C y b e r C a f e 2 1 @ l i s t s . E x M a c h i n a . n e t !
<http://www.cybercafe21.net> & <http://www.cybercafe21.tv>
> Oui mais il se contente de le planter, pas de se servir de lui
> pour prendre le controle de la machine, envoyer des fichiers
Je me suis dit, apres mes derniers messages, faisons en un qui soit
constructif, pour mieux expliquer comment cela se pase :)
Pourquoi ces bugs, et qu'est-ce qui me permet de dire qu'ils existent dans
tous les systemes ?
En fait, de nombreuses failles que l'on decouvre sont ce que l'on appelle
des "buffer overflow", mais pour bcp, cela reste un nom creux, qui ne veut
rien dire, alors je vais tenter de l'expliquer...
En programmation, on utilise des "variables", c'est a dire des zones
memoires ou l'on stocke temporairement des informations et des valeurs pour
pouvoir les reutiliser rapidement. La memoire etant limitee, on doit
"formatter" ces variables, c'est a dire definir leur format, preciser au
programme ce que l'on va mettre dedans : du texte, des nombres, des
images,... et aussi la taille de ce que l'on va mettre dedans... et c'est
la que se situe le probleme...
Ainsi, par exemple, en creant un programme ou l'utilisateur doit rentrer son
nom, le programmeur simplement se dit "Oh, ben je pense que 256 caracteres
devraient suffire pour un nom", reflexion que n'importe qui peut se faire...
si le programmeur ne verifie pas la longueur du nom que l'utilisateur a
introduit qu'est-ce qui se passe ? si qqun introduit un nom de 300
caracteres, le programme va tenter de le mettre dans une zone memoire qui
n'en fait que 256, il va donc y avoir 44 caracteres qui vont "deborder"...
et ces caracteres peuvent etre interpretes alors comme etant non plus une
variable, mais une partie de programme, et si ces caracteres forment des
instructions que l'ordinateur peut executer...
Voila en 2 mots grossierement comment cela se passe... vous imaginez bien
qu'il est assez difficile d'envisager *tous* les cas de figure sans
exception, et il est assez difficile de mettre des controles de validite a
chaque instruction, pour des raisons tres simples de performances, un
logiciel contiendrait 3x plus de code que actuellement... c'est comme votre
voiture, il est tres clair que si qqun en sectionne les cables de frein,
elle a des risques de foncer dans un mur, il n'y a pas de systeme vous
empechant de demarrer si le cable de frein est sectionne (meme si ce cable
est un tuyau hydraulique, je sais :))... Sur votre voiture en demarrant
vous supposez qu'il n'y a pas eu de malfrat qui a souhaite vous nuire en la
trafiquant, la difference est que en informatique IL Y A des personnes
malveillantes qui essayent de trouver ces "bugs" et de vous nuire... la
seule solution etant, chaque fois que l'on decouvre un moyen de vous nuire
(et je n'appelle meme pas ca un bug), de developper la parade... le jour ou
on accusera reellement celui qui sectionne le cable et non plus celui qui
fabrique la voiture, on aura fait un grand pas...
Bien a vous...
_
(_' L'informatique est ma passion, vous la simplifier, mon metier !
,_)tephane Bouvard [[EMAIL PROTECTED]] http://www.antarex.be
_ _
|_)(_ Votre propre nom de domaine .be - service de qualite - 25 Euros
o|_)(_ Hosting 50Mb - php4/cgi - 100 Euros, pq payer plus ? www.myown.be
ATTENTION Le stress nuit autant a l'esperance de vie que la cigarette.
N'attendez plus, prenez Planet ADSL.
http://www.planetinternet.be/fr/products/specials/2001/adsl/
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
La liste CC21 vous est offerte par Emakina <http://www.emakina.com/>
Pour vous desabonner rapido <mailto:[EMAIL PROTECTED]>
