Discussion :

[Alcore]

Oui l'Open Source est secure je vous crois maintenant Je vais passer a Ubuntu et personne ne saura m'espionné. ok




OpenSSL ? Et je serai tres curieux de savoir quelle technologie de cryptage est vraiment secure face a la NSA et autres ? Si ils veulent des info ils les auront et l'OpenSource ne fera que les aider a aller plus vite. Si ca passe par internet ce n'est pas sécurisé. L'OpenSource peut aider ceux qui ont les moyen a creer leur propre systeme sur mesure mais pas a protéger leurs données.

Rien n'est complètement secure et l'erreur humaine existe que ce soit dans l'open source et le propriétaire. Cependant l'open source est mieux protégé contre l'insertion volontaire de faille. Donc ok, il y a la faille Heartbleed dans l'open source et combien existe dans le propriétaire? On ne les découvrira probablement jamais.

Quand à la cryptographie, sache que aujourd'hui pour casser une clé AES 256 en brute force il faudrait faire tourner les supercalculateurs de la terre entière pendant plusieurs milliards d'année et aucune autre technique que le brut force n'a été découverte à ce jour. Encore faut-il pouvoir s'assurer que la clé a été générée avec un algo fiable, chose que tu ne sais faire avec les librairies de crypto propriétaire... Aurais-tu confiance en un algo de génération de clés propriétaire non open source chinois? Et US ?

Et ces solutions de cryptage sont disponible dans l'OpenSource et dans le proprietaire donc je ne vois pas ce que l'OpenSource apporterai de different

Justement, l'open source apporte que des experts peuvent vérifier que ces algo correspondent bien à l'implémentation mathématique originelle. Par exemple, si le gouvernement Chinois vient faire pression sur une de ces société de dev pour que celui-ci génère des clés des 256 bits qui ne sont finallement que des clés de 16 bits une fois passés par un filtre secret, tu n'en saurais rien (aucune preuve mathématique ne le permet et celà remettrait en cause le principe empirique de longeur de clé). Bien sure je prends l'exemple chinois car JAMAIS des pays alliés ne nous feraient ça via leur OS ;-)

[trenton]

Pour obtenir un débat sain, merci d'avances des arguments clairs et logiques s'appuyant sur autre chose que "tais toi, tu dis n'importe quoi".

Les arguments ont été donnés, le problème c'est qu'on arrive à un point ou chacun considère celui en face de lui comme étant de mauvaise foi, du coup c'est compliqué de discuter.

Moi j'ai le sentiment qu'il y a ici beaucoup de gens qui sont fans d'entreprises, à l'image de supporteurs de foot, et qui perdent toute rationalité dès lors qu'on touche à leur entreprise adorée.

Je ne sais pas d'ailleurs si une tel situation existe sur d'autres marchés...

Les situations de monopoles ou de positions dominantes ont existé dans le passé, à plusieurs reprises. La plupart des pays luttent contre ces situations. Par exemple, les Etats-Unis ont créé les lois anti-trust pour casser le monopole de la Standard Oil ( http://fr.wikipedia.org/wiki/Standar...ment_antitrust ). Deux hypothèses expliquent pourquoi :
- la première, c'est que le gouvernement de l'époque utilisait Linux (c'est une hypothèse intéressante)...
- la seconde hypothèse, c'est qu'ils ont compris que ces situations de monopoles, ou de position dominante, sont mauvaises économiquement.

En France, la notion d'« abus de position dominante » a été introduite dans le Droit français le 2 juillet 1963. Selon l’article L.420-2 al 1 du Code de commerce, « Est prohibée, dans les conditions prévues à l'article L. 420-1, l'exploitation abusive par une entreprise ou un groupe d'entreprises d'une position dominante sur le marché intérieur ou une partie substantielle de celui-ci. Ces abus peuvent notamment consister en refus de vente, en ventes liées ou en conditions de vente discriminatoires ainsi que dans la rupture de relations commerciales établies, au seul motif que le partenaire refuse de se soumettre à des conditions commerciales injustifiées. »

Je sais qu'ici beaucoup vont user de leur bonne foi pour dire que Wikipedia ça vaut rien, parce que tout le monde peut modifier le contenu, mais je donne quand même quelques liens :
- http://fr.wikipedia.org/wiki/Droit_de_la_concurrence
- http://fr.wikipedia.org/wiki/Abus_de_position_dominante

[Bestel74]

Pourquoi voulez vous qu'on vous rembourse ? Quand vous avez acheté le PC vous saviez qu'il y avait Windows dessus. Si vous ne vouliez pas Windows faillai acheter un autre PC sous Ubuntu.

J'ai parcouru le thread, et puis à ce moment là je n'en pouvais plus. Donc j'avoue que je réponds sans avoir lu la suite...

Bon y'a énormément de mauvaise foi dans les "2 camps", mais la on parle de la loi et c'est important de bien faire cette distinction.
Quand 2 produits différents te sont vendu en tant qu'un seul, on appelle ça de la vente liée.
La vente liée est interdite en France. Point.

Quand Dell vent un modèle, et qu'il ne le propose qu'avec Windows = Il est hors la loi ! re-Point.

Après qui est responsable ? Dell ? Windows ? C'est à la justice de trancher :
* Dell peut très bien refuser de vendre un produit sans OS car cela lui ferait perdre de l'argent (n'empêche que c'est interdit)
* Windows peut avoir eu recours à des méthodes de ventes illégales/agressives

Bref, tout ça pour dire : Laissez la justice trancher, une seule chose est sur = cette situation n'est pas normal et c'est la loi qui le dit !
Vous pouvez toujours aller voir votre député et tenter de le convaincre de modifier cette loi...

Pour les alternatives (vente de PC sous Linux) c'est tellement pas crédible (900€ la machine => core i3, carte graph intégré, ...) que je n'userais pas plus mon clavier pour en parler.

[GTSLASH]

l'open source est mieux protégé contre l'insertion volontaire de faille

mais :

pour casser une clé AES 256 en brute force il faudrait faire tourner les supercalculateurs de la terre entière

Donc peut importe quelle OS si on crypte, que se soit sur Ubuntu ou sur Windows ca revient au meme.

On ne les découvrira probablement jamais

Une faille est uniquement exploitable quand elle est découverte et qu'elle est donc 'public'. Si il y a une faille de sécurité dans Windows mais que personne ne l'a decouverte ca revient au meme que de dire qu'il n'y en a pas vu qu'elle n'est pas exploitable.

Si uniquement 100 développeurs on accès a un code source privé et que donc seul eux peuvent 'publier' et donc rendre exploitable la faille, c'est plus secure que si des millions de développeurs peuvent parcourir le code et trouver/publier la faille. Le risque est beaucoup plus grand dans le deuxième cas. Vous aller me répondre que des millions de personnes trouveront plus vite des failles et donc des correctif que les 100 développeurs du privé mais OpenSSL a prouvé que l'organisation et les moyens de la communauté OpenSource ne permetent pas dans les faits d'appliquer ce système correctement. L'organisation du développement est beaucoup trop compliqué (a mon avis).

De plus vous faites trop confiance a Linus qui je vous rappelle valide chaque version. Je vois pas pourquoi je ferai plus confiance a Linus qu'a Microsoft ou Oracle.

Si il y a 1000 failles dans Windows mais que personne ne les connait, ca revient a dire qu'il n'y a pas de faille exploitable.

L'Open Source est bien et adapté pour faire des OS sur mesure mais ça n'apporte pas plus de sécurité a moins d'y mettre beaucoup de moyen financier et donc de privatisé le code.

Et encore une fois si le Cryptage AES est la solution je ne vois pas ou pourrait être le problème d’espionnage ? Sourtout que c'est pas complique a mettre en place.

Quand Dell vent un modèle, et qu'il ne le propose qu'avec Windows = Il est hors la loi ! re-Point.

Ca fait 20 ans qu'on les laisse faire. Pourquoi a votre avis ? Si c'etai interdit ca ferai tres longtemp que ca ne se ferai plus. Donc si on laisse faire c'est que c'est permis. Que vous le vouliez ou non.

[Bestel74]

Si il y a 1000 failles dans Windows mais que personne ne les connait, ca revient a dire qu'il n'y a pas de faille exploitable.

L'Open Source est bien et adapté pour faire des OS sur mesure mais ça n'apporte pas plus de sécurité a moins d'y mettre beaucoup de moyen financier et donc de privatisé le code.

Et encore une fois si le Cryptage AES est la solution je ne vois pas ou pourrait être le problème d’espionnage ? Sourtout que c'est pas complique a mettre en place.

Ca fait 20 ans qu'on les laisse faire. Pourquoi a votre avis ? Si c'etai interdit ca ferai tres longtemp que ca ne se ferai plus. Donc si on laisse faire c'est que c'est permis. Que vous le vouliez ou non.

Don't feed the troll

[GTSLASH]

Quand 2 produits différents te sont vendu en tant qu'un seul, on appelle ça de la vente liée.
La vente liée est interdite en France. Point.

Juste pour savoir. C'est quoi la différence pour tois entre obliger un consommateur a acheté une licence OEM Windows avec son PC et l'obliger a acheter une carte graphique Matrox avec son PC.

Car si je suis votre logique c'est toutes les 2 des ventes liée et donc illégale.

De meme, pour les entreprises quand ils achete un serveur chez une firme et que cette firme oblige les client a choisir cette meme firme pour installer ce PC

Je serai curieux de comprendre la différence car c'est le top de l’hypocrisie de présenter CA comme EXCUSE et comme LA raison pour laquelle les OS desktop libre ne se vende pas..

[GTSLASH]

Don't feed the troll

bel argument/excuse

[Bestel74]

bel argument/excuse

Belle réputation sur le site

[GTSLASH]

Belle réputation sur le site

oui j'en dors pas la nuit Heureusement que j'ai plusieurs comptes et assez d'IP

[stardeath]

Moi j'ai le sentiment qu'il y a ici beaucoup de gens qui sont fans d'entreprises, à l'image de supporteurs de foot, et qui perdent toute rationalité dès lors qu'on touche à leur entreprise adorée.

et moi je pense que certains, il faut carrément leur interdire de l'ouvrir.
systématiquement dans tous les topics, la seule chose que tu avances c'est "c'est la loi", par contre tu as prouvé suffisamment de fois que certaines lois (hadopi par exemple) tu es contre, et pourtant c'est la loi.
mais bizarrement ici, parce que ça t'arrange, tu es incapable de sortir autre chose.

mais bon, tu vas encore réussir à sortir une pirouette. je vous laisse entre gens de bonne compagnie, et on verra si les choses évolues.
perso je suis convaincu que rien ne va changer.

[Alcore]

Donc peut importe quelle OS si on crypte, que se soit sur Ubuntu ou sur Windows ca revient au meme.

Si tu crypte avec une solution qui respecte la formule mathématique originelle oui. Mais ceci n'est vérifiable qui si tu peux voir le code...

Une faille est uniquement exploitable quand elle est découverte et qu'elle est donc 'public'. Si il y a une faille de sécurité dans Windows mais que personne ne l'a decouverte ca revient au meme que de dire qu'il n'y en a pas vu qu'elle n'est pas exploitable.

Si une faille a été volontairement inséré par un gouvernement ou une société malveillante dans un code non open source, elle sera connue par ce gouvernement ou cette société mais difficilement connue du grand public. Hors l'avantage du kernel linux est qu'il est multi validé par un procédé pyramidal et qu'il est open source

Si uniquement 100 développeurs on accès a un code source privé et que donc seul eux peuvent 'publier' et donc rendre exploitable la faille, c'est plus secure que si des millions de développeurs peuvent parcourir le code et trouver/publier la faille. Le risque est beaucoup plus grand dans le deuxième cas. Vous aller me répondre que des millions de personnes trouveront plus vite des failles et donc des correctif que les 100 développeurs du privé mais OpenSSL a prouvé que l'organisation et les moyens de la communauté OpenSource ne permetent pas dans les faits d'appliquer ce système correctement. L'organisation du développement est beaucoup trop compliqué (a mon avis).

Open SSL a montré qu'il y a eu UN problème de sécurité dans une solution open source. Ca ne prouve rien du tout. Par contre tu applique par conviction l'anti loi de "la sécurité par l'obscurité"

http://en.wikipedia.org/wiki/Security_through_obscurity

In security engineering, security through obscurity is the use of secrecy of design or implementation to provide security. Security through obscurity is discouraged and not recommended by standards bodies

De plus vous faites trop confiance a Linus qui je vous rappelle valide chaque version. Je vois pas pourquoi je ferai plus confiance a Linus qu'a Microsoft ou Oracle.

Mais justement, il ne faut faire confiance à personne ni même à Linus. Il le recommande d'ailleurs lui même et la seule chose à laquelle tu dois faire confiance, c'est le code si seulement tu peux y avoir accès.
Et je reste convaincu qu'un pays doit maitriser le SI avec lequelle il gère ces informations critiques (militaires, économiques, énergie, etc) comme le font les USA et bientôt la chine et la Russie p-e, mais pas l'Europe qui manque cruellement de décideur politique.

GTSLASH je suis désolé mais soit tu ne lis pas mes argumentaires pourtant censés et documentés, soit tu a été absent de la terre ces dernières années et tu est assez naïf que pour croire qu'une société produisant du code "closed source" ne participe n'obéis pas au gouvernement de son pays dans l'intérêt de ce dernier ou pour son propre intérêt financier. Nos sociétés sont dirigées par le principe de l'accumulation infini de biens dans un monde matériellement non-fini. Lorsque le jeux en vaudra la chandelle (gagner un gros contrat de plusieurs milliards, espionnage industriel, militaire) des entités vont mettre les moyens qu'il faut pour arriver à leur fin. Ce ne me choque d'ailleurs même pas. Ce qui me choque, c'est que des gens (parfois haut placés) soient assez naïf pour ne pas s'en rendre compte.

[stardeath]

Mais justement, il ne faut faire confiance à personne ni même à Linus. Il le recommande d'ailleurs lui même et la seule chose à laquelle tu dois faire confiance, c'est le code si seulement tu peux y avoir accès.
Et je reste convaincu qu'un pays doit maitriser le SI avec lequelle il gère ces informations critiques (militaires, économiques, énergie, etc) comme le font les USA et bientôt la chine et la Russie p-e, mais pas l'Europe qui manque cruellement de décideur politique.

http://www.microsoft.com/en-us/share...y-program.aspx

après faut avoir confiance en ton gouvernement, mais le code source d'au moins windows n'est pas si secret que ça.

[GTSLASH]

Quelle librairie de cryptage conseillerai tu ? En .Net si possible

Merci

[Alcore]

Quelle librairie de cryptage conseillerai tu ? En .Net si possible

Merci

Bouncycastle, plus orienté java, a désormais une librairie dispo pour C#.

http://www.bouncycastle.org/csharp/

Je n'en connais malheureusement pas plus, je n'ai audité l'utilisation de ces libs qu'en JEE.

Elle supporte les algo les plus connus (symétriques et asymétriques) et est Open source.

[GTSLASH]

c'est que des gens (parfois haut placés) soient assez naïf pour ne pas s'en rendre compte

C'est tois qui pense qu'ils ne s'en rende pas compte. Ils ont certainement plus d'info que toi et cela fait qu'ils n'ont pas le même avis que toi.

On ne le saura jamais et on n'aura jamais aucune preuve qu'il n'y a pas de BackDoor ou de FAILLE exploitée dans Linux (ni dans Windows on est d'accord).

OpenSSL a eu la faille pendant des années et croire que le NSA et autres n’étaient pas au courant et qu'ils ne l'ont pas exploité ca c'est etre naif. Donc il n'y a meme pas 6 mois de ca votre argument 'Linux c'est secure car c'est OpenSource' n'etait pas vraix.

Donc la solution serait une bonne librairie de cryptage et l'OS ne rentre pas en compte la dedans. Vous avez a mon avis beaucoup trop tendance a confondre OS et Logiciel.

[GTSLASH]

Bouncycastle, plus orienté java, a désormais une librairie dispo pour C#.

http://www.bouncycastle.org/csharp/

Je n'en connais malheureusement pas plus, je n'ai audité l'utilisation de ces libs qu'en JEE.

Elle supporte les algo les plus connus (symétriques et asymétriques) et est Open source.

Merci

[Alcore]

C'est tois qui pense qu'ils ne s'en rende pas compte. Ils ont certainement plus d'info que toi et cela fait qu'ils n'ont pas le même avis que toi.

Ils ont certainement plus d'info que moi? non je ne crois pas... (Je suis spécialiste en Sécu IT et j'ai déjà audité des institutions Française et Européenne. Quand ils ont besoin d'info, c'est justement ma boite qu'ils viennent voir ;-) )

On ne le saura jamais et on n'aura jamais aucune preuve qu'il n'y a pas de BackDoor ou de FAILLE exploitée dans Linux (ni dans Windows on est d'accord).

On le saura p-e dans Linux comme on l'a découvert pour openSSL. Par contre pour Windows on ne le saura probablement jamais non (j'ai l'impression de redonner les mêmes arguments en vain). Entre les deux, je préfère la solution qui me laisse le plus de chance de le découvrir. Et contrairement à ce que tu dis, des backdoors ont déjà été découvert dans Windows 8 notament par des agences de sécurité Allemandes. Quand a StuxNet, c'est un secret de Polichinelle maintenant et tout porte à croire (via les moyens et surtout le but) que ce sont des gouvernements qui l'ont mis en place pour espionner les centrales iraniennes qui tournaient sous Windows à travers l'utilisation d'un backdoor!
Comme précisé dans un lien contenu dans un post précédent, la défense, la marine et le département de l'énergie américaine utilise Linux et non Windows! Ha bon? Ont-ils peur que quelqu'un y découvre ce qu'ils y ont découvert?

http://www.wired.com/images_blogs/th...et_dossier.pdf :-)

OpenSSL a eu la faille pendant des années et croire que le NSA et autres n’étaient pas au courant et qu'ils ne l'ont pas exploité ca c'est etre naif. Donc il n'y a meme pas 6 mois de ca votre argument 'Linux c'est secure car c'est OpenSource' n'etait pas vraix.

OpenSSL est un projet indépendant de Linux.
Si la NSA était au courant, quel intérêt aurait-elle de le crier sur les toits? Quelle intérêt aurait-elle de crier les failles exploitées (forcées) sur Windows ou Mac OS
De plus une exploitation de faille est possible dans Linux, un backdoor volontairement mis beaucoup moins du fait de l'open source et du process de validation pyramidal de linux (je me répète encore. Zut encore un argument incompréhensible?)
http://flosshub.org/system/files/133-136.pdf

Donc la solution serait une bonne librairie de cryptage et l'OS ne rentre pas en compte la dedans. Vous avez a mon avis beaucoup trop tendance a confondre OS et Logiciel.

Une bonne librairie de cryptage est un must mais la plateforme sur laquelle elle va tourner aussi! Que fait par exemple IIS avant de crypter mes données?
Par contre toi tu confond trop facilement exploitation de faille qui existe dans les mondes open et closed source et l'insertion volontaire de backdoor qui sera quasi invisible dans le monde propriétaire et difficile à mettre en oeuvre dans des projets open source pensé dès le début pour être indépendant de ce genre de pressions comme le noyau Linux (voir égallement le projet GIT mis en place par Linus Tovalds (encore lui), et destiné entre autre, à protéger le noyau linux).

[GTSLASH]

Ils ont certainement plus d'info que moi? non je ne crois pas...

Ok on a un pro qui s'y connait mieu que les organisation gouvernemental. Bravo. En fait, moi mon nom c'est Obama Et t'a jamais conseillé OpenSSL ? tu ne l'a jamais audite en tous cas.

On le saura p-e dans Linux comme on l'a découvert pour openSSL

Si on ne le sait qu’après des années comme OpenSSL ça ne sert a rien. Et vu les moyens dont disposait l’équipe d' OpenSSL il y a beaucoup de chance que ce ne soit pas le seul projet OpenSource qui ai ces problèmes.

j'ai l'impression de redonner les mêmes arguments en vain

Tes arguments son valable, mais ils sont aussi applicable a Linux c’est cela que je veux soulever.

OpenSSL est un projet indépendant de Linux.

Vu que Linux est Super-Modulable c'est un argument Bidon. OpenSSL est (etait) fournis avec la pluparts des distributions donc ca fait partie de la distribution standard. Dire Linux c'est tous sauf ce qui est mauvais c'est un peu facile.

Si la NSA était au courant, quel intérêt aurait-elle de le crier sur les toits?

T'es pas habituer a mentir apparemment. c'est tout a ton honneur mais c'est pas le cas de la NSA crois moi. L'accusateur/dénonciateur est rarement soupçonner et ça ils le savent.

De plus une exploitation de faille est possible dans Linux, un backdoor volontairement mis beaucoup moins du fait de l'open source et du process de validation pyramidal de linux (je me répète encore. Zut encore un argument incompréhensible?)

D'accord mais il y a autant de risque de securité dans un Backdoor volontaire que dans une faille. Les deux sont critique. Et les failles ne sont pas tous trouvée. Ni dans Windows Ni dans Linux. Mais les failles c'est plus facile a trouver quand on a le code.

Et le Systeme pyramidale est également appliqué chez Microsoft. Et je reste d'avis qu'il est plus facile de gerer des equipes de 100 développeurs que de millions de développeurs bénévoles. Et de plus je ne vois pas pourquoi je ferai plus confiance a Linus qu'a Microsoft.

Que fait par exemple IIS avant de crypter mes données?

On est d'accord. Ca doit etre crypter avant.

confond trop facilement exploitation de faille qui existe dans les mondes open et closed source et l'insertion volontaire de backdoor qui sera quasi invisible dans le monde propriétaire et difficile à mettre en oeuvre dans des projets open source pensé dès le début pour être indépendant de ce genre de pressions comme le noyau Linux

d'accord mais une faille est aussi dangereuse qu'un BackDoor volontaire a mon avis.

Un backdoor volontaire sera plus difficile (voir impossible ok) a mettre dans le libre. je suis d'accord. Meme si des outils peuvent tester la presence de BackDoor dans Windows.

Mais une faille sera plus facile a trouvée et donc a exploitable dans l'OpenSource. Et comme c'est pas audité correctement par manque de moyen...

Donc ca fait a mon avis 1 vulnérabilité des 2 cotés..

Une librairie OpenSource avec une grosse boite derrière (et donc les moyens) est parfait.

Personnellement la seul raison pour laquelle j'utilise Windows c'est que je développe en .Net et qu'avec ca je touche 90% des PC. Si c’était compatible (on peut rêver) avec Linux ou qu'il y avait une alternative valable et aussi facile que l écosystème de Microsoft sous Linux je pense bien que je serai passé a OpenSuse. Mais je pense pas que ca arrivera. Et il faut avouer que la securité et le cryptage anti-CIA c'est pas le plus important pour les clients (pas les miens en tous cas)

[GTSLASH]

des backdoors ont déjà été découvert dans Windows 8 notament par des agences de sécurité Allemandes

Donc c'est aussi possible de vérifier et d'auditer dans Windows même sans le code source

[marsupial]

Donc c'est aussi possible de vérifier et d'auditer dans Windows même sans le code source

C'est possible mais pas à la portée de tout le monde. Seuls les hackers et organisations gouvernementales ouvrent le code avec des objectifs diamétralement opposés. L'un pour boucher la faille, l'autre pour l'exploiter.

Et c'est illicite dixit Microsoft.

Alors que réécrire un code open source après audit est licite et beaucoup plus accessible. De plus, cela permet d'adapter la solution à ses besoins sans dépendre d'un fournisseur.