Discussion :

[Michael Guilloux]

Microsoft ouvre un centre de transparence à Bruxelles
Et permet désormais aux gouvernements de l’UE d’inspecter le code source de ses produits

Microsoft continue ses efforts pour inciter les gouvernements nationaux à utiliser ses produits avec un sentiment de sécurité. La firme basée à Redmond a en effet lancé en 2003 une initiative baptisée Gouvernment Security Program (GSP) pour aider à créer la confiance avec les gouvernements qui veulent utiliser ses produits.

Dans le cadre de ce programme, la société IT a ouvert un Transparency Center à Redmond en Juillet 2014. « L'initiative Transparency Center est une pierre angulaire de notre Government Security Program (GSP) de longue date, qui offre aux agences gouvernementales participantes l'occasion d'examiner le code source des produits Microsoft » et « accéder aux informations sur les menaces de cyber-sécurité et les vulnérabilités » dans un environnement sécurisé, a déclaré Matt Thomlinson, vice-président de Microsoft Security dans un billet de blog. L’objectif premier – dans le contexte actuel de sécurité de données - est de rassurer les gouvernements qui veulent utiliser les produits de Microsoft que ceux-ci ne contiennent pas de portes dérobées de sécurité.

Les autorités participantes pourront en plus « bénéficier de l'expertise et la perspicacité des professionnels de la sécurité de Microsoft », qui leur donneront un aperçu de la vulnérabilité de leur infrastructure et la manière d’y remédier. Elles auront également accès à une documentation technique importante sur les produits de Microsoft y compris les services de Cloud Computing Azure et Office 365.

La liste de produits qui font partie du programme de sécurité inclut Windows 8.1, 7 et Vista, ainsi que les différentes versions de Windows Server et Office. On y retrouve également Lync et SharePoint 2010. Les codes sources d’autres produits non inclus dans la liste de base pourront également être inspectés selon les besoins spécifiques des organisations participantes.

La firme de Redmond a inauguré hier un nouveau centre de transparence à Bruxelles et annoncé que la Commission Européenne fait désormais partie des institutions participantes à son programme de sécurité. Cela signifie que les gouvernements européens seront en mesure d’inspecter le code source des produits Microsoft. Ce sera également l’occasion d’ouvrir le programme aux autres gouvernements à travers le monde. « L'inauguration d'aujourd'hui à Bruxelles donnera aux gouvernements en Europe, au Moyen-Orient et en Afrique un emplacement idéal pour expérimenter notre engagement envers la transparence et la fourniture de produits et services qui sont sécurisés par principe et par la conception », a déclaré Thomlinson. Le choix de Bruxelles se justifie par sa capacité à pouvoir rassembler les gouvernements et institutions du monde entier.

Aujourd’hui, la communauté mondiale GSP englobe 42 agences différentes de 23 gouvernements nationaux et organisations internationales à travers le globe. Microsoft prévoit d'élargir la gamme des produits inclus dans le programme et d'ouvrir d'autres centres en Europe, en Amérique et en Asie.

Source : Microsoft EU Policy Blog

Et vous ?

Que pensez-vous du programme de sécurité de Microsoft ?

[Carhiboux]

C'est assez cocasse sur le forme, parce que plusieurs questions, assez basiques, se posent :
.
1) Qu'est-ce qui garanti à ces gouvernement que les "codes" mis à disposition sont bien les "codes" qui sont utilisés et distribués dans les copies commerciales, ou gouvernementales, des produits Microsoft et pas des versions "désinfectées"?
.
2) Qu'est-ce qui garanti à ces mêmes gouvernements que les mises à jour n’amènent pas de portes dérobées, à supposer qu'il n'y en ait pas déjà dans la version "de base".
.
3) Pourquoi un gouvernement européen permettrait-il à des employés de Microsoft de mettre leur nez dans leurs SI pour en étudier les vulnérabilités alors qu'il est clair ces derniers temps que la justice américaine, et ses services de renseignements, semblent vouloir, et pouvoir, lire toutes les informations/données internes de l'entreprise, aux USA comme à l'étranger.
.
4) Est-ce que les gouvernements de l'UE ont envie de se rengager dans une politique d'achat de logiciels propriétaires alors que beaucoup d'administrations ont franchi le cap du libre? Munich est l'exemple type de la grosse organisation qui à, semble t'il, réussi sa transition.

