Mais comme quoi quand on nous dis open source c'est mieux pour éviter les failles, les gens peuvent relirent le code...
Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter
Mais comme quoi quand on nous dis open source c'est mieux pour éviter les failles, les gens peuvent relirent le code...
Corollaire: si le FBI s'est intéressé à un OS qui n'est pas le plus important du marché, ça signifie que tous les autres OS ont potentiellement également des backdoors (à moins qu'il y ait une raison quelconque de s'attaquer à ce système en particulier ? )
Oui, parce qu'il est openEnvoyé par 10_GOTO_10
mais surtout parce que, en plus d'être open, il est Ben laden Software Distribution
Je crois qu'OpenBSD fût le premier système à avoir une implémentation libre d'IPSEC et donc que beaucoup d'autres systèmes libre ont du reprendre leur travail pour l'implémenter aussi.
malveillant
FRPS, et qui te dit que des organisations comme le fbi ou la cia sont bienveillants, ou que tout autre service officiel puisse être bienveillant???
HO!! reveil..!
il ya longtemps que je suis persuadé que TOUTES les distributions de windows contiennent de trés nombreuses backdoors.. de la plus simple à la plus évoluée, qu'ils aient planifiés ce genre d'insertion dans le systéme BSD ne devrait finalement pas me surprendre, mais je ne pase pas mon temps à chercher comment nuire aux autres, mais eux, les services officiels, c'est leur métier.
il suffisait juste d'écouter l'un des dirigeants de microsoft de l'époque, qui disait avec un air trés entendu que "microsoft comprenait parfaitement les besoins des agences gouvernementales". point.
leurs besoins? entrer partout comme ils veulent sans laisser de traces.
voila, tout est dit.
maintenant, si tu veux pas être fliqué, faut faire comme al quaida.
plus rien d'electronique, tout d'homme à homme, rien d'écrit, tout est oral.
On devrait presque créer des comités de surveillance et de sauvegarde de l'open source avec toutes ces actualités ...
Coucou, vous n’êtes vraiment pas sérieux. Entre fautes d'orthographe et faits déformés, il faudrait faire un petit peu attention. Le but est des transmettre une information, pas de proposer votre propre interprétation théâtralisée.
ah bon?révolté? plutôt "inquiet"."Visiblement révolté"
N'importe quoi !!!!...........Theo de Raadt, qui affirme qu'il s'agit d'un mensonge
-"le bureau fédérale"-"d'importantes portions de son code sont en effet été repris"Deja il ne "rappelle" pas, et en plus il dit tout le contraire, c'est à dire: il est difficile de mesurer l'impact, PAS DU TOUT "l'impact de ces allégations [...] irait bien plus loin que le seul système OpenBSD" . C'est même pas français de dire "l'impact va plus loin"!Theo de Raadt rappelle que l'impact de ces allégations, si elles s'avéraient véridiques, irait bien plus loin que le seul système OpenBSD
et la palme:Over 10 years, the IPSEC code has gone through many changes and fixes, so it is unclear what the true impact of these allegations are.
Et ces erreurs sont présentes dans TOUTES les news !! Sans parler des atroces paraphrases niveau collège: la firme de redmont! la marque a la pomme! Mountain View blablabla.-"Qu'elles soient vraie ou fasses, cette affaire[...]."
Le but des paraphrases c'est de soulager le lecteur en évitant les redondances, mais là on en vient à rendre les paraphrases redondantes. Quel talent, bravo!
Voila, quand on est rédacteur des news, le minimum c'est de connaitre sa langue natale si on veut être pris au sérieux.
Réponse à bobyboby
Bonjour,
Tout d'abord, merci d'avoir relevé les fautes de cet article. Elles ont, depuis, été corrigées.
Sur la manipulation des faits, en revanche, je ne peux qu'être en désaccord avec vos propos. En tout état de cause, c'est pour cette raison précise que nous mettons systématiquement la source de nos articles.
Quand aux redondances, à nos "atroces paraphrases niveau collège", à notre manque de "talent" évident et notre faible maîtrise de notre porpre "langue natale", soyez assuré que nous travaillons pour tenter de nous améliorer, jour après jour.
Que la qualité de nos écrits vous semble encore faible, je le regrette. J'espère cependant arriver à vous faire changer d'avis à l'avenir.
Respectueusement,
Gordon Fowler
Est ce que cette histoire a déclenché des audits de code dans le monde opensource, et pas uniquement chez openBSD?
Bonjour,
Il y a plusieurs choses : tout d'abord, le fait que la norme, pardon, les tres nombreuses normes qui se cachent derriere ce joli terme IPsec, soient toutes plus obscures les unes que les autres.
Concernant le fait de verifier les sources, il y a regulierement des gens qui en parcourent des bouts, mais ca reste complexe en general, et pour IPsec c'est encore pire : ce n'est pas un repertoire IPsec contenant 3 fichiers, mais toute la couche de securite des communications qu'il faudrait relire.
Ca ne veut pas dire que des gens ne sont pas en train d'analyser le code, mais ca va prendre du temps.
Par ailleurs, si on voulait ecrire, from scratch, une implementation d'IPsec aujourd'hui, ca serait tellement complexe que peu de gens seraient pret a le faire. Faut-il tout implementer (sachant que tout n'est pas compatible), ou seulement des bouts, et si oui lesquels ? AH ou ESP ? Tunnel ou transport ? Quel algorithme de cryptage ? IKE ou manuel ? IKE crypte ou non ? Handshake classique ou agressif ?
Il faut aussi garder à l'esprit une autre hypothèse: cette information pourrait être de la désinformation pour décrédibiliser l'open-source.
1) Le FBI en particulier et les organisations gouvernementales en général ont de bonnes raisons d'être contre les programmes libres.
2) Quel est le meilleur moyen de déstabiliser un ennemi ? Le contraindre à faire quelque chose qui coûte cher, prend du temps et monopolise des compétences humaines (rappelez-vous la "guerre des étoiles" pendant la guerre froide).
3) Or, ce monsieur Gregory Perryn dit qu'il y a une (des ?) backdoor(s), mais il ne dit pas où... Débrouillez-vous à chercher. Cherchez bien mes petits, c'est pas de chances, c'est dans la partie la plus complexe.
4) Ne trouvez-vous pas bizarre qu'une telle opération n'ait été protégée que d'un simple NDA (accord de non divulgation) d'une prescription de dix ans ? Alors qu'il y a sûrement d'autres façons bien plus efficaces de protéger un secret (je n'y connais rien, mais j'imagine qu'un classement "confidentiel défense", par exemple, doit être bien plus adapté).
Un petit article intéressant: http://sid.rstack.org/blog/index.php...s-dans-openbsd
Je n'ai évidemment aucune idée sur la véracité ou non de cette annonce. On peut l'interpréter de moult manières différentes, allant de la totale désinformation au soulagement d'une conscience trop longtemps chargée d'un terrible secret.
(...)
Ce qui pose évidemment la question de l'opportunité d'avoir, si c'est le cas, protégé ce travail sous le sceau d'un simple NDA, et non d'un niveau de confidentialité ad-hoc engageant les participants à l'opération au silence sur une période résolument plus longue. Mais je préfère vous laisser juger par vous-même de la crédibilité de la situation...
J'ai pas pu m’empêcher
Je vous félicite par contre de la qualité de votre réponse, polie et mesurée. Une personne moins expérimentée aurait répondu : si t'es pas heureux t'as qu'a pas venir sur le forum gros c**
Je continuerai donc de lire vos news chaque jour pour m'assurer de vos progrès
Cordialement
Et vous avez bien fait, celle-ci elle est pour moiJ'ai pas pu m’empêcher
Et j'espère que vous continuerez à nous apporter vos (précieuses) critiques et vos remarques (y compris en MP) pour nous y aider
Je continuerai donc de lire vos news chaque jour pour m'assurer de vos progrès
Cordialement
Très cordialement également,
Gordon
Developpez publie de plus en plus n'importe quoi. Avant de poster des lignes de preuves de votre ignorance, merci de vous intéresser au sujet que pour l'instant, il y une seule source (un email à la base privé rendu public par Théo).
Je vais me permettre une citation de Marc Espie (sur tech@)
Allé, une autre (sjp toujours sur tech@)I'm not going to comment on the mail itself, but I've seen a lot of incredibly
dubious articles on the net over the last few days.
- use your brains, people. Just because a guy does say so doesn't mean there's
a backdoor. Ever heard about FUD ?
- of course OpenBSD is going to check. Geeez!! what do you think ?
- why would OpenBSD be in trouble ? where do you think *all the other IPsec
implementations* come from ? (hint: 10 years ago, what was the USofA view on
cryptography exports ? where is OpenBSD based. Second hint: Canada !=UsOfA).
- why would the FBI only target OpenBSD ? if there's a backhole in OpenBSD,
which hosts some of the most paranoid Opensource developers alive, what do
you think is the likelyhood similar backholes exist in, say, Windows, or
MacOs, or Linux (check where their darn IPsec code comes from, damn it!)
Funny developpez, je propose de changer le nom du site en un truc genre "site du 1" histoire d’homogénéiser les noms avec les niveaux de publication.From memory, in my part of the World if you did this sort of work for
an intelligence agency, your role and work is kept secret until 40
years *after* your death.
PS: excusez moi, mais on est vendredi.
RE : OpenBSD : NETSEC certainement impliqué dans la tentative d'insertion de backdoors
Bonjour à tous,
Pour infos, Les backdoors mises en place sur les OS de nos jours ne servent pas à espionner l’utilisateur lambda mais plutôt des serveurs de productions en entreprise.
L’espionnage aujourd’hui n’est pas utile à la guerre militaire mais économique.
Pour vous utilisateur Lambda, ils vous suffi de naviguer sur vos sites préférés pour vous faire espionner et peut être même que votre poste de travail sera contrôler par des tiers et a votre insu si vous êtes suffisamment intéressent.
De plus croire qu’il n’y a que le OS open source qui peuvent êtres victime de tels agissement dépasse la naïveté.
@+
En y reflechissant, sans l'OpenSource beaucoup de projets, notamment commerciaux, ne verraient pas le jour.
Répondre avec citation
Partager