RE: [FRnOG] [MISC] L'administration Trump publie des règles sur la divulgation des failles de sécurité.
> Mrjk a écrit : > Bah, je suis pas un expert de Trump et compagnie, mais sur le *papier*, c'est > plutôt une bonne nouvelle non? Sur le papier, oui; sauf que qu'on s'attendait à ce qu'ils noient le poisson dans le genre "sépanoukonlainventé" et que sous prétexte d'avoir d'autres chats à fouetter de continuer sur la même lancée. > Après, qu'on soit vendredi ou non, on connait tous le degrés de trollerie de > ce gouvernement Trumpesque. Les autres sont pas mieux,AMHA. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] L'administration Trump publie des règles sur la divulgation des failles de sécurité.
Bah, je suis pas un expert de Trump et compagnie, mais sur le *papier*, c'est plutôt une bonne nouvelle non? Après, qu'on soit vendredi ou non, on connait tous le degrés de trollerie de ce gouvernement Trumpesque. Moi, je suis un optimiste dans l'âme, alors pour une fois qu'il y'a une bonne nouvelle, je vais m'en réjouir à 50%. Je me réjouirait les 50 dernier pour-cents restant si c'est réellement effectif. Mais c'est vrais que ça me fait rappeler les différentes ordonnances des diverses personnalités politiques Française de favoriser le logiciel libre ... en vain. En ce qui me concerne, je n'habite plus en France, donc je vois encore le bon coté des choses (le vrais troll est peut-être caché dans cette dernière phrase hehe) Librement votre, -- mrjk Le 16 novembre 2017 à 23:04, Michel Py a écrit : >> Benjamin BILLON a écrit : >> Les US rejoindraient donc le GDPR et la China Cybersecurity law, entre >> autres ? >> Ca n'est pas une mauvaise chose (même si en terme de données personnelles et >> consentement ils sont encore loin derrière la norme) > > Puisque c'est trolldi, et en tant que citoyen Américain, je me demande en > effet si c'est du bullshit total ou non. L'administration de droite de Trump > qui devient plus libérale que l'administration de gauche d'Obama, çà me > laisse con mais pas vaincu. > > C'est un gros troll bien gras et bien velu; trollez les enfants. > > Michel. > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [MISC] L'administration Trump publie des règles sur la divulgation des failles de sécurité.
> Benjamin BILLON a écrit : > Les US rejoindraient donc le GDPR et la China Cybersecurity law, entre autres > ? > Ca n'est pas une mauvaise chose (même si en terme de données personnelles et > consentement ils sont encore loin derrière la norme) Puisque c'est trolldi, et en tant que citoyen Américain, je me demande en effet si c'est du bullshit total ou non. L'administration de droite de Trump qui devient plus libérale que l'administration de gauche d'Obama, çà me laisse con mais pas vaincu. C'est un gros troll bien gras et bien velu; trollez les enfants. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] L'administration Trump publie des règles sur la divulgation des failles de sécurité.
Les US rejoindraient donc le GDPR et la China Cybersecurity law, entre autres ? Ca n'est pas une mauvaise chose (même si en terme de données personnelles et consentement ils sont encore loin derrière la norme) -- Benjamin Le 17 novembre 2017 à 10:02, Michel Py a écrit : > Traduit de : > http://www.zdnet.com/article/trump-administration-releases- > secret-rules-on-disclosing-security-flaws/ > > L'administration Trump publie des règles sur la divulgation des failles de > sécurité. > > Le coordinateur de la cybersécurité de la Maison Blanche a déclaré que les > règles sont «vitales» pour assurer un équilibre entre la divulgation > publique et la conservation des failles des opérations de renseignement. > > > L'administration Trump a publié un ensemble de règles non classifiées pour > décider si une faille de sécurité doit être partagée ou gardée privée. > > Rob Joyce, coordinateur de la cybersécurité de la Maison Blanche, a > déclaré mercredi à Washington que les règles mettraient fin aux années de > secret sur le soi-disant processus d'équité des vulnérabilités (VEP) et > calmeraient les rumeurs selon lesquelles le gouvernement aurait un "vaste > stock" des vulnérabilités qu'il peut utiliser pour des attaques offensives. > > Le mouvement est considéré comme un acte de transparence rare par le > gouvernement, qui a gardé les règles secrètes depuis leur création sous > l'administration Obama. > > Les règles ont été affichées sur le site Web de la Maison Blanche une > heure après le discours de Joyce. Une fiche d'information a également été > publiée. > Sous l'administration Obama, le gouvernement a créé le comité d'examen > multi-agences pour déterminer si une faille découverte par la communauté du > renseignement devait être divulguée en privé à des entreprises > technologiques, ou garder un secret pour pouvoir les utiliser pour > effectuer des opérations de renseignement telles que le piratage et > l'exploitation du réseau. > Les critiques affirment que le gouvernement peut mettre en danger la > cybersécurité des individus et des entreprises en stockant des > vulnérabilités, et ne pas les divulguer à des partenaires de l'industrie > qui peuvent les réparer avant que les criminels trouvent et commencent à > les exploiter. > > Mais le gouvernement soutient que le processus équilibre les besoins des > organismes d'application de la loi et de renseignement tout en s'assurant > que les vulnérabilités plus grandes et plus dangereuses sont divulguées et > corrigées par la suite. > > Dans un billet de blog, Joyce a déclaré que la transparence est «critique» > et que la publication des règles est «importante pour établir la confiance» > dans le processus, y compris les agences impliquées. > > Joyce a confirmé que les agences comprennent le ministère du Commerce, de > la Défense et de l'Énergie; La sécurité intérieure; le service secret; et > le bureau du directeur du renseignement national, y compris la National > Security Agency et la Central Intelligence Agency; le Trésor, le > Département d'Etat et la Maison Blanche. > > Les règles nouvellement révélées montrent que si le conseil décide de > garder une vulnérabilité privée, le conseil doit réévaluer sa décision > chaque année. > > Et Joyce a déclaré que le gouvernement publiera un rapport annuel > fournissant des informations sur le travail du VEP. > > La communauté de la sécurité, qui demande au gouvernement de divulguer les > détails de ce processus depuis des années, a longtemps cru que le > gouvernement tenait plus d'exploits qu'il ne le disait. La NSA n'est pas > seulement chargée de trouver des vulnérabilités; Les rapports montrent que > l'agence a dépensé 25 millions de dollars pour acheter des détails sur des > vulnérabilités non divulguées auparavant à des tiers en une seule année. > > Joyce a réaffirmé à partir des commentaires précédents que plus de 90% des > vulnérabilités sont divulguées aux partenaires, mais ne dirait pas s'il > s'agissait d'un processus immédiat ou éventuel. > > "La charte comprend une déclaration claire que les vulnérabilités ne > peuvent pas être stockées et que la divulgation devrait être la > présomption", a déclaré Michelle Richardson au Centre pour la démocratie et > la technologie, dans un courriel. > > "Il est extrêmement important et bénéfique que ce soit la politique > publique officielle du gouvernement américain", a-t-elle déclaré. > > Le rapport non classifié arrive moins d'un an après le vol d'un ensemble > d'outils de piratage de la NSA, et est utilisé pour lancer une attaque de > ransomware mondiale à grande échelle. Les outils volés ont permis aux > pirates d'infecter silencieusement les ordinateurs Windows avec une porte > dérobée pour ensuite lancer le ransomware WannaCry. D'autres outils ont > permis aux analystes de la NSA de pénétrer dans une gamme de systèmes, > d'équipements de réseau et de pare-feu, et plus récemment, de serveurs > Linux et de divers systèmes d'exploitation Windows. Les entreprises se
[FRnOG] [MISC] L'administration Trump publie des règles sur la divulgation des failles de sécurité.
