IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Actualités Discussion :

Le hardware open-source enfin défini, le marché devrait se développer

  1. #21
    Expert éminent
    Avatar de pmithrandir
    Homme Profil pro
    Responsable d'équipe développement
    Inscrit en
    Mai 2004
    Messages
    2 418
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 40
    Localisation : France, Haute Garonne (Midi Pyrénées)

    Informations professionnelles :
    Activité : Responsable d'équipe développement
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Mai 2004
    Messages : 2 418
    Points : 7 295
    Points
    7 295
    Par défaut
    louis, ce n'est pas exactement cela, tu aurais un algorythme de chiffrement qui serait public, mais en aucun cas ta clef.

    Cela permet 2 choses :
    - De experts de plusieurs sociétés peuvent travailler dessus et tester la sécurité sans perdre du temps avec les premières étapes(connaitre le code source) donc on gagne en efficacité pour un test sur une fonction précise.
    - Si une société a un client qui remonte un problème, elle peut le corriger, et toutes les sosiétés qui utilise ca ont la correction.

    Dans le cadre d'exemple matériel :
    Je suis michelin et je construit des pneux.
    J'ai le choix entre garder ma recette secrète, ou la publier.

    Si je la garde secrète, je dois maintenir une énorme équipe de test et imaginer tous les cas de problèmes.
    Si je la donne a tous(après tout pourquoi pas) je peux imaginer d'avoir des retours de passionnés qui vont améliorer mon produit, de la main d'oeuvre gratuite en somme.

    De plus, cela peut me permettre de dire : ok, je met mon ancien modele en open source, faites en des copies tant que vous voulez, je vendrais un nouveau produit mieux, mais si un jour un problème survient chez un de mes client sur un ancien modele, au lieu de devoir maintenir une équipe de test / correction sur cet ancien modele, je peux faire confiance à la communauté pour avoir peut etre resolu le problème.

    En définitive, ce n'est que du partage de propriété intellectuelle.

  2. #22
    Inactif  
    Profil pro
    Inscrit en
    Février 2003
    Messages
    4 341
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Février 2003
    Messages : 4 341
    Points : 5 953
    Points
    5 953
    Par défaut
    Citation Envoyé par gege2061 Voir le message
    Pour reprendre ton parallèle, ce ne serait pas le code d'ouverture qui serait publié, mais plutôt le mécanisme de la serrure
    Et en quoi cela devrait-il me sécuriser ? Si tout un chacun sait comment la serrure fonctionne, il est alors beaucoup plus aisé pour un cambrioleur de l'étudier et ainsi de contourner le/les problèmes. non ?

  3. #23
    Membre expert
    Profil pro
    Inscrit en
    Mars 2005
    Messages
    1 683
    Détails du profil
    Informations personnelles :
    Âge : 39
    Localisation : France

    Informations forums :
    Inscription : Mars 2005
    Messages : 1 683
    Points : 3 100
    Points
    3 100
    Par défaut
    Citation Envoyé par pmithrandir Voir le message
    Dans le cadre d'exemple matériel :
    Je suis michelin et je construit des pneux.
    J'ai le choix entre garder ma recette secrète, ou la publier.

    Si je la garde secrète, je dois maintenir une énorme équipe de test et imaginer tous les cas de problèmes.
    Si je la donne a tous(après tout pourquoi pas) je peux imaginer d'avoir des retours de passionnés qui vont améliorer mon produit, de la main d'oeuvre gratuite en somme.
    D'autant plus que les concurrents vont analyser le produit pour justement savoir comment il a été produit. Si on commence a voir de plus en plus de projet en commun sous prétexte de baisse de coûts ce n'est pas pour rien...

    Citation Envoyé par Louis Griffont Voir le message
    Et en quoi cela devrait-il me sécuriser ? Si tout un chacun sait comment la serrure fonctionne, il est alors beaucoup plus aisé pour un cambrioleur de l'étudier et ainsi de contourner le/les problèmes. non ?
    Parce que tu crois vraiment que les professionnelles ne savent pas comment elle fonctionne ta serrure? Il existe en serrurerie des sortes de certifications qui permettent justement de savoir ouvrir tels ou tels modèles de serrures. Si après tu rajoutes les documents que tu peux trouver sur le net ou bien tout simplement l'observation du produit que tu peux en faire, genre tu le démontes, etc.
    dam's

