- Baisse du coût du dégroupage pour les opérateurs
- lliad annonce +52% de chiffre d'affaires
- France Télécom baisse les prix de gros de l'ADSL
- Arcep : autorisation de réguler le haut débit
- Dégroupage total : +68%
- Free : upload à 1024k pour les non-dégroupés
- AOL prépare l'ADSL2+ et le triple-play
- Les non-dégroupés vont enfin pouvoir uploader
- Peer To Peer et copie privée : le dossier
- Le WiMax se balade avec le tour de France
Après un mois de juin particulièrement riche en nouveautés, comme nous l'avions souligné lors de la précédente mise à jour de ce comparatif, Juillet quand à lui s'annonce un peu plus raisonnable. Le sera-t-il vraiment ?
Lire la suite
Une faille à cent francs
Source: VUNet – Mots-clés : Internet et réseau 57 commentaires
Sans doute le savez-vous déjà mais un petit rappel ne fera de mal à personne. Aujourd’hui, l’ensemble du trafic Internet repose sur les routeurs. Ces derniers interconnectent différents réseaux et sont capables de déterminer le meilleur chemin pour emmener votre paquet donné d’un point A vers un point B. Dans l’état actuel des choses, une firme basée à San Francisco possède une large avance sur ses concurrents en terme de routage puisque ses 10 millions de routeurs permettent d’assurer près de 60% des transferts sur Internet. Je veux bien entendu parler du géant américain Cisco Systems qui fait aujourd’hui la une de l’actualité non pas pour son leadership du marché mais plutôt pour une sombre affaire de faille de sécurité. Tout a commencé il y a quelques jours quand Michael Lynn, un expert en sécurité informatique travaillant pour l’Internet Security Systems (ISS), dévoilait publiquement et en détails une faille de sécurité critique sur les système d’exploitation IOS (Internet Operating System) de Cisco. Rappelons qu’IOS est aujourd’hui présent dans l’ensemble des produits de la firme que ce soit les commutateurs, les systèmes grand public ou encore les routeurs. Le lendemain, le numéro un des équipements réseaux mettait en ligne un correctifMise à jour d’un logiciel qui prend la forme d’un fichier de petite taille facile à télécharger. Un patch concerne généralement un domaine bien délimi... pour cette faille mais semble toujours minimiser cette affaire stipulant que seul le protocole IPv6Internet Protocol version 6. Évolution du protocole IP qui associe sur un réseau une machine à une adresse codée sous la forme d’une série de chiffres... est concerné par ce trou de sécurité.
En réalité, si la faille venait à être exploitée par un groupe de pirates, les conséquences pourraient être dramatiques et on parle déjà d’une paralysie générale d’Internet. Face à l’ampleur de la menace, Cisco Systems a préféré emmener Lynn devant les tribunaux afin que celui-ci cesse de communiquer sur cette faille. La justice américaine en a même profité pour faire ordonner à Richard Forno le retrait immédiat du document PDF de son site présentant en détails les travaux de Michael Lynn.
Conscient de l’impact que pourrait avoir cette faille, Lynn en est même allé jusqu’à démissionner de son poste à l’ISS pour présenter lors du Black Hat, une conférence réunissant moult hackers, ladite faille. De cette manière, il espère que Cisco reconnaîtra enfin le risque inhérent au trou dans IOS pour ainsi communiquer massivement sur la nécessité de la mise à jour du logiciel.
Réagissez ! Retour à la liste des news
-
Internet et réseau
- 1 / 2
- Suivante
-
![[:dawa']](http://img.infos-du-net.com/forum/images/perso/dawa'.gif "[:dawa']")
1° voilà ce que j'appelle de la conscience professionelle
2° il se mange un procès par son ex-employeur en plus
Ouais gilou : obscurantisme, je ne vois pas d'autre mot.
C'est des ricains... pas besoin d'en dire plus.
c'est leur job hein, alors qu'ils assument aussi.
| Molson__Ex a écrit : "Cisco Systems a préféré emmener Lynn devant les tribunaux" |
Je ne vois pas ce qu'il y a de dément à ça.
En poussant un peu on pourrait une analogie du genre :
je trouve dans le commerce plein de chose : bouteille de gaz tout ça
j'arrive à faire une bombe avec tout ce que j'ai trouvé
je vais m'amuser à dire à tout le monde comment faire pour faire la même chose que j'ai fais
Bon c'est un peu capilotracté mais c'est dans l'esprit quand même.
Je ne vois pas quel interet peut bien avoir le guss à faire une présentation publique et exposer en détails comment rendre HS x millions d'outils indispensable.
Cisco a quand même nettement plus interet de corriger la faille découverte qu'à la laisser béante, donc l'histoire de "je veux sauver la planete et dire à tout le monde qu'il faut vite vite vite corriger la méchante faille" ça tient pas debout pour l'annonce publique de la faille, il reporte la faille à Cisco uniquement et point barre
edit : surtout qu'en plus la découverte de la faille s'est faite si j'ai bien compris pour son boulot à ISS, donc si ISS ne souhaite pas diffuser les infos (cf. : ISS et Cisco avaient décidés d'annuler la présentation du bonhomme au Black Hat), le gars n'a vraiment aucune raison d'y aller et d'exposer le fruit de ses recherches à ISS au public
| sampabs a écrit : bah z'ont qu'à se sortir les doigts du cul et corriger la putain de faille aussi |
Se sortir les doigts du cul ?
