IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

La NSA libère SIMP : un outil de sécurité open source


Sujet :

Sécurité

  1. #1
    Chroniqueur Actualités
    Avatar de Michael Guilloux
    Homme Profil pro
    Data Consultant
    Inscrit en
    Juillet 2013
    Messages
    2 874
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 33
    Localisation : Côte d'Ivoire

    Informations professionnelles :
    Activité : Data Consultant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Juillet 2013
    Messages : 2 874
    Points : 86 891
    Points
    86 891
    Billets dans le blog
    2
    Par défaut La NSA libère SIMP : un outil de sécurité open source
    La NSA libère SIMP : un outil de sécurité open source
    Pour aider les organisations à « fortifier leurs réseaux contre les cyber-menaces »

    La National Security Agency (NSA) vient de publier un outil open source visant à sécuriser les réseaux des organisations. L’outil baptisé Systems Integrity Management Platform (SIMP) est, d’après l’agence d’espionnage des États-Unis, conçu pour aider les organisations à « fortifier leurs réseaux contre les cyber-menaces ».

    L’outil est disponible dans le référentiel GitHub de la NSA, qui a été lancé ce printemps. D’après la description sur le site de partage de code source, SIMP est une technologie qui « vise à fournir une combinaison raisonnable de respect de la sécurité et de flexibilité opérationnelle. » La NSA considère l’outil comme un élément essentiel dans les approches de « défense en profondeur » de la cyber-sécurité, et estime qu’il permet de maintenir des systèmes en réseau conformes aux normes de sécurité en vigueur aux États-Unis.

    À travers son outil, l’agence de sécurité veut aider les organisations gouvernementales et l’industrie dans leurs efforts pour mettre en place des technologies qui répondent aux exigences du département de sécurité US. SIMP leur permettra donc de ne pas réinventer la roue, affirme la NSA.

    La libération de l’outil vient dans le cadre du Technology Transfer Program de la NSA. Le programme vise un transfert de technologie en prenant les codes développés par l’agence et en les rendant accessibles à la communauté du logiciel. « La communauté open source peut tirer profit du travail que la NSA a produit », et en retour, « le gouvernement peut bénéficier de l'expertise et de la perspective de cette communauté », explique Linda Burger, directrice du Programme.

    Il est évident que même si l’agence de sécurité nationale des États-Unis semble être bien intentionnée sur ce coup, sa réputation en matière d’espionnage fera beaucoup de sceptiques quant à la sureté de son outil de sécurité des réseaux. Par contre, en le rendant open source, l’agence appelle la communauté des développeurs à contribuer. De manière implicite, c’est également un appel aux chercheurs en sécurité qui pourront analyser le code source en vue de détecter d’éventuelles failles qui pourraient exposer les organisations à des risques de sécurité.

    Le logiciel est disponible pour les systèmes Red Hat Enterprise Linux 6.6 et 7.1, mais également pour les versions 6.6 et 7.1-1503-01 de CentOS. Il a été publié sous la version 2 de la licence Apache.

    Sources : Communiqué de presse de la NSA, GitHub

    Et vous ?

    Qu’en pensez-vous ? L’outil de sécurité de la NSA pourra-t-il convaincre les organisations ?
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre régulier
    Homme Profil pro
    Responsable Informatique
    Inscrit en
    Août 2010
    Messages
    42
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Responsable Informatique
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Août 2010
    Messages : 42
    Points : 118
    Points
    118
    Par défaut
    Ben voyons !

  3. #3
    Modérateur
    Avatar de sevyc64
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Janvier 2007
    Messages
    10 188
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 51
    Localisation : France, Pyrénées Atlantiques (Aquitaine)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : Janvier 2007
    Messages : 10 188
    Points : 28 051
    Points
    28 051
    Par défaut
    La National Security Agency (NSA) vient de publier un outil [...] pour aider les organisations à « fortifier leurs réseaux contre les cyber-menaces ».
    Quelles cyber-menaces, celles venant de la NSA justement ?
    qu’il permet de maintenir des systèmes en réseau conformes aux normes de sécurité en vigueur aux Etats-Unis.
    Ah non, pardon, c'est le contraire. Il permet de sécuriser une infrastructure mais en veillant bien de laisser ouvert les portes dérobées pour que la NSA justement puisse venir faire un tour discrètement, de temps en temps.
    D'autant plus que, si l'outil est conçu intelligemment, il doit indiqué à la NSA qui l'utilise justement et donc qui est à potentiellement visiter.

    Le logiciel est disponible pour les systèmes Red Hat Enterprise Linux 6.6 et 7.1, mais également pour les versions 6.6 et 7.1-1503-01 de CentOS. Il a été publié sous la version 2 de la licence Apache.
    Ah, c'est tout ?
    Et les autres, ils sont déjà sécurisé ?
    USA, pays de Microsoft, et Windows ? Mais c'est vrai que Windows est déjà sécurisé et qu'il possède déjà toutes les portes dérobées qu'il faut


    Franchement, quelle crédibilité a la NSA en donneur de leçon en matière de sécurité, bien qu'ils soient certainement parmi les meilleurs experts (pour pouvoir contourner, faut déjà connaitre de manière experte)
    --- Sevyc64 ---

    Parce que le partage est notre force, la connaissance sera notre victoire

  4. #4
    Inactif  

    Homme Profil pro
    NR
    Inscrit en
    Juin 2013
    Messages
    3 715
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Suisse

    Informations professionnelles :
    Activité : NR
    Secteur : Aéronautique - Marine - Espace - Armement

    Informations forums :
    Inscription : Juin 2013
    Messages : 3 715
    Points : 1 184
    Points
    1 184
    Billets dans le blog
    9
    Par défaut
    Sans vouloir faire l'avocat du diable, c'est pas la première fois que la NSA développe des (bon) logiciels de sécurité, il y'en a même un d'intégrer au noyaux Linux, elle a contribuer a SELinux (Security-Enhanced Linux), une fonctionnalité permettant d’améliorer la sécurité de linux. Ce travail a été mené dans un but bien précis : fournir aux gouvernements des garanties précises de sécurité, notamment en instaurant des groupes d’applications, chacun régis par des règles différentes. Les premiers résultats concrets ont été inclus en 2000 dans le noyau Linux (version 2.6.0) et d’autres contributeurs, à l’instar de Red Hat, ont rejoint le projet.
    Le code publié a toujours été open source et a donc été révisé par de nombreux développeurs. La participation de la NSA est abordée sur le propre site officiel de l’agence de renseignement.

    Techniquement, si c'est open source, on peut vérifier code.

    La NSA fait partie des plus gros contributeurs a des projets open source, et ce depuis sa création.

  5. #5
    Modérateur
    Avatar de sevyc64
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Janvier 2007
    Messages
    10 188
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 51
    Localisation : France, Pyrénées Atlantiques (Aquitaine)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : Janvier 2007
    Messages : 10 188
    Points : 28 051
    Points
    28 051
    Par défaut
    Citation Envoyé par MichaelREMY Voir le message
    je ne trouve vraiment pas que la traduction de "libération" pour le verbe anglais "share" soit bonne, c'est comme une fausse traduction provenant d'un traducteur des années 1990, pire un jeu de mots à la Disney (reine de glace...).
    [...]
    C'est vraiment étrange car dans l'article source, c'est le terme verbeux de SHARE qui est utilisé et même pas "release". Je sais que ça vient de la NSA mais quand-même, étrange ce choix...
    Effectivement, le terme "share", ici, dans le contexte Open-source sera plutôt à traduire en français par le terme "partage" qui est souvent utilisé en français dans ce contexte

    Cependant, le terme "libère" rajoute une dimension de sensationnel. La NSA met à disposition et partage un logiciel (et ses sources donc) à priori auparavant propriétaire (c'est tout au moins ce que peut laisser penser le terme) qui aurait pu le rester et qu'elle aurait pu se garder pour elle.
    C'est un peu comme quand Microsoft "libère" les sources des premiers Windows
    --- Sevyc64 ---

    Parce que le partage est notre force, la connaissance sera notre victoire

  6. #6
    Membre éclairé Avatar de Beanux
    Profil pro
    Administrateur systèmes et réseaux
    Inscrit en
    Octobre 2009
    Messages
    249
    Détails du profil
    Informations personnelles :
    Âge : 35
    Localisation : France

    Informations professionnelles :
    Activité : Administrateur systèmes et réseaux

    Informations forums :
    Inscription : Octobre 2009
    Messages : 249
    Points : 744
    Points
    744
    Par défaut
    J'ai essayé d'aller voir els sources, et euh, c'ets le bordel. Le lien d ela news nous renvoie sur github, sous le compte "NationalSecurityAgency", qui ne contient que le projet "SIMP", qui lui, ne contient aucun code, mais qui nous renvoie sur simp.
    Donc je suppose que c'est simp-core parmi les 5 pages de projets existants, qui est lui aussi vide, mais qui contient des instruction d'installation. De plus les projets adjacents, sont sans instructions aucune (pour ceux que j’ai pu consulter).

