Discussion :

[Stéphane le calme]

Pour ou contre la publication en Open Source du code source d'un système de sécurité ?
Une juge estime que cette pratique peut mettre en péril la sécurité nationale

Battelle Energy Alliance, fournisseur opérationnel de Idaho National Laboratory (INL), a engagé des poursuites judiciaires contre un de ses anciens employés et sa compagnie Southfork Security. Tout a commencé en 2009 quand le département américain de l'énergie a mandaté un projet de développement dont l'objectif était la création d'un « programme informatique visant à protéger les infrastructures énergétiques critiques des États-Unis (compagnies électriques, pétrole, gaz, chimiques et autres) contre les cyber-attaques. ». Corey Thuen, encore employé à ce moment là de la Battelle, a fait parti de l'équipe de développeurs ayant travaillé pour le logiciel baptisé plus tard Sophia.

En 2012, Sophia est entre autre capable de détecter et de neutraliser des comportements anormaux sur le réseau. Une série de tests qui s'avèrent concluant réconforte Battelle dans son idée d'obtenir une licence pour cette technologie. N'ayant pas la capacité de commercialiser elle même les produits de ses recherches et ses inventons, l'entreprise a lancé un processus d'appel d'offres pour les entreprises intéressées. C'est à cette période que Thuen a quitté l'équipe et a fondé son entreprise. Sa société a alors présenté une proposition de licence du produit en février 2013 mais l'a retirée deux mois plus tard.

En mai 2013, une compagnie du nom de NexDefense a obtenu le droit exclusif de commercialiser Sophia. Seulement, à la même période, Southfork a commencé une campagne marketing autour d'un produit baptisé Visdom sur son site web. Battelle a alors affirmé qu'il s'agissait d'un clone de Sophia et également que Southfork a prévu d'offrir Visdom comme un produit open source accessibles à tous. Pour confirmer ses dires, l'entreprise a pris des captures d'écran datées du 10 octobre 2013 où il est dit entre autre « nous aurons le code source et un système de suivi problème / fonctionnalité en place sous peu. » mais aussi « nous aimons hacker et nous ne nous arrêterons pas ».

La société a alors demandé au tribunal d'émettre une ordonnance restrictive temporaire à l'intention de Southfork pour empêcher le marketing de Visdom ou son passage à la communauté open-source. Battelle évoque huit chef d'accusations parmi lesquels violation du droit d'auteur, vol de secrets commerciaux, violation de contrats et enrichissement injustifié pour ne citer que ceux là. Battelle a également demandé au tribunal de délivrer l'injonction sans préavis, car il craignait que, dans le cas contraire, Thuen publierait le logiciel en open source.

La juge Lynn Winmill de la cour de district de l'Etat de l'Idaho a autorisé Battelle a fournir à la cour des preuves matérielles de ce qu'il avance en faisant une copie des disques dur de Southfork. « Toute personne qui se revendique comme étant hacker » perd le droit au quatrième amendement qui protège les citoyens des fouilles, perquisitions et saisies de biens a déclaré la juge. Le plaignant a également obtenu une ordonnance restrictive temporaire contre Thuen et Southfork sécurité sans préavis. De plus elle a joué la carte de la sécurité nationale, argumentant que publier les codes de Sophia donneraient les moyens au pirate de déjouer le système de sécurité.

Source : Décision de la cour (au format PDF)

Et vous ?

Qu'en pensez-vous ?

[Nagato Yuki]

Pour ou contre la publication en open source du code source d'un système de sécurité ?
Contre évidemment, un système de sécurité lisible par tous c'est comme un coffre fort avec le code écrit sur la porte.
Pour le reste de l'article, c'est le problème à Thuen, on peut pas faire grand chose si il s'est planté ou a oublié des exceptions dans sa démarche :B

[Arnard]

Linux est alors un coffre-fort que tout le monde ouvre ?

Ce qui justifie surtout, à mon sens, le choix de ne pas publier, c'est qu'un système de sécurité se retrouve en général sur un réseau isolé, et donc que les mises à jours logicielles ne peuvent donc pas être automatisées comme le ferait un OS ou un logiciel grand public (firefox par exemple).

Du coup, sans mise à jour, le hacker qui décèle les failles pourraient en abuser. Les utilisateurs de ces logiciels n'ont pas en charge tout ce qui est maintenance ou mise à jour, qui est en général une prestation de l'entreprise qui a déployé le logiciel ou alors par un administrateur notifié des instructions.

[PatteDePoule]

Pour ou contre la publication en open source du code source d'un système de sécurité ?
Contre évidemment, un système de sécurité lisible par tous c'est comme un coffre fort avec le code écrit sur la porte.

Pourtant on dit que l'on devrait toujours rendre public un algo de chiffrement. Pour qu'il soit testé de tout bord tout côté et ainsi révéler ses failles s'il y en a.

Là on parle d'un système complet, j'hésite!

Si on garde ça secret le système devient une boite noire. On ne sait pas ce qui ce cache derrière, donc plus long à faire tomber?

Si on rend le système public, la communauté doit être forte sinon c'est seulement une aide pour les hackeurs. Il faut une communauté pour trouver/corriger les failles.

[GTSLASH]

Linux est alors un coffre-fort que tout le monde ouvre ?

oui.

Et comme c'est l'OS qui par definition gere la securité du systeme....

C'est pour moi le plus gros defaut des systeme open source. Quoi qu' en disent les fan de l'open source

[berceker united]

L'actualité doit nous faire rappeler que le code sur la sécurité doit être ouvert afin de voir ce qu'il s'y passe réellement et qu'un état comme les Etats-Unis ne demande pas d'y mettre un "Backdoor" dans un Os ou applications. Le code verrouillé devient une boite noire sans savoir ce qu'il s'y passe et c'est la confiance est entamée.

[GTSLASH]

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

L'actualité doit nous faire rappeler que le code sur la sécurité doit être ouvert afin de voir ce qu'il s'y passe réellement et qu'un état comme les Etats-Unis ne demande pas d'y mettre un "Backdoor"

1) Les USA auront l'info qu'ils veulent. Que se soit Linux Microsoft ou autres
2)L'utilisateur final veut que ca fontionne et que ca soit facile a utilisé pour un cout raisonable. Comment on fait il veulent pas savoir. Il prefere savoir que derriere nous il y a une societé solide que des geek qui font ca sur leur temp libre

Croire que car c'est OpenSource vous savez tous ce qu'il y a dedans et que ca empeche les ataques c'est totalement faux. Sur quelle OS il y a le plus d'attaque ?

[Paul TOTH]

Si je comprend bien, c'est une question de différent juridique sur la paternité d'un projet...que l'un des deux partis veille en faire un produit OpenSource est anecdotique et n'est pas déterminant quand à la question posée.

[LSMetag]

Normalement, je suis contre la publication en open source de logiciels de sécurité...

MAIS

je serais pour quand il s'agit d'éviter qu'il n'y ait des backdoors.

[DelphiManiac]

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

L'actualité doit nous faire rappeler que le code sur la sécurité doit être ouvert afin de voir ce qu'il s'y passe réellement et qu'un état comme les Etats-Unis ne demande pas d'y mettre un "Backdoor"

1) Les USA auront l'info qu'ils veulent. Que se soit Linux Microsoft ou autres
2)L'utilisateur final veut que ca fontionne et que ca soit facile a utilisé pour un cout raisonable. Comment on fait il veulent pas savoir. Il prefere savoir que derriere nous il y a une societé solide que des geek qui font ca sur leur temp libre

Croire que car c'est OpenSource vous savez tous ce qu'il y a dedans et que ca empeche les ataques c'est totalement faux. Sur quelle OS il y a le plus d'attaque ?

Un logiciel très répandu en "close source" qui commence par un W, j'ai faux ?

La réponse étais facile, je crois, j'ai honte, mais d'un autre coté, c'est un peu normal que ce soit Windows qui soit le plus attaqué, c'est la plus grosse part de marché, donc la question étais légèrement idiote.

Par contre si des fois, à la place de cracher ta bile, d'avancer tes pseudos vérités non argumentés. Je reprend plus soft. Si des fois tu pouvais nous donner le contexte qui nous permette d'appréhender ce que tu avances et que tu étais prêt a relativiser en fonction du nombre restreint de machine que tu utilises (restreint par rapport au parc mondial), çe serais mieux pour tout le monde. En passant, essaye tout de même de répondre au 2 questions apparaissant ici :http://www.developpez.net/forums/d13...r/#post7531907

_______________________
Pour en revenir au sujet, il me semble nécessaire pour tout logiciel de sécurité qui est suivi régulièrement que celui-ci soit en "open source", je ferais une exception à cela, si le logiciel n'étais pas ou peu suivi où s'il n'étais pas possible d'appliquer les correctifs facilement.

[transgohan]

Un système de sécurité en open source qui serait majoritairement utilisé oui.
Mais un système de sécurité utilisé par une minorité se doit d'être une boite noire pour moi.

La puissance de l'open source c'est la relecture et l'intéressement du projet et de ses sources.
Un système ouvert à tous mais contrôlé uniquement par 5 devs sera rapidement submergé...

A votre avis... Pourquoi les technologies militaires restent secret défense ?
C'est parce que la proportion de personnes intéressées pour déjouer le système est plus importante que celle qui le maintient.
On met quel type d'Unix par exemple sur des machines qu'on doit protéger ? Du ubuntu ? Non... On met un OS fermé et contrôlé.

Pour moi l'open-source ne peut vraiment briller que pour des produits grand public (et dans le sens très utilisé).

[TNT89]

On met quel type d'Unix par exemple sur des machines qu'on doit protéger ? Du ubuntu ? Non... On met un OS fermé et contrôlé.

Oui mais contrôlé par l'entreprise qui le conçoit... ce qui ne sert pas à grand chose : tout comme une critique de film faite par son réalisateur ou de jeu faite par son propre studio de développement vous semblerait purement grotesque...

Je suis d'accord sur le fait, tant que le système est utilisée à très petite échelle et "in house", il vaudrait mieux le garder secret. Mais dès qu'on achète ce produit auprès d'une entreprise tierce, je doute que l'on puisse raisonnablement utiliser l'argument du "leur pub me dit que c'est le meilleur et on a payé très cher le produit, ça doit donc être le meilleur"...

[GTSLASH]

d'avancer tes pseudos vérités non argumentés

Je parle d'experience de mes clients donc c'est argumenter

La réponse étais facile,

Je parle evidement en proportionel. En 12 ans j'ai jamais eu d'attaque sur mes serveurs Windows. Par contre je vois sur les forum de tres nombreuse ataque sur les linux et autres. Donc encore une fois je parle de concret avec des arguments derriere.


Mais si la critique n'est pas permis excuse moi de partager mon experience sur un forum sur le sujet.

dsl du derangement.

[DelphiManiac]

Je parle d'experience de mes clients donc c'est argumenter



Je parle evidement en proportionel. En 12 ans j'ai jamais eu d'attaque sur mes serveurs Windows. Par contre je vois sur les forum de tres nombreuse ataque sur les linux et autres. Donc encore une fois je parle de concret avec des arguments derriere.


Mais si la critique n'est pas permis excuse moi de partager mon experience sur un forum sur le sujet.

dsl du derangement.

Argumenter, ce n'est pas parlé de son expérience ou de l'expérience de ces clients. Argumenter dans le cas qui nous préoccupe, c'est à dire la sécurité d'un système open source vs un système close source, c'est faire des analyses à grande échelle, ou si l'on ne peut faire ces analyses soit même, s'appuyer sur des études réaliser par des tiers mais qui tire des conclusions sur un grand nombre d'éléments.

A partir d'expérience personnelle, je peux te trouver toutes sortes de lois absurdes : Hier en sortant de chez moi, j'ai croisé un (roux/nain/albinos/geek bossant sur le noyau linux/ou tout ce que tu veux), il m'a engueuler sans raison apparente, tous les (roux/nain/albinos/geek bossant sur le noyau linux/ou tout ce que tu veux) sont des imbéciles !!

[atha2]

Corey Thuen, encore employé à ce moment là de la Battelle, a fait parti de l'équipe de développeurs ayant travaillé pour le logiciel baptisé plus tard Sophia.

Pour moi ça s’arrête là. On ne peux pas décider de rendre open source un programme qu'on écrit pour une entreprise (et heureusement sinon aucun de nous n'aurait de travail aujourd'hui). Les droits du programme appartiennent à l'entreprise et donc c'est à elle de choisir sous quelle licence est le programme. Je ne comprend même pas ce qui a pu se passer dans la tête de Corey Thuen pour croire qu'il pouvait le publier en open source

« Toute personne qui se revendique comme étant hacker » perd le droit au quatrième amendement qui protège les citoyens des fouilles, perquisitions et saisies de biens a déclaré la juge.

On ne doit pas avoir la même définition de hacker (expert en sécurité) : hacker != cracker.

elle a joué la carte de la sécurité nationale, argumentant que publier les codes de Sophia donneraient les moyens au pirate de déjouer le système de sécurité.

Il faut pas croire qu'un logiciel propriétaire est plus sur qu'un logiciel open source. Déjà, le code du premier peut-être une passoire qui ne résiste pas à un simple buffer overflow, et surtout la sécurité n'a jamais reposé sur l'absence de connaissance de l'algorithme mais sur des preuves mathématique.
Donc si la connaissance du code source de Sophia permet de déjouer sa surveillance, alors il ne s'agit rien de plus qu'un rustine permettant de combler certaines failles. C'est mieux que rien, mais baser sa stratégie de sécurité là dessus est ridicule : il suffit qu’une seule entité (personne, serveur hébergeant le code source...) soit corrompue et tout le système tombe.

Croire que car c'est OpenSource vous savez tous ce qu'il y a dedans et que ca empeche les ataques c'est totalement faux. Sur quelle OS il y a le plus d'attaque ?

Ca dépend de ce que tu appelles une attaque : avec succès ou juste une attaque ? Pour Android, vu qu’apparemment c'est ta cible, il faut savoir que la plupart des attaques sont liée à des problèmes d'utilisateur (installation d'une application sans regarder les droits, root du terminal...).

[GTSLASH]

A partir d'expérience personnelle, je peux te trouver toutes sortes de lois absurdes : Hier en sortant de chez moi, j'ai croisé un (roux/nain/albinos/geek bossant sur le noyau linux/ou tout ce que tu veux), il m'a engueuler sans raison apparente, tous les (roux/nain/albinos/geek bossant sur le noyau linux/ou tout ce que tu veux) sont des imbéciles !!

C'est bon calme tois...

Les fait son la. Microsoft et autres vendent leurs produits tres cher et ils continuent a en vendre alors que les open source se telecharge gratuit avec codes source. Ca c'est un fait que personne ne peus negliger.


Le fait d'avoir les codes source d'un systeme rend le systeme plus vulnerable. C'est la logique meme. Meme pas besoin d'etre programmeur pour comprendre ca.

Le sujet du post est que si le code source d'un systeme est open source alors tous le monde peu trouver des failles car il y en aura toujours. Et ma reponse etait donc bien sur le sujet.

Si c'a t'as vexer tampis pour tois

Cordialement

a+

[DelphiManiac]

...

Les fait son la. Microsoft et autres vendent leurs produits tres cher et ils continuent a en vendre alors que les open source se telecharge gratuit avec codes source. Ca c'est un fait que personne ne peus negliger.

Sur ce point là tu as entièrement raison.

Le fait d'avoir les codes source d'un systeme rend le systeme plus vulnerable. C'est la logique meme. Meme pas besoin d'etre programmeur pour comprendre ca.

Sur ce point là tu as tout faux, le fait même que tu cherches a rapprocher le prix et la vulnérabilité d'un logiciel entraîne un raisonnement biaisé. Les DSI continuent à acheter des licences auprès de sociétés commerciales pour 3 raisons principales :

- La garantie de pouvoir avoir un service payant, service assuré dans un délai contractuel. (ceci n'est pas spécifique au close source, des sociétés le propose pour l'open source aussi, mais généralement dans le domaine du close source, les sociétés proposant le service peuvent avancées moult certificats "prouvant" leurs compétences.)
- Les différents logiciels achetés auprès d'un même éditeur s'intègre généralement mieux entre eux et à moindre frais / moindre risque.
- La raison "parapluie" ou dans un langage plus châtié : le transfert de responsabilité : je suis désolé monsieur le président, j'ai acheté au prix fort les meilleurs produits du marché, je ne suis pas responsable.

Le sujet du post est que si le code source d'un systeme est open source alors tous le monde peu trouver des failles car il y en aura toujours. Et ma reponse etait donc bien sur le sujet.

Donc si un système est close source, il n'y a pas de failles ou on ne pas les trouver ou si l'on en trouve une, ce sera la dernière, promis/juré ?


P.S. : Je ne suis aucunement vexé et pas énervé non plus.

[Squisqui]

En 12 ans j'ai jamais eu d'attaque sur mes serveurs Windows. Par contre je vois sur les forum de tres nombreuse ataque sur les linux et autres. Donc encore une fois je parle de concret avec des arguments derriere.

Bien sûr, les serveurs Linux sont majoritaires face aux serveurs Windows. Les crackers s'intéressent plutôt au numéro de carte bancaire de M. Toutlemonde donc à Windows Desktop ou aux entreprises à travers les desktops des employés non formés à la sécurité informatique. C'est quand même plus facile de cracker un OS avec un navigateur web épaulé de toutes sortes de cochonneries ou des clés USB sauvages branchées dessus.

On met quel type d'Unix par exemple sur des machines qu'on doit protéger ? Du ubuntu ? Non... On met un OS fermé et contrôlé.

En effet, si c'est pour mettre Ubuntu, autant mettre n'importe quoi d'autre, ce sera toujours une passoire.
Si vraiment, on tient à mettre du Linux, il faut partir sur des distributions légères, voir LFS, pour minimiser au maximum les failles de sécurité issus de tiers et au moins faire l'effort d'utiliser SELinux dans ses solutions (comme la NSA, quoi).
Mais je pense qu'il est plus simple de partir sur du Unix. On a Capsicum qui est intégré à FreeBSD, les jails, pf d'OpenBSD... Et bien sûr OpenBSD dont les développeurs favorisent un code propre, maintenable et sécurisé subissant des audits continus toujours avec un système de moindre privilège et le fameux pf.
Il reste bien sûr la question de savoir quoi installer sur ces systèmes. Si c'est pour installer un Chromium plein de warnings développé principalement par Google (malgré un support Capsicum) suivi du wrapper Linux pour y installer Adobe Flash, je crois que toute mesure de sécurité devient inutile

Développer une solution maison peut être une solution, mais il faut être conscient qu'elle pourrait être nettement moins efficace qu'une solution éprouvée dans un premier temps, voir complètement inefficace si les moyens mis à la maintenance sont insuffisants.

[Paul TOTH]

Un système de sécurité en open source qui serait majoritairement utilisé oui.
Mais un système de sécurité utilisé par une minorité se doit d'être une boite noire pour moi.

il serait donc plus sûr car a petite échelle ?

La puissance de l'open source c'est la relecture et l'intéressement du projet et de ses sources.
Un système ouvert à tous mais contrôlé uniquement par 5 devs sera rapidement submergé...

submergé par quoi ?

A votre avis... Pourquoi les technologies militaires restent secret défense ?

Parce qu'il n'est pas juste question de sécurité informatique, mais aussi de confidentialité...pourquoi Prims n'est-il pas diffusé en OpenSource sur le site de la NSA ?

C'est parce que la proportion de personnes intéressées pour déjouer le système est plus importante que celle qui le maintient.
On met quel type d'Unix par exemple sur des machines qu'on doit protéger ? Du ubuntu ? Non... On met un OS fermé et contrôlé.

Ubuntu, ça reste une noyau linux, mais il ne me viendrait pas à l'idée d'installer un OS Desktop sur un serveur en ligne.

Pour moi l'open-source ne peut vraiment briller que pour des produits grand public (et dans le sens très utilisé).

OpenSSL par exemple

[transgohan]

Oui mais contrôlé par l'entreprise qui le conçoit... ce qui ne sert pas à grand chose : tout comme une critique de film faite par son réalisateur ou de jeu faite par son propre studio de développement vous semblerait purement grotesque...

Je vais te donner un exemple très concret, en France on a des entreprises qui vendent des systèmes sensibles à des pays étrangers.
Tu crois sincèrement qu'ils achètent sans savoir ce qu'il y a dedans ?
Non...
Lors de la livraison ils ont une tonne d'experts qui s'enferment dans une salle avec le code source et qui l'étudient dans les moindres recoins.
Puis avec un CRC de ce code ils ont moyen de vérifier que les produits qu'on leur livre ont bien ce que l'on leur a montré.
A noter que le code source n'est pas vendu, c'est la première et dernière fois qu'ils le voient.

il serait donc plus sûr car a petite échelle ?

Non pas dans ce sens là, il serait plus sûr car plus difficile d'en trouver des failles (mais pas impossible - référence aux nombreux jeux crackés dès leur sortie commerciale -).

submergé par quoi ?

Que crois-tu que les USA ont tenté de collecter ? On a lu qu'ils ont récupéré bon nombre de clé de chiffrement et ce pas forcement pour des systèmes très utilisés... C'est de l'espionnage de masse, donc même les petits systèmes sont concernés. Et ces derniers ne sont malheureusement pas équipés/dimensionnés pour répliquer.

Parce qu'il n'est pas juste question de sécurité informatique, mais aussi de confidentialité...pourquoi Prims n'est-il pas diffusé en OpenSource sur le site de la NSA ?

C'est un autre débat pour Prism. Je parlais de code source en fait, pas le fait que le projet tout entier soit confidentiel.

Ubuntu, ça reste une noyau linux, mais il ne me viendrait pas à l'idée d'installer un OS Desktop sur un serveur en ligne.

Pourquoi déformer mes propos ? Une machine est au sens large... Je n'ai jamais dit que c'était un serveur... Je vais être cinglant mais saches qu'il y a d'autres systèmes que des PCs desktop et des serveurs qui ont besoin d'un OS...