Discussion :

[Stéphane le calme]

Pour ou contre la publication en Open Source du code source d'un système de sécurité ?
Une juge estime que cette pratique peut mettre en péril la sécurité nationale

Battelle Energy Alliance, fournisseur opérationnel de Idaho National Laboratory (INL), a engagé des poursuites judiciaires contre un de ses anciens employés et sa compagnie Southfork Security. Tout a commencé en 2009 quand le département américain de l'énergie a mandaté un projet de développement dont l'objectif était la création d'un « programme informatique visant à protéger les infrastructures énergétiques critiques des États-Unis (compagnies électriques, pétrole, gaz, chimiques et autres) contre les cyber-attaques. ». Corey Thuen, encore employé à ce moment là de la Battelle, a fait parti de l'équipe de développeurs ayant travaillé pour le logiciel baptisé plus tard Sophia.

En 2012, Sophia est entre autre capable de détecter et de neutraliser des comportements anormaux sur le réseau. Une série de tests qui s'avèrent concluant réconforte Battelle dans son idée d'obtenir une licence pour cette technologie. N'ayant pas la capacité de commercialiser elle même les produits de ses recherches et ses inventons, l'entreprise a lancé un processus d'appel d'offres pour les entreprises intéressées. C'est à cette période que Thuen a quitté l'équipe et a fondé son entreprise. Sa société a alors présenté une proposition de licence du produit en février 2013 mais l'a retirée deux mois plus tard.

En mai 2013, une compagnie du nom de NexDefense a obtenu le droit exclusif de commercialiser Sophia. Seulement, à la même période, Southfork a commencé une campagne marketing autour d'un produit baptisé Visdom sur son site web. Battelle a alors affirmé qu'il s'agissait d'un clone de Sophia et également que Southfork a prévu d'offrir Visdom comme un produit open source accessibles à tous. Pour confirmer ses dires, l'entreprise a pris des captures d'écran datées du 10 octobre 2013 où il est dit entre autre « nous aurons le code source et un système de suivi problème / fonctionnalité en place sous peu. » mais aussi « nous aimons hacker et nous ne nous arrêterons pas ».

La société a alors demandé au tribunal d'émettre une ordonnance restrictive temporaire à l'intention de Southfork pour empêcher le marketing de Visdom ou son passage à la communauté open-source. Battelle évoque huit chef d'accusations parmi lesquels violation du droit d'auteur, vol de secrets commerciaux, violation de contrats et enrichissement injustifié pour ne citer que ceux là. Battelle a également demandé au tribunal de délivrer l'injonction sans préavis, car il craignait que, dans le cas contraire, Thuen publierait le logiciel en open source.

La juge Lynn Winmill de la cour de district de l'Etat de l'Idaho a autorisé Battelle a fournir à la cour des preuves matérielles de ce qu'il avance en faisant une copie des disques dur de Southfork. « Toute personne qui se revendique comme étant hacker » perd le droit au quatrième amendement qui protège les citoyens des fouilles, perquisitions et saisies de biens a déclaré la juge. Le plaignant a également obtenu une ordonnance restrictive temporaire contre Thuen et Southfork sécurité sans préavis. De plus elle a joué la carte de la sécurité nationale, argumentant que publier les codes de Sophia donneraient les moyens au pirate de déjouer le système de sécurité.

Source : Décision de la cour (au format PDF)

Et vous ?

Qu'en pensez-vous ?

[Nagato Yuki]

Pour ou contre la publication en open source du code source d'un système de sécurité ?
Contre évidemment, un système de sécurité lisible par tous c'est comme un coffre fort avec le code écrit sur la porte.
Pour le reste de l'article, c'est le problème à Thuen, on peut pas faire grand chose si il s'est planté ou a oublié des exceptions dans sa démarche :B

[PatteDePoule]

Pour ou contre la publication en open source du code source d'un système de sécurité ?
Contre évidemment, un système de sécurité lisible par tous c'est comme un coffre fort avec le code écrit sur la porte.

Pourtant on dit que l'on devrait toujours rendre public un algo de chiffrement. Pour qu'il soit testé de tout bord tout côté et ainsi révéler ses failles s'il y en a.

Là on parle d'un système complet, j'hésite!

Si on garde ça secret le système devient une boite noire. On ne sait pas ce qui ce cache derrière, donc plus long à faire tomber?

Si on rend le système public, la communauté doit être forte sinon c'est seulement une aide pour les hackeurs. Il faut une communauté pour trouver/corriger les failles.

[Traroth2]

un système de sécurité lisible par tous c'est comme un coffre fort avec le code écrit sur la porte.

Non, c'est faux. Une analogie n'est pas une démonstration, et là, c'est juste n'importe quoi.

[Arnard]

Linux est alors un coffre-fort que tout le monde ouvre ?

Ce qui justifie surtout, à mon sens, le choix de ne pas publier, c'est qu'un système de sécurité se retrouve en général sur un réseau isolé, et donc que les mises à jours logicielles ne peuvent donc pas être automatisées comme le ferait un OS ou un logiciel grand public (firefox par exemple).

Du coup, sans mise à jour, le hacker qui décèle les failles pourraient en abuser. Les utilisateurs de ces logiciels n'ont pas en charge tout ce qui est maintenance ou mise à jour, qui est en général une prestation de l'entreprise qui a déployé le logiciel ou alors par un administrateur notifié des instructions.

[GTSLASH]

Linux est alors un coffre-fort que tout le monde ouvre ?

oui.

Et comme c'est l'OS qui par definition gere la securité du systeme....

C'est pour moi le plus gros defaut des systeme open source. Quoi qu' en disent les fan de l'open source

[berceker united]

L'actualité doit nous faire rappeler que le code sur la sécurité doit être ouvert afin de voir ce qu'il s'y passe réellement et qu'un état comme les Etats-Unis ne demande pas d'y mettre un "Backdoor" dans un Os ou applications. Le code verrouillé devient une boite noire sans savoir ce qu'il s'y passe et c'est la confiance est entamée.

[GTSLASH]

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

L'actualité doit nous faire rappeler que le code sur la sécurité doit être ouvert afin de voir ce qu'il s'y passe réellement et qu'un état comme les Etats-Unis ne demande pas d'y mettre un "Backdoor"

1) Les USA auront l'info qu'ils veulent. Que se soit Linux Microsoft ou autres
2)L'utilisateur final veut que ca fontionne et que ca soit facile a utilisé pour un cout raisonable. Comment on fait il veulent pas savoir. Il prefere savoir que derriere nous il y a une societé solide que des geek qui font ca sur leur temp libre

Croire que car c'est OpenSource vous savez tous ce qu'il y a dedans et que ca empeche les ataques c'est totalement faux. Sur quelle OS il y a le plus d'attaque ?

[DelphiManiac]

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

L'actualité doit nous faire rappeler que le code sur la sécurité doit être ouvert afin de voir ce qu'il s'y passe réellement et qu'un état comme les Etats-Unis ne demande pas d'y mettre un "Backdoor"

1) Les USA auront l'info qu'ils veulent. Que se soit Linux Microsoft ou autres
2)L'utilisateur final veut que ca fontionne et que ca soit facile a utilisé pour un cout raisonable. Comment on fait il veulent pas savoir. Il prefere savoir que derriere nous il y a une societé solide que des geek qui font ca sur leur temp libre

Croire que car c'est OpenSource vous savez tous ce qu'il y a dedans et que ca empeche les ataques c'est totalement faux. Sur quelle OS il y a le plus d'attaque ?

Un logiciel très répandu en "close source" qui commence par un W, j'ai faux ?

La réponse étais facile, je crois, j'ai honte, mais d'un autre coté, c'est un peu normal que ce soit Windows qui soit le plus attaqué, c'est la plus grosse part de marché, donc la question étais légèrement idiote.

Par contre si des fois, à la place de cracher ta bile, d'avancer tes pseudos vérités non argumentés. Je reprend plus soft. Si des fois tu pouvais nous donner le contexte qui nous permette d'appréhender ce que tu avances et que tu étais prêt a relativiser en fonction du nombre restreint de machine que tu utilises (restreint par rapport au parc mondial), çe serais mieux pour tout le monde. En passant, essaye tout de même de répondre au 2 questions apparaissant ici :http://www.developpez.net/forums/d13...r/#post7531907

_______________________
Pour en revenir au sujet, il me semble nécessaire pour tout logiciel de sécurité qui est suivi régulièrement que celui-ci soit en "open source", je ferais une exception à cela, si le logiciel n'étais pas ou peu suivi où s'il n'étais pas possible d'appliquer les correctifs facilement.

[transgohan]

Un système de sécurité en open source qui serait majoritairement utilisé oui.
Mais un système de sécurité utilisé par une minorité se doit d'être une boite noire pour moi.

La puissance de l'open source c'est la relecture et l'intéressement du projet et de ses sources.
Un système ouvert à tous mais contrôlé uniquement par 5 devs sera rapidement submergé...

A votre avis... Pourquoi les technologies militaires restent secret défense ?
C'est parce que la proportion de personnes intéressées pour déjouer le système est plus importante que celle qui le maintient.
On met quel type d'Unix par exemple sur des machines qu'on doit protéger ? Du ubuntu ? Non... On met un OS fermé et contrôlé.

Pour moi l'open-source ne peut vraiment briller que pour des produits grand public (et dans le sens très utilisé).

[Traroth2]

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

L'actualité doit nous faire rappeler que le code sur la sécurité doit être ouvert afin de voir ce qu'il s'y passe réellement et qu'un état comme les Etats-Unis ne demande pas d'y mettre un "Backdoor"

1) Les USA auront l'info qu'ils veulent. Que se soit Linux Microsoft ou autres

Personne n'a parlé de ça. Si le code est ouvert, les Etats-Unis ne pourront pas y mettre ce qu'ils veulent. C'est ça, le sujet. Parce que, oui, dans Windows et Mac OS X, les Etats-Unis y mettent ce qu'ils veulent ! La NSA dit "on veut mettre une backdoor" à Microsoft ou Apple, et ils répondent "OK". Les lois votées après le 11 septembre le permettent !

Si on faisait du mauvais esprit, on pourrait même dire que la véritable motivation de ce jugement est là : éviter qu'on puisse empêcher la NSA de mettre une backdoor dans le système. Mais ça n'est possible, pas vrai ?

[spidermario]

[L'utilisateur final] prefere savoir que derriere nous il y a une societé solide que des geek qui font ca sur leur temp libre

Aucun rapport. Des geeks peuvent faire des logiciels propriétaires sur leur temps libre, et des sociétés solides peuvent faire du logiciel libre.

[Paul TOTH]

Si je comprend bien, c'est une question de différent juridique sur la paternité d'un projet...que l'un des deux partis veille en faire un produit OpenSource est anecdotique et n'est pas déterminant quand à la question posée.

[LSMetag]

Normalement, je suis contre la publication en open source de logiciels de sécurité...

MAIS

je serais pour quand il s'agit d'éviter qu'il n'y ait des backdoors.

[atha2]

Corey Thuen, encore employé à ce moment là de la Battelle, a fait parti de l'équipe de développeurs ayant travaillé pour le logiciel baptisé plus tard Sophia.

Pour moi ça s’arrête là. On ne peux pas décider de rendre open source un programme qu'on écrit pour une entreprise (et heureusement sinon aucun de nous n'aurait de travail aujourd'hui). Les droits du programme appartiennent à l'entreprise et donc c'est à elle de choisir sous quelle licence est le programme. Je ne comprend même pas ce qui a pu se passer dans la tête de Corey Thuen pour croire qu'il pouvait le publier en open source

« Toute personne qui se revendique comme étant hacker » perd le droit au quatrième amendement qui protège les citoyens des fouilles, perquisitions et saisies de biens a déclaré la juge.

On ne doit pas avoir la même définition de hacker (expert en sécurité) : hacker != cracker.

elle a joué la carte de la sécurité nationale, argumentant que publier les codes de Sophia donneraient les moyens au pirate de déjouer le système de sécurité.

Il faut pas croire qu'un logiciel propriétaire est plus sur qu'un logiciel open source. Déjà, le code du premier peut-être une passoire qui ne résiste pas à un simple buffer overflow, et surtout la sécurité n'a jamais reposé sur l'absence de connaissance de l'algorithme mais sur des preuves mathématique.
Donc si la connaissance du code source de Sophia permet de déjouer sa surveillance, alors il ne s'agit rien de plus qu'un rustine permettant de combler certaines failles. C'est mieux que rien, mais baser sa stratégie de sécurité là dessus est ridicule : il suffit qu’une seule entité (personne, serveur hébergeant le code source...) soit corrompue et tout le système tombe.

Croire que car c'est OpenSource vous savez tous ce qu'il y a dedans et que ca empeche les ataques c'est totalement faux. Sur quelle OS il y a le plus d'attaque ?

Ca dépend de ce que tu appelles une attaque : avec succès ou juste une attaque ? Pour Android, vu qu’apparemment c'est ta cible, il faut savoir que la plupart des attaques sont liée à des problèmes d'utilisateur (installation d'une application sans regarder les droits, root du terminal...).

[GTSLASH]

A partir d'expérience personnelle, je peux te trouver toutes sortes de lois absurdes : Hier en sortant de chez moi, j'ai croisé un (roux/nain/albinos/geek bossant sur le noyau linux/ou tout ce que tu veux), il m'a engueuler sans raison apparente, tous les (roux/nain/albinos/geek bossant sur le noyau linux/ou tout ce que tu veux) sont des imbéciles !!

C'est bon calme tois...

Les fait son la. Microsoft et autres vendent leurs produits tres cher et ils continuent a en vendre alors que les open source se telecharge gratuit avec codes source. Ca c'est un fait que personne ne peus negliger.


Le fait d'avoir les codes source d'un systeme rend le systeme plus vulnerable. C'est la logique meme. Meme pas besoin d'etre programmeur pour comprendre ca.

Le sujet du post est que si le code source d'un systeme est open source alors tous le monde peu trouver des failles car il y en aura toujours. Et ma reponse etait donc bien sur le sujet.

Si c'a t'as vexer tampis pour tois

Cordialement

a+

[DelphiManiac]

...

Les fait son la. Microsoft et autres vendent leurs produits tres cher et ils continuent a en vendre alors que les open source se telecharge gratuit avec codes source. Ca c'est un fait que personne ne peus negliger.

Sur ce point là tu as entièrement raison.

Le fait d'avoir les codes source d'un systeme rend le systeme plus vulnerable. C'est la logique meme. Meme pas besoin d'etre programmeur pour comprendre ca.

Sur ce point là tu as tout faux, le fait même que tu cherches a rapprocher le prix et la vulnérabilité d'un logiciel entraîne un raisonnement biaisé. Les DSI continuent à acheter des licences auprès de sociétés commerciales pour 3 raisons principales :

- La garantie de pouvoir avoir un service payant, service assuré dans un délai contractuel. (ceci n'est pas spécifique au close source, des sociétés le propose pour l'open source aussi, mais généralement dans le domaine du close source, les sociétés proposant le service peuvent avancées moult certificats "prouvant" leurs compétences.)
- Les différents logiciels achetés auprès d'un même éditeur s'intègre généralement mieux entre eux et à moindre frais / moindre risque.
- La raison "parapluie" ou dans un langage plus châtié : le transfert de responsabilité : je suis désolé monsieur le président, j'ai acheté au prix fort les meilleurs produits du marché, je ne suis pas responsable.

Le sujet du post est que si le code source d'un systeme est open source alors tous le monde peu trouver des failles car il y en aura toujours. Et ma reponse etait donc bien sur le sujet.

Donc si un système est close source, il n'y a pas de failles ou on ne pas les trouver ou si l'on en trouve une, ce sera la dernière, promis/juré ?


P.S. : Je ne suis aucunement vexé et pas énervé non plus.

[Marco46]

C'est bon calme tois...

Les fait son la. Microsoft et autres vendent leurs produits tres cher et ils continuent a en vendre alors que les open source se telecharge gratuit avec codes source. Ca c'est un fait que personne ne peus negliger.

Le fait d'avoir les codes source d'un systeme rend le systeme plus vulnerable. C'est la logique meme. Meme pas besoin d'etre programmeur pour comprendre ca.

Le sujet du post est que si le code source d'un systeme est open source alors tous le monde peu trouver des failles car il y en aura toujours. Et ma reponse etait donc bien sur le sujet.

Le fait qu'un logiciel soit opensource ou au code fermé n'a aucune importance.

Pour auditer un logiciel on ne lit plus le code source de A à Z, on utilise des suites de logiciels de sécurité qui vont générer des dizaines de milliers de requêtes sur tous les points d'entrés du programme pour essayer de trouver des failles (overflow, injection de code, etc ...) ou carrément analyser le code source directement.
Il est évident que sur un code fermé le deuxième point est plus que compliqué ...

La sécurité d'un système moderne ne doit pas reposer sur le masquage d'information mais sur une fiabilité mathématique. Tes conceptions sur la sécurité sont obsolètes depuis la fin de Enigma dans les années 40 .

[HelpmeMM]

Le fait qu'un logiciel soit opensource ou au code fermé n'a aucune importance.

Pour auditer un logiciel on ne lit plus le code source de A à Z, on utilise des suites de logiciels de sécurité qui vont générer des dizaines de milliers de requêtes sur tous les points d'entrés du programme pour essayer de trouver des failles (overflow, injection de code, etc ...) ou carrément analyser le code source directement.
Il est évident que sur un code fermé le deuxième point est plus que compliqué ...

La sécurité d'un système moderne ne doit pas reposer sur le masquage d'information mais sur une fiabilité mathématique. Tes conceptions sur la sécurité sont obsolètes depuis la fin de Enigma dans les années 40 .

je suis bien d'accord la sécurité ne doit pas reposer sur le masquage d'information

mais le problème de rendre un code disponible sur le net c'est que si la communauté ne s'y intéresse pas les potentielles failles ne sont pas corrigées et rendu disponible à n'importe quelle personne mal intentionné qui pourrait alors découvrir la faille et s'en servir. vous me direz qu'elle peut faire pareil avec un logiciel "boite noire". La différence ? l'analyse. dans un cas on analyse après effraction dans l'autre on analyse avant effraction.

je ne parlerai même pas du coté challenge,'hack me if you can', du genre mon logiciel de sécurité est le meilleur , je met à disposition le code source, allez y trouver moi la faille...

Tout ça fait que un logiciel de sécurité fermé est pour moi ce qui ce fait de mieux en matière de sécurité. après savoir si Y est meilleur que W est un autre débat, a capacité identique un code fermé sera toujours plus sécuritaire qu'un code ouvert du moins c'est ce que je pense.

[fredoche]

Tout ça fait que un logiciel de sécurité fermé est pour moi ce qui ce fait de mieux en matière de sécurité. après savoir si Y est meilleur que W est un autre débat, a capacité identique un code fermé sera toujours plus sécuritaire qu'un code ouvert du moins c'est ce que je pense.

Je pense pour ma part que ton analyse repose uniquement sur la confiance...

Ce qui est le meilleur moyen de te faire entuber. La nature humaine est comme ça.

Par contre le fait que les logiciels ouverts puissent être disséqués par différents acteurs du métier de manière croisée et ouverte, dans ce cas soit ils t'entubent tous de manière concertée, soit justement après cette analyse tu peux avoir confiance.

Pour info sorti ce mois-ci :
http://www.devttys0.com/2013/10/reve...link-backdoor/
http://www.devttys0.com/2013/10/from-china-with-love/

les joies des codes fermés... t'as du D-link dans ta boite, du tenda ?

Avec open-wrt ou DD-wrt t'as pas ça
Avec ubiquity qui publie son SDK t'as pas ça

Avec cisco, juniper, netgear, hp, ibm, mikrotik...? va savoir...?