Affichage hiérarchique

23-08-2013, 17h56

Je lance un débat sur l'étique en tant que White Hat d'utiliser des sites de ventes de 0-day type https://exploithub.com/ et d'autres. C'est ce que font aussi certaines entreprises comme http://www.vupen.com et d'autres.

Yuri · 23-08-2013, 18h03

Je n'est pas compris tu lance un débat, sur le fait qu'un white hat acheterais des 0-day's ?? sois disant privé ^^ ?

23-08-2013, 18h04

Plutôt la vente de 0-day car l'achat, pour un White Hat, j'en vois pas trop l'intérêt.

Yuri · 23-08-2013, 18h07

Si sa conscience n'est qu'une sauvegarde qu'il puisse supprimer après chaque vente alors son éthique est l'opposer de celle du WHitehat !

e2del · 23-08-2013, 18h54

(23-08-2013, 17h56)0pc0deFR a écrit : Je lance un débat sur l'étique en tant que White Hat d'utiliser des sites de ventes de 0-day type https://exploithub.com/ et d'autres. C'est ce que font aussi certaines entreprises comme http://www.vupen.com et d'autres.

Si la vente est précédée par la divulgation de la dite faille à l'éditeur visée, ça permet de vivre (l'argent tombe pas du ciel) et ça peut permettre de mettre la pression à l'éditeur pour qu'il corrige le problème.
Après je ne pense pas que ça se déroule dans ce sens.
Sinon il faut voir aussi à qui sont vendus ces 0days.

Mazaki · (Modification du message : 23-08-2013, 22h24 par Mazaki.)

Une 0day n'est plus, si celle ci est mise en ligne, je tiens à le rappeler.

Citation :Dans le domaine de la sécurité informatique, une vulnérabilité zero-day est un exploit qui utilise une faille jusqu'ici méconnue du public

e2del · 23-08-2013, 23h41

(23-08-2013, 22h24)Mazaki a écrit : Une 0day n'est plus, si celle ci est mise en ligne, je tiens à le rappeler.

Citation :Dans le domaine de la sécurité informatique, une vulnérabilité zero-day est un exploit qui utilise une faille jusqu'ici méconnue du public

Si elle est envoyé à l'éditeur, il s'en soucie pas et ne fait rien.
Quelques temps après la faille est exploitée ?
0day ou non ?

Mazaki · 23-08-2013, 23h48

(23-08-2013, 23h41)e2del a écrit :
(23-08-2013, 22h24)Mazaki a écrit : Une 0day n'est plus, si celle ci est mise en ligne, je tiens à le rappeler.

Citation :Dans le domaine de la sécurité informatique, une vulnérabilité zero-day est un exploit qui utilise une faille jusqu'ici méconnue du public

Si elle est envoyé à l'éditeur, il s'en soucie pas et ne fait rien.
Quelques temps après la faille est exploitée ?
0day ou non ?

Si "quelques temps après la faille est exploitée" ; ce n'est donc plus une 0day étant donné qu'elle est désormais connue au public.

Une 0day est pour moi, une faille que uniquement 1 seul personne (ou 2 voir 3 grand maximum) connaisse(nt).

c4ffein · 24-08-2013, 01h44

(23-08-2013, 23h48)Mazaki a écrit : Une 0day est pour moi, une faille que uniquement 1 seul personne (ou 2 voir 3 grand maximum) connaisse(nt).

0day = 0 jours apres la release, ca se dit pas que pour les failles.

24-08-2013, 08h29

oui une 0day c'est un exploit qui n'est pas connu au publique pour moi, c'est pour cela que ce genre de vulnérabilité est vendu car vendre une vulnérabilité que l'on trouve partout... (Le post principal à été créé avec cette définition de 0-day.)

e2del · 24-08-2013, 08h46

Est-ce qu'ils vendent plusieurs fois la 0day ?

24-08-2013, 09h02

Parfois oui, parfois non.

b0fh · 24-08-2013, 12h50

Quel débat ?

Vendre une 0day à l'éditeur, en menaçant de publier s'il ne paie pas, c'est de l'extortion.

Vendre une 0day à un tiers alors que l'éditeur a déja été averti, c'est de l'escroquerie, parce que ce n'est plus une 0day. Escroquer des criminels, c'est mal quand même, et parfois c'est dangereux pour la santé.

Vendre une 0day à un tiers, c'est te rendre complice d'un futur crime informatique. Faut être naif pour penser que l'acheteur aime juste faire la collection.

Oui, c'est une manière de gagner de l'argent. Vendre des armes et de la drogue aussi.

e2del · 24-08-2013, 12h54

(24-08-2013, 12h50)b0fh a écrit : Vendre une 0day à un tiers, c'est te rendre complice d'un futur crime informatique. Faut être naif pour penser que l'acheteur aime juste faire la collection.

Ca peut-être des personnes (entreprise) utilisant le système impacté et qui veulent se prémunir contre l'attaque ou du moins savoir quelle est possible.

24-08-2013, 13h06

Je suis aussi de l'avis qu'un White Hat ne devrait pas vendre ces découvertes car la personne qui va acheter la découverte va très certainement l'utiliser à mauvais escient. Mon avis est qu'une entreprise alerté d'un défaut de sécurité qui ne patch pas, c'est tout simplement sont problème. En tant que White Hat, on prévient l'entreprise mais on ne doit pas la "forcer" de quelconque manière à faire quoi que ce soit. Certains vont me dire "oui mais je suis utilisateur du produit et donc ma sécurité est mis en jeu", à ceux ci je répondrais que personne ne vous force à utiliser ce produit plutôt qu'un autre.

J'attends d'autres avis Smile

Identifiant Mot de passe
S’enregistrer \| Mot de passe oublié ? Se rappeler