    Ils ont donc bien sorti quelque chose, mais quel fouillis.

  7. #7
    MikeRowSoft
    Invité(e)
    Par défaut

  8. #8
    Expert éminent
    Avatar de Matthieu Vergne
    Homme Profil pro
    Consultant IT, chercheur IA indépendant
    Inscrit en
    Novembre 2011
    Messages
    2 261
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Consultant IT, chercheur IA indépendant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Novembre 2011
    Messages : 2 261
    Points : 7 748
    Points
    7 748
    Billets dans le blog
    3
    Par défaut
    Mouais, apparemment le projet est en cours d'ouverture si j'en crois le readme du projet (je dis pas libération vu qu'on libère des individus et non du code, un code libre étant un code assurant des libertés pour les individus, et non pour lui-même). Et ça semble assez découpé (les modules s'enchaînent et il y en a une liste de 5 pages pour l'instant). À voir quand on aura un ensemble complet, dire d'avoir une vue d'ensemble. J'ai pas regardé le code à proprement parler et je doute de le faire un jour, ce genre de code c'est pas mon truc.
    Site perso
    Recommandations pour débattre sainement

    Références récurrentes :
    The Cambridge Handbook of Expertise and Expert Performance
    L’Art d’avoir toujours raison (ou ce qu'il faut éviter pour pas que je vous saute à la gorge {^_^})

  9. #9
    Membre extrêmement actif
    Profil pro
    Inscrit en
    Juin 2010
    Messages
    794
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Juin 2010
    Messages : 794
    Points : 986
    Points
    986
    Par défaut
    Citation Envoyé par Vinorcola Voir le message
    Ben voyons !
    Bah il n'y a rien de spéciale, la NSA travaille à la fois à casser des systèmes et à les sécuriser. C'est comme avec la fabrication de coffre fort, pour faire un bon coffre fort il faut savoir en ouvrir.

    Dans le cas d'une agence comme la NSA, c'est code maker/code breaker. Leur travail est simplement excellent

  10. #10
    Membre extrêmement actif
    Profil pro
    Inscrit en
    Juin 2010
    Messages
    794
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Juin 2010
    Messages : 794
    Points : 986
    Points
    986
    Par défaut
    Citation Envoyé par sevyc64 Voir le message
    Quelles cyber-menaces, celles venant de la NSA justement ?
    Ah non, pardon, c'est le contraire. Il permet de sécuriser une infrastructure mais en veillant bien de laisser ouvert les portes dérobées pour que la NSA justement puisse venir faire un tour discrètement, de temps en temps.
    D'autant plus que, si l'outil est conçu intelligemment, il doit indiqué à la NSA qui l'utilise justement et donc qui est à potentiellement visiter.

    Ah, c'est tout ?
    Et les autres, ils sont déjà sécurisé ?
    USA, pays de Microsoft, et Windows ? Mais c'est vrai que Windows est déjà sécurisé et qu'il possède déjà toutes les portes dérobées qu'il faut


    Franchement, quelle crédibilité a la NSA en donneur de leçon en matière de sécurité, bien qu'ils soient certainement parmi les meilleurs experts (pour pouvoir contourner, faut déjà connaitre de manière experte)
    La NSA est aussi en charge de la sécurité électronique des USA, ils testent tout les os, soft etc. c'est leur boulot aussi de sécuriser des logiciels.

  11. #11
    Membre extrêmement actif
    Avatar de Sodium
    Femme Profil pro
    Développeuse web
    Inscrit en
    Avril 2014
    Messages
    2 324
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Localisation : Belgique

    Informations professionnelles :
    Activité : Développeuse web

    Informations forums :
    Inscription : Avril 2014
    Messages : 2 324
    Points : 2 006
    Points
    2 006
    Billets dans le blog
    1
    Par défaut
    La NSA essaye-t-elle de se racheter une conscience après la série de scandales qui éclatent aujourd'hui encore ?
    Je me demande s'il s'agit de la bonne manière de faire la présence de backdoors en tout genre étant inévitable puisque l'agence ne peut décemment pas fournir à ses adversaires des outils pour se prémunir contre elle...