  4. #24
    Expert confirmé Avatar de ManusDei
    Homme Profil pro
    vilain troll de l'UE
    Inscrit en
    Février 2010
    Messages
    1 619
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 39
    Localisation : France

    Informations professionnelles :
    Activité : vilain troll de l'UE

    Informations forums :
    Inscription : Février 2010
    Messages : 1 619
    Points : 4 350
    Points
    4 350
    Par défaut
    Citation Envoyé par Louis Griffont Voir le message
    Et en quoi cela devrait-il me sécuriser ? Si tout un chacun sait comment la serrure fonctionne, il est alors beaucoup plus aisé pour un cambrioleur de l'étudier et ainsi de contourner le/les problèmes. non ?
    Oui, et ça permet également à n'importe qui d'améliorer la serrure. C'est ce qui est utilisé pour l'open-source, et je n'ai pas l'impression que les OS open-source soient moins sécurisés que les autres.
    http://www.traducteur-sms.com/ On ne sait jamais quand il va servir, donc il faut toujours le garder sous la main

  5. #25
    Inactif  
    Profil pro
    Inscrit en
    Février 2003
    Messages
    4 341
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Février 2003
    Messages : 4 341
    Points : 5 953
    Points
    5 953
    Par défaut
    Citation Envoyé par dams78 Voir le message
    Parce que tu crois vraiment que les professionnelles ne savent pas comment elle fonctionne ta serrure? Il existe en serrurerie des sortes de certifications qui permettent justement de savoir ouvrir tels ou tels modèles de serrures. Si après tu rajoutes les documents que tu peux trouver sur le net ou bien tout simplement l'observation du produit que tu peux en faire, genre tu le démontes, etc.
    Donc, ça ne m'apporte rien, c'est ce que tu veux dire ... Pas plus, ni moins de sécurité, d'après toi, et aucun avantage.
    Pour ce qui est du «pas moins» de sécurité, j'ai quand même un doute. Tu dis bien que les professionnels savent déjà comment fonctionne ma serrure, certes, mais ce sont des professionnels. Certains peuvent-être malhonnêtes, mais bon. Par contre, dans le cas de l'open-source, même les non-professionnels peuvent savoir comment elle fonctionne, et donc je multiplie le risque de tomber sur une personne malhonnête capable de profiter de cette connaissance. Quant à moi, comme je n'y comprend rien, ça ne m'apporte rien, si ce n'est des cauchemars.

    Citation Envoyé par ManusDei Voir le message
    Oui, et ça permet également à n'importe qui d'améliorer la serrure. C'est ce qui est utilisé pour l'open-source, et je n'ai pas l'impression que les OS open-source soient moins sécurisés que les autres.
    Pour l'instant, effectivement, tu as raison, les OS open-sources ne semblent pas moins sécurisés. Il faudra voir quand ils seront massivement utilisés, si cela arrive un jour.

  6. #26
    Membre expert
    Profil pro
    Inscrit en
    Mars 2005
    Messages
    1 683
    Détails du profil
    Informations personnelles :
    Âge : 39
    Localisation : France

    Informations forums :
    Inscription : Mars 2005
    Messages : 1 683
    Points : 3 100
    Points
    3 100
    Par défaut
    Citation Envoyé par Louis Griffont Voir le message
    Donc, ça ne m'apporte rien, c'est ce que tu veux dire ... Pas plus, ni moins de sécurité, d'après toi, et aucun avantage.
    Pour ce qui est du «pas moins» de sécurité, j'ai quand même un doute. Tu dis bien que les professionnels savent déjà comment fonctionne ma serrure, certes, mais ce sont des professionnels. Certains peuvent-être malhonnêtes, mais bon. Par contre, dans le cas de l'open-source, même les non-professionnels peuvent savoir comment elle fonctionne, et donc je multiplie le risque de tomber sur une personne malhonnête capable de profiter de cette connaissance. Quant à moi, comme je n'y comprend rien, ça ne m'apporte rien, si ce n'est des cauchemars.


    Pour l'instant, effectivement, tu as raison, les OS open-sources ne semblent pas moins sécurisés. Il faudra voir quand ils seront massivement utilisés, si cela arrive un jour.
    Bon on va prendre un exemple simple : la sécurité informatique. Cela fait des années que les algorithmes de cryptage (même celui du téléphone rouge lors de la guerre froide) sont connus. Est ce que tu penses vraiment que l'algorithme RSA que tu trouvera ici : http://fr.wikipedia.org/wiki/Rivest_Shamir_Adleman est moins sécurisé parce qu'il est rendu publique?
    Si ta réponse est oui, et bah détrompe toi puisque grâce à cette publication de nombreuses têtes pensantes ont pu travailler dessus et l'améliorer.
    Depuis le temps que tu suis les sujets parlant de l'open source, tu devrais quand même te rendre compte que plus on est nombreux à travailler sur un système, plus il y a de compétences et de savoir faire utilisés!
    dam's

  7. #27
    Inactif  
    Profil pro
    Inscrit en
    Février 2003
    Messages
    4 341
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Février 2003
    Messages : 4 341
    Points : 5 953
    Points
    5 953
    Par défaut
    Citation Envoyé par dams78 Voir le message
    Bon on va prendre un exemple simple : la sécurité informatique. Cela fait des années que les algorithmes de cryptage (même celui du téléphone rouge lors de la guerre froide) sont connus. Est ce que tu penses vraiment que l'algorithme RSA que tu trouvera ici : http://fr.wikipedia.org/wiki/Rivest_Shamir_Adleman est moins sécurisé parce qu'il est rendu publique?
    Si ta réponse est oui, et bah détrompe toi puisque grâce à cette publication de nombreuses têtes pensantes ont pu travailler dessus et l'améliorer.
    Depuis le temps que tu suis les sujets parlant de l'open source, tu devrais quand même te rendre compte que plus on est nombreux à travailler sur un système, plus il y a de compétences et de savoir faire utilisés!
    Je ne dis pas le contraire. Ce qui ne me convainc pas, c'est le slogan, «si c'est Open-Source, c'est plus sécurisé». Moi, j'ai tendance à penser le contraire.

    Si on s'en réfère à l'informatique, ces dernières années ont vu exploser les spams, les vers, les virus, les malwares et l'open-source... Je ne tire aucune conclusion, ni de lien de cause à effet, je n'ai pas les éléments en main pour le faire. Toutefois, ça ne me permet pas de tirer la conclusion + d'open-source = + de sécurité.

  8. #28
    Membre expérimenté Avatar de alexrtz
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Juin 2003
    Messages
    639
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 40
    Localisation : Canada

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : Juin 2003
    Messages : 639
    Points : 1 359
    Points
    1 359
    Par défaut
    Citation Envoyé par Louis Griffont Voir le message
    Si on s'en réfère à l'informatique, ces dernières années ont vu exploser les spams, les vers, les virus, les malwares et l'open-source... Je ne tire aucune conclusion, ni de lien de cause à effet, je n'ai pas les éléments en main pour le faire.
    Non, tu mets juste un mot au milieu d'autres qui n'ont rien à voir, pour arriver à on ne sait pas trop quel résultat.

    Pour l'explosion du nombres de programmes malicieux, pas besoin de coller le mot "open source", alors qu'il y a déjà :
    - développement massif du net
    - installation de tout et n'importe quoi qui provient, justement, du net
    - particuliers insufisamment sensibilisés aux risques et aux solutions contre ces risques (=> qui entrent leurs adresses mail n'importe où, qui installent tout et n'importe quoi, ...)

    Citation Envoyé par Louis Griffont Voir le message
    Toutefois, ça ne me permet pas de tirer la conclusion + d'open-source = + de sécurité.
    De la même manière que l'alignement des mots "sucreries", "pâte à tartiner aux noisettes ultra-grasse", "fast food", "légumes verts" ne permet pas de déduire que les légumes verts sont bons pour la santé.
    "Je suis incapable d'expliquer ce qui se passa ensuite : je lâchai quelque chose, quelque chose à quoi je m'agrippais depuis toujours sans m'en rendre compte. Je m'enfonçais dans une obscurité chaude, moelleuse et protectrice, tandis qu'un loup montait la garde par mes propres yeux."

  9. #29
    Inactif  
    Profil pro
    Inscrit en
    Février 2003
    Messages
    4 341
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Février 2003
    Messages : 4 341
    Points : 5 953
    Points
    5 953
    Par défaut
    Citation Envoyé par rurouni alex Voir le message
    Non, tu mets juste un mot au milieu d'autres qui n'ont rien à voir, pour arriver à on ne sait pas trop quel résultat.

    Pour l'explosion du nombres de programmes malicieux, pas besoin de coller le mot "open source", alors qu'il y a déjà :
    - développement massif du net
    - installation de tout et n'importe quoi qui provient, justement, du net
    - particuliers insufisamment sensibilisés aux risques et aux solutions contre ces risques (=> qui entrent leurs adresses mail n'importe où, qui installent tout et n'importe quoi, ...)


    De la même manière que l'alignement des mots "sucreries", "pâte à tartiner aux noisettes ultra-grasse", "fast food", "légumes verts" ne permet pas de déduire que les légumes verts sont bons pour la santé.
    Vous vous focalisez sur le principe suivant : «Il est contre l'open-source», et vous avez tort. Le seul truc, c'est que je ne vois pas le rapport "sécurité et open-source" et aucun de vos exemples ne me donnent à penser qu'il y a un rapport. J'ai bien compris le principe de l'open-source, et je suis en partie pour. Le partage de documents, de code-sources dans certains domaines, mais, pour le matériel, je ne vois pas le principe, et pour ce qui est de la sécurité, je ne vois pas ce que ça apporte alors que je vois bien ce que ça peut engendrer comme problème.
    Je ne dis pas que j'ai raison, je me trompe peut-être. Comme je l'ai dit, je n'ai pas les cartes en main pour attester quoi que ce soit. Toutefois, personne, jusqu'ici ne m'a apporter d'éléments suffisamment convaincant pour me donner tort.

  10. #30
    Membre expert
    Profil pro
    Inscrit en
    Mars 2005
    Messages
    1 683
    Détails du profil
    Informations personnelles :
    Âge : 39
    Localisation : France

    Informations forums :
    Inscription : Mars 2005
    Messages : 1 683
    Points : 3 100
    Points
    3 100
    Par défaut
    Citation Envoyé par Louis Griffont Voir le message
    Vous vous focalisez sur le principe suivant : «Il est contre l'open-source», et vous avez tort. Le seul truc, c'est que je ne vois pas le rapport "sécurité et open-source" et aucun de vos exemples ne me donnent à penser qu'il y a un rapport. J'ai bien compris le principe de l'open-source, et je suis en partie pour. Le partage de documents, de code-sources dans certains domaines, mais, pour le matériel, je ne vois pas le principe, et pour ce qui est de la sécurité, je ne vois pas ce que ça apporte alors que je vois bien ce que ça peut engendrer comme problème.
    Je ne dis pas que j'ai raison, je me trompe peut-être. Comme je l'ai dit, je n'ai pas les cartes en main pour attester quoi que ce soit. Toutefois, personne, jusqu'ici ne m'a apporter d'éléments suffisamment convaincant pour me donner tort.
    Mais la sécurité informatique est justement basé sur l'échange d'informations! Et la sécurité informatique est basé sur toute l'expérience qu'on a pu avoir IRL comme dirait certains.
    A côté de ça, peux tu nous donné un seul exemple de "système" basé sur la sécurité par l'obscurité?
    dam's

  11. #31
    Expert confirmé

    Profil pro
    Inscrit en
    Février 2006
    Messages
    2 376
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Février 2006
    Messages : 2 376
    Points : 4 928
    Points
    4 928
    Par défaut
    Citation Envoyé par dams78 Voir le message
    Mais la sécurité informatique est justement basé sur l'échange d'informations! Et la sécurité informatique est basé sur toute l'expérience qu'on a pu avoir IRL comme dirait certains.
    A côté de ça, peux tu nous donné un seul exemple de "système" basé sur la sécurité par l'obscurité?
    et donc ça implique que échange d'infos = open source O_o

  12. #32
    Membre expert
    Profil pro
    Inscrit en
    Mars 2005
    Messages
    1 683
    Détails du profil
    Informations personnelles :
    Âge : 39
    Localisation : France

    Informations forums :
    Inscription : Mars 2005
    Messages : 1 683
    Points : 3 100
    Points
    3 100
    Par défaut
    Citation Envoyé par stardeath Voir le message
    et donc ça implique que échange d'infos = open source O_o
    Non, non.
    Par contre open source => échange d'infos.
    Mais dans les exemples sur lesquels j'étais partis, à savoir la sécurité orienté crypto et cie, tu peux assimiler ça à de l'open source puisque les algos sont publics.
    dam's

  13. #33
    Membre expérimenté Avatar de alexrtz
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Juin 2003
    Messages
    639
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 40
    Localisation : Canada

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : Juin 2003
    Messages : 639
    Points : 1 359
    Points
    1 359
    Par défaut
    Citation Envoyé par Louis Griffont Voir le message
    Vous vous focalisez sur le principe suivant : «Il est contre l'open-source», et vous avez tort.
    Non, je dis juste : "On ne sait pas trop pour quelles raisons il met l'open source dans le même sac que les malwares and co.".


