La NSA publie en open source l’un de ses outils d’espionnage
La NSA publie en open source l’un de ses outils d’espionnage
Niagarafiles permettrait de gérer efficacement des flux de données de différents formats et protocoles
La NSA a annoncé la publication en open source d'un de ses outils d'analyse de données appelée Niagarafiles (ou Nifi tout simplement).
L'outil, permet de « hiérarchiser les flux de données plus efficacement et se débarrasser de retards artificiels dans l'identification et la transmission d'informations critiques », selon Joseph L. Witt, développeur en chef chargé du projet.
Nifi, publié sous licence Apache, pourrait être bénéfique au secteur privé américain de diverses manières, peut-on lire sur le site de la NSA. « Par exemple, les entreprises commerciales pourraient l'utiliser pour contrôler rapidement, gérer et analyser le flux d'informations à partir de sites géographiquement dispersés. » De plus, l’outil peut « automatiser les flux entre des réseaux informatiques multiples, même lorsque les formats et protocoles de données diffèrent ».
Ceci représente la première publication concernant une série de produits développés en interne par le programme de transfert de technologie de la NSA (TTP: Technology Transfer Program). La directrice de ce programme a déclaré que les chercheurs de l'Agence américaine travaillent sur certains des problèmes de sécurité nationale les plus difficiles qu'on puisse imaginer.
Rappelons que la NSA avait déjà par le passé publié des projets open source. En effet, SELinux (Security-Enhanced Linux) a commencé comme un projet de la NSA. Il est maintenant utilisé dans les versions Entreprise pour les distributions Red Hat, SUSE et Debian.
Plus récemment encore, l’agence de sécurité américaine avait créé Accumulo, un système de gestion de bases de données NoSQL spécialisé dans la gestion de données de masse. L'outil est maintenant géré par l'Apache Software Fondation.
Source : NSA
Et vous ?
:fleche: Qu'en pensez-vous ?
Open source de qualité = création d'un standard de fait
Je vais encore me faire des copains... mais bon.. à mon sens, le but de ce passage en open source, c'est l'uniformisation. Le standard. La norme.
Les entreprises ou les états veulent du standard partout. D'ailleurs, ils aimeraient bien qu'il n'y ait presque plus d'humains pour faire fonctionner tout cela, c'est le but de la NSA (diviser par 1000 le nbr d'admin réseau, Snowden, ça les a refroidi).
Si les standards sont absolument nécessaires, ce n'est pas à ce point, partout.
Ce n'est pas un avantage ni pour les utilisateurs, ni pour les informaticiens.
Le standard d'usage, ou de protocole, ce n'est pas la même chose que le standard d'implémentation.
Entre ne pas réinventer la roue, et s'arranger pour qu'il n'y ait pas 3 technologies sur la planète. Il y a un gouffre. Mais ils sont déjà de l'autre coté..
La NSA 'donne au monde' du code open source pour essayer d'uniformiser un peu plus. Ce n'est qu'une composante d'un tout.
Cela ne marche pas si mal, regardez l'informatique mondiale( OS ou logiciels principaux ) :
- 1 ou 2 leaders mondiaux aux US = 90%
- 3 ou 4 projets open source leaders sur leur domaine = 9.9%, financés par des entreprises souvent dans le top 10 US.
- 10000 projets qui marchottent, pour les 0.1% qui restent : des fous, dissidents, "qui-pensent-pas-comme-tout-le-monde"... des divergents.
Il y a 3 navigateurs internet (webkit, ie, firefox). Pour qq Milliards d'internautes. C'est pas mal!
crypto : openssl, gnutls, crypto++, gpg, pgp, openssh, putty.
standards de hashage : sha1, sha256, sha512, ripem
standards de signature: rsa, courbes élliptiques (et pas sur n'importe quelle courbe hein..)
Ca profite à qui?
Uniformisation = raison principale
Citation:
Envoyé par
Benoit de coco
Mais alors pourquoi est ce réservé aux boites américaines ??
Tu réponds toi-même non?
Citation:
"or have a wholly owned U.S.-based subsidiary"
S'il suffit d'avoir une filiale US Based pour s'en servir, autant dire que toutes les multinationales sont concernées.
Ainsi, elles tombent directement sous le patriot act, et ce sera toujours ça de moins chiant à étudier une fois saisi.
C'est titanesque les montagnes de données qu'elle doit stocker / gérer. il faut que ce soit le plus standard possible.
Pour moi, c'est d'abord ça le but. Uniformiser. Même aux USA.
Les sociétés totalement étrangères, sans succursale US? elles font quoi? en informatique ?
Je serais tenté d'être sarcastique : ça existe au moins?
Citation:
Et puis sur le code caché en open source... ben je vois pas non plus !
Prenons l'exemple du buffer overflow qui permet l'exécution de code arbitraire à distance, en différé, et même lorsque l'on n'est pas connecté.
Code:
1 2 3 4 5 6 7
|
void printStream(FILE *stream) {
char key[64];
char value[128];
fscanf(stream,"%s %s",key,value);
...
} |
Je te mets des chaines adéquates dans le "stream" et voilà.
Dans 10 ans, un mec relève le truc, On se fend d'un "bug fix: potential buffer overflow".. Sachant que cet exemple est tellement basique qu'il n'est là que pour servir d'exemple. Ils sont capables de beaucoup plus subtil aussi.
Comment faire confiance à quelqu'un qui a déjà menti?
Ceci dit, là on est beaucoup plus dans les spéculations et les suspiscions. La chose la plus évidente, de mon point de vue, c'est le désir de standardiser, centraliser, pour simplifier la surveillance. Il est clair qu'ils ont des problèmes avec l'énormité des quantités de données qu'ils captent.
Donc, ils se disent (intelligemment) qu'ils vont inciter les entreprises US à gagner du pognon tout en leur simplifiant le boulot.