  12. #12
    Expert éminent
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Août 2007
    Messages
    2 161
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Août 2007
    Messages : 2 161
    Points : 7 952
    Points
    7 952
    Par défaut
    Citation Envoyé par Sodium Voir le message
    La NSA essaye-t-elle de se racheter une conscience après la série de scandales qui éclatent aujourd'hui encore ?
    Comme très bien dit par redcurve et par sazearte, entre autre, la NSA est un contributeur du libre depuis plusieurs années et cela fait parti de sa feuille de route depuis la création de l'agence.
    Rester vigilent est une nécessité mais tomber dans des excès de méfiance, tout comme de naïveté, n'importent rien.

    Le gros des scandales médiatiques sur la NSA sont passés et l'opinion publique est déjà sur autre chose.
    Personnellement, je pense que la NSA n'en n'a que faire de se "racheter une image" d'autant plus que cette agence a les politiques dans sa poche...

  13. #13
    Inactif  
    Homme Profil pro
    Analyste-Programmeur / Intégrateur ERP
    Inscrit en
    Mai 2013
    Messages
    2 511
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Analyste-Programmeur / Intégrateur ERP
    Secteur : Bâtiment

    Informations forums :
    Inscription : Mai 2013
    Messages : 2 511
    Points : 10 335
    Points
    10 335
    Par défaut
    Citation Envoyé par Saverok Voir le message
    Rester vigilent est une nécessité mais tomber dans des excès de méfiance, tout comme de naïveté, n'importent rien.
    Bien évidemment que cela n'apporte rien, cela-dit, je ne me verrais pas installer leur outil tant qu'il n'aura pas été vu et revu par différents intervenants extérieurs à la NSA qui pourront certifier qu'il n'y a rien de douteux qui traine dans le code.

    Il ne faut pas tomber dans l'excès inverse non plus, et partir du fait que comme ils sont de gros contributeurs depuis longtemps, toutes leurs contributions sont exemptes de problèmes et/ou de backdoor ou autres, comme tu le dis, la vigilance est de mise.

  14. #14
    Membre actif
    Homme Profil pro
    Inscrit en
    Mars 2006
    Messages
    51
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations forums :
    Inscription : Mars 2006
    Messages : 51
    Points : 262
    Points
    262
    Par défaut
    Quand je fais changer mes serrures, je m'adresse toujours à un gang de cambrioleurs

    Comme ça, ils ont leur double de clefs et ils ne cassent rien et ça évite qu'ils se fatiguent, leur boulot est déjà si pénible

  15. #15
    Expert éminent Avatar de BufferBob
    Profil pro
    responsable R&D vidage de truites
    Inscrit en
    Novembre 2010
    Messages
    3 035
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : responsable R&D vidage de truites

    Informations forums :
    Inscription : Novembre 2010
    Messages : 3 035
    Points : 8 400
    Points
    8 400
    Par défaut
    Citation Envoyé par redcurve Voir le message
    Bah il n'y a rien de spéciale, la NSA travaille à la fois à casser des systèmes et à les sécuriser. C'est comme avec la fabrication de coffre fort, pour faire un bon coffre fort il faut savoir en ouvrir.
    ben ouai, mais dans la continuité de la métaphore, si tu t'aperçois que ton fabricant de coffres s'amuse à visiter les maisons de ta rue à l'insu de leurs propriétaires, quand il te propose un coffre si joli soit-il, ça semble normal sinon d'avoir une défiance paranoïaque au moins de s'interroger, non pas sur les motivations mais bien sur la confiance qu'on peut avoir dans le fabricant, et par corolaire dans ledit coffre

  16. #16
    Membre chevronné
    Profil pro
    Inscrit en
    Décembre 2007
    Messages
    761
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Décembre 2007
    Messages : 761
    Points : 2 101
    Points
    2 101
    Par défaut
    Ca ressemble presque a une blague^^.

  17. #17
    Membre régulier
    Profil pro
    Inscrit en
    Mars 2003
    Messages
    66
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Mars 2003
    Messages : 66
    Points : 111
    Points
    111
    Par défaut
    Je serais curieux de voir combien de temps ça va prendre pour détecter les backdoors soigneusement dissimulés par la NSA elle-même dans ce truc... Un organisme spécialisé dans l'hyper-espionnage qui propose un outil de sécurité, je sais pas pour vous, mais personnellement, je deviens un peu parano et je m'interroge comme si un fabriquant de cigarettes me proposait un outil pour me permettre d'arrêter de fumer, il y a un truc qui cloche

  18. #18
    Expert éminent

    Homme Profil pro
    Retraité
    Inscrit en
    Septembre 2002
    Messages
    2 160
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 72
    Localisation : France, Loire Atlantique (Pays de la Loire)

    Informations professionnelles :
    Activité : Retraité

    Informations forums :
    Inscription : Septembre 2002
    Messages : 2 160
    Points : 6 476
    Points
    6 476
    Billets dans le blog
    2
    Par défaut
    Venant de n'importe qui d'autre que la NSA, ça serait une bonne nouvelle. Mais après toutes les informations concernant leurs méthodes ... difficile de ne pas avoir des doutes sérieux.
    Pierre GIRARD

  19. #19
    Expert éminent
    Avatar de Matthieu Vergne
    Homme Profil pro
    Consultant IT, chercheur IA indépendant
    Inscrit en
    Novembre 2011
    Messages
    2 261
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Consultant IT, chercheur IA indépendant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Novembre 2011
    Messages : 2 261
    Points : 7 748
    Points
    7 748
    Billets dans le blog
    3
    Par défaut
    Ben écoutez, ça tombe bien, le code est là, mettez votre nez dedans. C'est l'occasion de savoir si oui ou non il y a des backdoors. Et même mieux, de les retirer et de faire des pull request avec explications pour que d'autres puisse constater les faits et prendre en compte vos modifs. L'avantage de l'Open Source il est là : on n'a plus besoin de se poser la question. On met le nez dedans et on est fixé. Continuer à sortir des doutes, à ce niveau là, ça n'a pas grand intérêt. C'est comme critiquer un livre qu'on a sur le bureau mais qu'on n'a pas fait l'effort de lire.
    Site perso
    Recommandations pour débattre sainement

    Références récurrentes :
    The Cambridge Handbook of Expertise and Expert Performance
    L’Art d’avoir toujours raison (ou ce qu'il faut éviter pour pas que je vous saute à la gorge {^_^})

  20. #20
    Expert éminent

    Homme Profil pro
    Retraité
    Inscrit en
    Septembre 2002
    Messages
    2 160
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 72
    Localisation : France, Loire Atlantique (Pays de la Loire)

    Informations professionnelles :
    Activité : Retraité

    Informations forums :
    Inscription : Septembre 2002
    Messages : 2 160
    Points : 6 476
    Points
    6 476
    Billets dans le blog
    2
    Par défaut
    Citation Envoyé par Matthieu Vergne Voir le message
    Ben écoutez, ça tombe bien, le code est là, mettez votre nez dedans. C'est l'occasion de savoir si oui ou non il y a des backdoors...
    Il n'est pas là le problème potentiel. Étant donné que la NSA connait parfaitement ce code, qui nous dis que parallèlement il n'a pas créé d'autres outils pour l'exploiter en toute discrétion. C'est comme les poisons, l'inventeur d'un nouveau poison invente en même temps l'antidote ... au cas où. Idem pour le serrurier génial qui invente à la fois la serrure inviolable et le passe-partout au cas où le propriétaire de la serrure perd la clé.

    Comment faire une totale confiance à la NSA ? Et peut-on leur faire une confiance totale et aveugle ?
    Pierre GIRARD

Discussions similaires

  1. outils géo-décisionnel open-source
    Par purplebamboo dans le forum SIG : Système d'information Géographique
    Réponses: 6
    Dernier message: 24/06/2010, 11h44
  2. Outils géo-décisionnels open source
    Par purplebamboo dans le forum Approche théorique du décisionnel
    Réponses: 2
    Dernier message: 23/06/2010, 13h06
  3. Réponses: 0
    Dernier message: 19/06/2009, 15h36
  4. Réponses: 0
    Dernier message: 19/06/2009, 15h36

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo