+- N-PN White-Hat Project (https://dev.n-pn.fr/forum)
+-- Forum : Communauté (https://dev.n-pn.fr/forum/forumdisplay.php?fid=10)
+--- Forum : Le bistrot (https://dev.n-pn.fr/forum/forumdisplay.php?fid=17)
+--- Sujet : Etique ou pas? (/showthread.php?tid=3285)
Pages :
1
2
Etique ou pas? - 0pc0deFR - 23-08-2013
Je lance un débat sur l'étique en tant que White Hat d'utiliser des sites de ventes de 0-day type https://exploithub.com/ et d'autres. C'est ce que font aussi certaines entreprises comme http://www.vupen.com et d'autres.
RE: Etique ou pas? - Yuri - 23-08-2013
Je n'est pas compris tu lance un débat, sur le fait qu'un white hat acheterais des 0-day's ?? sois disant privé ^^ ?
RE: Etique ou pas? - 0pc0deFR - 23-08-2013
Plutôt la vente de 0-day car l'achat, pour un White Hat, j'en vois pas trop l'intérêt.
RE: Etique ou pas? - Yuri - 23-08-2013
Si sa conscience n'est qu'une sauvegarde qu'il puisse supprimer après chaque vente alors son éthique est l'opposer de celle du WHitehat !
RE: Etique ou pas? - e2del - 23-08-2013
(23-08-2013, 17h56)0pc0deFR a écrit : Je lance un débat sur l'étique en tant que White Hat d'utiliser des sites de ventes de 0-day type https://exploithub.com/ et d'autres. C'est ce que font aussi certaines entreprises comme http://www.vupen.com et d'autres.
Si la vente est précédée par la divulgation de la dite faille à l'éditeur visée, ça permet de vivre (l'argent tombe pas du ciel) et ça peut permettre de mettre la pression à l'éditeur pour qu'il corrige le problème.
Après je ne pense pas que ça se déroule dans ce sens.
Sinon il faut voir aussi à qui sont vendus ces 0days.
RE: Etique ou pas? - Mazaki - 23-08-2013
Une 0day n'est plus, si celle ci est mise en ligne, je tiens à le rappeler.
Citation :Dans le domaine de la sécurité informatique, une vulnérabilité zero-day est un exploit qui utilise une faille jusqu'ici méconnue du public
RE: Etique ou pas? - e2del - 23-08-2013
(23-08-2013, 22h24)Mazaki a écrit : Une 0day n'est plus, si celle ci est mise en ligne, je tiens à le rappeler.
Citation :Dans le domaine de la sécurité informatique, une vulnérabilité zero-day est un exploit qui utilise une faille jusqu'ici méconnue du public
Si elle est envoyé à l'éditeur, il s'en soucie pas et ne fait rien.
Quelques temps après la faille est exploitée ?
0day ou non ?
RE: Etique ou pas? - Mazaki - 23-08-2013
(23-08-2013, 23h41)e2del a écrit :(23-08-2013, 22h24)Mazaki a écrit : Une 0day n'est plus, si celle ci est mise en ligne, je tiens à le rappeler.
Citation :Dans le domaine de la sécurité informatique, une vulnérabilité zero-day est un exploit qui utilise une faille jusqu'ici méconnue du public
Si elle est envoyé à l'éditeur, il s'en soucie pas et ne fait rien.
Quelques temps après la faille est exploitée ?
0day ou non ?
Si "quelques temps après la faille est exploitée" ; ce n'est donc plus une 0day étant donné qu'elle est désormais connue au public.
Une 0day est pour moi, une faille que uniquement 1 seul personne (ou 2 voir 3 grand maximum) connaisse(nt).
RE: Etique ou pas? - c4ffein - 24-08-2013
(23-08-2013, 23h48)Mazaki a écrit : Une 0day est pour moi, une faille que uniquement 1 seul personne (ou 2 voir 3 grand maximum) connaisse(nt).
0day = 0 jours apres la release, ca se dit pas que pour les failles.
RE: Etique ou pas? - 0pc0deFR - 24-08-2013
oui une 0day c'est un exploit qui n'est pas connu au publique pour moi, c'est pour cela que ce genre de vulnérabilité est vendu car vendre une vulnérabilité que l'on trouve partout... (Le post principal à été créé avec cette définition de 0-day.)
RE: Etique ou pas? - e2del - 24-08-2013
Est-ce qu'ils vendent plusieurs fois la 0day ?
RE: Etique ou pas? - 0pc0deFR - 24-08-2013
Parfois oui, parfois non.
RE: Etique ou pas? - b0fh - 24-08-2013
Quel débat ?
Vendre une 0day à l'éditeur, en menaçant de publier s'il ne paie pas, c'est de l'extortion.
Vendre une 0day à un tiers alors que l'éditeur a déja été averti, c'est de l'escroquerie, parce que ce n'est plus une 0day. Escroquer des criminels, c'est mal quand même, et parfois c'est dangereux pour la santé.
Vendre une 0day à un tiers, c'est te rendre complice d'un futur crime informatique. Faut être naif pour penser que l'acheteur aime juste faire la collection.
Oui, c'est une manière de gagner de l'argent. Vendre des armes et de la drogue aussi.
RE: Etique ou pas? - e2del - 24-08-2013
(24-08-2013, 12h50)b0fh a écrit : Vendre une 0day à un tiers, c'est te rendre complice d'un futur crime informatique. Faut être naif pour penser que l'acheteur aime juste faire la collection.
Ca peut-être des personnes (entreprise) utilisant le système impacté et qui veulent se prémunir contre l'attaque ou du moins savoir quelle est possible.
RE: Etique ou pas? - 0pc0deFR - 24-08-2013
Je suis aussi de l'avis qu'un White Hat ne devrait pas vendre ces découvertes car la personne qui va acheter la découverte va très certainement l'utiliser à mauvais escient. Mon avis est qu'une entreprise alerté d'un défaut de sécurité qui ne patch pas, c'est tout simplement sont problème. En tant que White Hat, on prévient l'entreprise mais on ne doit pas la "forcer" de quelconque manière à faire quoi que ce soit. Certains vont me dire "oui mais je suis utilisateur du produit et donc ma sécurité est mis en jeu", à ceux ci je répondrais que personne ne vous force à utiliser ce produit plutôt qu'un autre.
J'attends d'autres avis