Apparement ça a été corrigé le lendemain
| a écrit : Je ne vois pas ce qu'il y a de dément à ça. |
+1. C'est dans le cadre de son boulot, la "découverte" appartient à l'entreprise.
| a écrit : Apparement Cisco était déjà au courant mais leur position c'était plutôt "non non ca n'existe pas, c'est pas faisable", d'où la présentation au Black Hat. |
link
| a écrit : Se sortir les doigts du cul ? |
le lendemain de l'annonce au black hat ou le lendemain du jour où on leur a signalé la faille ?
(je recherche l'article concernant mon poste d'avant...)
| a écrit : Je ne vois pas ce qu'il y a de dément à ça. |
ISS et CISCO ne font pas de présentation au Black Hat puisque ce sont les "ennemis".
Par contre comme Lynn y va car c'est le seul endroit où on n'essaiera pas de le faire taire.
Pourquoi Cisco l'attaque ? Parce qu'ils ont une position dominante, et montrer que leurs systèmes peuvent avoir une faille aussi grosse peut leur faire perdre des sous.
Pourquoi il diffuse tant que ca ? Je ne vois pas du tout le rapport avec ce que tu expliques sur la bombe. Si des hackers parviennent à faire planter les matériels Cisco, ca va être le bordel partout sur le réseau, et économiquement ca peut être assez grave. Donc je comprends qu'il veuille le dire. Surtout si Cisco a refusé de répondre à ses avertissements (ce qu'on peut facilement comprendre de leur part).
Imagine que tu découvres qu'un système est dangereux, que tu sais qu'il y a eut des accidents, mais que personne n'a pu apporter la preuve que ca vient du système. Mais toi tu disposes des preuves. Qu'est ce que tu fais ? (en supposant que tu es honnête et que tu ne vends pas ton silence)...
En plus, le principe du "disclosure" est la base de la sécurité. Quand tu es responsable d'un site, tu veux être au courant des risques encouru. Les bonnes manières veulent que tu préviennnes à l'avance pour qu'un patch sortent rapidement. Mais le temps est compté. D'autres personnes beaucoup moins bien attentionné peuvent aussi travailler dessus !
Donc, si les éditeurs ne se sortent pas les doigts du cul, il est logique de le dire au monde pour qu'il se bouge. Au lieu de reconnaitre le problème, il essait de faire taire le scientifique. super. Tu leur ferais confiance à l'avenir ?
29/07
"Lynn a donné une présentation, mercredi à Las Vegas, au cours de la conférence Black Hat dédiée à la sécurité
[...]
Une mise à jour permettant de combler la faille utilisée par Lynn est déjà disponible, mais il reste très certainement des systèmes en place sur le Net qui ne sont pas encore protégés."
Ca laisse entendre que les deux éléments ne sont pas liés alors que :
http://www.vnunet.fr/actualite/sec [...] 0050802007
"Le 28 juillet dernier, Michael Lynn, un expert en sécurité, était rappelé à l’ordre par la Justice américaine après avoir présenté publiquement et en détails une faille critique de l’Internet Operation System (IOS) de Cisco (voir édition du 29 juillet 2005). Dès le lendemain, un correctif permettant de combler ce trou de sécurité était disponible sur le portail du constructeur."
Laisse plutôt entendre le contraire
Zarb
| a écrit : THEniluje> euh... ton exemple est foireux, tu peux trouver dans des manuels scolaire comment faire des explosifs, hein ! |
On a pas du aller à la même école
| a écrit : le lendemain de l'annonce au black hat ou le lendemain du jour où on leur a signalé la faille ? |
Lendemain de l'annonce au black hat en effet autant pour moi
le petit extrait concernant ce dont je parlais :
"The reason we're doing this is because someone said you can't," said one hacker, who like the others spoke to Reuters on condition of anonymity.
et c'est pas malin non plus de cisco d'avoir attendu qu'ils dévoilent tout au black hat pour sortir le correctif.
Esperons simplement que les admins des routeurs les mettront à jour rapidement.
| mafate76 a écrit : ISS et CISCO ne font pas de présentation au Black Hat puisque ce sont les "ennemis". |
1/"Cisco et l’ISS se sont mis d’accord pour annuler la présentation car des recherches plus approfondies étaient nécessaires, a indiqué à Vnunet.com, John Noh, porte parole de Cisco."
Je disais juste qu'ils avaient décidés d'annuler le truc, pas qu'ils s'amusaient à aller main dans la main présenter les failles existantes.
2/ Non, ça n'a aucun rapport.
Bah ils auraient étouffé totalement l'histoire et jamais sortit de patch dans ce cas, et je ne pense pas que ce soit réellement possible de faire ça parceque dans ce cas ils s'exposent à des problèmes nettement plus gros que juste dire "Ya un bug, voila le patch, continuez à utiliser nos produits avec délicatesse, on vous aime".
