Journal Comment des vendeurs essayent de brevetés les solutions à des failles de sécurité qui leur sont fournis !

Posté par  (site web personnel) .
Étiquettes : aucune
0
8
juil.
2005
http://kerneltrap.org/node/5382(...)

Kerneltrap fournis un long article a propos des vulnérabilités du protocole ICMP lui-même (et non d'une implémentation).

La fin de l'article est moins téchnique mais plus terrifiante encore.

L'auteur de la découverte en a fait part à la communauté open sources mais aussi à d'autres vendeur comme Sun, Microsoft ou Cisco.

Après de longues discussions téchniques avec Cisco, celui-ci a reçu des mails d'avocats de Cisco lui apprenant que les téchniques dont il discutait allait être breveté.

Les choses ne sont pas aussi claire mais il semble bien que Cisco a essayer d'avoir le maximum d'informations téchniques pour ensuite s'empresser de poser des brevets sur les solutions envisagés !
  • # Sauf que...

    Posté par  (site web personnel) . Évalué à 7.

    ...s'il y a antériorité (annonce publique), le brevet n'est pas valide.
    • [^] # Re: Sauf que...

      Posté par  . Évalué à 8.

      Ce qu'il faut bien comprendre, c'est que ce qui est important, c'est que le brevet soit accordé par l'office des brevets. Si t'es une grosse boîte, que le brevet soit valide ou non, tu t'en fous complètement du moment que l'office t'as accordé ton brevet. Comme ça, tu peux poursuivre tes petits concurrents, et ils auront le choix entre te filer de la thune, ou bien essayer de prouver au tribunal que le brevet est invalide, mais ça leur coutera tellement cher que le petit concurrent en question mettra la clé sous la porte avant d'avoir prouvé quoi que ce soit.
      • [^] # Re: Sauf que...

        Posté par  . Évalué à 8.

        Oui, mais :

        1. la validation du brevet n'est pas instantanée.
        2. n'importe qui peut remettre en cause la validité du brevet à tout moment (pendant et après la validation).

        donc l'auteur de l'article peut tout à fait empecher ce dépot.
        • [^] # Re: Sauf que...

          Posté par  (site web personnel) . Évalué à 3.

          Remettre un brevet en cause, c'est plusieurs centaines de milliers d'euro minimum, et ca prend entre 2 et 5 ans de proces.

          Mieux vaut le bloquer avant si on peut. Les moyens, c'est de faire de la pub sur cette situation, en disant que Cisco veut breveter des algorithmes publics.
          • [^] # Re: Sauf que...

            Posté par  . Évalué à 3.

            Remettre un brevet en cause, c'est plusieurs centaines de milliers d'euro minimum, et ca prend entre 2 et 5 ans de proces.
            Quelle est ta source stp ?
    • [^] # Re: Sauf que...

      Posté par  (site web personnel) . Évalué à 5.

      Il n'y a pas de brevet:

      > and later in the same thread Cisco noted that they had withdrawn their patent.

      Par contre on trouve déjà tout ce qu'il faut sur Full Discosure pour mettre à genoux des routeurs BGP. Ca fout la trouille...
      • [^] # Re: Sauf que...

        Posté par  (site web personnel) . Évalué à 3.

        > Par contre on trouve déjà tout ce qu'il faut sur Full Discosure pour
        > mettre à genoux des routeurs BGP. Ca fout la trouille...

        Ahem, certes, mais ce bug a bien ete corrige par cisco ou me trompes-je ?

        Steph
  • # Commentaire supprimé

    Posté par  . Évalué à 3.

    Ce commentaire a été supprimé par l’équipe de modération.

  • # Il faut lire la suite

    Posté par  (site web personnel) . Évalué à 7.

    For two more months this continued, until Fernando was cc'd on an email thread between Cisco, Linus Torvalds, and David Miller. Reading back through the thread, Fernando found where David Miller had asked Cisco how they could possibly patent sequence tracking as Linux had been doing it for many years, and later in the same thread Cisco noted that they had withdrawn their patent.

    J'en ai compris qu'il y a eu des échanges entre Linus Torvalds, David Miller, Fernando Gont et Cisco. David a fait remarquer à Cisco que Linus utilisait le "sequence tracking" (suivi des numéros de séquence TCP je suppose) depuis plusieurs années. Du coup, Cisco a annulé son idée de brevet.

    Et puis loin :
    "[Cisco and CERT/CC ] blamed me for submitting my work," Fernando said in exasperation. "One of Cisco's managers of PSIRT said I was cooperating with terrorists, because a terrorist could have gotten the information in the paper I wrote!" (...) "Then they accused me of working with terrorists, and even still tried to patent my work!" (...) "I decided to work this issue with NISCC, as they were much more responsive. But Cisco wanted me to work with Cert/CC (...)."

    On l'accuse d'avoir diffusé sa découverte, alors que Fernando avait bien pris soin de contacter en premier lieu les auteurs de systèmes d'exploitation et de logiciel pour routeur (de OpenBSD à Microsoft en passant par Cisco). Et du coup, on l'accuse de coopérer avec les terroristes. C'est fou quand même ! Pourtant, Cisco voulait à plusieurs reprises breveter ses découvertes, puis qu'il bosse pour eux :-(

    D'un côté Microsoft et Cisco sont agressifs, et de l'autre côté Theo de Raadt l'invite au Canada pour corriger les failles dans OpenBSD.

    ---

    C'est vraiment terrible comme affaire. L'article sur kerneltrap.org est très intéressant si on se prend la peine de le lire en entier. Il explique notament comment les différents organismes ont réagis face à cette annonce.

    Haypo
  • # Y'a moy' de niouze...

    Posté par  . Évalué à 6.

    Juste une suggestion comme ça, mais si quelqu'un a le temps de s'y coller, je trouve que cette histoire mérite vraiment plus qu'un journal. Merci d'avance au généreux contributeur :)
  • # Finalement...

    Posté par  . Évalué à 8.

    A force de se comporter ainsi, les grosses boites vont arriver exactement a l'inverse de ce qu'ils veulent: les vulnerabilites seront devoilees anonymement et publiquement, a la sauvage. Et ainsi il n'y aura plus de moyen de corriger les failles a temps.
    • [^] # Re: Finalement...

      Posté par  . Évalué à 3.

      et on sera tous classés terroristes!
      il est par où HG Wells ?

      "La liberté est à l'homme ce que les ailes sont à l'oiseau" Jean-Pierre Rosnay

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.