    Citation Envoyé par Louis Griffont Voir le message
    Le seul truc, c'est que je ne vois pas le rapport "sécurité et open-source" et aucun de vos exemples ne me donnent à penser qu'il y a un rapport.
    Ca semble suffisamment évident : si des documents sont relus par 1000 personnes, il y a moins de chances (!= aucune chance) qu'il subsiste des erreurs que s'ils sont relus seulement par 10 personnes.
    C'est tellement difficile à comprendre ?


    Citation Envoyé par Louis Griffont Voir le message
    Le partage de documents, de code-sources dans certains domaines, mais, pour le matériel, je ne vois pas le principe, et pour ce qui est de la sécurité, je ne vois pas ce que ça apporte
    L'intérêt au niveau sécurité pour le matériel ?
    Exactement le même que pour le code : s'il y a une erreur de conception, + de monde aura accès aux sources et + cette erreur aura de chance d'être détectée.


    Citation Envoyé par Louis Griffont Voir le message
    alors que je vois bien ce que ça peut engendrer comme problème.
    D'après toi, le vilain pirate qui veut flinguer un système, il va :
    - se taper des millions de lignes de sources pour chercher une faille
    - attendre gentiment que l'éditeur (ou un acteur externe) publie une alerte de sécurité qui décrit la faille ?


    Citation Envoyé par Louis Griffont Voir le message
    Toutefois, personne, jusqu'ici ne m'a apporter d'éléments suffisamment convaincant pour me donner tort.
    De toutes façons, quelque soient les éléments qui te seront apportés, tu les jugeras comme insufisamment convainquants.

    Citation Envoyé par dams78 Voir le message
    A côté de ça, peux tu nous donné un seul exemple de "système" basé sur la sécurité par l'obscurité?
    Ben y en a plein : tous les systèmes de protection d'OS et de jeux, des DVDs, des Blu-rays, les DRM, ...
    Enfin que des trucs qui marchent du feu de Dieu quoi
    "Je suis incapable d'expliquer ce qui se passa ensuite : je lâchai quelque chose, quelque chose à quoi je m'agrippais depuis toujours sans m'en rendre compte. Je m'enfonçais dans une obscurité chaude, moelleuse et protectrice, tandis qu'un loup montait la garde par mes propres yeux."

  14. #34
    Expert confirmé

    Profil pro
    Inscrit en
    Février 2006
    Messages
    2 376
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Février 2006
    Messages : 2 376
    Points : 4 928
    Points
    4 928
    Par défaut
    Citation Envoyé par rurouni alex Voir le message
    Ca semble suffisamment évident : si des documents sont relus par 1000 personnes, il y a moins de chances (!= aucune chance) qu'il subsiste des erreurs que s'ils sont relus seulement par 10 personnes.
    C'est tellement difficile à comprendre ?
    moins de chance, voilà tu pointes du doigt la faille, et vu la complexité générale des applications, à part si les 1000 personnes sont expertes dans ce code source en particulier, et encore, il y a aucune chance que toutes les erreurs soient corrigées.

  15. #35
    Expert éminent
    Avatar de pmithrandir
    Homme Profil pro
    Responsable d'équipe développement
    Inscrit en
    Mai 2004
    Messages
    2 418
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 40
    Localisation : France, Haute Garonne (Midi Pyrénées)

    Informations professionnelles :
    Activité : Responsable d'équipe développement
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Mai 2004
    Messages : 2 418
    Points : 7 295
    Points
    7 295
    Par défaut
    Pour reprendre le parallele de la serrure.

    Si tu es industrieel et que tu brevette ta serrure, normalement tu peux mêeme interdire toute modification dessus, eet même toute ouverture. Je parle d'un point de vue légal.

    Donc, autant les gens malhonnetes ne feront pas cas de l'interdction, en acheteront une, la decortiqueront trouverons la faille et l'utiliseront, autant les personnes honneetes vont se méfier et éviteer de divulguer la faile qu'ils ont pu trouver, en faisant une activité

    On a 2 types de personnes :
    - Le passionné malhonnete qui s'en fout, va acheter une serrure, l'étudie pendant des jours et utilise la faille pour faire des activités illégales.
    - Le passionné honnete qui rechignera a effectuer une activité illégale, et qui s'il trouve la faille ne sera pas toujours récompensé ou rémunéré pour sa contribution. Parfois, il est même trainé devant les tribunaux pour intrusion illégale, violation de brevets ou de licence, etc...

    Dans cet exemple, tu vois aisément que la publication des sources permet une augmentation de la sécurité.

    L'open source est a mon avis plus sécurisé lorsque certaines conditions sont réunies :
    - il y a assez de personnes qui travaille sur le sujet
    - Ces personnes sont qualifiées

    Dans le cas contraire, les malhonneete auront parfois l'ascendant et un avantage(les sources) par rapport au caas ou il faut les décompiler etc...

    L'open source est donc parfois indiqué, parfois non

  16. #36
    Membre expérimenté Avatar de alexrtz
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Juin 2003
    Messages
    639
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 40
    Localisation : Canada

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : Juin 2003
    Messages : 639
    Points : 1 359
    Points
    1 359
    Par défaut
    Citation Envoyé par stardeath Voir le message
    moins de chance, voilà tu pointes du doigt la faille, et vu la complexité générale des applications, à part si les 1000 personnes sont expertes dans ce code source en particulier, et encore, il y a aucune chance que toutes les erreurs soient corrigées.
    Sauf que la complexité générale d'une application est divisée en une somme de complexités mieux maîtrisées.
    Si tu utilises SSL dans ton application, tu n'as pas besoin que X experts SSL l'auditent : tu utilises OpenSSL qui elle a été relue maintes et maintes fois.

    edit : aurtograf
    "Je suis incapable d'expliquer ce qui se passa ensuite : je lâchai quelque chose, quelque chose à quoi je m'agrippais depuis toujours sans m'en rendre compte. Je m'enfonçais dans une obscurité chaude, moelleuse et protectrice, tandis qu'un loup montait la garde par mes propres yeux."

  17. #37
    Expert éminent sénior
    Avatar de koala01
    Homme Profil pro
    aucun
    Inscrit en
    Octobre 2004
    Messages
    11 612
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 52
    Localisation : Belgique

    Informations professionnelles :
    Activité : aucun

    Informations forums :
    Inscription : Octobre 2004
    Messages : 11 612
    Points : 30 611
    Points
    30 611
    Par défaut
    Salut,

    Ce qu'il faut comprendre, c'est que beaucoup d'algorithmes ne sont pas inversables (j'ai oublié le terme exact ) dans le sens où tu ne peux pas récupérer la donnée d'origine sur base de la clé qui t'est fournie avec.

    Ce sont des algorithmes qui prennent un grand nombre de données (parfois plusieurs Mb ou Gb) en entrée, et qui en sorte quelque chose tenant sur quelques octets à peine (même si, ici, "quelques" == 512 ou 1024)

    Tu peux donc connaitre les instructions et l'ordre dans lequel elles seront effectuées, cela ne changera pas grand chose.

    Par contre, si un passionné se rend compte qu'en inversant simplement l'ordre de deux instructions, on divise ne serait-ce que par deux les risques de collisions (le fait que deux résultats d'origines différentes soient identiques), on améliore grandement la sécurité de l'algorithme.

    Seulement, combien y aura-t-il de passionnés capables de faire cette déduction 1/1000 1/1000 000 Moins encore

    Quelles sont donc les chances pour que ce passionné se trouve dans ton équipe de 10 personnes qui travaillent sur l'algorithme sans "audit extérieur"

    Si tu dis à tout le monde "Voici mes sources et mon algorithme, défoulez vous, triturez le tant que vous pouvez", dans le pire des cas, le passionné ne passera pas, et l'algorithme restera en l'état.

    Mais, s'il vient à passer, c'est le banco assuré, parce que tu auras valablement augmenté la sécurité de ton algorithme, et tout le monde sera content.
    A méditer: La solution la plus simple est toujours la moins compliquée
    Ce qui se conçoit bien s'énonce clairement, et les mots pour le dire vous viennent aisément. Nicolas Boileau
    Compiler Gcc sous windows avec MinGW
    Coder efficacement en C++ : dans les bacs le 17 février 2014
    mon tout nouveau blog

  18. #38
    Inactif  
    Profil pro
    Inscrit en
    Février 2003
    Messages
    4 341
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Février 2003
    Messages : 4 341
    Points : 5 953
    Points
    5 953
    Par défaut
    Un certain nombre de choses dans le sens «Open-Source = + de sécurité», un certain nombre de «bémol» qui montre la fragilité de la chose et enfin un certain nombre qui montre que ce peut-être «open-source= + de risques»

    Je ne ferais aucune conclusion, simplement je dirais que ce que l'open-source apporte en matière de sécurité, l'open-source l'apporte aussi en risque. Et que, dans la plupart des cas, mise à part l'ouverture d'esprit et l'envie de développer une communauté autour d'un produit (que ce soit un logiciel ou un matériel), l'open-source n'apporte pas grand-chose par rapport à son opposant «fermé».

    Dans les deux cas, c'est la bonne foi et les compétences des participants qui font la différence.

  19. #39
    Membre actif
    Profil pro
    Inscrit en
    Mai 2006
    Messages
    94
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Mai 2006
    Messages : 94
    Points : 206
    Points
    206
    Par défaut
    Bonjour Louis,

    Je te conseille de lire cet article Wikipedia, qui traite de la sécurité par l'obscurité:

    http://fr.wikipedia.org/wiki/Principe_de_Kerckhoffs

    En particulier, en ce qui concerne l'Open Source "Hardware":

    Il est utile de détailler sur ce que Bruce Schneier entend par « fragilité » puisque tous les systèmes de sécurité dépendent du fait de garder quelque chose secret. Ce que Schneier implique c'est que ce qui est gardé secret doit être ce qui est le moins coûteux à changer si le secret s'avérait divulgué. Par exemple, un cryptosystème peut être implémenté sur du matériel informatique et des logiciels qui sont largement dispersés à travers plusieurs utilisateurs. Si la sécurité dépend de tenir cette distribution secrète, alors sa divulgation mènerait à un travail logistique considérable de développement, de tests et de distribution de nouveaux algorithmes. À l'opposé, si le secret de l'algorithme n'est pas important, et que seule celle de la clé l'est, alors la divulgation d'une clé entraîne moins de problèmes: il suffit d'en générer une nouvelle et de la distribuer. En bref, moins on a de secrets, moins on doit faire de maintenance.

  20. #40
    Inactif  
    Profil pro
    Inscrit en
    Février 2003
    Messages
    4 341
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Février 2003
    Messages : 4 341
    Points : 5 953
    Points
    5 953
    Par défaut
    Citation Envoyé par simonlourson Voir le message
    Bonjour Louis,
    Je te conseille de lire cet article Wikipedia, qui traite de la sécurité par l'obscurité:
    http://fr.wikipedia.org/wiki/Principe_de_Kerckhoffs
    En particulier, en ce qui concerne l'Open Source "Hardware":
    Très bon article merci.

    Toutefois, la citation que tu mets en aparté peut-être mis en balance par une autre issue également de l'article
    L'idée que les logiciels libres, donc à code source ouvert, impliquent plus de sécurité est un sujet de controverse.
    Comme quoi, rien n'est jamais tout blanc ou tout noir.

    L'article pointe quand même un gros soucis, c'est que si l'algorithme de cryptage est accessible à tous, le gain que l'on en a, n'est pas au niveau sécurité mais au niveau du coût de maintenance. C'est quand même pas la même chose, il me semble.

Discussions similaires

  1. Réponses: 6
    Dernier message: 03/04/2013, 15h59
  2. Réponses: 1
    Dernier message: 03/05/2012, 17h55
  3. Réponses: 0
    Dernier message: 26/04/2012, 14h31
  4. [Hardware open source] FPGA
    Par Muesko dans le forum Composants
    Réponses: 2
    Dernier message: 21/04/2007, 14h49
  5. Les SGBD OPEN sources sur le marché
    Par inseaiste dans le forum Décisions SGBD
    Réponses: 16
    Dernier message: 17/03/2005, 11h36

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo