IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

La NSA libère SIMP : un outil de sécurité open source


Sujet :

Sécurité

  1. #21
    Modérateur
    Avatar de sevyc64
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Janvier 2007
    Messages
    10 188
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 51
    Localisation : France, Pyrénées Atlantiques (Aquitaine)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : Janvier 2007
    Messages : 10 188
    Points : 28 051
    Points
    28 051
    Par défaut
    Citation Envoyé par Pierre GIRARD Voir le message
    Comment faire une totale confiance à la NSA ?
    Le débat est effectivement ouvert. Confiance pour quoi, assurer la sécurité des USA. C'est son boulot, elle y travaille et probablement relativement bien malgré quelques couacs comme celui de 2001 (qui serait d'ailleurs plu dû à la CIA que la NSA). Confience pour protéger la vie privée et les données personnelles, ce n'est pas son boulot, et au contraire, elle a besoin d'avoir accès à certaines données personnelles pour son vrai boulot.
    De plus, ne surtout pas oublier que dans les pays Anglo-saxon, comme les USA, la notion de vie privée, de données personnelles, de respect des celles-ci ne sont pas du tout les mêmes que dans nos pays latins.
    Ce qui peut nous paraitre scandaleux ici, peut paraitre parfaitement normal là-bas.

    Citation Envoyé par Pierre GIRARD Voir le message
    Et peut-on leur faire une confiance totale et aveugle ?
    Qu'on le puisse ou pas, de manière générale on ne doit faire une confiance aveugle à personne. Ce n'est pas parce qu'on fait une confiance aveugle à quelqu'un que ce quelqu'un ne peut pas se tromper à moment donné.

    Citation Envoyé par Pierre GIRARD Voir le message
    Il n'est pas là le problème potentiel. Étant donné que la NSA connait parfaitement ce code, qui nous dis que parallèlement il n'a pas créé d'autres outils pour l'exploiter en toute discrétion. C'est comme les poisons, l'inventeur d'un nouveau poison invente en même temps l'antidote ... au cas où. Idem pour le serrurier génial qui invente à la fois la serrure inviolable et le passe-partout au cas où le propriétaire de la serrure perd la clé.
    Comme il a été dit, le meilleur moyen est d'analyser le code.
    Si la NSA y a introduit des backdoors, puisque le code est open source et donc analysable, elles doivent pourvoir être identifier relativement facilement.
    Sinon la NSA, n'a pas introduit de backdoors mais exploite des données "légitimes", il doit être aussi possible d'identifier quelles données "légitimes" peut récupérer ce logiciel et l'exploitation qu'il peut en être fait. De plus pour pouvoir les exploiter il faut qu'elle puisse les récupérer. Cela aussi doit se voir dans le code.

    Donc non il n'y aura probablement pas de grossières entourloupes de découvertes dans ce code.




    Chose qui sera beaucoup plus difficile à voir par contre : la NSA nous livre le code, on peut donc supposer qu'il est propre et qu'il n'y aurait rien à trouver dedans. Maintenant ce code là utilise certainement des codes annexes (librairie, framework, etc ...) habituellement légitime, faisant parti des standard, des systèmes d'exploitation, etc, mais non livré ici. Ce code analysé par des personnes tierces avec les librairies annexes légitimes, les versions qu'elles ont en leur possession, ne donnera rien et paraitra propre.
    Mais rien ne dit que la NSA, quand elle fourni elle-même l’exécutable, ne fournit-elle pas aussi des versions subtilement modifiées de ces librairies habituellement légitime ?
    Fournir le code open source de son logiciel ne serait alors qu'un moyen de communiquer, de se refaire une virginité et de détourner l'attention ?
    Dans le jargon, on appelle ça "Donner un os à ronger"
    --- Sevyc64 ---

    Parce que le partage est notre force, la connaissance sera notre victoire

  2. #22
    Expert éminent

    Homme Profil pro
    Retraité
    Inscrit en
    Septembre 2002
    Messages
    2 160
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 72
    Localisation : France, Loire Atlantique (Pays de la Loire)

    Informations professionnelles :
    Activité : Retraité

    Informations forums :
    Inscription : Septembre 2002
    Messages : 2 160
    Points : 6 476
    Points
    6 476
    Billets dans le blog
    2
    Par défaut
    Citation Envoyé par sevyc64 Voir le message
    ...Comme il a été dit, le meilleur moyen est d'analyser le code...
    Pour voir qu'il n'y a rien de suspect, totalement d'accord. Et je suis prêt à parier que les meilleurs experts ne trouveront rien à redire.

    Mais le problème n'est pas là, car connaissant à la fois la clé et la serrure, rien n'empêche à la NSA d'avoir créé en même temps le passe pour passer outre à ses propres sécurités. C'est pas comme si la NSA avait respecté les alliés des USA dans le passé. On sait maintenant qu'ils espionnent tout le monde ... avec même un doute : "Espionnent-ils aussi les émirats arabes ?" Car j'ai l'impression que les pays Européens intéressent plus la NSA que la péninsule arabique.

    Décidément : NON, impossible de leur faire confiance après ce qu'ils ont fait à propos des dirigeants Européens.
    Pierre GIRARD

  3. #23
    Expert éminent
    Avatar de Matthieu Vergne
    Homme Profil pro
    Consultant IT, chercheur IA indépendant
    Inscrit en
    Novembre 2011
    Messages
    2 261
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Consultant IT, chercheur IA indépendant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Novembre 2011
    Messages : 2 261
    Points : 7 748
    Points
    7 748
    Billets dans le blog
    3
    Par défaut
    Citation Envoyé par Pierre GIRARD Voir le message
    Il n'est pas là le problème potentiel. Étant donné que la NSA connait parfaitement ce code, qui nous dis que parallèlement il n'a pas créé d'autres outils pour l'exploiter en toute discrétion. C'est comme les poisons, l'inventeur d'un nouveau poison invente en même temps l'antidote ... au cas où. Idem pour le serrurier génial qui invente à la fois la serrure inviolable et le passe-partout au cas où le propriétaire de la serrure perd la clé.

    Comment faire une totale confiance à la NSA ? Et peut-on leur faire une confiance totale et aveugle ?
    Citation Envoyé par Pierre GIRARD Voir le message
    connaissant à la fois la clé et la serrure, rien n'empêche à la NSA d'avoir créé en même temps le passe pour passer outre à ses propres sécurités. C'est pas comme si la NSA avait respecté les alliés des USA dans le passé. On sait maintenant qu'ils espionnent tout le monde ... avec même un doute : "Espionnent-ils aussi les émirats arabes ?" Car j'ai l'impression que les pays Européens intéressent plus la NSA que la péninsule arabique.

    Décidément : NON, impossible de leur faire confiance après ce qu'ils ont fait à propos des dirigeants Européens.
    Mais justement, il n'est plus question de confiance envers la NSA ici, mais de compétence. Le code est là, il s'agit de l'analyser pour voir ce qu'il permet et ne permet pas. Et de là en tirer les conclusions "là il est possible de le cracker en faisant ceci ou cela". On se fiche pas mal de savoir si "ceci" ou "cela" est effectivement fait. L'important est de savoir où sont les faiblesses potentielles, et de là savoir ce qu'on risque. Après, si on estime que la NSA (ou un autre) a de bonnes chances de pouvoir faire "cela", alors on n'utilisera pas ce code, point final. Il n'y a pas de question de confiance à la NSA là dedans. La seule confiance, c'est pour ceux qui décide de ne pas analyser le code. Ceux-là font confiance à la communauté d'experts qui, on l'espère, l'analysera en profondeur.

    C'est comme juger un livre à son auteur plutôt qu'à son contenu. Ça a autant de subjectivité que de juger le livre à sa couverture.
    Site perso
    Recommandations pour débattre sainement

    Références récurrentes :
    The Cambridge Handbook of Expertise and Expert Performance
    L’Art d’avoir toujours raison (ou ce qu'il faut éviter pour pas que je vous saute à la gorge {^_^})

  4. #24
    Expert éminent

    Homme Profil pro
    Retraité
    Inscrit en
    Septembre 2002
    Messages
    2 160
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 72
    Localisation : France, Loire Atlantique (Pays de la Loire)

    Informations professionnelles :
    Activité : Retraité

    Informations forums :
    Inscription : Septembre 2002
    Messages : 2 160
    Points : 6 476
    Points
    6 476
    Billets dans le blog
    2
    Par défaut
    Tu as peut-être raison, et venant de n'importe qui d'autre que la NSA on pourrait avoir confiance et suivre ton raisonnement à 100% ... mais bon, il y a l'historique de la NSA.

    Si le même logiciel avait été produit par DAECH (même en OpenSource), tiendrais-tu le même langage rassurant et lénifiant ???
    Pierre GIRARD

  5. #25
    Inactif  
    Homme Profil pro
    Analyste-Programmeur / Intégrateur ERP
    Inscrit en
    Mai 2013
    Messages
    2 511
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Analyste-Programmeur / Intégrateur ERP
    Secteur : Bâtiment

    Informations forums :
    Inscription : Mai 2013
    Messages : 2 511
    Points : 10 335
    Points
    10 335
    Par défaut
    Citation Envoyé par Matthieu Vergne Voir le message
    C'est comme juger un livre à son auteur plutôt qu'à son contenu. Ça a autant de subjectivité que de juger le livre à sa couverture.
    Oui enfin si je sais que l'auteur est réputé pour trafiquer ses chiffres et balancer des affirmations totalement infondées (toute ressemblance avec un polé-mickey dont le nom commence par "Zem" et fini par "mour" est complètement fortuite ), je n'ai pas besoin de lire le livre pour savoir que je dois me méfier, que je ne pourrai pas me fier à son contenu et qu'il faudra que je vérifie tout point par point.

    Et si c'est pour lire un ramassis d'inepties, du coup je ne prendrais même pas la peine de lire le livre, autant aller lire les autres sources directement.

  6. #26
    Expert éminent
    Avatar de Matthieu Vergne
    Homme Profil pro
    Consultant IT, chercheur IA indépendant
    Inscrit en
    Novembre 2011
    Messages
    2 261
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Consultant IT, chercheur IA indépendant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Novembre 2011
    Messages : 2 261
    Points : 7 748
    Points
    7 748
    Billets dans le blog
    3
    Par défaut
    Citation Envoyé par Zirak Voir le message
    Oui enfin si je sais que l'auteur est réputé pour trafiquer ses chiffres et balancer des affirmations totalement infondées [...], je n'ai pas besoin de lire le livre pour savoir que je dois me méfier, que je ne pourrai pas me fier à son contenu et qu'il faudra que je vérifie tout point par point.
    On est d'accord. À toi de voir si ça vaut la peine ou non de faire cet effort. Un avantage du code est que tu as les données d'origine, pas juste les résultats avec (si chanceux) leur soi-disante source. Il est donc bien plus facile de vérifier.

    Citation Envoyé par Zirak Voir le message
    Et si c'est pour lire un ramassis d'inepties, du coup je ne prendrais même pas la peine de lire le livre, autant aller lire les autres sources directement.
    Voilà, ça je suis d'accord. On fait l'effort de vérifier le code, ou on ne le fait pas. Dans le premier cas, soit on constate que c'est un bon code et on l'utilise, soit on a des gros doutes et on ne l'utilise pas (ou on corrige si on peut/veut). Dans le second cas, soit on fait confiance à la communauté et on utilise, soit on ne fait pas confiance et on ne l'utilise pas.

    Citation Envoyé par Pierre GIRARD Voir le message
    Si le même logiciel avait été produit par DAECH (même en OpenSource), tiendrais-tu le même langage rassurant et lénifiant ???
    Hum... il n'est pas question de rassurer, je ne t'ai pas dit d'utiliser le code de la NSA, ni que tu devais forcément faire confiance à la communauté. Ce dont je parle est de mettre les bons arguments, et c'est là tout l'intérêt du raisonnement : juger par l'auteur ou par la couverture, c'est de l'ordre de l'irrationel (c'est pas nécessairement faux, mais juste pas réfléchi, c'est de l'ordre de la corrélation). C'est une réponse automatique qui a de la valeur en situation d'urgence et qu'on tient de notre histoire d'homo-sapiens pour s'économiser des tracas. Dans le cas qui nous intéresse, où on a la possibilité de prendre le temps et de s'organiser pour faire une étude approfondie du code, ce genre d'argument est clairement un biais cognitif qui n'a pas lieu d'être. On peut le suivre, j'ai rien contre ceux qui le font, mais il faut rester honnête : c'est pour s'épargner l'effort de faire une étude approfondie, parce qu'on se doute qu'une étude superficielle ne serait pas suffisante, et non pas parce que ce code pourrait avoir des défauts qu'on ne puisse pas découvrir ("on" = la communauté, pas soi tout seul dans son coin).

    Par ailleurs, étiqueter des idées avec des notions ayant de mauvaises connotations est un moyen de faire croire aux gens que ces idées sont fondamentalement mauvaises. Des techniques qui exploitent ce style de biais cognitif sont géniaux pour éviter les débats. Quand on est conscient de ce genre de chose on apprend à passer outre les connotations et à mettre les mains dans le cambouis pour voir ce qu'il en est dans les faits. Si on veut s'économiser cet effort, pas de soucis, mais encore une fois restons honnête : on ne le vérifie pas pour s'économiser cet effort, et non parce qu'il se peut qu'on nous cache des choses (un code ouvert ne se cache justement pas). Bien entendu, je ne dis rien des codes tierces qui ne seraient pas open source, ceux-là ont tout intérêt à générer de la méfiance, mais pour ce qui est du code ouvert, l'argument de la confiance ne tient plus. C'est un choix de compromis entre risques et efforts : si les deux sont élevés, je passe.
    Site perso
    Recommandations pour débattre sainement

    Références récurrentes :
    The Cambridge Handbook of Expertise and Expert Performance
    L’Art d’avoir toujours raison (ou ce qu'il faut éviter pour pas que je vous saute à la gorge {^_^})

  7. #27
    Expert éminent

    Homme Profil pro
    Retraité
    Inscrit en
    Septembre 2002
    Messages
    2 160
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 72
    Localisation : France, Loire Atlantique (Pays de la Loire)

    Informations professionnelles :
    Activité : Retraité

    Informations forums :
    Inscription : Septembre 2002
    Messages : 2 160
    Points : 6 476
    Points
    6 476
    Billets dans le blog
    2
    Par défaut
    Attention, je ne dis pas que SIMP cache quelque chose, mais que la NSA peut cacher quelque chose. Connaissant/maitrisant parfaitement le code de SIMP la NSA peut parfaitement avoir dans le même temps écrit des programmes pouvant passer outre à SIMP. Du coup, les utilisateurs en croyant « fortifier leurs réseaux contre les cyber-menaces », le protège de tout ... sauf d'autres logiciel écrits eux aussi par la NSA et contournant leurs propres protections.
    Pierre GIRARD

  8. #28
    Expert éminent
    Avatar de Matthieu Vergne
    Homme Profil pro
    Consultant IT, chercheur IA indépendant
    Inscrit en
    Novembre 2011
    Messages
    2 261
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Consultant IT, chercheur IA indépendant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Novembre 2011
    Messages : 2 261
    Points : 7 748
    Points
    7 748
    Billets dans le blog
    3
    Par défaut
    Citation Envoyé par Pierre GIRARD Voir le message
    Attention, je ne dis pas que SIMP cache quelque chose, mais que la NSA peut cacher quelque chose.
    Oui mais ça c'est vrai pour n'importe quel projet Open Source lié à des processus critiques. Sur ce seul argument on n'utiliserai jamais la solution de quiconque, sous prétexte que l'auteur pourrait connaître un moyen bien caché de cracker son propre système. Avec cet argument, n'utilise pas TOR non plus, ni même Tails, on ne sait jamais.
    Site perso
    Recommandations pour débattre sainement

    Références récurrentes :
    The Cambridge Handbook of Expertise and Expert Performance
    L’Art d’avoir toujours raison (ou ce qu'il faut éviter pour pas que je vous saute à la gorge {^_^})

  9. #29
    Expert éminent Avatar de BufferBob
    Profil pro
    responsable R&D vidage de truites
    Inscrit en
    Novembre 2010
    Messages
    3 035
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : responsable R&D vidage de truites

    Informations forums :
    Inscription : Novembre 2010
    Messages : 3 035
    Points : 8 400
    Points
    8 400
    Par défaut
    disposer du code source ne veut pas dire qu'on a les compétences pour faire un audit sécurité dessus et encore moins pour identifier des backdoors éventuelles, c'est même étrange qu'il faille relever ça tant on pourrait penser que le seul bon sens suffit à le comprendre quelque part...

    juste pour illustrer rapidement, on dispose du code source du noyau Linux, pourtant -et parmis les milliers de lignes de code qu'on devrait lire en cherchant- qui cause suffisamment bien C et à l'oeil suffisamment vif pour diagnostiquer que ce truc est une backdoor ? :
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    if ((options == (__WCLONE|__WALL)) && (current->uid = 0))
            retval = -EINVAL;
    la "communauté" a beau avoir accès au code source, ce qui a sauvé le noyau ce jour là (~2003) c'est le protocole d’approbation des changements dans le noyau, Maurice s'est rendu compte que Robert avait commit sans que personne ait approuvé son commit, la communauté elle était à l'école en train d'apprendre à coder Java...

    alors pareil, je dis pas que NSA a backdooré son outil, mais je ne leur fait pas confiance, et si je ne suis pas le seul et qu'ils ont un déficit dans l'opinion publique aujourd'hui ils l'ont bien cherché et c'est à mon sens le seul et unique pouvoir réel qu'on ait sur eux, la seule façon concrète qu'on a de dire "on est pas d'accord, vous nous gonflez"

    à l'inverse dire "ne vous plaignez pas ou allez auditer le code" comment dire... ça ressemble à un traquenard pour neuneu, "c'est simple, il suffit de faire ça" sauf qu'en pratique personne n'est vraiment à même de pouvoir appliquer le principe, on pourrait croire à une astuce politique et c'est probablement le genre d'argument qui aurait pu être prononcé tel quel par le département d'état américain en fait

  10. #30
    Expert éminent

    Homme Profil pro
    Retraité
    Inscrit en
    Septembre 2002
    Messages
    2 160
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 72
    Localisation : France, Loire Atlantique (Pays de la Loire)

    Informations professionnelles :
    Activité : Retraité

    Informations forums :
    Inscription : Septembre 2002
    Messages : 2 160
    Points : 6 476
    Points
    6 476
    Billets dans le blog
    2
    Par défaut
    Citation Envoyé par Matthieu Vergne Voir le message
    Oui mais ça c'est vrai pour n'importe quel projet Open Source lié à des processus critiques. Sur ce seul argument on n'utiliserai jamais la solution de quiconque, sous prétexte que l'auteur pourrait connaître un moyen bien caché de cracker son propre système. Avec cet argument, n'utilise pas TOR non plus, ni même Tails, on ne sait jamais.
    Si TOR et Tails sont développés par la NSA ??? Alors, j'ai exactement les mêmes doutes pour les mêmes raisons. Cite moi un seul cas où la NSA pourrait en quoi que ce soit rassurer les Européens ? Pour moi, la NSA se comporte avec nous comme n'importe quel organisme terroriste ... sauf qu'il a encore plus de moyens que les autres.

    Alors, pourquoi la NSA se mettrait-elle à faire l'inverse de ce qu'elle fait depuis sa création ??? à savoir espionner tous ses alliés par tous les moyens possibles et imaginables.

    Désolé, mais ils se sont eux-mêmes rendus incrédibles.
    Pierre GIRARD

  11. #31
    Modérateur
    Avatar de sevyc64
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Janvier 2007
    Messages
    10 188
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 51
    Localisation : France, Pyrénées Atlantiques (Aquitaine)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : Janvier 2007
    Messages : 10 188
    Points : 28 051
    Points
    28 051
    Par défaut
    TOR est un projet totalement Open source et ouvert, initié au départ et actuellement financé à hauteur de 60% par le gouvernement américain.

    Tails est une distribution Linux qui se veut sécurisée sous forme de live CD qui d’appui énormément sur le réseau TOR.

    Donc oui, TOR, à l'image de SIMP est open source. Le code est disponible et analysable, etc ....
    Oui TOR, à l'image de SIMP, reçoit une forte contribution de groupes liés au gouvernement américain.
    Oui pour TOR comme pour SIMP, si l'on ne veut pas accorder notre confiance à ces groupes et que l'on voit la conspiration dans tout ce qu'ils touchent, oui, il faut se méfier de TOR tout autant que de SIMP

    2nd point : En quoi la NSA aurait à rassurer l’Europe. La NSA est un service gouvernemental américain au service de l'Etat américain avec pour mission d'en assurer la sécurité. La NSA se contre-fiche de l'Europe, elle ne bosse que pour le citoyen américain.
    Et tout ce qui n'est pas américain peut-être potentiellement un jour ennemie de l'Amérique, Europe y compris.
    --- Sevyc64 ---

    Parce que le partage est notre force, la connaissance sera notre victoire

  12. #32
    Expert éminent
    Avatar de Matthieu Vergne
    Homme Profil pro
    Consultant IT, chercheur IA indépendant
    Inscrit en
    Novembre 2011
    Messages
    2 261
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Consultant IT, chercheur IA indépendant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Novembre 2011
    Messages : 2 261
    Points : 7 748
    Points
    7 748
    Billets dans le blog
    3
    Par défaut
    Citation Envoyé par Pierre GIRARD Voir le message
    Si TOR et Tails sont développés par la NSA ??? Alors, j'ai exactement les mêmes doutes pour les mêmes raisons. Cite moi un seul cas où la NSA pourrait en quoi que ce soit rassurer les Européens ? Pour moi, la NSA se comporte avec nous comme n'importe quel organisme terroriste ... sauf qu'il a encore plus de moyens que les autres.

    [...]

    Désolé, mais ils se sont eux-mêmes rendus incrédibles.
    Désolé mais je ne fais pas dans le sentimentalisme. La NSA ce n'est pas une personne douée de raison, c'est une organisation complexe où les objectifs varient d'une personne à l'autre, et où certains font des super choses (sinon ça ne marcherai pas), d'autres font des choses horribles (sinon on n'en parlerai pas comme aujourd'hui), d'autres jouent les fonctionnaires (ça tout le monde y a droit), et dans tous les cas avec certains qui s'en rendent compte (notamment les plus doués et les décideurs) et d'autres non (notamment les intermédiaires qui n'ont pas toutes les infos). Partir du principe que c'est "la NSA" qui a développé X, ça permet de faire des phrases courtes, mais ça n'est pas représentatif de la réalité : tous les employés de la NSA ne se sont pas mis de concert à travailler sur X en ayant tous en tête le même objectif. Loin de moi l'idée de dire que "ça arrive, on va pas leur en vouloir", mais mettre tous les oeufs dans le même panier ça n'a pas plus de valeur niveau raisonnement. Alors oui, ils ont fait X, Y et Z qui se sont retrouvés médiatisés et ont fait le buzz. Et après, est-ce que ça veut dire que 100% de ce qu'ils font est à jeter et forcément destiné à nous transformer en moutons dociles? Pour moi c'est jouer les réductionnistes mal assumés. Ce n'est pas parce qu'une poignée (et j'ose dire minorité) de gens d'une entreprise ont fait des coups en douce que tous les gens de la boîte doivent se faire traiter de traîtres.

    Citation Envoyé par Pierre GIRARD Voir le message
    Alors, pourquoi la NSA se mettrait-elle à faire l'inverse de ce qu'elle fait depuis sa création ??? à savoir espionner tous ses alliés par tous les moyens possibles et imaginables.
    Je n'ai que faire de ce qu'elle compte faire, ou de ce qu'elle dira compter faire. Elle fera ce qu'elle fera et les gens concernés répondrons en conséquence. Ce que je sais, c'est que quand on me dit "tu peux utiliser ça, mais je te dis pas comment c'est fait", je ne l'utilise pas à moins d'avoir confiance en cette personne, alors que quand on me dit "tu peux utiliser ça, et voilà la clé pour regarder à l'intérieur", je me fiche pas mal de qui me le donne, mais je ne l'utilise pas avant d'avoir regardé. Une fois que tu as regardé, ça ne dépend plus que de toi, et non de la confiance que tu as en celui qui te l'a filé.

    Un outil, ça n'est ni bien ni mauvais. Ce qui fait pencher la balance, c'est l'utilisation qu'on en fait. Si tu utilises sans savoir, alors tu fais confiance, si tu sais, alors tu juge.
    Site perso
    Recommandations pour débattre sainement

    Références récurrentes :
    The Cambridge Handbook of Expertise and Expert Performance
    L’Art d’avoir toujours raison (ou ce qu'il faut éviter pour pas que je vous saute à la gorge {^_^})

  13. #33
    Expert éminent

    Homme Profil pro
    Retraité
    Inscrit en
    Septembre 2002
    Messages
    2 160
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 72
    Localisation : France, Loire Atlantique (Pays de la Loire)

    Informations professionnelles :
    Activité : Retraité

    Informations forums :
    Inscription : Septembre 2002
    Messages : 2 160
    Points : 6 476
    Points
    6 476
    Billets dans le blog
    2
    Par défaut
    Citation Envoyé par Matthieu Vergne Voir le message
    ...Un outil, ça n'est ni bien ni mauvais. Ce qui fait pencher la balance, c'est l'utilisation qu'on en fait. Si tu utilises sans savoir, alors tu fais confiance, si tu sais, alors tu juge.
    Encore une fois, je ne parle pas de l'outil, mais de l'auteur de l'outil, de ce qu'il a fait et de ce qu'il est encore capable de faire. Je ne fais pas plus confiance en la NSA qu'en un repris de justice multi-récidiviste. Le meilleurs outil du monde sortant de la NSA sera suspect ... et je n'y suis personnellement pour rien. C'est la NSA elle-même qui s'est discréditée aux yeux du monde en général et des Européens en particulier.

    Donc, SIMP est la serrure inviolable, et la NSA en est le serrurier.
    Pierre GIRARD

  14. #34
    Expert éminent
    Avatar de Matthieu Vergne
    Homme Profil pro
    Consultant IT, chercheur IA indépendant
    Inscrit en
    Novembre 2011
    Messages
    2 261
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Consultant IT, chercheur IA indépendant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Novembre 2011
    Messages : 2 261
    Points : 7 748
    Points
    7 748
    Billets dans le blog
    3
    Par défaut
    Citation Envoyé par Pierre GIRARD Voir le message
    Encore une fois, je ne parle pas de l'outil, mais de l'auteur de l'outil
    Dans ce cas je suis d'accord, mais la phrase suivante et toutes tes allusions que SIMP, bof bof, n'ont rien à faire là, car là tu juges bel et bien l'outil.

    Citation Envoyé par Pierre GIRARD Voir le message
    Donc, SIMP est la serrure inviolable, et la NSA en est le serrurier.
    Et alors ? Une fois qu'on est d'accord que la NSA il ne faut pas lui faire confiance, que dis-tu de SIMP ? C'est ça le sujet, pas la NSA.