Le gars fait n'importe quoi n'importe comment, c'est normal que ça lui retombe sur le coin de la figure.
3/ "Donc je comprends qu'il veuille le dire."
A Cisco oui, à d'autres de Cisco, non, justement, sinon c'est lui même qui provoque directement et rapidement le scénario que tu décris
![[:mlc]](http://img.infos-du-net.com/forum/images/perso/mlc.gif "[:mlc]")
"Surtout si Cisco a refusé de répondre à ses avertissements"
Mais mince il est où le link où ça dit ça ?
En principe quand on te préviens d'une faille tu la corriges et tu publies le correctif, tu te dis pas "nan c'est bon ca va passer personne d'autre le sait", c'est plutôt cette attitude qui est dangeureuse parce que si Lynn n'avait pas divulgué la faille elle ne serait pas encore corrigée et le réseau serait encore vulnérable...
| a écrit : Mais le temps est compté. D'autres personnes beaucoup moins bien attentionné peuvent aussi travailler dessus ! |
Oui, donc autant se saborder et dire à tout le monde comment mettre la panique sur internet en fait
Ben je ne vois vraiment pas ce qu'il y a de logique.
Moi dans cette configuration où j'aurais reporté un truc critique et qu'il n'était pas corrigé (ce qui n'est pas prouvé à propos de cisco d'ailleurs, enfin pour ce que j'ai lu), bah j'aurais laissé tombé.
Si quelqu'un d'autre découvre la faille et l'exploite : dommage pour la boite, elle le savait, elle n'a pas corrigé : elle ne peut s'en prendre qu'a elle même.
Si personne ne la découverte ou ne l'exploite : bah c'est cool.
Or si tu annonce partout la faille, la deuxieme situation n'a même pas une once de chance d'exister
| Molson__Ex a écrit : "Cisco Systems a préféré emmener Lynn devant les tribunaux" |
Euh, le fait que ce soient les Américains ne change rien, et pour preuve : un ingénieur Français a réussi à percer le secret des cartes bleues il y a quelques années, et il l'a tout simplement testé (c'est à dire qu'il a fabriqué une carte qui lui permettait de retirer n'importe où et en entrant n'importe quel code). Au lieu de s'en mettre plein les poches en écumant les distributeurs de billets, il a révélé à je ne sais plus quel banque que cette faille existait bel et bien. Au lieu de l'en remercier, il s'est vu attaqué en justice, et est maintenant en prison.
Donc moi je dis Américains et Français, même combat...
De plus, la faille découverte ( cf http://linuxfr.org/~letoff/18964.html ) semble plus être un problème de concept (genre protection mémoire et autre) dans IOS plus que réellement une faille exploitable directement. Cela veut dire que le mur n'a pas forcément de troues mais qu'il est en placo de 3 mm.
| a écrit : alors le lien : http://today.reuters.com/news/news [...] SCO-DC.XML (english inside) Citation :Angered and inspired by Cisco's attempts to suppress news of the flaw earlier in the week, several computer security experts at the Defcon computer-security conference worked past midnight Saturday to discover and map out the vulnerability. "The reason we're doing this is because someone said you can't," said one hacker, who like the others spoke to Reuters on condition of anonymity. |
En effet s'pas clair comme histoire
De plus, ça "découverte" était connu depuis longtemps. (équivalent au yes card ?)
| a écrit : C'est hallucinant de te lire THEniluje, la faille n'est pas problèmatique pour Cisco mais est potentiellement épouvantable pour ses clients. Mettre la merde sous la tapis n'est pas un moyen de s'en débarrasser. |
J'ai jamais parlé de l'attitude de Cisco mais de celle du gars qui publie tout le bazar au grand public, je me doute bien que les clients veulent des produits sûrs au maximum hein
| a écrit : (...) |
Il a annoncé partout la faille et du coup elle a été corrigée, donc si les admins sont responsables elle ne pourra pas être exploitée...
C'est plus dangereux d'avoir une faille potentiellement exploitable (qui en plus pouvait apparement être corrigée rapidement dans ce cas) mais "cachée", qu'une faille connue mais corrigée... et je suis ps sûr que la manière d'exploiter la faille ait été divulguée.
| a écrit :
|
Merde grillé par toi la honte. Mais merci de soulever ce point important.
Lynn es fautif dans l'histoire pour s'être servi d'infos confidentielles (dont certains supposent qu'ils n'étaient pas destinataire au sein de chez ISS, ca enfoncerait le clou si cela se révélait être vrai), surtout que Cisco et ISS avaient un accord de non divulgration si je ne me trompe pas. Et pour enfoncer le clou, Lynn n'a pas du suivre les règles de disclosure de ISS ... donc je suis heureux qu'il ait un proces au cul. Faut pas pousser mémé dans les orties, il y a des règles de travail et de bon sens.
- 1 / 2
- Suivante
-
Maintenant, Cisco plutôt que de corriger efficacement leur faille préfère envoyer "le découvreur" au tribunal. Cela relève de l'obscurantisme.