Traduit de : http://www.zdnet.com/article/trump-administration-releases-secret-rules-on-disclosing-security-flaws/ L'administration Trump publie des règles sur la divulgation des failles de sécurité. Le coordinateur de la cybersécurité de la Maison Blanche a déclaré que les règles sont «vitales» pour assurer un équilibre entre la divulgation publique et la conservation des failles des opérations de renseignement. L'administration Trump a publié un ensemble de règles non classifiées pour décider si une faille de sécurité doit être partagée ou gardée privée. Rob Joyce, coordinateur de la cybersécurité de la Maison Blanche, a déclaré mercredi à Washington que les règles mettraient fin aux années de secret sur le soi-disant processus d'équité des vulnérabilités (VEP) et calmeraient les rumeurs selon lesquelles le gouvernement aurait un "vaste stock" des vulnérabilités qu'il peut utiliser pour des attaques offensives. Le mouvement est considéré comme un acte de transparence rare par le gouvernement, qui a gardé les règles secrètes depuis leur création sous l'administration Obama. Les règles ont été affichées sur le site Web de la Maison Blanche une heure après le discours de Joyce. Une fiche d'information a également été publiée. Sous l'administration Obama, le gouvernement a créé le comité d'examen multi-agences pour déterminer si une faille découverte par la communauté du renseignement devait être divulguée en privé à des entreprises technologiques, ou garder un secret pour pouvoir les utiliser pour effectuer des opérations de renseignement telles que le piratage et l'exploitation du réseau. Les critiques affirment que le gouvernement peut mettre en danger la cybersécurité des individus et des entreprises en stockant des vulnérabilités, et ne pas les divulguer à des partenaires de l'industrie qui peuvent les réparer avant que les criminels trouvent et commencent à les exploiter. Mais le gouvernement soutient que le processus équilibre les besoins des organismes d'application de la loi et de renseignement tout en s'assurant que les vulnérabilités plus grandes et plus dangereuses sont divulguées et corrigées par la suite. Dans un billet de blog, Joyce a déclaré que la transparence est «critique» et que la publication des règles est «importante pour établir la confiance» dans le processus, y compris les agences impliquées. Joyce a confirmé que les agences comprennent le ministère du Commerce, de la Défense et de l'Énergie; La sécurité intérieure; le service secret; et le bureau du directeur du renseignement national, y compris la National Security Agency et la Central Intelligence Agency; le Trésor, le Département d'Etat et la Maison Blanche. Les règles nouvellement révélées montrent que si le conseil décide de garder une vulnérabilité privée, le conseil doit réévaluer sa décision chaque année. Et Joyce a déclaré que le gouvernement publiera un rapport annuel fournissant des informations sur le travail du VEP. La communauté de la sécurité, qui demande au gouvernement de divulguer les détails de ce processus depuis des années, a longtemps cru que le gouvernement tenait plus d'exploits qu'il ne le disait. La NSA n'est pas seulement chargée de trouver des vulnérabilités; Les rapports montrent que l'agence a dépensé 25 millions de dollars pour acheter des détails sur des vulnérabilités non divulguées auparavant à des tiers en une seule année. Joyce a réaffirmé à partir des commentaires précédents que plus de 90% des vulnérabilités sont divulguées aux partenaires, mais ne dirait pas s'il s'agissait d'un processus immédiat ou éventuel. "La charte comprend une déclaration claire que les vulnérabilités ne peuvent pas être stockées et que la divulgation devrait être la présomption", a déclaré Michelle Richardson au Centre pour la démocratie et la technologie, dans un courriel. "Il est extrêmement important et bénéfique que ce soit la politique publique officielle du gouvernement américain", a-t-elle déclaré. Le rapport non classifié arrive moins d'un an après le vol d'un ensemble d'outils de piratage de la NSA, et est utilisé pour lancer une attaque de ransomware mondiale à grande échelle. Les outils volés ont permis aux pirates d'infecter silencieusement les ordinateurs Windows avec une porte dérobée pour ensuite lancer le ransomware WannaCry. D'autres outils ont permis aux analystes de la NSA de pénétrer dans une gamme de systèmes, d'équipements de réseau et de pare-feu, et plus récemment, de serveurs Linux et de divers systèmes d'exploitation Windows. Les entreprises se sont efforcées de corriger les vulnérabilités après l'attaque de WannaCry. Les pirates associés à la Corée du Nord ont été blâmés pour l'attaque, en dépit des dénégations de Pyongyang. Cette décision a incité le Congrès à annoncer une législation visant à empêcher le gouvernement de stocker des vulnérabilités, des outils de piratage et des armes électroniques.