    En relisant tes posts, une autre interprétation que je verrais à tes propos serait que tu fais un amalgame entre le fait de savoir comment fonctionne une chose et avoir les moyens de dévier sa fonction (ou de la rendre inopérante) : les algorithmes à clés privés, l'algorithme est connu par tous, ça ne le rend pas pour autant inexploitable. Heureusement que quand un nouvel algo de crypto sort, sa robustesse ne dépend pas de la confiance qu'on porte à son auteur. On se fiche pas mal de son auteur, il pourrait être le meilleur des samaritains, si son algo laisse fuiter la clé privé, son algo il peut se le garder. Là c'est pareil, si des études approfondies montrent que le code est robuste, alors NSA ou pas ne change rien à ça.

    L'exemple de ta serrure et ton serrurier, c'est l'équivalent du code propriétaire : tu ne sais pas comment ça fonctionne et c'est ton serrurier qui a la main dessus. Dès lors que c'est open source, ta serrure tu en as les plans, la documentation, tu peux régler la serrure et faire la clé qui correspond pour que seul toi puisse jouer le serrurier. Est-ce que c'est facile ? Pas forcément, ça peut demander un gros effort de prise en main (ce qui traduit le sérieux de l'auteur vis à vis de l'ouverture de son code, au passage), mais ça n'a rien d'impossible.
    Site perso
    Recommandations pour débattre sainement

    Références récurrentes :
    The Cambridge Handbook of Expertise and Expert Performance
    L’Art d’avoir toujours raison (ou ce qu'il faut éviter pour pas que je vous saute à la gorge {^_^})

  15. #35
    Expert éminent

    Homme Profil pro
    Retraité
    Inscrit en
    Septembre 2002
    Messages
    2 160
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 72
    Localisation : France, Loire Atlantique (Pays de la Loire)

    Informations professionnelles :
    Activité : Retraité

    Informations forums :
    Inscription : Septembre 2002
    Messages : 2 160
    Points : 6 476
    Points
    6 476
    Billets dans le blog
    2
    Par défaut
    Citation Envoyé par Matthieu Vergne Voir le message
    ...Et alors ? Une fois qu'on est d'accord que la NSA il ne faut pas lui faire confiance, que dis-tu de SIMP ? C'est ça le sujet, pas la NSA....
    Je dis que SIMP est probablement excellent pour protéger un réseau de toute intrusion ... sauf des intrusions de la NSA qui a probablement écrit en parallèle un autre outil pour contourner sa propre protection.

    Par ailleurs, il a fallu combien de temps avant de détecter les failles dans "OpenSSL" ... qui lui aussi était OpenSource ? Mais bon, pour le moment, on va supposer que SIMP n'a aucune faille.
    Pierre GIRARD

  16. #36
    Expert éminent
    Avatar de Matthieu Vergne
    Homme Profil pro
    Consultant IT, chercheur IA indépendant
    Inscrit en
    Novembre 2011
    Messages
    2 261
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Consultant IT, chercheur IA indépendant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Novembre 2011
    Messages : 2 261
    Points : 7 748
    Points
    7 748
    Billets dans le blog
    3
    Par défaut
    Citation Envoyé par Pierre GIRARD Voir le message
    Par ailleurs, il a fallu combien de temps avant de détecter les failles dans "OpenSSL" ... qui lui aussi était OpenSource ? Mais bon, pour le moment, on va supposer que SIMP n'a aucune faille.
    Qui a dit que SIMP n'a aucune faille ? Merci de ne pas faire dire aux autres ce qu'ils ne disent pas juste pour tourner leurs arguments en ridicule (il va falloir que je ressorte "L'art d'avoir toujours raison"). Surtout si c'est pour faire passer des exceptions pour des règles générales. Exceptions toutes relatives d'ailleurs :
    - Heartbleed a été introduite en 2012 et détectée en 2014
    - OpenSSL existe depuis 1998
    Des failles dans OpenSSL, on en détectait avant. Heartbleed n'a pas été la première, seulement la première aussi médiatisée. Les failles publiées qui ont suivi en revanche ont montré au moins deux choses :
    - malgré que c'était Open Source et largement utilisé, trop peu de monde a vérifier le code, menant à des failles critiques mettant du temps à être détectées : la leçon a en tirer est "regardez le code" et arrêtez de faire confiance à Dieu sait qui pour Dieu sait quelle raison obscure. Avant d'utiliser un outil, on apprend à le connaître, sinon on risque de se blesser.
    - néanmoins, une fois OpenSSL médiatisé grâce (sic) à Heartbleed, c'est une ribambelle de programmeurs qui s'est mis à éplucher le code, menant à toutes ces failles découvertes : la leçon a en tirer est que l'Open Source offre une capacité de vérification qui dépend de la célébrité du projet, et non pas uniquement du bon vouloir de son auteur, ce qui est une bonne chose

    Je rajouterai qu'une faille qui est détectée au bout de 2 ans et corrigée dans la foulée, tu m'excuseras mais ça me semble mieux que la politique de correction de bugs de certaines grandes entreprises qui font des logiciels propriétaires grand public et qui mettent des années à corriger (quand ils ne refusent pas carrément). De plus, si une faille telle que Heartbleed devait être découverte dans un tel logiciel propriétaire, non seulement l'entreprise en question ferait son possible pour étouffer l'affaire, question de bénéfices, mais même une fois médiatisé on n'aurait pas la possibilité d'avoir une communauté d'experts pour se pencher sur le code, donc la détection de failles s'arrêterait là car l'entreprise ne le ferait de toute façon pas elle-même, vu qu'elle a d'autres priorités.

    Je pense que tu ferais mieux d'arrêter là avant de finir par troller. Parce que là on n'en est pas loin.
    Site perso
    Recommandations pour débattre sainement

    Références récurrentes :
    The Cambridge Handbook of Expertise and Expert Performance
    L’Art d’avoir toujours raison (ou ce qu'il faut éviter pour pas que je vous saute à la gorge {^_^})

  17. #37
    Membre à l'essai
    Inscrit en
    Janvier 2009
    Messages
    9
    Détails du profil
    Informations forums :
    Inscription : Janvier 2009
    Messages : 9
    Points : 12
    Points
    12
    Par défaut NSA BRAVO
    le comble c'est que certaines personnes tomberont dans la face, pour ma part, La NSA assurera votre sécurité à votre place. c'est un outil qui leur permettra d'avoir de plus en plus de cibles.
    Dans un monde ou l'industrie informatique avance à grand pas et que près de 70% de population mondiale à accès, sera le maitre celui qui arrive à implanter des mouchards, portes dérobées ou autres espèces de réseaux bots pour le contrôle de la plus grande armée. C'est fascinant et inquiétant quand on sait qu'un virus virtuel peut causer des dommages physiques...
    Like Armeloo CIV

  18. #38
    Expert éminent

    Homme Profil pro
    Retraité
    Inscrit en
    Septembre 2002
    Messages
    2 160
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 72
    Localisation : France, Loire Atlantique (Pays de la Loire)

    Informations professionnelles :
    Activité : Retraité

    Informations forums :
    Inscription : Septembre 2002
    Messages : 2 160
    Points : 6 476
    Points
    6 476
    Billets dans le blog
    2
    Par défaut
    Tu n'as pas compris le sens de ma remarque, je suis un grand défenseur de l'OpenSource et 90% de ce que j'utilise quotidiennement l'est. Ce que je voulais dire est que ça n'est pas parce que c'est OpenSource que les failles sont automatiquement détectées. Et même avec tous les moyens mis en œuvre pour OpenSSL, rien ne garanti qu'il n'en reste plus aucune. Donc même si on mettait les mêmes moyens pour SIMP que pour OpenSSL, ça serait pareil.

    Mais, je l'ai déjà dis, c'est pas à ce niveau là que j'émet des doutes concernant la NSA. Le problème est qu'une serrure inviolable ne l'est que dans la mesure où son inventeur n'a pas mis au point un passe partout en même temps que la serrure. Ce passe partout est absolument indétectable, vu qu'il ne fait pas partie de la serrure. Les meilleurs spécialistes verront donc juste une serrure inviolable et rien d'autre.
    Pierre GIRARD

  19. #39
    Inactif  

    Homme Profil pro
    NR
    Inscrit en
    Juin 2013
    Messages
    3 715
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Suisse

    Informations professionnelles :
    Activité : NR
    Secteur : Aéronautique - Marine - Espace - Armement

    Informations forums :
    Inscription : Juin 2013
    Messages : 3 715
    Points : 1 184
    Points
    1 184
    Billets dans le blog
    9
    Par défaut
    le comble c'est que certaines personnes tomberont dans la face, pour ma part, La NSA assurera votre sécurité à votre place. c'est un outil qui leur permettra d'avoir de plus en plus de cibles.
    N'utilise pas de logiciel open source dans ce cas, car la NSA a contribué a énormément d'outils de sécurité open source.
    Sa ne date pas d'hier, c'est depuis sa création qu'ils le font.

    Il y'a d'autre acteurs encore plus obscure qui contribue a de grand projet open source vous savez.


    Dire que parce que la NSA crée un outils de sécurité et qu'il ne faut pas l'utiliser c'est une hérésie, dans ce cas mettez Windows ou mac dans vos serveur, car la NSA contribue au noyaux linux. Je dirais que les outils open source plus fiable serait ceux ou il y'a le plus de contributeurs.

    L'objectif de la NSA n'est pas d'espionner tous le monde, mais d'assurer la sécurité des Etat Unis, il peuvent passer par l'espionnage de masse y compris des pays allier (on peut critiquer cette méthode), mais peuvent aussi développer de puissants logiciels open source pour sécurisé les infrastructure qu'ils doivent défendre, et la c'est une méthode plus qu'honorable.

  20. #40
    Expert éminent
    Avatar de Matthieu Vergne
    Homme Profil pro
    Consultant IT, chercheur IA indépendant
    Inscrit en
    Novembre 2011
    Messages
    2 261
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Consultant IT, chercheur IA indépendant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Novembre 2011
    Messages : 2 261
    Points : 7 748
    Points
    7 748
    Billets dans le blog
    3
    Par défaut
    Citation Envoyé par Pierre GIRARD Voir le message
    Tu n'as pas compris le sens de ma remarque
    Ça c'est toujours possible.

    Citation Envoyé par Pierre GIRARD Voir le message
    Ce que je voulais dire est que ça n'est pas parce que c'est OpenSource que les failles sont automatiquement détectées. Et même avec tous les moyens mis en œuvre pour OpenSSL, rien ne garanti qu'il n'en reste plus aucune.
    Et personne n'a dit le contraire, pour autant que je sache. Surtout que quand on a touché un peu à la sécurité, on sait que les systèmes 100% sûrs ne courent pas les rues. Un système est sûr jusqu'à ce qu'on prouve le contraire, et c'est pour ça que je m'obstine à dire "regardez le code", parce que ce n'est que comme ça qu'on pourra clairement statuer que SIMP (ou quoi que ce soit d'autre) n'est pas sûr. Et non seulement ça, mais en plus on pourra dire pourquoi, ce qui permettra à d'autres de chercher des solutions à ces problèmes. C'est là que la communauté Open Source a son utilité : l'un va découvrir ceci, l'autre va découvrir cela, un autre encore va régler un problème découvert précédemment, etc. Il n'est pas question d'être tellement compétent tout seul qu'on puisse vérifier l'ensemble du code pour certifier qu'il est 100% sûr, ou qu'on puisse régler tous ses problèmes.

    Ceux qui avancent que tel logiciel n'est pas sûr sans même avoir regardé une seule ligne de code brassent du vent : aucun logiciel n'est sûr, ça n'apporte rien de le dire. Si on veut dire quelque chose d'utile, il faut dire en quoi. L'argument "parce que c'est la NSA qui l'a fait" n'apporte rien au moulin, comme expliqué auparavant (ou sinon dis-moi où j'ai tort dans mon raisonnement).

    Citation Envoyé par Pierre GIRARD Voir le message
    Mais, je l'ai déjà dis, c'est pas à ce niveau là que j'émet des doutes concernant la NSA. Le problème est qu'une serrure inviolable ne l'est que dans la mesure où son inventeur n'a pas mis au point un passe partout en même temps que la serrure. Ce passe partout est absolument indétectable, vu qu'il ne fait pas partie de la serrure. Les meilleurs spécialistes verront donc juste une serrure inviolable et rien d'autre.
    Faux, archi-faux, justement ! Si l'auteur a fait un passe partout, il faut forcément que ce passe-partout soit accepté par la serrure, il faut donc que ladite serrure soit construite de telle manière à ce que ce passe-partout fonctionne dessus. Et c'est justement en analysant la serrure que tu pourras voir qu'est-ce qui permet de l'ouvrir, et donc quel type de passe-partout peut fonctionner dessus. À partir de là, on s'en fiche pas mal que la NSA ait ce fameux passe partout ou non, tout comme on se fiche pas mal que quiconque d'autre ait un tel passe-partout : si quelqu'un peut en utiliser un, alors le système n'est pas inviolable, et donc non merci (ou on corrige si on peut). On n'a même pas besoin de savoir ce qu'est exactement le passe-partout : il suffit d'identifié l'existence d'un passe-partout, même sans en connaître toutes ses propriétés.

    C'est quoi un système inviolable ? C'est un système dont (i) on a prouvé qu'il ne peut pas être violé dès lors que certaines conditions sont réunies et (ii) on a montré que lesdites conditions sont réunies. Le chiffre de Vernam par exemple est un système inviolable, à condition que:
    • La clé soit au moins aussi longue que le message à chiffrer.
    • La clé soit totalement aléatoire.
    • Chaque clé ne doit être utilisée qu'une seule fois.

    Si une seule de ces conditions n'est pas respectée, l'inviolabilité n'est pas garantie.

    Maintenant, pour savoir si un système qu'on ne connaît pas (encore) est inviolable, il faut l'étudier pour identifier les conditions nécessaires à son inviolabilité. Et pour ça on n'a pas le choix, il faut mettre le nez dedans, d'où l'intérêt de l'Open Source. Si on ne met pas son nez dedans, ces conditions on n'est pas prêt de les identifier, donc on pourra dire ce qu'on voudra. Si on démontre que pour que ce système soit inviolable, il faut respecter des conditions (e.g. telle donnée doit être traitée de telle manière) qui ne sont pas respectées (e.g. SIMP les traite de telle autre manière), alors on aura trouvé une faille du système et on pourra penser à la corriger, quitte à forker le projet si la NSA refuse le pull request (vive le fork !). Et même si la NSA (enfin certaines personnes à la NSA) ou qui que ce soit d'autre connaît le code sur le bout des doigts, si on passe par une analyse en profondeur pour établir des preuves formelles (et pour cela on peut s'aider d'outils existants), les garanties sont celles données par ces preuves. Ton serrurier pourra connaître tous les secrets de ta serrure, si elle est formellement prouvée inviolable, elle le sera y compris pour lui.

    Quand tu dis que "une serrure inviolable ne l'est que dans la mesure où son inventeur n'a pas mis au point un passe partout en même temps que la serrure", ça ne vaut que dans le cas où tu n'a pas la capacité de le vérifier, ce qui est valable pour les logiciels propriétaires. Ton argument aurait tout son sens dans ce cadre. Mais ce n'est pas ce qui nous concerne ici, car là le système est ouvert et donc n'importe qui peut regarder dedans (dès lors qu'il en a la volonté). Ton argument n'a du sens que si personne n'exploite la possibilité qu'offre l'Open Source, à savoir vérifier ledit code indépendamment de son auteur. L'Open Source permet justement de retirer le secret nécessaire à ton argument.
    Site perso
    Recommandations pour débattre sainement

    Références récurrentes :
    The Cambridge Handbook of Expertise and Expert Performance
    L’Art d’avoir toujours raison (ou ce qu'il faut éviter pour pas que je vous saute à la gorge {^_^})

Discussions similaires

  1. outils géo-décisionnel open-source
    Par purplebamboo dans le forum SIG : Système d'information Géographique
    Réponses: 6
    Dernier message: 24/06/2010, 11h44
  2. Outils géo-décisionnels open source
    Par purplebamboo dans le forum Approche théorique du décisionnel
    Réponses: 2
    Dernier message: 23/06/2010, 13h06
  3. Réponses: 0
    Dernier message: 19/06/2009, 15h36
  4. Réponses: 0
    Dernier message: 19/06/2009, 15h36

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo