La prison pour avoir démontré des failles de sécurité dans un soft ?

La prison pour avoir démontré des failles de sécurité dans un soft ? - Actualité - Discussions

Marsh Posté le 30-03-2004 à 11:43:04    

Guillermito en a fait les frais, voulant exposer des failles de sécurité dans un logiciel anti-virus censé arreter 100% des virus, il risque 150'000? d'amende et 2 ans de prison.
 
Plus d'infos ici: http://www.guillermito2.net/archives/2004_03_25.html
 
Donc si on suit un résonement logique, prouver les défauts d'un produit est illégal. Mais uniquement quand il s'agit d'un logiciel...


Message édité par Leuen le 31-03-2004 à 14:02:45
Reply

Marsh Posté le 30-03-2004 à 11:43:04   

Reply

Marsh Posté le 30-03-2004 à 11:54:32    

Je crois surtout que c'est le reverse-engineering qui est illégal. Pour prouver les failles, plutôt que de le bombarder de problèmes différents pour tester ses limites, il a été dépouiller le programme pour voir où il bloquerait face à un problème...


---------------
Tees et autres trucs pour geeks | Mon Instagram il est bien. Suis-le.
Reply

Marsh Posté le 30-03-2004 à 11:54:35    

Mais bien sur :sarcastic:
 
Quand tu veux prouver que tu peux forcer un modele de serrure, tu le fais sur la 1ere porte venue (entrant incidement par effraction chez quelqu'un), ou bien tu contacte le fabriquant pour lui demander un modele sur lequel faire les essais.
 
Si le type avait directement contacte la societe et leur avait expose les failles qu'il avait remarque, plutot que de publier ca sur le net, il aurait pas ete poursuivis, mais au contraire remrcier.

Reply

Marsh Posté le 30-03-2004 à 11:58:48    

C'est clair qu'il y a la manière aussi.  
 
Mais les associations de consomateurs se livrent très souvent à des tests de produits qui souvent révèlent des choses pas très flateuses pour les producteurs. Pourquoi n'en serait-il pas ainsi avec les logiciels ? La qualité passe aussi par là.

Reply

Marsh Posté le 30-03-2004 à 11:59:08    

Ciler a écrit :

Mais bien sur :sarcastic:
 
Quand tu veux prouver que tu peux forcer un modele de serrure, tu le fais sur la 1ere porte venue (entrant incidement par effraction chez quelqu'un), ou bien tu contacte le fabriquant pour lui demander un modele sur lequel faire les essais.
 
Si le type avait directement contacte la societe et leur avait expose les failles qu'il avait remarque, plutot que de publier ca sur le net, il aurait pas ete poursuivis, mais au contraire remrcier.  


 
Certainement comme le gars qui a trouvé la faille dans le systeme des cartes bleues et qui est allé l'exposer aux responsables concernés ?  :whistle:  
 
(ici : http://perso.club-internet.fr/bigonnet/Humpich.html pour l'histoire complete)


---------------
Don't blink. Don't even blink. Blink and you're dead. They are fast, faster than you could believe, don't turn your back, don't look away, and DON'T BLINK. Good luck.
Reply

Marsh Posté le 30-03-2004 à 12:00:08    

six_dfx a écrit :


 
Certainement comme le gars qui a trouvé la faille dans le systeme des cartes bleues et qui est allé l'exposer aux responsables concernés ?  :whistle:  
 
(ici : http://perso.club-internet.fr/bigonnet/Humpich.html pour l'histoire complete)
 


 :jap:

Reply

Marsh Posté le 30-03-2004 à 12:00:59    

Ciler a écrit :

Mais bien sur :sarcastic:
 
Quand tu veux prouver que tu peux forcer un modele de serrure, tu le fais sur la 1ere porte venue (entrant incidement par effraction chez quelqu'un), ou bien tu contacte le fabriquant pour lui demander un modele sur lequel faire les essais.
 
Si le type avait directement contacte la societe et leur avait expose les failles qu'il avait remarque, plutot que de publier ca sur le net, il aurait pas ete poursuivis, mais au contraire remrcier.  


Pas si sûr.
 
Un mec a trouvé un système trés simple anti-effraction sur les Velux© : il se bat encore avec eux. Et je en parle pas de machin bidule qui a craqué la CB...


---------------
If I could start again, a million miles away, I would keep myself, I would find a way... "Loreleï's dead ; Heaven is about to fuzz."
Reply

Marsh Posté le 30-03-2004 à 12:01:52    

six_dfx a écrit :


 
Certainement comme le gars qui a trouvé la faille dans le systeme des cartes bleues et qui est allé l'exposer aux responsables concernés ?  :whistle:  
 
(ici : http://perso.club-internet.fr/bigonnet/Humpich.html pour l'histoire complete)
 


 

Citation :

Il a voulu monnayer sa découverte auprès du G.I.E. Cartes Bancaires


Je trouve ca un peu different de "aller l'exposer". Vous vous rendez compte que c'est de l'extorsion de fond que le mec essayait de faire :heink:

Reply

Marsh Posté le 30-03-2004 à 12:02:46    

Leg9 a écrit :


Un mec a trouvé un système trés simple anti-effraction sur les Velux© : il se bat encore avec eux.  


Je ne connais pas cette affaire, tu aurais un lien ou plus de details ?

Reply

Marsh Posté le 30-03-2004 à 12:11:18    

Ciler a écrit :


Citation :

Il a voulu monnayer sa découverte auprès du G.I.E. Cartes Bancaires


Je trouve ca un peu different de "aller l'exposer". Vous vous rendez compte que c'est de l'extorsion de fond que le mec essayait de faire :heink:  

le "monnayer", c pour ses services(normal donc), pas pour faire du chantage...


---------------
XBL : ESN3S | GGPO (3rd strike) : ESN | PSN : Huitxilopochti
Reply

Marsh Posté le 30-03-2004 à 12:11:18   

Reply

Marsh Posté le 30-03-2004 à 12:12:26    

Ciler a écrit :


 

Citation :

Il a voulu monnayer sa découverte auprès du G.I.E. Cartes Bancaires


Je trouve ca un peu different de "aller l'exposer". Vous vous rendez compte que c'est de l'extorsion de fond que le mec essayait de faire :heink:  


 
Pas du tout. Il contacte le GIE en leur revelant un problème de securité, se propose de leur reveler, moyennant finances, il ne les menace pas de l'utiliser ou de le dévoiler.
 
Il s'est fait pieger : le GIE lui à demander des preuves qu'il pouvait utiliser des fausses cartes. Il a alors acheter des tickets de metro, et le GIE l'a attaqué pour ça.

Reply

Marsh Posté le 30-03-2004 à 12:21:49    

En_Sabah_Nur a écrit :

le "monnayer", c pour ses services(normal donc), pas pour faire du chantage...


On en sort pas, un service ca se demande... La c'est de la vente forcee de service a la limite.

Reply

Marsh Posté le 30-03-2004 à 12:23:36    

Ciler a écrit :


On en sort pas, un service ca se demande... La c'est de la vente forcee de service a la limite.

oui :jap:
Enfin perso, moi j'appelle ça du chantage.

Reply

Marsh Posté le 30-03-2004 à 12:23:37    

djoul a écrit :


Pas du tout. Il contacte le GIE en leur revelant un problème de securité, se propose de leur reveler, moyennant finances, il ne les menace pas de l'utiliser ou de le dévoiler.


La c'est different en effet  :jap:  
 

djoul a écrit :


Il s'est fait pieger : le GIE lui à demander des preuves qu'il pouvait utiliser des fausses cartes. Il a alors acheter des tickets de metro, et le GIE l'a attaqué pour ça.


Tordu  [:ciler]

Reply

Marsh Posté le 30-03-2004 à 12:25:01    

Comment dire, comprenez bien que quoi qu'on face (sauf si on a une autorisation), on n'a pas le droit d'utiliser une pratique illegale, meme pour en demontrer une autre.

Reply

Marsh Posté le 30-03-2004 à 12:28:55    

Ciler a écrit :

Comment dire, comprenez bien que quoi qu'on face (sauf si on a une autorisation), on n'a pas le droit d'utiliser une pratique illegale, meme pour en demontrer une autre.

il a publié le code source? ou pas?  
en quoi ce serait illégal de parler de la structure et du foncionnement d'un prog??


---------------
du vide, j'en ai plein !
Reply

Marsh Posté le 30-03-2004 à 12:35:29    

hpdp00 a écrit :

il a publié le code source? ou pas?  
en quoi ce serait illégal de parler de la structure et du foncionnement d'un prog??  


Decompiler un logiciel est illegal. Forcer son entree dans un systeme securise est illegal. Utiliser une fausse carte bancaire est illegal...

Reply

Marsh Posté le 30-03-2004 à 12:38:00    

Si vous voulez savoir exactement ce qu'il a fait: http://web.archive.org/web/2003040 [...] index.html

Reply

Marsh Posté le 30-03-2004 à 12:39:27    

Ciler a écrit :


Decompiler un logiciel est illegal. Forcer son entree dans un systeme securise est illegal. Utiliser une fausse carte bancaire est illegal...


On me reproche en fait d'avoir publié sur mon site web des "exploits", c'est à dire la démonstration pratique de mes analyses théoriques, qui montraient la réalité des failles de sécurité découvertes, de manière reproductible par tous. [b]On me dit que ces démonstrations "reprennent et copient la structure et le code du logiciel Viguard" (d'où la contrefaçon), ce qui est faux[/b].


 
t'as même pas lu...


---------------
du vide, j'en ai plein !
Reply

Marsh Posté le 30-03-2004 à 12:52:38    

hpdp00 a écrit :


t'as même pas lu...


D'une, ayant cite un passage de l'article en question, tu comprendra que j'ai lu... De deux, quand je parle aussi de cartes bancaires, tu comprendra bien que je decrit des pratiques plus large que le seul cas du debut du topic, pour y englober aussi celui des fausses cartes bancaires et quelques autres a l'occasion.
 
Tu veux qu'on en reste au cas du 1er post ? QUelques morceaux choisis de cette page :
http://web.archive.org/web/2003040 [...] index.html
 

Citation :

Je n'ai pas le temps de décortiquer le programme et son fonctionnement de A à Z. Désassembler, débuguer et appliquer des méthodes de reverse engineering sur un programme est un processus long et complexe, et j'ai autre chose à faire. Je ne regarde donc très subjectivement que ce qui m'intéresse ici, avec une approche particulière sur les possibilités d'attaques de Viguard.


Hop, decompilation et reverse engeneering...

Citation :

Puisqu'aucune version de test n'est disponible sur le site web de Tegam (un cas unique chez les anti-virus), tous ces tests ont été réalisés avec les six versions de Viguard en ma possession, certaines trouvées sur le Net en warez, d'autres aimablement prêtées pour la durée de mes tests par des internautes sympathiques, dans l'ordre chronologique:


Warez... il aurait pu acheter une version.
 
Le type a fait des trucs illegaux, c'est clair, et meme lui ne le nie pas. Ce n'est pas ce que je lui reproche par ailleur.


Message édité par Ciler le 30-03-2004 à 12:53:16
Reply

Marsh Posté le 30-03-2004 à 13:48:01    

Ciler a écrit :


D'une, ayant cite un passage de l'article en question, tu comprendra que j'ai lu... De deux, quand je parle aussi de cartes bancaires, tu comprendra bien que je decrit des pratiques plus large que le seul cas du debut du topic, pour y englober aussi celui des fausses cartes bancaires et quelques autres a l'occasion.
 
Tu veux qu'on en reste au cas du 1er post ? QUelques morceaux choisis de cette page :
http://web.archive.org/web/2003040 [...] index.html
 

Citation :

Je n'ai pas le temps de décortiquer le programme et son fonctionnement de A à Z. Désassembler, débuguer et appliquer des méthodes de reverse engineering sur un programme est un processus long et complexe, et j'ai autre chose à faire. Je ne regarde donc très subjectivement que ce qui m'intéresse ici, avec une approche particulière sur les possibilités d'attaques de Viguard.


Hop, decompilation et reverse engeneering...

Citation :

Puisqu'aucune version de test n'est disponible sur le site web de Tegam (un cas unique chez les anti-virus), tous ces tests ont été réalisés avec les six versions de Viguard en ma possession, certaines trouvées sur le Net en warez, d'autres aimablement prêtées pour la durée de mes tests par des internautes sympathiques, dans l'ordre chronologique:


Warez... il aurait pu acheter une version.
 
Le type a fait des trucs illegaux, c'est clair, et meme lui ne le nie pas. Ce n'est pas ce que je lui reproche par ailleur.


 
D'après la phrase il n'a pas fait de reverse engeneering !


Message édité par Leuen le 30-03-2004 à 13:48:44
Reply

Marsh Posté le 30-03-2004 à 14:01:18    

Leuen a écrit :


D'après la phrase il n'a pas fait de reverse engeneering !


Non, il explique qu'il n'a pas le temps ni l'envie d'expliquer les methodes sur cette page web, mais decrypter un fichier ca se fait comment a ton avis  :sweat:


---------------
And I looked, and behold a pale horse: and his name that sat on him was Death, and Hell followed with him. Revelations 6:8
Reply

Marsh Posté le 30-03-2004 à 14:09:08    

si j'ouvre un executable microsoft avec notepad je serais un hacker?? :D :D  
je m'en va avec essayer, ça va me faire un grand frisson :D :D
 
ciler, j'ai l'impression que t'as lu "désassembler" et "warez", tilt!
c'est mal, faut le pendre! sans avoir tout compris, en fait...


Message édité par hpdp00 le 30-03-2004 à 14:10:01

---------------
du vide, j'en ai plein !
Reply

Marsh Posté le 30-03-2004 à 14:13:54    

Vous avez presque 1 an de retard :D
 
Ciao,
LoneCat

Reply

Marsh Posté le 30-03-2004 à 14:22:19    

LoneCat a écrit :

Vous avez presque 1 an de retard :D
 
Ciao,
LoneCat


 
Wow LoneCat, totalement HS : T'as essayé Civilisation : the BoardGame finalement ?

Reply

Marsh Posté le 30-03-2004 à 19:38:32    

[:yoyoz]

Reply

Marsh Posté le 31-03-2004 à 00:39:59    

Ciler a écrit :


Decompiler un logiciel est illegal. Forcer son entree dans un systeme securise est illegal. Utiliser une fausse carte bancaire est illegal...


 
Faux, il y'a des exceptions (défaut d'interopérabilité entre autres). Lis la loi.
 
Ensuite, ton premier post est bien naïf. Ni ce Guillermito, ni Serge Humpich (le type poursuivi par le GIE pour la faille des cartes bleues) n'ont tenté d'utiliser, ni de monnayer leur découverte, pas plus qu'ils n'ont eu une attitude arrogante ou déplacée a l'égard des sociétés concernées.
Le caractere obtus des entreprises prises en flagrant délit d'incompétence n'est malheureusement pas une légende. Plutot que de reconnaitre sa faute (et d'embaucher le gars, ce serait pas une mauvaise idée), on fait jouer sa propriété intellectuelle à des fins de censure (ça devient une habitude).
 
Cette pub de 2002 devrait t'éclairer sur la bonne foi de l'éditeur de Viguard :
http://www.guillermito2.net/archiv [...] il2002.jpg
"terroriste"  :sarcastic:

Reply

Marsh Posté le 31-03-2004 à 04:07:28    

Halucinante cette histoire

Reply

Marsh Posté le 31-03-2004 à 04:29:02    

djoul a écrit :


 
 
Il s'est fait pieger : le GIE lui à demander des preuves qu'il pouvait utiliser des fausses cartes. Il a alors acheter des tickets de metro, et le GIE l'a attaqué pour ça.


 
il invente le systeme pour cracker les carte banquaire et se fait piéger par un piege aussi gros  :lol:  :lol:

Reply

Marsh Posté le 31-03-2004 à 10:34:43    

drkarma a écrit :


 
Faux, il y'a des exceptions (défaut d'interopérabilité entre autres). Lis la loi.
 
Ensuite, ton premier post est bien naïf. Ni ce Guillermito, ni Serge Humpich (le type poursuivi par le GIE pour la faille des cartes bleues) n'ont tenté d'utiliser, ni de monnayer leur découverte, pas plus qu'ils n'ont eu une attitude arrogante ou déplacée a l'égard des sociétés concernées.
Le caractere obtus des entreprises prises en flagrant délit d'incompétence n'est malheureusement pas une légende. Plutot que de reconnaitre sa faute (et d'embaucher le gars, ce serait pas une mauvaise idée), on fait jouer sa propriété intellectuelle à des fins de censure (ça devient une habitude).
 
Cette pub de 2002 devrait t'éclairer sur la bonne foi de l'éditeur de Viguard :
http://www.guillermito2.net/archiv [...] il2002.jpg
"terroriste"  :sarcastic:  


OK  [:ciler]

Reply

Marsh Posté le 31-03-2004 à 14:03:33    

J'ai mis un titre un peu plus racoleur, je n'ai pas envie qu'un sujet aussi grave tombe dans l'oubli  :o

Reply

Marsh Posté le 31-03-2004 à 17:11:50    

Ciler a écrit :


 

Citation :

Il a voulu monnayer sa découverte auprès du G.I.E. Cartes Bancaires


Je trouve ca un peu different de "aller l'exposer". Vous vous rendez compte que c'est de l'extorsion de fond que le mec essayait de faire :heink:  


 
N'importe quoi. Lis son bouquin ("le cerveau bleu", chez XO Editions il me semble) avant de sortir des bêtises pareilles. Serge Humpich a effectivement proposé ses services au GIE Cartes Bancaires pour aider à améliorer la sécurité du système de paiement par cartes bancaires, mais n'a jamais fait de racket ou de pressions en disant qu'il allait publier ses résultats si le GIE refusait.
C'est le GIE qui l'a piégé, pas l'inverse.

Reply

Marsh Posté le 31-03-2004 à 17:12:34    

Leuen a écrit :

J'ai mis un titre un peu plus racoleur, je n'ai pas envie qu'un sujet aussi grave tombe dans l'oubli  :o  


 
Du coup j'ai tout lu deux fois avant de m'aperevoir que j'avais déjà lu :o

Reply

Marsh Posté le 31-03-2004 à 17:13:04    

Laurent_g a écrit :


 
Du coup j'ai tout lu deux fois avant de m'aperevoir que j'avais déjà lu :o


 
Wow, t'as de la memoire toi ! :D

Reply

Marsh Posté le 31-03-2004 à 17:16:28    

drkarma a écrit :


 
Faux, il y'a des exceptions (défaut d'interopérabilité entre autres). Lis la loi.
 
Ensuite, ton premier post est bien naïf. Ni ce Guillermito, ni Serge Humpich (le type poursuivi par le GIE pour la faille des cartes bleues) n'ont tenté d'utiliser, ni de monnayer leur découverte, pas plus qu'ils n'ont eu une attitude arrogante ou déplacée a l'égard des sociétés concernées.
Le caractere obtus des entreprises prises en flagrant délit d'incompétence n'est malheureusement pas une légende. Plutot que de reconnaitre sa faute (et d'embaucher le gars, ce serait pas une mauvaise idée), on fait jouer sa propriété intellectuelle à des fins de censure (ça devient une habitude).
 
Cette pub de 2002 devrait t'éclairer sur la bonne foi de l'éditeur de Viguard :
http://www.guillermito2.net/archiv [...] il2002.jpg
"terroriste"  :sarcastic:



 
:hello:
 
J'espère que l'éditeur sera condamné pour diffamation, de tels propos sont scandaleux !

Reply

Marsh Posté le 31-03-2004 à 17:22:48    

Otez moi d'un doute a ce sujet tout de meme...
 
Le type est poursuivis en justice, ou juste accuse en l'air ?

Reply

Marsh Posté le 31-03-2004 à 17:26:35    

Ran a écrit :

oui :jap:
Enfin perso, moi j'appelle ça du chantage.


moi aussi  [:razorbak83]
 
Ouais de toute façon c'est une évidence, vos mieux pirater que de dénoncer les failles.
 
Pis au moins si tu te fais arrêter tu sais pourquoi.


Message édité par hikoseijuro le 31-03-2004 à 17:32:58
Reply

Marsh Posté le 31-03-2004 à 17:33:32    

Ciler a écrit :

Otez moi d'un doute a ce sujet tout de meme...
 
Le type est poursuivis en justice, ou juste accuse en l'air ?


 

Citation :


Il est intéressant de découvrir de l'intérieur le fonctionnement de la justice française. Je reviens juste de Paris. Je viens d'être mis en examen, pour "contrefaçon et recel de contrefaçon". Je risque deux ans de prison et 150.000 euros d'amende. Je ne suis toujours pas jugé coupable ou innocent, mais j'ai déjà payé de ma poche deux ou trois mille euros, pour deux séjours à Paris, billets d'avion, et frais d'avocat. J'avais déjà parlé de cette affaire ici.

Reply

Marsh Posté le 31-03-2004 à 17:38:20    

contrefaçon? c'est à cause de ses versions warez alors :??:
Sinon il habite où?

Reply

Marsh Posté le 31-03-2004 à 17:42:42    

DarkAngel a écrit :

contrefaçon? c'est à cause de ses versions warez alors :??:
Sinon il habite où?


 
Aux Etats-Unis.

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed