Le code source de CS:GO et Team Fortress 2 dans la nature mais pas de panique pour la sécurité

Commentez les news de Nofrag.
Répondre

Message par nounoursss » 23 avr. 2020, 00:57


Plus tôt dans la journée, on apprenait par la voix de SteamDB que le code source version 2017/2018 de Counter-Strike: Global Offensive et Team Fortress 2 était dans la nature. Les développeurs de CS:GO ont rapidement répondu que cela ne représentait aucun problème pour la sécurité des joueurs. Ils vont continuer à suivre la situation, au cas où. Du côté de Team Fortress 2, c'est un peu plus compliqué et pour l'instant Valve n'a pas communiqué officiellement. En réalité, ce n'est pas le code source du jeu en entier qui est disponible, mais seulement une partie très ancienne. Il n'y a ...


Message par poca123 » 23 avr. 2020, 10:42

C'est quoi le risque ?

Message par G-UNIT » 23 avr. 2020, 11:10

poca123 a écrit : C'est quoi le risque ?
Les rumeurs parlaient d'exploit type RCE (Remote Code Execution), en gros qu'une personne mal intentionnée puisse exécuter du code à ton insu sur ton PC, si tu te connectes à un serveur de jeu.

Message par TomGun » 23 avr. 2020, 15:14

L'exploit en question existait peut-être en 2017, Valve l'a corrigé depuis longtemps si c'était le cas.

Une croyance populaire entretenue par des entreprises et des agences gouvernementales ayant des choses à cacher veut qu'un code rendu public permette aux pirates de découvrir des failles. Ça s'appelle la sécurité par l'obscurité, la plus inefficace de toutes.

Ces failles sont déjà grandes ouvertes que le code soit connu ou pas, ça ne change rien à la sécurité. Le code fermé est là pour protéger la propriété intellectuelle, le boulot effectué ou cacher des choses (backdoors, espionnage…). Ça n'a rien à voir avec la sécurité donc il n'y a rien à craindre.

Message par Dublab » 23 avr. 2020, 20:03

C'est safe sans problème maintenant.Par contre le code du VAC lui a besoin d'un wagon entier de rustines.

Message par Tokopisco » 23 avr. 2020, 21:49

Dublab a écrit : C'est safe sans problème maintenant.Par contre le code du VAC lui a besoin d'un wagon entier de rustines.
C'est pas nouveau sa

Message par Dublab » 24 avr. 2020, 15:14

Tokopisco a écrit :
Dublab a écrit : C'est safe sans problème maintenant.Par contre le code du VAC lui a besoin d'un wagon entier de rustines.
C'est pas nouveau sa
''ça ''

qui a dit que c'était nouveau.

Message par karibou » 24 avr. 2020, 16:03

TomGun a écrit : L'exploit en question existait peut-être en 2017, Valve l'a corrigé depuis longtemps si c'était le cas.

Une croyance populaire entretenue par des entreprises et des agences gouvernementales ayant des choses à cacher veut qu'un code rendu public permette aux pirates de découvrir des failles. Ça s'appelle la sécurité par l'obscurité, la plus inefficace de toutes.

Ces failles sont déjà grandes ouvertes que le code soit connu ou pas, ça ne change rien à la sécurité. Le code fermé est là pour protéger la propriété intellectuelle, le boulot effectué ou cacher des choses (backdoors, espionnage…). Ça n'a rien à voir avec la sécurité donc il n'y a rien à craindre.
Je suis pas sur de comprendre se que tu veux dire. J'ai l'impression que tu dis tout et son contraire.
Je suis pas un spécialiste du sujet donc je vais peut être sortir des âneries. Mais est-se qu'on pourrait pas imager la situation de cette façon :

On a une maison (le code source), dont l’extérieur est plongé dans le noir (le code source est secrètement gardé par son propriétaire).
Les voleurs (hackeur/pirate) peuvent essayer d'aller à tatillon forcer les fenêtres, les portes ou trouver des trous dans les murs (failles). Ca prend du temps, de la chance, pas se qui a de plus effiace.
Si tout le quartier s'illumine (le code source est publié ouvertement), ca va permettre de mettre en évidence la position des fenêtres, des portes afin de cibler ses attaques et trouver directement les trous dans les murs.

Biensur que les failles et les trous étaient là durant tout ce temps. Mais il était beaucoup moins évident de tomber dessus.

Non ? Je me fis uniquement à ma logique pour tirer cette explication. Éclairs moi si je dis des conneries.

Message par TomGun » 25 avr. 2020, 16:20

@karibou tu as raison mais ça marche dans les 2 sens : les failles sont aussi plus rapidement remontées quand le code est ouvert.

Il y a encore quelques jours, des chercheurs ont annoncé la découverte une faille vieille d'au moins 8 ans dans l'appli Mail des Iphone : https://blog.zecops.com/vulnerabilities ... lick-mail/

Pourtant Apple est le spécialiste du proprio et son code est le plus fermé de tous. Résultat, comme souvent, la faille a été utilisée depuis longtemps car les pirates ont plus de moyen (du gouvernemental à là NSA, russes, chinois, coréen du nord… et les boites privées qui bossent pour ces premiers) que les chercheurs ou passionnés sur leur temps libre.

Quand le code est fermé chacun cherche plus ou moins à l'aveugle, mais un côté à plus de moyens (et est payé pour trouver). Quand le code est ouvert par exemple sur Github, c'est potentiellement des millions de développeurs autour de la planète qui peuvent auditer le code. Rien ne peut contrer cette puissance d'analyse.

Répondre

Le code source de CS:GO et Team Fortress 2 dans la nature mais pas de panique pour la sécurité