[matthius]

L'état a fait comprendre sur Radio Notre Dame qu'ils envisageaient un gain de 65 milliards grâce à l'informatique et à une astuce fiscale. Ce serait en place en 2016 en France. Les administrations refoulent Windows, notamment la Police, pas les gendarmes évidemment. Une fonctionnaire m'avait indiqué qu'elle n'utilisait pas Windows, ce qui n'était pas le cas.
Je me demande pourquoi ils n'ont pas parlé de Linux alors...

[Algo D.DN]

1) Qu'est-ce qui garanti à ces gouvernement que les "codes" mis à disposition sont bien les "codes" qui sont utilisés et distribués dans les copies commerciales, ou gouvernementales, des produits Microsoft et pas des versions "désinfectées"?

Bien je dirais qu'il n'y a manifestement que M$ qui peut faire "bénéficier de l'expertise et la perspicacité des professionnels de la sécurité de Microsoft" pour lire des sources verrouillés, les autres n'en ont ni la perspicacité ni les compétences.

[Matthieu Vergne]

Moi, ce que je me demande, c'est pourquoi l'accès au code se limite aux gouvernements. Les gouvernements font de la politique à ce que je sache, pas de la technique. J'aime bien la première phrase de l'article :

Microsoft continue ses efforts pour inciter les gouvernements nationaux à utiliser ses produits avec un sentiment de sécurité.

Mais je suis peut-être juste trop parano.

[tbarry]

C'est assez cocasse sur le forme, parce que plusieurs questions, assez basiques, se posent ...

Tout à fait d'accord avec toi, mais bon, ... il faut bien que ils fassent quelque chose pour tenter de rassurer les gouvernements qui, avec le climat actuel, essayent de trouver d'autres alternatives à Microsoft.
Je trouve l'initiative saine, bien que ça soit la situation qui leur oblige, et franchement je ne vois ce que ils puissent faire de plus à moins de mettre tous leur code en libre accès, ce qui ne risque pas

[transgohan]

Moi, ce que je me demande, c'est pourquoi l'accès au code se limite aux gouvernements. Les gouvernements font de la politique à ce que je sache, pas de la technique. J'aime bien la première phrase de l'article :

Mais je suis peut-être juste trop parano.

Quand on parle de gouvernement ce sont des experts techniques bien entendu...
Thalès, Airbus et compagnie montrent leur code au gouvernement français.
Ce n'est certainement pas notre cher président qui s'en tape la lecture mais quelqu'un de la DGA ou autre.

[Matthieu Vergne]

Quand on parle de gouvernement ce sont des experts techniques bien entendu...
Thalès, Airbus et compagnie montrent leur code au gouvernement français.
Ce n'est certainement pas notre cher président qui s'en tape la lecture mais quelqu'un de la DGA ou autre.

Moi je veux bien, mais coller 2-3 experts techniques pour s'assurer que l'intégralité du code source de MS Windows, MS Office, MS truc-muche et consor n'aient pas de backdoor... pour moi c'est aussi efficace que n'y coller personne. J'imagine que si on en case davantage, ces experts techniques ont aussi autre chose à faire de leurs journées. Dans le bénéfice du doute, je reste donc sceptique.

[Zirak]

+1

Quitte à vouloir être transparent, et vu qu'ils ont commencé cette démarche avec la plate-forme .Net, autant passer en open-source, il y a des milliers de personnes à travers le monde qui seraient prêtes à éplucher le code source :

les adeptes de l'open-source, pour essayer de prouver aux pro-format propriétaire qu'ils avaient raison
les adeptes du format propriétaire, pour leur montrer que "hahaha vous aviez tord !"

Car la, cela va encore rester dans les hautes sphères, et on nous dira bien ce qu'on voudra nous dire (ou ce qu'on veut entendre), pour calmer la plèbe.

[seblutfr]

Moi, ce que je me demande, c'est pourquoi l'accès au code se limite aux gouvernements. Les gouvernements font de la politique à ce que je sache, pas de la technique. J'aime bien la première phrase de l'article :

Mais je suis peut-être juste trop parano.

Ca n'est pas limité aux gouvernements, c'est aussi accessibles à certaines entreprises sous conditions.
https://www.microsoft.com/en-us/shar...g-program.aspx
Il existe d'autres programmes de ce type pour d'autres organismes (OEM, ...)

[Chal92]

On peut avoir un code sans porte dérobé dans les sources pourvu que le compilateur fasse le boulot d'injection lors de la compilation ;-)
On peut même montrer le code source (sans le code d'injection) du compilateur... et recompiler le compilateur (qui l'injectera...)

De mémoire cette technique à exister à une époque sur une distribution unix... qui était bien sur livrer avec les sources et le compilateur...

En conclusion: Ce n'est donc pas uniquement le code source mais bien toute la chaine de production qu'il faut valider...

[Matthieu Vergne]

Ca n'est pas limité aux gouvernements, c'est aussi accessibles à certaines entreprises sous conditions.
https://www.microsoft.com/en-us/shar...g-program.aspx
Il existe d'autres programmes de ce type pour d'autres organismes (OEM, ...)

Je note :

Use and Restrictions

1. ESLP licensees may only use the source code for the purposes of assisting in the support and development of internally deployed applications on the Microsoft Windows platform, supporting Microsoft Windows deployments, performing internal security audits of the Microsoft Windows operating system.

Autrement dit, soit on développe des choses pour Windows, soit on fait de l'audit. Seul le dernier cas permet de faire une étude indépendante. Mais même malgré ça :

Eligibility Requirements (all requirements must be met)

...
3. Maintain 10,000 Windows seats under one of the following:
a. An Enterprise Agreement.
b. A Select or Select Plus agreement with Software Assurance.

autrement dit, même pour faire de l'audit, il faut déjà gérer un sacré parc Windows. Autant dire qu'on n'autorise là que les gros clients MS à faire leur propre audit. On ne peut donc même pas vérifier la solution avant d'en gérer une masse significative.

Ça ne change donc pas le fond de ma remarque : ces entreprises ont autre chose à faire que de vérifier l'intégralité du code des outils qu'ils ont acheté... acheté justement pour ne pas avoir à les développer (soit parce que ce n'est pas leur créneau, soit parce qu'ils ont d'autres priorités). La revue du code source, c'est le genre de chose que même les équipes en charge ont du mal à vouloir faire, parce que c'est chronophage et pas spécialement gratifiant. Alors une entreprise dont ce n'est pas le travail...

Dans l'open source, les revues de code se font par ceux qui sont intéressés par ledit bout de code :
- soit parce qu'on veut savoir comment ça marche, ce qui est rarement valable pour justifier d'utiliser ses heures de travail,
- soit parce qu'on souhaite s'en inspirer ou y contribuer, ce qui n'a pas de raison d'arriver pour du code proprio,
- soit parce qu'on a un problème à régler avec ledit bout de code, ce qui implique d'avoir ledit problème.

Checker du code à la recherche de problèmes potentiels, je doute que qui que ce soit y mette les ressources suffisantes en dehors de l'équipe en charge, à savoir des gens de MS ici. Mais ceux là cherchent ce qui serait problématique du point de vue de leur entreprise, pas spécialement de l'utilisateur. Ajoute le fait que ce code change constamment, et on est dans l'ingérable : pour le checker, il faudrait que ces gouvernements/entreprises mettent au moins autant de personnes que MS en met pour faire évoluer le code, sinon ils seront toujours avec un temps de retard.

Donc si l'idée est appréciable, dans les faits ça ne me semble pas changer quoi que ce soit.

[Aiekick]

Microsoft fait des compilateur, il peuvent très bien en avoir fait un qui injecte des prote dérobée dans leur code ...

tout est possible mais bon c'est pas un peu gros ?

[wytes]

Hello,

sans vouloir faire l'avocat du diable, je ne pense pas qu'il soit honette de voir le mal partout.

1) Qu'est-ce qui garanti à ces gouvernement que les "codes" mis à disposition sont bien les "codes" qui sont utilisés et distribués dans les copies commerciales, ou gouvernementales, des produits Microsoft et pas des versions "désinfectées"?
.
2) Qu'est-ce qui garanti à ces mêmes gouvernements que les mises à jour n’amènent pas de portes dérobées, à supposer qu'il n'y en ait pas déjà dans la version "de base".
.

Je trouve que c'est une démarche qui se tient avec les efforts qu'ils font pour mettre a dispositions leurs codes en open source.

Après en ce qui concerne la thérorie du complot & conspiration, ca marche aussi avec le commercant qui te vend des légumes "bio" pour se faire une marge monstrueuse.

3) Pourquoi un gouvernement européen permettrait-il à des employés de Microsoft de mettre leur nez dans leurs SI pour en étudier les vulnérabilités alors qu'il est clair ces derniers temps que la justice américaine, et ses services de renseignements, semblent vouloir, et pouvoir, lire toutes les informations/données internes de l'entreprise, aux USA comme à l'étranger.

Microsoft est toujours en combat avec l'état américain pour sauvegarder la vie privée de ses utilisateurs.

4) Est-ce que les gouvernements de l'UE ont envie de se rengager dans une politique d'achat de logiciels propriétaires alors que beaucoup d'administrations ont franchi le cap du libre? Munich est l'exemple type de la grosse organisation qui à, semble t'il, réussi sa transition.

Le logiciel libre est une bonne chose, cependant il a été démontré qu'en cout sur la durée (formation / maintenance) il était au aussi chere pour les gouvernements que l'ancienne solution microsoft.
Microsoft est conscient que le logiciel libre fait avancer les choses & c'est pour ca qu'ils mettent de plus en plus a disponnibilité leur code en open source.

C'est un premier pas vers l'open source en privilégiant les gouvernements a vérifier le code de Microsoft.
Afin que le gouvernement soit sur, ils faudraient qu'ils deviennent distributeurs qu'ils compilent eux même le code source & le distribue afin d'être certains qu'il n'y ait aucun backdoor.
Cependant, qui aujourd'hui souhaiterai que ce soit le gouvernement qui fasse office de distributeur ? Ca serait plus un backdoor, ca serait juste une opendoor sur la vie privée.

Ce qui serait encore plus interessant, c'est que Microsoft fasse le pas, un jour, de mettre son OS en opensource

[Jon Shannow]

Ce qui serait encore plus interessant, c'est que Microsoft fasse le pas, un jour, de mettre son OS en opensource

Si c'est pour voir fleurir des WindowsBuntu, des WindowsMint, des WindowsDelaMortQuiTue, je ne vois pas trop l'intérêt. Ça ne fait qu'engendrer des "guéguerres" pour savoir qui à la plus belle distri, et au final on a 1 OS avec des dizaines de déclinaisons différentes mais aucune satisfaisante !

[Zirak]

Si c'est pour voir fleurir des WindowsBuntu, des WindowsMint, des WindowsDelaMortQuiTue, je ne vois pas trop l'intérêt. Ça ne fait qu'engendrer des "guéguerres" pour savoir qui à la plus belle distri, et au final on a 1 OS avec des dizaines de déclinaisons différentes mais aucune satisfaisante !

Et c'est reparti pour un petit coup de troll sur l'open-source...

On a compris que tu n'aimais pas Linux Jon

[Jon Shannow]

Et c'est reparti pour un petit coup de troll sur l'open-source...

On a compris que tu n'aimais pas Linux Jon

Non, visiblement tu n'as pas compris. Ce que je n'aime pas, c'est ce que des gens qui prétendent avoir la bonne parole ont fait de Linux et du logiciel libre en général, avec plus ou moins de succès.

[Zirak]

Non, visiblement tu n'as pas compris. Ce que je n'aime pas, c'est ce que des gens qui prétendent avoir la bonne parole ont fait de Linux et du logiciel libre en général, avec plus ou moins de succès.

On va pas refaire une énième fois la même discussion, ce que tu reproches à Linux, c'est son principal intérêt, donc oui tu n'aimes pas Linux, et ta réflexion précédente s'apparente plus à du troll qu'autre chose.

L'intérêt de forker une distrib, c'est de pouvoir faire celle qui correspond à tes besoins, si les distribs actuelles ne satisfont pas à 100% ton besoin, libre à toi de faire ta propre distrib avec les éléments qui te semblent manquant, point.

Si le travail accomplit par X centaines de personnes ne te satisfait pas, libre à toi de faire mieux, mais critiquer les distribs actuelles en attendant que tout tombe tout cuit du ciel, c'est un peu facile

[Jon Shannow]

On va pas refaire une énième fois la même discussion, ce que tu reproches à Linux, c'est son principal intérêt, donc oui tu n'aimes pas Linux, et ta réflexion précédente s'apparente plus à du troll qu'autre chose.

L'intérêt de forker une distrib, c'est de pouvoir faire celle qui correspond à tes besoins, si les distribs actuelles ne satisfont pas à 100% ton besoin, libre à toi de faire ta propre distrib avec les éléments qui te semblent manquant, point.

Si le travail accomplit par X centaines de personnes ne te satisfait pas, libre à toi de faire mieux, mais critiquer les distribs actuelles en attendant que tout tombe tout cuit du ciel, c'est un peu facile

D'abord, dire que je n'aime pas Linux, ne signifie rien, puisque Linux c'est le noyau, et donc il n'a pour moi que peu d'utilité (dans le sens ou je ne le vois pas, je sais, parce que je suis informaticien qu'il est là, qu'il est le cœur du système, mais 99% des utilisateurs n'en n'ont pas la moindre idée), ce que je n'aime pas ce sont justement ces pratiques ou l'on multiplie les déclinaisons d'un produit, chacun y allant de ses envies, ses besoins, ses petites manies, et au final on a quoi ? Un fatras de trucs plus ou moins compatibles les uns avec les autres, et des produits qui prennent plus de temps à maintenir les différences qu'à évoluer. Résultat, ce sont des OS avec un retard énorme.

Pourtant, l'expérience montre, avec Google et Apple, qu'on peut faire quelque chose de super avec un noyau Libre.

[Zirak]

D'abord, dire que je n'aime pas Linux, ne signifie rien, puisque Linux c'est le noyau, et donc il n'a pour moi que peu d'utilité (dans le sens ou je ne le vois pas, je sais, parce que je suis informaticien qu'il est là, qu'il est le cœur du système, mais 99% des utilisateurs n'en n'ont pas la moindre idée), ce que je n'aime pas ce sont justement ces pratiques ou l'on multiplie les déclinaisons d'un produit, chacun y allant de ses envies, ses besoins, ses petites manies, et au final on a quoi ? Un fatras de trucs plus ou moins compatibles les uns avec les autres, et des produits qui prennent plus de temps à maintenir les différences qu'à évoluer. Résultat, ce sont des OS avec un retard énorme.

C'est bien ce que je disais, ce que tu n'aimes pas, c'est le principal intérêt de la chose.

Pourtant, l'expérience montre, avec Google et Apple, qu'on peut faire quelque chose de super avec un noyau Libre.

Tu fais seulement un truc grand publique qui ne répond pas aux besoins de tout le monde non plus, juste aux besoins basiques de la plèbe, ce que font très bien la plupart des distributions Linux aussi.

Oui si c'est pour surfer et faire de la bureautique, tu peux prendre n'importe quel OS.

Si tu as un besoin plus spécifique (en entreprise notamment), l'avantage de Linux, c'est que tu peux faire TA distrib, avec les logiciels dont tu as besoin dans ta boite, qui se mettent automatiquement à jour et rien de plus.

Tu n'as pas besoin de virer / bloquer X programmes / processus qui ne te servent à rien et qui sont installés de base habituellement avec les autres OS.


Tu reprocherais certains fonctionnements, la, je le comprendrais très bien, mais reprocher la diversité...

Enfin, tout ce que je voulais dire, c'est que se plaindre qu'aucune distrib existante ne te convient ne rime à rien, si la distrib parfaite à tes yeux n'existe pas, libre à toi de la faire toi-même, c'est justement ça le principe.