Journal Comment des vendeurs essayent de brevetés les solutions à des failles de sécurité qui leur sont fournis !

Posté par Nicolas Boulay (site web personnel) le 08 juillet 2005 à 13:38.

Étiquettes : aucune

juil.

2005

http://kerneltrap.org/node/5382(...)

Kerneltrap fournis un long article a propos des vulnérabilités du protocole ICMP lui-même (et non d'une implémentation).

La fin de l'article est moins téchnique mais plus terrifiante encore.

L'auteur de la découverte en a fait part à la communauté open sources mais aussi à d'autres vendeur comme Sun, Microsoft ou Cisco.

Après de longues discussions téchniques avec Cisco, celui-ci a reçu des mails d'avocats de Cisco lui apprenant que les téchniques dont il discutait allait être breveté.

Les choses ne sont pas aussi claire mais il semble bien que Cisco a essayer d'avoir le maximum d'informations téchniques pour ensuite s'empresser de poser des brevets sur les solutions envisagés !

# Sauf que...

Posté par Vincent Richard (site web personnel) le 08 juillet 2005 à 14:11. Évalué à 7.

...s'il y a antériorité (annonce publique), le brevet n'est pas valide.
- [^] # Re: Sauf que...
  
  Posté par Christophe Fergeau le 08 juillet 2005 à 14:19. Évalué à 8.
  
  Ce qu'il faut bien comprendre, c'est que ce qui est important, c'est que le brevet soit accordé par l'office des brevets. Si t'es une grosse boîte, que le brevet soit valide ou non, tu t'en fous complètement du moment que l'office t'as accordé ton brevet. Comme ça, tu peux poursuivre tes petits concurrents, et ils auront le choix entre te filer de la thune, ou bien essayer de prouver au tribunal que le brevet est invalide, mais ça leur coutera tellement cher que le petit concurrent en question mettra la clé sous la porte avant d'avoir prouvé quoi que ce soit.
  - [^] # Re: Sauf que...
    
    Posté par plagiats le 08 juillet 2005 à 14:25. Évalué à 8.
    
    Oui, mais :
    
    1. la validation du brevet n'est pas instantanée.
    2. n'importe qui peut remettre en cause la validité du brevet à tout moment (pendant et après la validation).
    
    donc l'auteur de l'article peut tout à fait empecher ce dépot.
    - [^] # Re: Sauf que...
      
      Posté par Philippe F (site web personnel) le 11 juillet 2005 à 10:50. Évalué à 3.
      
      Remettre un brevet en cause, c'est plusieurs centaines de milliers d'euro minimum, et ca prend entre 2 et 5 ans de proces.
      
      Mieux vaut le bloquer avant si on peut. Les moyens, c'est de faire de la pub sur cette situation, en disant que Cisco veut breveter des algorithmes publics.
      - [^] # Re: Sauf que...
        
        Posté par plagiats le 15 juillet 2005 à 12:49. Évalué à 3.
        
        Remettre un brevet en cause, c'est plusieurs centaines de milliers d'euro minimum, et ca prend entre 2 et 5 ans de proces.
        Quelle est ta source stp ?
- [^] # Re: Sauf que...
  
  Posté par Raoul Volfoni (site web personnel) le 08 juillet 2005 à 14:24. Évalué à 5.
  
  Il n'y a pas de brevet:
  
  > and later in the same thread Cisco noted that they had withdrawn their patent.
  
  Par contre on trouve déjà tout ce qu'il faut sur Full Discosure pour mettre à genoux des routeurs BGP. Ca fout la trouille...
  - [^] # Re: Sauf que...
    
    Posté par FRLinux (site web personnel) le 09 juillet 2005 à 19:14. Évalué à 3.
    
    > Par contre on trouve déjà tout ce qu'il faut sur Full Discosure pour
    > mettre à genoux des routeurs BGP. Ca fout la trouille...
    
    Ahem, certes, mais ce bug a bien ete corrige par cisco ou me trompes-je ?
    
    Steph
# Commentaire supprimé

Posté par Anonyme le 08 juillet 2005 à 14:16. Évalué à 3.

Ce commentaire a été supprimé par l’équipe de modération.
# Il faut lire la suite

Posté par Victor STINNER (site web personnel) le 08 juillet 2005 à 14:22. Évalué à 7.

For two more months this continued, until Fernando was cc'd on an email thread between Cisco, Linus Torvalds, and David Miller. Reading back through the thread, Fernando found where David Miller had asked Cisco how they could possibly patent sequence tracking as Linux had been doing it for many years, and later in the same thread Cisco noted that they had withdrawn their patent.

J'en ai compris qu'il y a eu des échanges entre Linus Torvalds, David Miller, Fernando Gont et Cisco. David a fait remarquer à Cisco que Linus utilisait le "sequence tracking" (suivi des numéros de séquence TCP je suppose) depuis plusieurs années. Du coup, Cisco a annulé son idée de brevet.

Et puis loin :

"[Cisco and CERT/CC ] blamed me for submitting my work," Fernando said in exasperation. "One of Cisco's managers of PSIRT said I was cooperating with terrorists, because a terrorist could have gotten the information in the paper I wrote!" (...) "Then they accused me of working with terrorists, and even still tried to patent my work!" (...) "I decided to work this issue with NISCC, as they were much more responsive. But Cisco wanted me to work with Cert/CC (...)."

On l'accuse d'avoir diffusé sa découverte, alors que Fernando avait bien pris soin de contacter en premier lieu les auteurs de systèmes d'exploitation et de logiciel pour routeur (de OpenBSD à Microsoft en passant par Cisco). Et du coup, on l'accuse de coopérer avec les terroristes. C'est fou quand même ! Pourtant, Cisco voulait à plusieurs reprises breveter ses découvertes, puis qu'il bosse pour eux :-(

D'un côté Microsoft et Cisco sont agressifs, et de l'autre côté Theo de Raadt l'invite au Canada pour corriger les failles dans OpenBSD.

---

C'est vraiment terrible comme affaire. L'article sur kerneltrap.org est très intéressant si on se prend la peine de le lire en entier. Il explique notament comment les différents organismes ont réagis face à cette annonce.

Haypo
- [^] # Re: Il faut lire la suite
  
  Posté par Krunch (site web personnel) le 10 juillet 2005 à 13:08. Évalué à 1.
  
  Cisco voulait à plusieurs reprises breveter ses découvertes, puis qu'il bosse pour eux
  Fernando ne travaille pas pour Cisco (ou j'ai rien suivi).
  pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
  - [^] # Re: Il faut lire la suite
    
    Posté par Psychofox (Mastodon) le 11 juillet 2005 à 09:03. Évalué à 3.
    
    tu ne sais pas lire surtout ;)
    - [^] # Re: Il faut lire la suite
      
      Posté par Krunch (site web personnel) le 11 juillet 2005 à 17:05. Évalué à 2.
      
      Arf désolé j'ai lu "puisqu'il bosse pour eux".
      pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
# Y'a moy' de niouze...

Posté par tgl le 08 juillet 2005 à 14:36. Évalué à 6.

Juste une suggestion comme ça, mais si quelqu'un a le temps de s'y coller, je trouve que cette histoire mérite vraiment plus qu'un journal. Merci d'avance au généreux contributeur :)
# Finalement...

Posté par zeb le 08 juillet 2005 à 14:52. Évalué à 8.

A force de se comporter ainsi, les grosses boites vont arriver exactement a l'inverse de ce qu'ils veulent: les vulnerabilites seront devoilees anonymement et publiquement, a la sauvage. Et ainsi il n'y aura plus de moyen de corriger les failles a temps.
- [^] # Re: Finalement...
  
  Posté par ZeroHeure le 08 juillet 2005 à 16:41. Évalué à 3.
  
  et on sera tous classés terroristes!
  il est par où HG Wells ?
  "La liberté est à l'homme ce que les ailes sont à l'oiseau" Jean-Pierre Rosnay
  - [^] # Re: Finalement...
    
    Posté par Uld (site web personnel) le 08 juillet 2005 à 18:58. Évalué à 1.
    
    il est par où HG Wells ?
    
    Il est au cinéma, t'es pas au courant?
    - [^] # Commentaire supprimé
      
      Posté par Anonyme le 08 juillet 2005 à 19:48. Évalué à 1.
      
      Ce commentaire a été supprimé par l’équipe de modération.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.