Discussion :

[Francis Walter]

Microsoft ouvrira des « Centres de Transparence »
pour permettre aux États d’examiner son code source

Microsoft a annoncé lors de la 50ème Conférence de Munich sur la Sécurité, qu’il a pour ambition de construire des « Transparency Centers » dans le monde. La firme voudrait que les clients des gouvernements puissent s’assurer que les codes sources de leurs produits ne renferment pas de backdoors.

Cette initiative viendrait renforcer les trois grandes mesures qui sont en train d’être prises par Microsoft pour lutter contre l’espionnage des gouvernements : « l’expansion du cryptage » dans leurs services, « le renforcement des protections juridiques pour les données » des clients et l’amélioration du code source des logiciels.

Un premier centre pourrait voir le jour d’ici la fin de l’année à Bruxelles. Ce premier centre « offrira aux clients du gouvernement une capacité accrue de revoir notre code source » peut-on lire dans le billet de blog posté par Matt Tomlinson, Vice-président en charge de la Sécurité chez Microsoft. Les clients pourront donc « réviser notre code source, s'assurer de son intégrité et confirmer qu'il n'y a pas de backdoors », ajoute-t-il.

Rappelons qu’à la fin d’année dernière, suite aux nombres révélations à propos de l’espionnage de la NSA, la firme de Redmond avait opté pour le chiffrement complet de ses services Cloud pour protéger les données de ses utilisateurs. Dans le billet de blog, Matt Tomlinson a encore rassuré les utilisateurs que son équipe travaille d’arrache-pied pour chiffrer les données des utilisateurs. Cependant, il stipule que les gouvernements et le secteur privé doivent coopérer afin de passer de cette crise de confiance à une nouvelle ère de confiance dans le cyberespace. Pour ce faire, il a convoqué un groupe composé de 20 gouvernements et 20 entreprises mondiales des TIC « G20 + 20 » pour élaborer « un ensemble de principes pour un comportement acceptable dans le cyberespace ». Matt Tomlinson est déterminé pour un dialogue entre les gouvernements et les entreprises privées pour mettre fin à cette crise de cybersécurité, car « la vie privée ne peut exister sans la sécurité, et la sécurité dépend de la vie privée ».

Aucun détail n’a été donné sur la construction du centre de transparence de Bruxelles et sur les stratégies qui seront mises en place pour que les clients puissent faire leur part du travail dans la vérification du code source.

Source : Blog Technet

Et vous ?

Que pensez-vous de cette résolution de Microsoft ?

[temoanatini]

j'en pense que rien ne garantira que les sources disponibles seront bien ceux qui seront utilisés pour builder les versions de Windows...

On est bien "obligé" de les croire pour le coup...

[redcurve]

j'en pense que rien ne garantira que les sources disponibles seront bien ceux qui seront utilisés pour builder les versions de Windows...

On est bien "obligé" de les croire pour le coup...

Quand tu sais comment sont gérer les revues de code chez MS pour mettre un backdoor sans que personne ne s'en rende compter faut y aller et croire aux miracles

[Lutarez]

Quand tu sais comment sont gérer les revues de code chez MS pour mettre un backdoor sans que personne ne s'en rende compter faut y aller et croire aux miracles

Tu as des sources ? Cela m'intéresse (c'est une vraie question, pas une troll )

[manticore]

j'en pense que rien ne garantira que les sources disponibles seront bien ceux qui seront utilisés pour builder les versions de Windows...

On est bien "obligé" de les croire pour le coup...

« réviser notre code source, s'assurer de son intégrité et confirmer qu'il n'y a pas de backdoors »

Je pense qu'un hash devrait faire l'affaire.

Quand tu sais comment sont gérer les revues de code chez MS pour mettre un backdoor sans que personne ne s'en rende compter faut y aller et croire aux miracles

C'est surtout pour montrer que les agences américaines en ont pas mis Forcer des employés à mettre des backdoors doit être dans leur corde. J'ai un vague souvenir qu'ils ont jadis payé un développeur pour insérer une backdoor dans une stack IP (unix il me semble). Mais ça reste à confirmer.

[redcurve]

Tu as des sources ? Cela m'intéresse (c'est une vraie question, pas une troll )

Oui j'ai mes sources chez eux. Concrètement le code est vérifié par chaque dev (qui ne check pas son propre code, sachant qu'ils sont généralement en binôme), puis par le ou les architectes, entre temps il passe tout une batterie de tests automatique (sécurité, charge, qualité, etc.).

L'ensemble des développeurs reçoit le feedback des revus de code. Si l'architecte disons t'adresse un message concernant ta revue du code tout les autres dev l'ont aussi.

ça c'est juste à redmond, je ne parle pas des équipes ailleurs dans le monde.

[redcurve]

Je pense qu'un hash devrait faire l'affaire.

C'est surtout pour montrer que les agences américaines en ont pas mis Forcer des employés à mettre des backdoors doit être dans leur corde. J'ai un vague souvenir qu'ils ont jadis payé un développeur pour insérer une backdoor dans une stack IP (unix il me semble). Mais ça reste à confirmer.

Ils ne peuvent rien forcer, sachant que les sources sont disponibles à des équipes de dev qui ne sont même pas aux USA (france, uk, chine etc.).

Les documents de la nsa précises qu'elle ne se fait pas chier à mettre des backdoor dans les softs puisque ça n'a aucun intérêt, ils interceptent carrément les livraisons d'ordinateur et là ils ajoutent leur spyware et pas avant. Ils font pareil pour les téléphones & co.

En bref l'utilisation de malware n'est que pour les cibles spécifique. Pour le reste ils écoutent carrément le réseau, c'est plus simple et moins couteux.

[Invité]

Les documents de la nsa précises qu'elle ne se fait pas chier à mettre des backdoor dans les softs puisque ça n'a aucun intérêt, ils interceptent carrément les livraisons d'ordinateur et là ils ajoutent leur spyware et pas avant. Ils font pareil pour les téléphones

En gros il faudrait commencer par réinstaller l'OS quand on achète une machine neuve ?

[Jarodd]

Donc au lieu de croire Microsoft, il faudra croire les gouvernements ?

[laerne]

Ils ont pas peur qu'un type s'amuse a chopper le code sur une clef usb et le publier sur la toile ?

[yannickt]

1) Comme dit au-dessus, rien ne dit que le code montré est bien celui compilé. Sans accès à la chaine de compilation complète et la possibilité de comparer les résultats, ça ne sers à rien.
2) Qui a dit que les backdoors était du code spécifique et clair ? Ça peut très bien une faille de sécurité involontaire (ou cachée, cf au-dessus) et particulièrement complexe à trouver.

[LSMetag]

Bon au moins je serai un chouilla plus rassuré sur l'intégrité du code de Windows. Après tout, la NSA ne pourra pas gueuler (même s'ils le feront quand même) puisque Microsoft se confortera aux lois internationales. Ils ont juste pas intérêt à installer un centre en Chine (rois de l'espionnage industriel)

Evidemment, ça ne m'empêchera pas de blinder mon système de protections et de ne pas utiliser le cloud, mais niveau moral je serai un peu plus satisfait.

[matpush]

Donc au lieu de croire Microsoft, il faudra croire les gouvernements ?

[redcurve]

En gros il faudrait commencer par réinstaller l'OS quand on achète une machine neuve ?

Nan mais la NSA s'en fout de toi, ils interceptent et véroles les ordis, smatphone etc. de cible précise. Savoir que tu as commandé un menu M12 au jap du coin n'a aucune intérêt

[miky55]

En gros il faudrait commencer par réinstaller l'OS quand on achète une machine neuve ?

Si la NSA s'interesse vraiment à toi, il y a peu de chance qu'une réinstallation de l'OS soit suffisante (infection depuis le bios/ mouchard materiel).

Par contre on n'est pas à l'abri d'un groupe de hacker qui tenterai de s'inserer entre la production et la distribution, faut y penser! nos données personelles n'interessent pas uniquement la NSA...

[HelpmeMM]

j'en pense que rien ne garantira que les sources disponibles seront bien ceux qui seront utilisés pour builder les versions de Windows...

On est bien "obligé" de les croire pour le coup...

Cela est vrai pour n'importe quelle OS en fait , rien ne dit qu'entre la version disponible et vérifiable et la version livrée , il n'y aura pas une modification effectuée.

Au final je trouve que c'est très bien de proposer cela , sa évitera les trolls qui arrête pas de dire qu'il faut utiliser LINUX parce WINDOWS c'est plein de backdoors.

[chrtophe]

Ahh la joie du marketing ...

Franchement, ceux qui y croient, allez voter ..

Il y a des portes blindés, des alarmes. Il y a aussi toujours des cambriolages. Les gendarmes courent après les voleurs, donc par définition les voleurs ont une longueur d'avance ....

[Cyrilh7]

Et quand est-ce que microsoft passe open source? Là au moins une armé de chercheurs indépendants pourront vérifier le code, et non pas une poignée de développeurs plus ou moins passionné payés par quelques gouvernements. Et la alors moi, je voudrai bien croire qu'il n'y a plus de back door.
D autre part pourquoi est ce qu un gouvernement payerai pour garantir un logiciel d une entreprise privé sur lequel les développements avenirs ce feront sans que celui ci est son mot a dire? L avenir est au système open source pour les états!

[Pelote2012]

Et quand est-ce que microsoft passe open source? Là au moins une armé de chercheurs indépendants pourront vérifier le code, et non pas une poignée de développeurs plus ou moins passionné payés par quelques gouvernements. Et la alors moi, je voudrai bien croire qu'il n'y a plus de back door.
D autre part pourquoi est ce qu un gouvernement payerai pour garantir un logiciel d une entreprise privé sur lequel les développements avenirs ce feront sans que celui ci est son mot a dire? L avenir est au système open source pour les états!

Sauf quand des petits malins font une copie du vrai logiciel truffé de saleté ...http://www.developpez.com/actu/67027...asi-identique/

[Cyrilh7]

Sauf quand des petits malins font une copie du vrai logiciel truffé de saleté ...http://www.developpez.com/actu/67027...asi-identique/

On peut faire la même chose en redistribuant un logiciel non open source. Et c'est à la porté d à peu près n'importe qui. Il suffi d'encapsuler le setup à l'intérieur d un autre....Et oui la provenance du logiciel est aussi importante que le logiciel lui même en matière de sécurité. C est ce que font la plupart des malwares. Mais là, je crois que l'on s'éloigne du sujet...