Pierre GIRARD
Ben en même temps, tout ce que j'affirme est que vérifier le système pour s'assurer de son intégrité est faisable. Je n'ai pas dit que c'était facile, ni qu'il était garantie que des gens allaient le faire, ni que s'il y en a, ceux-la seraient suffisamment compétents, ni que si c'était le cas, ils pousseraient l'analyse jusqu'au bout, etc. L'avenir nous dira ce qu'il en sera, mais ce que je voulais faire ressortir de notre discussion, c'est que le côté Open Source retire la barrière du "tout dépend de la NSA". Cependant, et là j'imagine qu'on tomberait d'accord, une position "la NSA n'a aucun contrôle" est tout aussi critiquable. Il faut faire l'effort d'analyser le code pour voir s'il y a effectivement des moyens d'atteindre le système de manière non souhaitée, l'Open Source offre seulement la possibilité de faire cette vérification, ce n'est pas la vérification elle-même. Que l'avenir soit noir ou pas dépend donc pour beaucoup de qui décidera de se frotter à ce code, et si personne ne le fait, l'avenir te donnera probablement raison. Pour ma part, je compte justement sur les récents événements comme Heartbleed pour me dire que la communauté informatique s'est rendu compte que l'Open Source, ça n'a que peu d'intérêt si on ne regarde pas le code, et qu'il ne faut pas compter sur le voisin pour vérifier à notre place.
Site perso
Recommandations pour débattre sainement
Références récurrentes :
The Cambridge Handbook of Expertise and Expert Performance
L’Art d’avoir toujours raison (ou ce qu'il faut éviter pour pas que je vous saute à la gorge {^_^})
Mais, moi aussi, je vote pour l'OpenSource, mais il suffit d'être observateur et d'avoir un minimum de mémoire pour savoir que tous les acteurs ne sont pas les bienvenus. Par exemple Oracle. Quand ce dernier à racheté SUN, la communauté s'est fait un devoir de faire un Fork de OOo, c'est à dire LibreOffice. ... Où était le problème ? Vu que OpenOffice était OpenSource la réaction aurait du être un applaudissement en voyant un grand de l'informatique prendre en main cette suite bureautique.
Moi, je constate que dans son immense majorité la communauté OpenSource n'avait aucune confiance en Oracle (et l'a fait savoir avec LO). Maintenant, si cette même communauté mise tous ses espoirs sécuritaires sur la NSA, c'est son droit le plus stricte. Mais : pourquoi du "2 poids 2 mesures" ?
Je reste à fond pour l'OpenSource mais j'ai encore moins confiance en la NSA qu'en Oracle. La problématique n'est donc pas :
- Super ! SIMP passe en OpenSource, et donc on va pouvoir étudier son code.
mais
- Pourquoi la NSA met-elle SIMP en OpenSource ? Quel est son intérêt dans cette affaire ?
Désolé
Pierre GIRARD
Mais là tu parles d'encore autre chose. Pour autant que je sache, la gestion du dépôt OO, notamment l'acceptation des contributions extérieures, n'était pas du goût de tout le monde. La gestion de Sun ne plaisant pas, le fork était nécessaire pour appliquer une ligne de conduite différente. De la même manière que si des gens trouvent des corrections à apporter à SIMP et que les gens de la NSA estiment que ces contributions ne sont pas les bienvenues, SIMP se fera sûrement forker pour que ces contributions soient appliquées.
Que tel ou tel acteur prenne en main un dépôt, cela affecte avant tout le management dudit dépôt, et c'est ça qui justifie en premier lieu le fork. Que ce soit parce que les contributions ne sont pas acceptées, ou trop lentement, ou parce que les contraintes sont trop strictes, etc. Si les contributions apportées à SIMP sont généralement prises, y'a pas de raison qu'il se fasse forker. Si tes doutes au sujet de la NSA se confirme, et qu'elle a donc des raisons de refuser des pull request (raisons qu'elle ne donnera pas bien entendu, ou elle en donnera d'autres), je ne doute pas qu'on verra des forks voire le jour si la communauté estime que ces contributions sont valables.
OO a fait son temps avant que LO n'arrive. SIMP vient tout juste d'arriver, mais il suivra peut-être le même chemin. On n'en sait rien encore. Chaque chose en son temps. Cela dit, cela ne me semble clairement pas être une histoire de confiance, mais de management.
Pour moi, l'intérêt de la NSA n'entre pas en ligne de compte (c'est de l'ordre de la curiosité), dans le sens où maintenant que c'est Open Source (licence Apache), y'a moyen de faire sa propre mouture. Donc si le fait que ce soit maintenu par la NSA ne plaît pas, ça finira forké et géré par d'autres. L'important étant qu'il y ait analyse du code, et ça ça ne dépend que des gens motivés.
Site perso
Recommandations pour débattre sainement
Références récurrentes :
The Cambridge Handbook of Expertise and Expert Performance
L’Art d’avoir toujours raison (ou ce qu'il faut éviter pour pas que je vous saute à la gorge {^_^})
Comment interpréter ce geste, les nasiques qui fournissent une solution de sécurité, je cite, "un outil open source visant à sécuriser les réseaux des organisations conçues pour aider les organisations à fortifier leurs réseaux contre les cybers-menaces " mais si on se place au niveau des entreprises sensibles la NSA fait partie des nuisibles s'activant à espionner pour le compte des entreprises de l'oncle sam.
Perso je suis un observateur méfiant et je m'interroges, pourquoi fournir un outil sensé leurs compliquer la tâche alors que la logique de base voudrait qu'on fournisse un outil qui éventuellement devrait faciliter la tâche, pour rappel la NSA est réputé pour espionner à tous les étages de la société, politique, institutions, entreprises, etc.
Et la petite musique qui trotte me dit, quels intérêts auraient-ils à fournir des outils permettant à ceux qu'ils espionnent de renforcer leur sécurité.
Mes 5 sens.
Parce que du point de vue de la NSA, une cyber-menace, ça en veut à l'entreprise ou à l'Amérique. La NSA n'en voulant ni à l'un ni à l'autre (elle espionne, mais l'espionnage en lui-même ne nuit pas, et quand c'est elle qui le fait c'est justement pour le compte de l'Amérique), elle ne rentre pas dans ce cadre. Il n'y a donc pas d'incohérence à ce qu'elle fournisse ce genre de chose. Là où on pourrait se poser la question, c'est pourquoi le faire en Open Source, car si elle souhaite effectivement y mettre des backdoors, elle prend des risques à montrer le code.
Site perso
Recommandations pour débattre sainement
Références récurrentes :
The Cambridge Handbook of Expertise and Expert Performance
L’Art d’avoir toujours raison (ou ce qu'il faut éviter pour pas que je vous saute à la gorge {^_^})
Anéfé, en même temps je ne peux m'empêcher d'imaginer que cela s'apparente à la mise en oeuvre d'une sorte de maillage (sorte de pare-feu) supervisé via une couche moins ouverte imbriquable dans leur solution SIMP publique.
Parano je sais... mais la parano dans une certaine mesure permet aussi de rester lucide et là pour le moment j'y vois une sorte de détournement d'intention... Let us wait to see...
Ce qui est sûr, c'est que c'est dans leur intérêt de le faire, quel que soit cet intérêt.
Site perso
Recommandations pour débattre sainement
Références récurrentes :
The Cambridge Handbook of Expertise and Expert Performance
L’Art d’avoir toujours raison (ou ce qu'il faut éviter pour pas que je vous saute à la gorge {^_^})
avec Heartbleed ça fait clairement penser qu'ils ont aussi inclus des backdoors, la programmation c'est compliqué donc c'est facile de cacher 3 lignes malveillantes au milieu de 1 millions de lignes de code
Vous avez un bloqueur de publicités installé.
Le Club Developpez.com n'affiche que des publicités IT, discrètes et non intrusives.
Afin que nous puissions continuer à vous fournir gratuitement du contenu de qualité, merci de nous soutenir en désactivant votre bloqueur de publicités sur Developpez.com.
Partager