La NSA publie en open source l’un de ses outils d’espionnage

La NSA publie en open source l’un de ses outils d’espionnage
Niagarafiles permettrait de gérer efficacement des flux de données de différents formats et protocoles

La NSA a annoncé la publication en open source d'un de ses outils d'analyse de données appelée Niagarafiles (ou Nifi tout simplement).

L'outil, permet de « hiérarchiser les flux de données plus efficacement et se débarrasser de retards artificiels dans l'identification et la transmission d'informations critiques », selon Joseph L. Witt, développeur en chef chargé du projet.

Nifi, publié sous licence Apache, pourrait être bénéfique au secteur privé américain de diverses manières, peut-on lire sur le site de la NSA. « Par exemple, les entreprises commerciales pourraient l'utiliser pour contrôler rapidement, gérer et analyser le flux d'informations à partir de sites géographiquement dispersés. » De plus, l’outil peut « automatiser les flux entre des réseaux informatiques multiples, même lorsque les formats et protocoles de données diffèrent ».

Ceci représente la première publication concernant une série de produits développés en interne par le programme de transfert de technologie de la NSA (TTP: Technology Transfer Program). La directrice de ce programme a déclaré que les chercheurs de l'Agence américaine travaillent sur certains des problèmes de sécurité nationale les plus difficiles qu'on puisse imaginer.

Rappelons que la NSA avait déjà par le passé publié des projets open source. En effet, SELinux (Security-Enhanced Linux) a commencé comme un projet de la NSA. Il est maintenant utilisé dans les versions Entreprise pour les distributions Red Hat, SUSE et Debian.

Plus récemment encore, l’agence de sécurité américaine avait créé Accumulo, un système de gestion de bases de données NoSQL spécialisé dans la gestion de données de masse. L'outil est maintenant géré par l'Apache Software Fondation.

Source : NSA

Et vous ?

:fleche: Qu'en pensez-vous ?

ça m'intéresse grandement, j'ai déjà un projet pour cette techno

Il va falloir distribuer des centaines de projets Open Source pour que l'utilisateur trouve un minimum de confiance envers la NSA :?

Citation:

---

Envoyé par Dasoft

Il va falloir distribuer des centaines de projets Open Source pour que l'utilisateur trouve un minimum de confiance envers la NSA :?

---

Je ne pense pas que la NSA s'inquiète d'avoir une bonne image envers "nous" :aie:

L'idée est plus de proposer un outil pouvant rendre les entreprises plus performantes...

La question est surtout :
OU sont planqués les backdoors dans le code qu'ils donnent ?

Quand on sait qu'ils ont déja forcé des anomalies dans certain algo de cryptage destiné a etre utilisé mondialement, je crois que personne ne peut plus avoir confiance dans ce qu'offre un organisme de ce genre.

Je suis le seul à penser que si la NSA publie des outils de gestion massive c'est pour réduire les coûts de recherche et se faciliter la vie?

Si des centaines de sociétés adoptes leur modèle de gestion, la NSA aura beaucoup moins de difficulté a soutirer toutes les infos du système et pourra les exploiter nativement. Je trouve les outils interessants, mais les adopter représente un très grand risque...

Citation:

---

Envoyé par eclesia

La question est surtout :
OU sont planqués les backdoors dans le code qu'ils donnent ?

Quand on sait qu'ils ont déja forcé des anomalies dans certain algo de cryptage destiné a etre utilisé mondialement, je crois que personne ne peut plus avoir confiance dans ce qu'offre un organisme de ce genre.

---

Bah c'est open source tu n'as qu'à lire le code ... sauf si le niveau des devs qui font de l'open est si mauvais que ce n'est pas possible ...

Citation:

---

Envoyé par Gecko

Je suis le seul à penser que si la NSA publie des outils de gestion massive c'est pour réduire les coûts de recherche et se faciliter la vie?

Si des centaines de sociétés adoptes leur modèle de gestion, la NSA aura beaucoup moins de difficulté a soutirer toutes les infos du système et pourra les exploiter nativement. Je trouve les outils interessants, mais les adopter représente un très grand risque...

---

La NSA a une double mission craqué et protéger et oui.

Citation:

---

Envoyé par eclesia

La question est surtout :
OU sont planqués les backdoors dans le code qu'ils donnent ?

Quand on sait qu'ils ont déja forcé des anomalies dans certain algo de cryptage destiné a etre utilisé mondialement, je crois que personne ne peut plus avoir confiance dans ce qu'offre un organisme de ce genre.

---

+1000. On sait bien que la NSA n'est pas un enfant de choeur. Si l'outil devient open source, c'est soit qu'il ne leur est plus d'aucune utilité, soit que la version libre est vérolée. Ou les deux. Si la NSA collabore a des projets open source ou à des mises en place de protocoles, c'est surtout pour y introduire des failles qu'ils peuvent ensuite exploiter.

Oui c'est sois que l'outils est obsolète ou bien qu'il est vérolé, car je les voie mal sortir tout leur outils en open source avec un repo à leur noms.

Au contraire, je pense que ce soft est "clean".
La NSA ne peut se permettre ce genre de publicité désastreuse, surtout depuis l'affaire Snowden.
Ils essayent sans doute de s'attirer les bonnes grâces de la communauté avec ce soft.
Ils n'ont certainement pas besoin de ce soft pour lire tous les flux de données qu'ils veulent.
De plus c'est plus simple et plus payant pour eux de compromettre un projet auquel ils ne sont pas associés.

Je pense que Snowden a agit en service commandé !
Histoire de mesurer à quel point le monde est près à accepter "Big Browser".

Citation:

---

Envoyé par mdu52

Je pense que Snowden a agit en service commandé !
Histoire de mesurer à quel point le monde est près à accepter "Big Browser".

