IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

La NSA publie en open source l’un de ses outils d’espionnage


Sujet :

Sécurité

  1. #1
    Expert éminent sénior

    Homme Profil pro
    Développeur informatique
    Inscrit en
    Septembre 2014
    Messages
    194
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Algérie

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : Enseignement

    Informations forums :
    Inscription : Septembre 2014
    Messages : 194
    Points : 12 291
    Points
    12 291
    Par défaut La NSA publie en open source l’un de ses outils d’espionnage
    La NSA publie en open source l’un de ses outils d’espionnage
    Niagarafiles permettrait de gérer efficacement des flux de données de différents formats et protocoles

    La NSA a annoncé la publication en open source d'un de ses outils d'analyse de données appelée Niagarafiles (ou Nifi tout simplement).

    L'outil, permet de « hiérarchiser les flux de données plus efficacement et se débarrasser de retards artificiels dans l'identification et la transmission d'informations critiques », selon Joseph L. Witt, développeur en chef chargé du projet.

    Nifi, publié sous licence Apache, pourrait être bénéfique au secteur privé américain de diverses manières, peut-on lire sur le site de la NSA. « Par exemple, les entreprises commerciales pourraient l'utiliser pour contrôler rapidement, gérer et analyser le flux d'informations à partir de sites géographiquement dispersés. » De plus, l’outil peut « automatiser les flux entre des réseaux informatiques multiples, même lorsque les formats et protocoles de données diffèrent ».

    Ceci représente la première publication concernant une série de produits développés en interne par le programme de transfert de technologie de la NSA (TTP: Technology Transfer Program). La directrice de ce programme a déclaré que les chercheurs de l'Agence américaine travaillent sur certains des problèmes de sécurité nationale les plus difficiles qu'on puisse imaginer.

    Rappelons que la NSA avait déjà par le passé publié des projets open source. En effet, SELinux (Security-Enhanced Linux) a commencé comme un projet de la NSA. Il est maintenant utilisé dans les versions Entreprise pour les distributions Red Hat, SUSE et Debian.

    Plus récemment encore, l’agence de sécurité américaine avait créé Accumulo, un système de gestion de bases de données NoSQL spécialisé dans la gestion de données de masse. L'outil est maintenant géré par l'Apache Software Fondation.

    Source : NSA

    Et vous ?

    Qu'en pensez-vous ?

  2. #2
    Membre extrêmement actif
    Profil pro
    Inscrit en
    Juin 2010
    Messages
    794
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Juin 2010
    Messages : 794
    Points : 987
    Points
    987
    Par défaut
    ça m'intéresse grandement, j'ai déjà un projet pour cette techno

  3. #3
    Membre actif
    Profil pro
    Concepteur/Développeur
    Inscrit en
    Mai 2007
    Messages
    98
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : Concepteur/Développeur

    Informations forums :
    Inscription : Mai 2007
    Messages : 98
    Points : 273
    Points
    273
    Par défaut
    Il va falloir distribuer des centaines de projets Open Source pour que l'utilisateur trouve un minimum de confiance envers la NSA

  4. #4
    Membre expert
    Homme Profil pro
    Développeur .NET
    Inscrit en
    Octobre 2013
    Messages
    1 563
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Développeur .NET
    Secteur : Industrie

    Informations forums :
    Inscription : Octobre 2013
    Messages : 1 563
    Points : 3 404
    Points
    3 404
    Par défaut
    Citation Envoyé par Dasoft Voir le message
    Il va falloir distribuer des centaines de projets Open Source pour que l'utilisateur trouve un minimum de confiance envers la NSA
    Je ne pense pas que la NSA s'inquiète d'avoir une bonne image envers "nous"

    L'idée est plus de proposer un outil pouvant rendre les entreprises plus performantes...

  5. #5
    Rédacteur
    Avatar de eclesia
    Profil pro
    Inscrit en
    Décembre 2006
    Messages
    2 108
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Décembre 2006
    Messages : 2 108
    Points : 3 203
    Points
    3 203
    Par défaut
    La question est surtout :
    OU sont planqués les backdoors dans le code qu'ils donnent ?

    Quand on sait qu'ils ont déja forcé des anomalies dans certain algo de cryptage destiné a etre utilisé mondialement, je crois que personne ne peut plus avoir confiance dans ce qu'offre un organisme de ce genre.
    Systèmes d'Informations Géographiques
    - Projets : Unlicense.science - Apache.SIS

    Pour un monde sans BigBrother IxQuick ni censure RSF et Les moutons

  6. #6
    Membre éprouvé
    Avatar de Gecko
    Homme Profil pro
    Développeur décisionnel
    Inscrit en
    Décembre 2008
    Messages
    499
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 39
    Localisation : France, Nord (Nord Pas de Calais)

    Informations professionnelles :
    Activité : Développeur décisionnel

    Informations forums :
    Inscription : Décembre 2008
    Messages : 499
    Points : 1 277
    Points
    1 277
    Par défaut
    Je suis le seul à penser que si la NSA publie des outils de gestion massive c'est pour réduire les coûts de recherche et se faciliter la vie?

    Si des centaines de sociétés adoptes leur modèle de gestion, la NSA aura beaucoup moins de difficulté a soutirer toutes les infos du système et pourra les exploiter nativement. Je trouve les outils interessants, mais les adopter représente un très grand risque...
    Code php : Sélectionner tout - Visualiser dans une fenêtre à part
    if ($toBe || !$toBe) echo 'That is the question';

    Mes projets: DVP I/O

  7. #7
    Membre extrêmement actif
    Profil pro
    Inscrit en
    Juin 2010
    Messages
    794
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Juin 2010
    Messages : 794
    Points : 987
    Points
    987
    Par défaut
    Citation Envoyé par eclesia Voir le message
    La question est surtout :
    OU sont planqués les backdoors dans le code qu'ils donnent ?

    Quand on sait qu'ils ont déja forcé des anomalies dans certain algo de cryptage destiné a etre utilisé mondialement, je crois que personne ne peut plus avoir confiance dans ce qu'offre un organisme de ce genre.
    Bah c'est open source tu n'as qu'à lire le code ... sauf si le niveau des devs qui font de l'open est si mauvais que ce n'est pas possible ...

  8. #8
    Membre extrêmement actif
    Profil pro
    Inscrit en
    Juin 2010
    Messages
    794
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Juin 2010
    Messages : 794
    Points : 987
    Points
    987
    Par défaut
    Citation Envoyé par Gecko Voir le message
    Je suis le seul à penser que si la NSA publie des outils de gestion massive c'est pour réduire les coûts de recherche et se faciliter la vie?

    Si des centaines de sociétés adoptes leur modèle de gestion, la NSA aura beaucoup moins de difficulté a soutirer toutes les infos du système et pourra les exploiter nativement. Je trouve les outils interessants, mais les adopter représente un très grand risque...
    La NSA a une double mission craqué et protéger et oui.

  9. #9
    Membre expert Avatar de air-dex
    Homme Profil pro
    Inscrit en
    Août 2010
    Messages
    1 653
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 36
    Localisation : France

    Informations forums :
    Inscription : Août 2010
    Messages : 1 653
    Points : 3 773
    Points
    3 773
    Par défaut
    Citation Envoyé par eclesia Voir le message
    La question est surtout :
    OU sont planqués les backdoors dans le code qu'ils donnent ?

    Quand on sait qu'ils ont déja forcé des anomalies dans certain algo de cryptage destiné a etre utilisé mondialement, je crois que personne ne peut plus avoir confiance dans ce qu'offre un organisme de ce genre.
    +1000. On sait bien que la NSA n'est pas un enfant de choeur. Si l'outil devient open source, c'est soit qu'il ne leur est plus d'aucune utilité, soit que la version libre est vérolée. Ou les deux. Si la NSA collabore a des projets open source ou à des mises en place de protocoles, c'est surtout pour y introduire des failles qu'ils peuvent ensuite exploiter.
    "Ils ne savaient pas que c'était impossible alors ils l'ont fait." Mark Twain

    Mon client Twitter Qt cross-platform Windows et Linux. (en cours de développement).

  10. #10
    Membre confirmé Avatar de steel-finger
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Janvier 2013
    Messages
    180
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 39
    Localisation : France, Ille et Vilaine (Bretagne)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels

    Informations forums :
    Inscription : Janvier 2013
    Messages : 180
    Points : 529
    Points
    529
    Par défaut
    Oui c'est sois que l'outils est obsolète ou bien qu'il est vérolé, car je les voie mal sortir tout leur outils en open source avec un repo à leur noms.

  11. #11
    Membre éprouvé Avatar de jmnicolas
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Juin 2007
    Messages
    427
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 45
    Localisation : France

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : Transports

    Informations forums :
    Inscription : Juin 2007
    Messages : 427
    Points : 976
    Points
    976
    Par défaut
    Au contraire, je pense que ce soft est "clean".
    La NSA ne peut se permettre ce genre de publicité désastreuse, surtout depuis l'affaire Snowden.
    Ils essayent sans doute de s'attirer les bonnes grâces de la communauté avec ce soft.
    Ils n'ont certainement pas besoin de ce soft pour lire tous les flux de données qu'ils veulent.
    De plus c'est plus simple et plus payant pour eux de compromettre un projet auquel ils ne sont pas associés.
    The greatest shortcoming of the human race is our inability to understand the exponential function. Albert A. Bartlett

    La plus grande lacune de la race humaine c'est notre incapacité à comprendre la fonction exponentielle.

  12. #12
    Membre à l'essai
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Février 2013
    Messages
    7
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Cher (Centre)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : Février 2013
    Messages : 7
    Points : 12
    Points
    12
    Par défaut Suis-je vicieux ???
    Je pense que Snowden a agit en service commandé !
    Histoire de mesurer à quel point le monde est près à accepter "Big Browser".

  13. #13
    Membre éprouvé Avatar de Algo D.DN
    Homme Profil pro
    WPM - Web Dev.
    Inscrit en
    Août 2012
    Messages
    374
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : WPM - Web Dev.
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Août 2012
    Messages : 374
    Points : 1 173
    Points
    1 173
    Par défaut
    Citation Envoyé par mdu52 Voir le message
    Je pense que Snowden a agit en service commandé !
    Histoire de mesurer à quel point le monde est près à accepter "Big Browser".
    Oui d'ailleurs les tickets resto et les chèques vacances sont toujours fournis par la NSA...

  14. #14
    Membre du Club
    Homme Profil pro
    Inscrit en
    Janvier 2014
    Messages
    13
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations forums :
    Inscription : Janvier 2014
    Messages : 13
    Points : 47
    Points
    47
    Par défaut Open source de qualité = création d'un standard de fait
    Je vais encore me faire des copains... mais bon.. à mon sens, le but de ce passage en open source, c'est l'uniformisation. Le standard. La norme.

    Les entreprises ou les états veulent du standard partout. D'ailleurs, ils aimeraient bien qu'il n'y ait presque plus d'humains pour faire fonctionner tout cela, c'est le but de la NSA (diviser par 1000 le nbr d'admin réseau, Snowden, ça les a refroidi).

    Si les standards sont absolument nécessaires, ce n'est pas à ce point, partout.
    Ce n'est pas un avantage ni pour les utilisateurs, ni pour les informaticiens.
    Le standard d'usage, ou de protocole, ce n'est pas la même chose que le standard d'implémentation.
    Entre ne pas réinventer la roue, et s'arranger pour qu'il n'y ait pas 3 technologies sur la planète. Il y a un gouffre. Mais ils sont déjà de l'autre coté..

    La NSA 'donne au monde' du code open source pour essayer d'uniformiser un peu plus. Ce n'est qu'une composante d'un tout.

    Cela ne marche pas si mal, regardez l'informatique mondiale( OS ou logiciels principaux ) :

    - 1 ou 2 leaders mondiaux aux US = 90%
    - 3 ou 4 projets open source leaders sur leur domaine = 9.9%, financés par des entreprises souvent dans le top 10 US.
    - 10000 projets qui marchottent, pour les 0.1% qui restent : des fous, dissidents, "qui-pensent-pas-comme-tout-le-monde"... des divergents.

    Il y a 3 navigateurs internet (webkit, ie, firefox). Pour qq Milliards d'internautes. C'est pas mal!
    crypto : openssl, gnutls, crypto++, gpg, pgp, openssh, putty.
    standards de hashage : sha1, sha256, sha512, ripem
    standards de signature: rsa, courbes élliptiques (et pas sur n'importe quelle courbe hein..)

    Ca profite à qui?

  15. #15
    Membre éprouvé Avatar de jmnicolas
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Juin 2007
    Messages
    427
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 45
    Localisation : France

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : Transports

    Informations forums :
    Inscription : Juin 2007
    Messages : 427
    Points : 976
    Points
    976
    Par défaut
    Citation Envoyé par mdu52 Voir le message
    Je pense que Snowden a agit en service commandé !
    Histoire de mesurer à quel point le monde est près à accepter "Big Browser".
    Si la NSA n'est pas capable de se faire une idée de l'opinion publique mondiale sans utilise un truc aussi rocambolesque (et qui leur fait beaucoup de mal), faut vraiment qu'ils changent de boulot
    Par contre Snowden aurait pu être "lâché" pour enfumer les Russes en leur balançant de l'intox.
    Plus probable mais ça on en saura jamais rien ... la solution la plus simple est la meilleure : c'est un idéaliste qui en a eu marre d'être un agent de Big Brother et a préféré se casser.


    Citation Envoyé par williamp Voir le message
    [...] à mon sens, le but de ce passage en open source, c'est l'uniformisation. Le standard. La norme.
    [...]
    Ca profite à qui?
    Effectivement s'ils réduisent la multitude de systèmes, ils peuvent concentrer leurs efforts à casser les plus populaires.
    The greatest shortcoming of the human race is our inability to understand the exponential function. Albert A. Bartlett

    La plus grande lacune de la race humaine c'est notre incapacité à comprendre la fonction exponentielle.

  16. #16
    Candidat au Club
    Inscrit en
    Janvier 2011
    Messages
    1
    Détails du profil
    Informations forums :
    Inscription : Janvier 2011
    Messages : 1
    Points : 3
    Points
    3
    Par défaut
    Je suis pas certain de bien comprendre les critiques.
    A vous lire, la NSA donne son code pour nous espionner plus facilement soit avec du code caché soit grâce à une uniformisation supposée des pratiques.

    Mais alors pourquoi est ce réservé aux boites américaines ???
    cf https://www.nsa.gov/research/_files/...er_program.pdf
    Please note that all companies interested in licensing NSA technology must be U.S.-based or have a wholly owned U.S.-based subsidiary
    Et puis sur le code caché en open source... ben je vois pas non plus !

    Moi perso je serais super content de mettre de jouer avec au moins la moitié de ce qui est dans le programme de transfert.
    Malheureusement je ne crois pas que ce soit possible.

    Benoît.

  17. #17
    Membre du Club
    Homme Profil pro
    Inscrit en
    Janvier 2014
    Messages
    13
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations forums :
    Inscription : Janvier 2014
    Messages : 13
    Points : 47
    Points
    47
    Par défaut Uniformisation = raison principale
    Citation Envoyé par Benoit de coco Voir le message
    Mais alors pourquoi est ce réservé aux boites américaines ??
    Tu réponds toi-même non?
    "or have a wholly owned U.S.-based subsidiary"
    S'il suffit d'avoir une filiale US Based pour s'en servir, autant dire que toutes les multinationales sont concernées.
    Ainsi, elles tombent directement sous le patriot act, et ce sera toujours ça de moins chiant à étudier une fois saisi.

    C'est titanesque les montagnes de données qu'elle doit stocker / gérer. il faut que ce soit le plus standard possible.
    Pour moi, c'est d'abord ça le but. Uniformiser. Même aux USA.

    Les sociétés totalement étrangères, sans succursale US? elles font quoi? en informatique ?
    Je serais tenté d'être sarcastique : ça existe au moins?

    Et puis sur le code caché en open source... ben je vois pas non plus !
    Prenons l'exemple du buffer overflow qui permet l'exécution de code arbitraire à distance, en différé, et même lorsque l'on n'est pas connecté.

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    void printStream(FILE *stream) { 
      char key[64];
      char value[128];
      fscanf(stream,"%s %s",key,value);
      ...
    }
    Je te mets des chaines adéquates dans le "stream" et voilà.

    Dans 10 ans, un mec relève le truc, On se fend d'un "bug fix: potential buffer overflow".. Sachant que cet exemple est tellement basique qu'il n'est là que pour servir d'exemple. Ils sont capables de beaucoup plus subtil aussi.
    Comment faire confiance à quelqu'un qui a déjà menti?

    Ceci dit, là on est beaucoup plus dans les spéculations et les suspiscions. La chose la plus évidente, de mon point de vue, c'est le désir de standardiser, centraliser, pour simplifier la surveillance. Il est clair qu'ils ont des problèmes avec l'énormité des quantités de données qu'ils captent.

    Donc, ils se disent (intelligemment) qu'ils vont inciter les entreprises US à gagner du pognon tout en leur simplifiant le boulot.

Discussions similaires

  1. La NSA publie en open source l’un de ses outils d’espionnage
    Par Amine Horseman dans le forum Actualités
    Réponses: 9
    Dernier message: 27/11/2014, 19h57
  2. Réponses: 0
    Dernier message: 11/03/2014, 19h04
  3. Facebook publie en open source un ensemble d'API de chiffrement
    Par Stéphane le calme dans le forum Logiciels Libres & Open Source
    Réponses: 0
    Dernier message: 02/02/2014, 22h01
  4. Réponses: 3
    Dernier message: 22/03/2013, 13h37
  5. Google publie en open source Zopfli
    Par Hinault Romaric dans le forum Algorithmes et structures de données
    Réponses: 9
    Dernier message: 06/03/2013, 13h46

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo