risques encourus avec ce message ?

Tu peux aussi "demander" une sorte de lettre recommandation "on est la boite X, messieurs Y et Z nous ont fait remonter une erreur dans nos systèmes et nous ont été à blablabla", après avoir présenté la faille.

Sans autre information sur l'entreprise, cela me parait difficile d'imaginer que corriger une faille pour une entite dont le seul but est de faire de l'argent s'apparente a servir l'interet general. C'est pour moi le point clef de la marche a suivre ici (maintenant que vous abvez tous ecarte les risques de chantage).

S'il s'agit d'une boite peu recommandable comme celles qui ne payent pas leurs impots dues, celles qui violent la vie privee des utilisateurs, ou dont les patrons successifs ont une ligne d'horizon a court terme entrainant des politiques de satisfaction d'investisseurs avant celle des clients et des salaries, alors franchement, de mon cote je me contenterai de diffuser l'information sur l'existence de la faille en prenant soin de rester dans le cadre legal (comme le rappelait Arius).

Si c'est une societe qui te semble estimable, ca me semble effectivement ne bonne idee de passer soit par une societe specialisee, soit directement par la boite concernee.

EDIT: Je ne comprends pas ce deluge de -1. Est-ce qu'avoir une morale vous semble reprehensible ? Parce qu'a priori, ce sont les deux seuls choix valables dans cette histoire pour rester dans le cadre legal. Ce qu'est une societe estimable est quelque chose qu'il appartient aux decouvreurs de la faille d'estimer, mais dans mon cas par exemple, je n'irais pas prevenir gentillement Apple ou Google d'une faille dans leur produit, j'irais certainement informer la presse specialisee en premier lieu ("vous pouvez diffuser l'information mais pas les moyens (cf. article 323-3-1 du code pénal" - Arius), tandis que j'apprecie la politique et les actions d'OVH et j'irais certainement directement les informer.

Sauf que OVH par exemple tu l'a choisi parce que c'est le meilleur. Tu es client chez eux. C'est différent pour nous, l'entreprise s'adresse a des professionnels uniquement. Nous (les particuliers), on est utilisateur éventuellement, mais pas client. C'est pas nous qui sortons la CB pour acheter la solution quoi. et on a rien choisi.

Enfin, je ne suis pas d'accord avec pas mal de point dans ton message. enfin tu pourra me traiter d'enfoiré de capitaliste, mais je pense que c'est le but d'une entreprise de faire de l'argent a la base. Si des entreprises réussissent à se faire beaucoup d'argent sans rien foutre....C'est des génies, pas des "boites peu recommandable" !

Il y a plein d'entreprises que je respecte ou estime et chez qui je n'achete pas tout simplement parce que je n'en ai pas le besoin ou ne suis pas un consommateur directement vise. Par exemple, j'apprecie grandement la politique de Ghandi mais je suis chez OVH.

Ensuite, tu m'as mal compris je pense. Bien evidemment que le but de toute entreprise est de faire de l'argent. Mais je trouvais tout de meme la remarque d'Arius etrange: agir dans l'interet general alors qu'une entreprise privee agit dans son propre interet, qui est par nature prive.
Du coup, comme il ne s'agit pas d'agir dans l'interet general, je me pose la question de qu'est-ce qui me ferait choisir entre l'une ou l'autre des deux propositions legales proposees, a savoir diffuser legalement l'information, ou prendre contact avec eux, en toute discretion. A cela, je ne vois que la reponse de ma propre appreciation de la societe concernee.

Et en cadeau, ma vision d'une boite peu recommandable par l'exemple. Une boite peu recommandable, a mes yeux, ce sont celles comme P&G qui se font amender des millions, voire un milliard pour la derniere amende, pour entente illicite avec la concurrence TOUS les ans (ou 2), et dont les ententes consistent a s'accorder sur une hausse de 6% pour le prix des produits pour le consommateur final, lorsque dans le meme temps, leurs societes d'"optimisation fiscale" se font mettre egalement a l'amende des millions pour evasion fiscale, i.e. ne pas payer ses impots la ou elles le devraient. C'est d'autant plus drole lorsque ce genre de societes demandent un marche avec une concurrence pure et non regulee lorsque payer 10% d'impot au Luxembourg contre 33% en France cree suffisamment de distortion de concurrence pour tuer dans l'oeuf n'importe quel arrivant sur le marche ou le racheter (encore plus visible dans l'industrie numerique).

Tu as ici ma vision de l'entreprise peu recommandable, et tu es totalement libre d'avoir la tienne. Je disais juste que ca ne me ferait pas verser une larme de ne pas aider ce genre de societes.

Sans autre information sur l'entreprise, cela me parait difficile d'imaginer que corriger une faille pour une entite dont le seul but est de faire de l'argent s'apparente a servir l'interet general.

Ma remarque était imagée. Je n'ai pas dit que c'était servir l'intérêt général mais "Voyez cela comme servir l'intérêt général.". Il est évident que ce terme est inexact. Ce que je voulais signifier , c'est qu'il est fort probable que les clients soient des entreprises, des ONG et associations voire des organisations gouvernementales surtout si c'est une grosse boîte. Ils ont donc des intérêts divers mais ils sont liés par un intérêt commun: il est important que les données soient protégées. Signaler la faille est aider à la sauvegarde de cet intérêt, agir dans l'intérêt général de ces clients.

Euh… Le seul risque juridique du "petit curieux" est vis-à-vis de l'établissement non ? Ce sont eux qui peuvent porter plainte pour introduction frauduleuse dans un système d'information n'est-ce pas ? Je vois mal l'établissement poursuivre un élève en justice pour avoir juste visité, au pire un conseil de discipline, c'est comme ça que ça se passe souvent. C'est aussi au lycée, en théorie, de se plaindre à leur fournisseur pour avoir fourni un produit pourri ? Parce que pour moi un intranet, c'est interne (comme le nom l'indique), et donc l'éditeur ne devrait pas avoir directement prise avec les utilisations frauduleuses (donc ne devraient pas pouvoir porter plainte pour intrusion). S'il y a bien quelqu'un qui doit se plaindre à l'éditeur, c'est le lycée…

Enfin bref, tiens nous au courant ! Ça m'intéresse.

Bref, du coup j'ai décidé d'envoyer un message concernant la faille via tor+mail annonyme. Je suis "techniquement" intracable et au pire c'est pas très grave. (suis mineur)

Donc pour résumer, l'intégralité des ENT (pour ceux qui connaissent pas ca veux dire : système de notes - vie scolaire, etc…Je parle pas de la zone admin qui contient en clair tout les pass des élèves/profs) sont accessibles aux étudiants en lecture et probablement modification.

Voici une petite carte de tout les lycées qui utilisent cet ENT (ça fais peur sérieux ) EDIT : je tiens juste a corriger une petite erreur dans mon message : la carte ci dessus correspond a l'ensemble des écoles qui ont "fait confiance a l'entreprise". Celle ci (je peux pas dire son nom car la faille a toujours pas été corrigée) fournis plusieurs solutions ("un cahier de texte en ligne", "un système de vie scolaire en ligne", ou bien "un ENT hébergé chez nous qui regroupe les 2 et qui possède des options en +" etc). Pas sur donc que la carte représente uniquement ceux qui utilisent l'ENT foireux.

Ah donc y a eu intrusion ? Ouais, c'est pas très malin ça uriopass. Faut éviter de céder à la tentation de tester si ça marche vraiment.

Euh… Le seul risque juridique du "petit curieux" est vis-à-vis de l'établissement non ? Ce sont eux qui peuvent porter plainte pour introduction frauduleuse dans un système d'information n'est-ce pas ? Je vois mal l'établissement poursuivre un élève en justice pour avoir juste visité, au pire un conseil de discipline, c'est comme ça que ça se passe souvent. C'est aussi au lycée, en théorie, de se plaindre à leur fournisseur pour avoir fourni un produit pourri ? Parce que pour moi un intranet, c'est interne (comme le nom l'indique), et donc l'éditeur ne devrait pas avoir directement prise avec les utilisations frauduleuses (donc ne devraient pas pouvoir porter plainte pour intrusion). S'il y a bien quelqu'un qui doit se plaindre à l'éditeur, c'est le lycée…

Il est en effet peu probable que l'établissement te tape dessus, tu te feras passer un gros savon (en partie mérité, disons-le) mais ça n'ira pas plus loin surtout si tu as eu l'honnêteté de le rapporter à qui de droit.

Pour découvrir une faille limit GET POST, tu n'as pas d'autre moyen que de faire le test. Donc oui, il a du faire ce qui est considéré comme "s'introduire", il avais pas le choix

Oui merci, je suis au courant. Mais une fois que tu as trouvé une faille, tu n'es pas supposé retenter/essayer d'en trouver d'autres. S'il existe une présomption de failles, mieux vaut signaler sans tester. Le problème est que la frontière peut selon les cas être très fine. De même que la frontière entre diffusion d'informations et le fait de donner les informations nécessaires à l'exploitation de la faille peut être floue.

Bref, il est important d'avoir cette "frontière" en tête.

Quand tu bosseras, ce genre de chose ne t'étonnera plus. La contrainte de ce genre de projet, c'est de demander un login/mdp à l'utilisateur lambda. La robustesse fasse au hacking/cracking n'est pas demandée. S'en préoccuper, c'est un surcoût.

(pour ceux qui connaissent pas ca veux dire : système de notes - vie scolaire, etc…Je parle pas de la zone admin qui contient en clair tout les pass des élèves/profs)

Même principe, c'est les specs disent pas que le MDP doit être chiffré, ça ne sera pas pris en compte (surtout que généralement les gens qui expriment ces besoins n'ont pas forcément la vision/compréhension sécurité, et que demander un avis extérieur à quelqu'un, ça coûte).

Je trouve ça étonnant. Pour beaucoup de choses (dont les équipements électriques par exemple), il y a des normes, qui dictent les exigences minimales de sécurité, entre autre, peu importe que le commanditaire sache ou non que son équipement doit avoir une double isolation ou que sais-je encore. Alors certes, il n'y a pas danger de mort si on pirate les bulletins scolaires, mais un minimum de sécurité normatif serait le bienvenu. Surtout quand on sait tous ce qui traîne sur des systèmes faiblement sécurisés…

Natalya : Ouai. Fin sur un système déployé en masse je trouve ca un peu…irresponsable de leur part, sérieux.

Je comprend bien que aurai été un site bidon genre site de rencontre ou même un site genre ZDS, que ce sois un coût inutile(parce qu'un hacker je sais pas trop ce qu'il peux en foutre, de la BDD de ce genre de sites).

Mais la, on parle d'un site pour lequel même le dealer du coin serai intéressé (Changement de notes contre rémunération? vente du pass d'un prof? Revente des numéros INE ? Voire pire. Les conneries potentielles a faire avec ce genre de données sont relativement grosses)

C'est quand même pas la même chose que de pirater pokebip.com quoi.

le souci c'est qu'ils ont déployé ca…en masse. J'ai été regarder vite fait, je sais que au moins 2 de mes cousins utilisent cet ENT.

Surtout que je suis près a parier que les pass des profs.....c'est plus ou moins les mêmes partout Ce sont pas des génies en informatiques, ca m'étonnerai qu'ils aient un vrai pass différent pour chaque site web.

Welcome to the real world. Les standards de sécurité développement/gouvernance, ça existe y en a plein, mais si ton entreprise entre pas dans un contexte particulier, tu n'as pas forcément d'obligations de t'y conformer. Dans le cadre des lycées/académies, je suppose que ça passe par appel d'offre, si il ne demande pas un niveau de sécurité/conformité avec un standard etc. l'entreprise prendra pas le risque de faire quelque chose hors CDC

Ça signifie surtout que pour le ministère, perdre potentiellement une année de travail ne dérange personne. Voir pire, falsifier des données en lien avec un examen national, comme par exemple le Diplôme national du brevet, qui comporte une composante d'évaluation continue, est relativement facile… Terrifiant. Alors certes c'est lourdement pénalisé, mais tout de même.

Et je pense pas que ça fasse plaisir aux profs de plusieurs dizaines de collèges de devoir redemander les copies à leurs élèves, chercher s'ils n'ont pas une copie personnelle des notes de leurs élèves (ce qui ne doit pas être la règle). Le fait de verser aux archives les compositions des élèves, ça se fait dans le supérieur, mais j'ai jamais vu ça dans le secondaire.

À quand des décideurs qui savent ce qu'ils font ?

À quand des décideurs qui savent ce qu'ils font ?

C'est surtout ça le problème. Ils savent ce qu'ils veulent que leur projet/outil/blabla fasse, mais les dépendances et les répercussions sont pas souvent traitées. S'il n'y a pas au moment de la validation du projet/appel d'offre/demande quelqu'un qui pose une question quid de la sécurité, ça ne sera surement pas traité. Et c'est """normal""" c'est pas leur job.

C'est comme si moi, je créais les plans de ma maison, je donne à mon artisan, mais vu que je connais pas les contraintes légales/sécurité du domaine, ben en suivant mes plans la maison construite sera à chier.

Dans le cadre des lycées/académies, je suppose que ça passe par appel d'offre, si il ne demande pas un niveau de sécurité/conformité avec un standard etc. l'entreprise prendra pas le risque de faire quelque chose hors CDC Source:Xalfen

Je pense aussi qu'il y a un appel d'offre mais je pense aussi que c'est la crise et que certains lycées/collège/universités prennent le moins cher.

En tout cas, j'ai pas fait de stats précises mais j'ai l'impression (en regardant les noms des écoles sur la carte que j'ai posté au dessus) que c'est surtout des établissement privés sous contrats qui l'utilisent.

Au passage, il n'est pas question uniquement du brevet....également du bac. et j'ai vu que quelques universités utilisaient cet ENT aussi c'est dire

Ah Je pense qu'une petite pensée pour tsunami33 s'impose. Ça se passe bien, l'éclairage à la bougie ou…?

Ben si t'as une activité nucléaire, il y a des normes de sécurité, parce qu'il y a des mecs payés pour être paranoïaques qui s'en préoccupent.

Pour les systèmes de notation de l'éducation nationale, il n'y a jamais eu de problème. Quand un problème fera la une des médias, le Législateur interviendra.

Welcome in the real world.