Ça va mieux en l'écrivant… On va dire qu'il a juste la prétention de pratiquer l'amalgame, l'approximation et le titre racoleur histoire de se faire (un peu) voir dans la blogosphère du micro-monde des geeks …

Les posts/blogs réellement intéressants sur cette question n'ont pas besoin d'utiliser ces méthodes et se gardent bien d'en av oir la "prétention" … arf, arf…

Le lien n'était pas encore affiché au moment de ma réponse, mais mon propos portait sur le "la cour de cassation aurait délibéré sur la publication de failles de sécurité" du début de ton post.

> > Milworm serait en effet concerné
> Cette situation me semble anormale, si elle vous semble normale à vous,
> alors nous ne sommes pas d'accord sur ce point.

Je fais partie des gens en faveur du responsable disclosure : dans l'affaire citée, l'absence de correctif disponible a été un point crucial pour la décision.
D'après moi, on a pas besoin d'un exploit complet ou d'une url pour comprendre qu'il faut appliquer le correctif ou les contre-mesures. Publier une url avec une injection complète sur un joomla alors qu'il n'y a pas de correctif permet à des gamins de 10 ans de pwner des milliers de site sans comprendre ce qu'ils font, ce qui n'est bénéfique à personne.

> je ne vois pas pourquoi un lien sur un exploit ne le serait pas

Parce que l'article 323-3-1 du code pénal énonce : "Le fait, sans motif légitime, d'importer, de détenir, d'offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions…". Héberger un exploit correspond à "mettre à disposition", faire un lien ne correspond à aucune action listée.

Le réel problème de cet article, pour les sociétés spécialisées dans la sécurité informatique, est la détention d'exploit, mais le "motif légitime" peut les sauver.

Milworm serait en effet concerné

Cette situation me semble anormale.

qu'il n'était pas déjà mort

Il est mirroré, des dizaines de sites sont en train de prendre la relève, y compris en France

mais en aucun cas SecuObs

Pour l'instant, jusqu'au jour où on s'interessera aux simples liens qu'ils donnent sur des PoC … poser un lien sur un torrent de matériaux copyrighté en France est illégal… par extension, je ne vois pas pourquoi un lien sur un exploit ne le serait pas.

tu oublies de dire que l'équipe de Sendmail a corrigé une vulnérabilité découverte 8 ans auparavant (et je ne connais *aucune* entreprise l'utilisant qui l'a patchée elle-même), ou qu'il a fallut 2 ans pour découvrir la ligne commentée dans Openssl sous Debian

Je suis parfaitement d'accord sur ce point, l'open source n'est pas spécialement plus vertueuse sur la question, j'ajouterais même à ça l'accès au memcache dans django considéré comme un bug "mineur" par les développeurs …

Milworm serait en effet concerné

Cette situation me semble anormale.

qu'il n'était pas déjà mort

Il est mirroré, des dizaines de sites sont en train de prendre la relève, y compris en France

Niveau désinformation t'es pas mal non plus.

Notre lecture de l'actualité en question diverge, LOPPSI tranchera, on aura donc l'occasion d'en reparler quand le site de Nmap sera filtré. Et pour info ce blog n'a pas la prétention de donner une information objective, je n'ai pas ma carte de presse, il n'exprime que mes opinions.