---

Oui d'ailleurs les tickets resto et les chèques vacances sont toujours fournis par la NSA... :mrgreen:

Je vais encore me faire des copains... mais bon.. à mon sens, le but de ce passage en open source, c'est l'uniformisation. Le standard. La norme.

Les entreprises ou les états veulent du standard partout. D'ailleurs, ils aimeraient bien qu'il n'y ait presque plus d'humains pour faire fonctionner tout cela, c'est le but de la NSA (diviser par 1000 le nbr d'admin réseau, Snowden, ça les a refroidi).

Si les standards sont absolument nécessaires, ce n'est pas à ce point, partout.
Ce n'est pas un avantage ni pour les utilisateurs, ni pour les informaticiens.
Le standard d'usage, ou de protocole, ce n'est pas la même chose que le standard d'implémentation.
Entre ne pas réinventer la roue, et s'arranger pour qu'il n'y ait pas 3 technologies sur la planète. Il y a un gouffre. Mais ils sont déjà de l'autre coté..

La NSA 'donne au monde' du code open source pour essayer d'uniformiser un peu plus. Ce n'est qu'une composante d'un tout.

Cela ne marche pas si mal, regardez l'informatique mondiale( OS ou logiciels principaux ) :

- 1 ou 2 leaders mondiaux aux US = 90%
- 3 ou 4 projets open source leaders sur leur domaine = 9.9%, financés par des entreprises souvent dans le top 10 US.
- 10000 projets qui marchottent, pour les 0.1% qui restent : des fous, dissidents, "qui-pensent-pas-comme-tout-le-monde"... des divergents.

Il y a 3 navigateurs internet (webkit, ie, firefox). Pour qq Milliards d'internautes. C'est pas mal!
crypto : openssl, gnutls, crypto++, gpg, pgp, openssh, putty.
standards de hashage : sha1, sha256, sha512, ripem
standards de signature: rsa, courbes élliptiques (et pas sur n'importe quelle courbe hein..)

Ca profite à qui?

Citation:

---

Envoyé par mdu52

Je pense que Snowden a agit en service commandé !
Histoire de mesurer à quel point le monde est près à accepter "Big Browser".

---

Si la NSA n'est pas capable de se faire une idée de l'opinion publique mondiale sans utilise un truc aussi rocambolesque (et qui leur fait beaucoup de mal), faut vraiment qu'ils changent de boulot :roll:
Par contre Snowden aurait pu être "lâché" pour enfumer les Russes en leur balançant de l'intox.
Plus probable mais ça on en saura jamais rien ... la solution la plus simple est la meilleure : c'est un idéaliste qui en a eu marre d'être un agent de Big Brother et a préféré se casser.

Citation:

---

Envoyé par williamp

[...] à mon sens, le but de ce passage en open source, c'est l'uniformisation. Le standard. La norme.
[...]
Ca profite à qui?

---

Effectivement s'ils réduisent la multitude de systèmes, ils peuvent concentrer leurs efforts à casser les plus populaires.

Je suis pas certain de bien comprendre les critiques.
A vous lire, la NSA donne son code pour nous espionner plus facilement soit avec du code caché soit grâce à une uniformisation supposée des pratiques.

Mais alors pourquoi est ce réservé aux boites américaines ???
cf https://www.nsa.gov/research/_files/...er_program.pdf

Citation:

---

Please note that all companies interested in licensing NSA technology must be U.S.-based or have a wholly owned U.S.-based subsidiary

---

Et puis sur le code caché en open source... ben je vois pas non plus !

Moi perso je serais super content de mettre de jouer avec au moins la moitié de ce qui est dans le programme de transfert.
Malheureusement je ne crois pas que ce soit possible.

Benoît.

Citation:

---

Envoyé par Benoit de coco

Mais alors pourquoi est ce réservé aux boites américaines ??

---

Tu réponds toi-même non?

Citation:

---

"or have a wholly owned U.S.-based subsidiary"

---

S'il suffit d'avoir une filiale US Based pour s'en servir, autant dire que toutes les multinationales sont concernées.
Ainsi, elles tombent directement sous le patriot act, et ce sera toujours ça de moins chiant à étudier une fois saisi.

C'est titanesque les montagnes de données qu'elle doit stocker / gérer. il faut que ce soit le plus standard possible.
Pour moi, c'est d'abord ça le but. Uniformiser. Même aux USA.

Les sociétés totalement étrangères, sans succursale US? elles font quoi? en informatique ?
Je serais tenté d'être sarcastique : ça existe au moins?

Citation:

---

Et puis sur le code caché en open source... ben je vois pas non plus !

---

Prenons l'exemple du buffer overflow qui permet l'exécution de code arbitraire à distance, en différé, et même lorsque l'on n'est pas connecté.

Code:

---

1 2 3 4 5 6 7

void printStream(FILE *stream) { char key[64]; char value[128]; fscanf(stream,"%s %s",key,value); ... }

---

Je te mets des chaines adéquates dans le "stream" et voilà.

Dans 10 ans, un mec relève le truc, On se fend d'un "bug fix: potential buffer overflow".. Sachant que cet exemple est tellement basique qu'il n'est là que pour servir d'exemple. Ils sont capables de beaucoup plus subtil aussi.
Comment faire confiance à quelqu'un qui a déjà menti?

Ceci dit, là on est beaucoup plus dans les spéculations et les suspiscions. La chose la plus évidente, de mon point de vue, c'est le désir de standardiser, centraliser, pour simplifier la surveillance. Il est clair qu'ils ont des problèmes avec l'énormité des quantités de données qu'ils captent.

Donc, ils se disent (intelligemment) qu'ils vont inciter les entreprises US à gagner du pognon tout en leur simplifiant le boulot.