant l'outil, et elles prendront alors les mesures qui s'imposent en attendant un correctif de l'éditeur (s'il y en un un jour).

Quant aux conséquences, le marché d'aujourd'hui et suffisament concurrentiel en informatique pour que les utilisateurs ou plutôt les administrateurs puissent choisir librement leurs outils.

Voilà pourquoi il est important que chaque entreprise dispose de son responsable sécurité des SI, qui se chargera de faire de la veille sur les failles des outils employés dans son entreprise... Chose qui n'est pas encore vraiment comprise.

Pour en revenir à la news qui a donné lieu à ton billet, en se rendant sur le site dudit cracker à l'égo surdimmensionné et en lisant son article sur cette faille, il dispense à la fin une bonne règle de sécurité pour éviter de ce faire prendre.

Et enfin pour revenir à la publication de faille, j'ai découvert hier une faille du même type que celle de DotClear (Attaque de style Cross-site scripting), mais pour un outil de CRM dont effectivement par respect pour l'éditeur je tais le nom. J'ai cependant prévenu l'éditeur que dans un délai de un mois, je rendrais cette faille publique, en la faisant publier sur des sites réferents en la matière. (faille publiée sur mon blog, sans le nom de l'outil bien entendu).

Je ne vois pas en quoi mon égo serait surdimmensionné ou en quoi je veux me la péter sur le net.
Je cherche à rendre service à tout un tas d'utilisateurs de ce CRM qui voit la confidentialité de leur données compromises, et je préfère que ce soit moi qui les mettent en garde, plutôt qu'un black hat qui découvre la faille et publie un 0 Day.

Que ton coup de gueule s'adresse aux black hats je le conçois, mais qu'il s'adresse à l'ensemble des acteurs de la sécurité informatique publiant des alertes de sécurité, je trouve que c'est un peu injuste.

Enfin, pour répondre à Patricia, cette recherche de faille de sécurité, c'est pour certain un métier, et c'est n'est pas seulement une passion d'ados boutonneux.

En fait j'ai tellement de chose à dire en réaction à ce billet et à ces commentaires que je vais plutôt en faire un billet en réponse sur mon blog.

Hackito ergo sum !

7. Le vendredi 3 août 2007, 19:29 par bertrand

J'oubliais, le petit rigolo ayant publié ses exploits pour DotClear sans prévenir les dev, l'a fait sur le forum de DotClear dans la partie réservée à cet effet, ou les devs de DotClear ne l'ont pas cru une seconde. C'est malheureusement le lot de tout "inventeur" de faille, on nous croit pas on nous insulte et on fini par nous faire des procés alors que si on avait voulu on aurait fermé notre gueule sur la faille et on aurait vendu un 0 Day à 20000 USD sur ebay.

8. Le vendredi 3 août 2007, 20:17 par bertrand

J'utilise mon droit de réponse sur mon blog dans le billet ci-dessous :

http://arquilliere.blog.rhonealpesj...

9. Le samedi 4 août 2007, 12:03 par FredLynx

En premier lieu je tiens à vous remercier pour vos réactions. Et tout particulièrement Bertrand pour sa réaction enflammée
J'aurai tendance à dire « Je suis d'accord avec toi », mais je vais un peu argumenter... Peut être que mon billet n'était pas assez ciblé, mais si tu le relis tu peux t'apercevoir en regardant les exemples que je donne que je ne parle pas de problèmes de sécurité majeur.
Je suis tout à fait d'accord sur le fait qu'il faille prévenir les utilisateurs dans le cas ou les dits « responsables » de système ayant des failles ne font pas le nécessaire.
On peut très bien reporter ce type de décision sur bien d'autres points de la vie, c'est ce qu'on peut appeler la transparence, et ce sujet portera toujours à polémique entre les pro-transparence « à outrance » et les autres.
Pour en revenir au sujet, je me placé plutôt coté utilisateur de tous les jours, ceux qui utilisent un blog, un forum qui ne sont pas et ne seront jamais au fait des problèmes de sécurités. Je pense que ça doit représenter des millions de personnes, qui j'en suis sur seraient des plus désappointés en s'apercevant que leur blog ou forum soit « détruit » pour le fun par des gens que effectivement je classe dans les nuisibles! Alors soit il n'est pas toujours facile de ce faire entendre quand on trouve une faille mais faut-il la transparence et la diffusion dans tous les cas ...
Pour en conclure je dirais qu’effectivement il faut des gens qui « s’amusent » à chercher des failles, professionnels ou amateurs, maintenant mon « coup de gueule » n’est pas contre eux sinon je commencerais par m’engueuler moi qui avec mes petites compétences dans le domaine s’amuse de temps en temps à ce petit jeu.
En tout cas je suis content d’avoir eu le point de vu d’un professionnel de la sécurité.

10. Le samedi 4 août 2007, 13:15 par Bertrand

Merci Fred pour ces eclaircissements, et avec ces quelques explication supplémentaires, je suis plutôt d'accord

Je me rends compte que dans ma réponse et dans mon billet réaction, j'ai ommis (involontairement) de parler de ces nombreux éditeurs qui font de la sécurité par l'obscurantisme : " Pour vivre heureux, vivons caché" : code propriétaire, faille non divulguées et corrigées tardivement, protocole de communication propriètaire aussi. On voit se que ça donne : Microsoft ou encore Skype.

Enfin, la publication de faille n'est vraiment pas aisée, on prévient l'éditeur qui nous fait alors pression pour ne pas publier la vulnérabilité et on se rend compte que des mois plus tard, la faille n'est toujours pas corrigée et qu'il n'y a même pas eu une annonce officielle sur le site de l'éditeur.
Le chemin de la publication de faille (en tout cas pour les White Hat) n'est vraiment pas une promenade de santé.

Pour revenir à l'égo, en fait oui on cherche à se faire remarquer ... ben oui c'est notre passion et on a envie de gagner notre vie avec, alors autant qu'on soit le premier a publier une faille en espérant se faire remarquer par une boite de sécurité pour une embauche, ou par une société à la recherche de son RSSI

11. Le mardi 7 août 2007, 15:35 par Christian

Hé...TRINITY ! ils sont partis les SMITH ? c'est quand qu'on va chez l'oracle déjà ?

Mais qu'est ce que tu fais encore dans ton bain !!!???...allez magnes toi...si tu veux qu'on arrive à l'heure chez ta mère, c'est pas dans deux heures qu'il faut partir !!!...
01001110011110000110110000011101011010110011111001
00111000110010101011100011101010101011000111000110
00110010101010010001110011000110001101010001110010
TUT !!! TUT!!! TUT!!!....

12. Le mercredi 21 mai 2008, 13:49 par France emploi

Bonjour,

Moi je trouve ton site très bien fait en tout cas...

Fil des commentaires de ce billet

CVBlog - CHEF DE PROJETS