Le FBI a-t-il introduit des portes dérobées dans OpenBSD ?

Posté par  . Modéré par j.
Étiquettes :
3
22
déc.
2010
OpenBSD
Le système d'exploitation OpenBSD réputé pour sa robustesse (seulement deux vulnérabilités à distance dans l'installation par défaut, depuis très longtemps) aurait contenu des portes dérobées déposées volontairement par le FBI. Ces backdoors (portes dérobées) auraient été introduites dans le système d'exploitation il y a une dizaine d'années.

Rappelons qu'à l'époque ce système d'exploitation était celui des 13 serveurs DNS racine. En raison de l'expiration du délai de la clause de confidentialité signée avec le FBI, c'est Gregory Perry, un ancien contributeur du projet de cryptographie d'OpenBSD qui nous révèle ça.

Le but était de surveiller la circulation de données chiffrées, en insérant du code malicieux dans la pile réseau IPSEC d'OpenBSD. Theo de Raadt, le fondateur du projet OpenBSD, incite les utilisateurs de ce système à faire un audit du code concerné.

NdM : À ce jour, il est de rigueur d'être prudent : sur la liste de diffusion OpenBSD, Jason L. Wright explique que c'est un problème qui n'est plus d'actualité et relève de la légende urbaine. L'audit de code lancé par les développeurs a permis de trouver au moins deux bugs mais il serait hasardeux de les relier aux allégations de Gregory Perry. Pour plus de détails voir le nouveau mail de Theo de Raadt.

NdM 2 : A la suite des précisions apportées dans les commentaires de cette dépêche il s'avère que Gregory Perry n'a jamais été un contributeur du projet OpenBSD et que cet OS n'était pas installé sur les serveurs DNS racine.

Aller plus loin

  • # Information vraie ou fausse ?

    Posté par  (site web personnel) . Évalué à 7.

    Qu'y a-t-il de vrai ? Est-ce un FUD pour discréditer BSD ? Les discussions entre modérateurs ont été animées pour savoir si c'était une information ou un sujet à polémiques (à trolls) et si la dépêche pouvait être publiée.

    Des backdoors, on en a trouvé dans d'autres systèmes d'exploitation. Des autorités gouvernementales ont été suspectées ou incriminées. Le fait que Theo de Raadt ne traite pas cela par le mépris est à prendre en compte.

    En fin de compte, c'est à chacun de se faire une opinion.
    • [^] # Re: Information vraie ou fausse ?

      Posté par  . Évalué à 10.

      Si tu lis le mail http://marc.info/?l=openbsd-tech&m=129296046123471&w(...) , Théo exprime (très clairement, joli mail) qu'il n'y a rien d'alarmant pour l'instant. La faille introduite aurait pu l'être que dans les produits utilisant OpenBSD par exemple.

      Il est trop tôt pour se faire une opinion.

      Ce qui en ressort, c'est la transparence que le modèle open-source impose. C'est quasi sur que dans un système sans accès au source, ça serait resté en interne, au moins jusqu'à ce que l'on tire les choses au clair.
    • [^] # Re: Information vraie ou fausse ?

      Posté par  (site web personnel) . Évalué à 1.

      Qu'y a-t-il de vrai ? Est-ce un FUD pour discréditer BSD ? Les discussions entre modérateurs ont été animées pour savoir si c'était une information ou un sujet à polémiques (à trolls) et si la dépêche pouvait être publiée.

      En quoi est ce que les modérateurs doivent décider si la news est un troll ou pas avant de la publier? Il aurait fallu attendre la conclusion définitive de l'audit avant de décider si oui ou non la news est un troll?

      Est ce que ça n'aurait pas été mieux de publier uniquement les faits publier que de publier un truc avec 2 semaines de retard par rapport au mail orignal? La news parle plus des dns que des faits, rien d'intéressant ou de nouveau... Pourquoi ne pas avoir fait passer le journal ( http://linuxfr.org/~Zezinho/30572.html ) en news?
      • [^] # Re: Information vraie ou fausse ?

        Posté par  . Évalué à 5.

        Les modérateurs n'ont pas à décider si la dépêche est un Troll.
        Mais ils auraient très bien pu décider de boucler leur débat interne vendredi matin...
        ------------->[ ]
        • [^] # Re: Information vraie ou fausse ?

          Posté par  . Évalué à 9.

          Qu'est ce qu'il prennent dans le figure en ce moment les admins :-)

          Juste un mot pour qu'ils ne se pendent pas (je prétends parler au nom de presque tous, n'hésitez pas à compléter/corriger) :
          Personne n'est jamais content, mais c'est juste une mode locale. Nous tenons à vous, nous vous aimons beaucoup, vous êtes beaux.

          Quelqu'un a une meilleuer formulation ? Ca ne devrait pas être bien compliqué :-)
          • [^] # Re: Information vraie ou fausse ?

            Posté par  (site web personnel) . Évalué à 8.

            Merci.
            Nous avions pourtant tenter de moduler la dépêche en ajoutant une NdM bien claire....mais certains préfèrent gueuler que lire.
            • [^] # Re: Information vraie ou fausse ?

              Posté par  . Évalué à 2.

              Hé, les gars, c'est une blague hein!
              Moi aussi, je vous aime!
              • [^] # Re: Information vraie ou fausse ?

                Posté par  (site web personnel) . Évalué à 2.

                C'est plus le post de vosgien_ que je vise.
                • [^] # Re: Information vraie ou fausse ?

                  Posté par  . Évalué à 0.

                  Certains préfèrent gueuler plutôt que lire ?

                  Dans le cas présent c'est justement le fait d'avoir lu qui m'a fait gueuler. La NdM initiale ne corrigeant absolument rien aux calomnies que contient cette dépêche.

                  La deuxième NdM rectifie la news, mais pardonne moi l'expression de saison... cette dépêche est maintenant un vrai sapin de noël.
                  • [^] # Re: Information vraie ou fausse ?

                    Posté par  (site web personnel) . Évalué à 4.

                    >>> c'est justement le fait d'avoir lu qui m'a fait gueuler

                    Et c'est ça que je te reproche.
                    Pourquoi ne pas juste poster un commentaire rectificateur pour signaler les erreurs de la dépêche ? Tout le monde est reconnaissant quand quelqu'un apporte une information...mais la forme ça compte !
                    Est-ce que étais obligé d'employer des expressions comme "Mais qui valide la publication de ces torchons ?" ou du type "Comme à l'accoutumée sur Trollfr, encore un torchon inexact et bourré de raccourcis" ?

                    L'auteur de la news a fait deux erreurs dans son texte mais pourquoi est-ce que tu choisis d'interpréter ça comme des calomnies (donc ayant une intention malveillante) plutôt que comme de simples erreurs qu'il faut rectifier ?
                    • [^] # Re: Information vraie ou fausse ?

                      Posté par  . Évalué à -9.

                      Et c'est ça que je te reproche.

                      Il faudrait savoir... Soit tu me reproches de ne pas lire une news... soit tu me reproches de la lire. Que faire dans ces conditions mon cher patrick_g ?

                      Je vais me répéter... mais se prétendre un site d'information relativement technique dans le monde des logiciels libres et publier ça... WAW !

                      Pour être franc, rien que le fait que les modérateurs ne se soient pas urinés dessus en lisant la news m'atterre...
                      • [^] # Re: Information vraie ou fausse ?

                        Posté par  . Évalué à 3.

                        Pour être franc, rien que le fait que les modérateurs ne se soient pas urinés dessus en lisant la news m'atterre...

                        Pourquoi donc? Les moderateurs sont le reflet du lectorat, avec le meme niveau technique en moyenne (en plus d'etres benevoles), donc il n'y a rien d'etonnant. C'est pas la premiere fois qu'ils laissent passer une news toute pourrie et rajoute des Ndm qui finissent par etre plus longs que la news d'origine.

                        Au final, c'est corrige dans les commentaires (puis dans la news), donc c'est pas bien grave. La majorite des news sont plutot ok, c'est pas une ou deux bizarreries qui vont vraiment changer la face du site.

                        Et euh sinon, il y a vraiment des gens qui prennent LinuxFR pour un "site d'information relativement technique"?
                        • [^] # Re: Information vraie ou fausse ?

                          Posté par  . Évalué à 10.

                          Non, c'est tout-à-fait inadmissible que les modérateurs ne connaissent pas mieux que ça l'histoire d'OpenBSD et la liste exhaustive des contributeurs.
                          S'ils ne le savent pas par cœur, ils doivent l'étudier, ainsi que chaque élément d'une dépêche point par point.

                          Encore un peu et on va les excuser de ne pas connaître Wikipedia intégralement, zut à la fin! De qui se moque-t-on??

                          Plus sérieusement:
                          Il me semble que Linuxfr accueille à bras ouverts les contributeurs, et après un protocole d'acceptation de nouveaux modos.

                          vosgiens_: si tu te sens capable d'avoir la même analyse pertinente sur cet article en particulier que sur tous les autres articles publiés ici, et ce rapidement parce que les dépêches ne sont pas censées rester trop longtemps en modération (sinon ça gueule aussi), libre à toi de te proposer!
                          On verra si après avoir compris l'amplitude de la tâche tu seras toujours aussi vindicatif...

                          En attendant, ce site est modéré par des êtres humains avec leurs limites et leurs contraintes en termes de temps. Et finalement je trouve que c'est très bien comme ça.

                          Oh ciel! Linuxfr n'est pas parfait! Et ben non, il y a des erreurs dans cette dépêche, peut-être grosse de TON point de vue. Je peux prédire dès maintenant et sans risque qu'il y en aura d'autres, énormes pour quelqu'un qui maitrise le sujet et moins pour les autres...

                          Tu peux relever des erreurs, mais par respect pour les gens qui consacrent un temps fou pour faire de ce site ce qu'il est, avec un peu de retenue et d'humilité, merci pour eux!
            • [^] # Re: Information vraie ou fausse ?

              Posté par  (site web personnel) . Évalué à 7.

              Personnellement, ce qui me gène ce n'est pas le fait de parler de cette histoire, ou la rédaction de la dépêche qui n'est pas vraiment neutre. On est pas sur wikipedia et la note des modérateurs est en effet claire.

              Ce que je trouve particulièrement dommage c'est qu'il y a des informations fausses dans la dépêche et qu'elles n'ont toujours pas été corrigées malgré le passage de modérateurs dans le coin.

              Quand un commentaire signale des fautes d'orthographe, elles sont corrigées en 3 minutes. Ici il y a notamment le fait que Gregory Perry n'a jamais été un contributeur du projet, qui peut ce vérifier en 30 secondes en lisant le mail de Theo, qui reste en plein milieu de la dépêche et qui discrédite tout le reste.
              (Je suis d'accord que vérifier le coup des DNS avant de faire la correction peut prendre un peu plus de temps.)
              • [^] # Re: Information vraie ou fausse ?

                Posté par  (site web personnel) . Évalué à 8.

                Ben la correction de fautes d'ortho c'est anodin alors que le remplacement de phrases dans la dépêche c'est plus délicat vis à vis de l'auteur.
                Il y a l'école de ceux qui ne prennent pas de gants et qui changent les phrases de l'auteur.
                Il y a l'école de ceux qui ajoutent une NdM correctrice mais qui laissent la news telle quelle.
                Il y a l'école de ceux qui qui laissent la news telle quelle et n'ajoutent pas de NdM parce qu'ils pensent qu'avoir des commentaires qui corrigent les infos de la dépêche est suffisant.

                Comme je suis un centriste invétéré j'opte pour le choix médian et je vais updater la NdM.
                • [^] # Re: Information vraie ou fausse ?

                  Posté par  (site web personnel) . Évalué à 3.

                  Je suis tout à fait de ton avis sur le fait que ce genre de correction n'est pas anodine et que c'est plus délicat à faire que corriger une faute d'orthographe, c'est même pour cela que j'ai attendu pas mal de temps avant de commencer à critiquer gratuitement...

                  Pour ce qui est de la manière de modifier la news, tous les avis sont défendables et j'ai toujours du mal avec les extrêmes :
                  - changer la news sans qu'il n'y ait aucune trace de la modification n'est pas une bonne solution à mon avis et rend caduc certains commentaires, voir fil de discutions complets ;
                  - ne rien faire n'est pas non plus une bonne solution car tout le monde ne lit pas les commentaires ou, comme cela m'arrive souvent, lisent juste la news sur la page d'accueil sans allez voir plus loin.

                  Dans tous les cas merci d'avoir ajouté cette deuxième NdM, cela clarifie les choses. Mais histoire de pinailler et de bien montrer que LinuxFR mérite sa réputation de nid à troll, ne serait-il pas encore plus clair de rayer les informations fausses dans la news d'origine ? J'en appel à trolleurs professionnels afin d'avoir leur avis... (le mien étant que c'est déjà très bien comme ça....)
                • [^] # Re: Information vraie ou fausse ?

                  Posté par  . Évalué à 5.

                  Moi perso j'estime que si vous voulez etre totalement neutre, vous devriez envoyer les depeches a un groupe independant qui se chargerait des modifications.

                  Je proposes marketing@microsoft.com , car ils ne sont ni fanboys-BSD(Theo a jete un Whiskey-Coca sur la tete du directeur car il etait de mauvaise), ni fanboys-Linux(j'ai vraiment besoin de donner une raison la ?), ni fanboys-Debian(pas assez barbus, et ce sont en bonne partie des femmes), ni fanboys-Ubuntu (trop intelligents), ni fanboys-Redhat (les chapeaux rouges son trop voyants)
    • [^] # Re: Information vraie ou fausse ?

      Posté par  . Évalué à 10.

      Les discussions entre modérateurs ont été animées pour savoir si c'était une information ou un sujet à polémiques (à trolls) et si la dépêche pouvait être publiée.

      Il aura déja mieux valu chercher à vérifier l'information en elle-même, par exemple en lisant tout le fil de discussion sur tech@.

      Comme le dis très bien vosgien_ plus bas, nulle part il n'est fait mention de l'utilisation d'openbsd pour les root dns, ca ajoute juste une touche de sensationalisme, et 'gregory perry' n'a jamais été contributeur ou commiter OpenBSD. Il a certes bossé (avant de s'en faire virer apparamment) pour une boite qui avait contracté avec certains devs (jason, angelos) pour des développements particuliers à reverser dans le tree.

      Bref, c'est sur que c'est un beau troll, et du fud certifié pur porc à 90%.
      • [^] # Re: Information vraie ou fausse ?

        Posté par  (site web personnel) . Évalué à 5.

        Cet article a au moins un intérêt, c'est de tordre le cou à pas mal de rumeurs qui circulent en ce moment sur le web.

        Le titre de l'article proposé était au conditionnel. Le fait de l'avoir mis à la forme interrogative permet d'apporter des réponses infirmant ou confirmant ces rumeurs. Les modérateurs ont fait preuve de modération !

        Aurait-il mieux valu refuser cet article ? Laisser courir la rumeur ? Le silence n'est pas toujours d'or !
  • # Et si finalement

    Posté par  . Évalué à -5.

    et si tout ceci ne profitait pas à RMS/GNU/merde/L4 Hurd qui, quant à lui part from scratch ?
    • [^] # Re: Et si finalement

      Posté par  . Évalué à 3.

      T'a juste rien compris, non ?
      C'est des patchs fait pour OpenBSD qui auraient ajouter cette faille. Faille qui n'existaient donc pas dans FreeBSD ni même dans BSD4.4.

      Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)

      • [^] # Re: Et si finalement

        Posté par  . Évalué à 1.

        Euh... le framework crypto d'OpenBSD ainsi que des parties de la stack IPsec ont été repris par les autres BSD. Comment est-ce que les éventuelles backdoor, ou tout du moins les problèmes trouvés récemment pourraient ne pas se retrouver chez les autres ?!?

        D'ailleurs, un certain nombre ont été corrigés dans OpenBSD, mais ne le sont toujours pas chez les autres. Je pense notamment aux drivers pour tirer parti des accélérateurs crypto matériels.
        • [^] # Re: Et si finalement

          Posté par  . Évalué à 2.

          Ce n'est pas ce qu'il a dit. Il a dit que GNU était pour ainsi dire mieux que OpenBSD parce qu'il partait from scratch. Dans le cas si présent et avec toutes les précautions possibles, ce sont des patchs acceptés par OpenBSD qui sont incriminés. Ce problème pourrait tout aussi bien avoir lieu avec Linnux ou Hurd à partir du moment que le développement est ouvert et que celui ou ceux qui acceptent les patchs ne voient pas la faille.

          Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)

          • [^] # Re: Et si finalement

            Posté par  . Évalué à 1.

            vous avez marché dedans tous les deux parce qu'au départ c'est de l'ironie.
            C'était juste histoire de rappeler que le Hurd est censé avoir remplacé Linux depuis 10 ans.
            • [^] # Re: Et si finalement

              Posté par  . Évalué à 3.

              > le Hurd est censé avoir remplacé Linux depuis 10 ans.
              Le Hurd n'est plus une priorité.

              RMS (extraits): « what I think about the HURD is that finishing it is not crucial. When we started the HURD, no usable free kernel existed. That problem does not exist today. Linux works ok as a kernel. The obstacle [is] rather the use of devices whose specs are secret. That's why our high priority task list* includes items relating to free drivers, but not the HURD. »
              http://blog.reddit.com/2010/07/rms-ama.html (question 13)

              * http://www.fsf.org/campaigns/priority-projects/
      • [^] # Re: Et si finalement

        Posté par  . Évalué à 3.

        Je crois qu'il y en a qui ont débranché leur neurone gestionnaire d'humour, ou alors le journal l'a fait griller.
  • # Mais qui valide la publication de ces torchons ?

    Posté par  . Évalué à 6.

    Comme à l'accoutumée sur Trollfr, encore un torchon inexact et bourré de raccourcis.

    Rappelons qu'à l'époque ce système d'exploitation était celui des 13 serveurs DNS racine.

    Là je me dis... O M G. Mais comment prendre le reste de ce billet au sérieux après ça... A quel endroit as-tu lu une telle débilité ?

    En raison de l'expiration du délai de la clause de confidentialité signée avec le FBI, c'est Gregory Perry, un ancien contributeur du projet de cryptographie d'OpenBSD qui nous révèle ça.

    Vous avez au moins *lu* les mails de Theo de Raadt ? Ce mec (Gregory Perry) n'a jamais fait partie du projet, de près ou de loin !

    Le but était de surveiller la circulation de données chiffrées, en insérant du code malicieux dans la pile réseau IPSEC d'OpenBSD.

    Le but *aurait* été. Il n'existe aujourd'hui aucune preuve qu'il y ait eu volontairement la moindre vulnérabilité.

    Et puis on parle d'OpenBSD... Tu t'es au moins un minimum renseigné où était également utilisé ce code ? TOUS les autres BSD utilisent le framework crypto d'OpenBSD ainsi que de très nombreux produits commerciaux. D'ailleurs depuis près d'une semaine, des problèmes (trouvés après l'audit, sans lien apparent avec le FBI) ont été corrigés dans OpenBSD mais ne le sont toujours pas chez les autres BSD.
    • [^] # Re: Mais qui valide la publication de ces torchons ?

      Posté par  . Évalué à 7.

      que d'agressivité
      • [^] # Re: Mais qui valide la publication de ces torchons ?

        Posté par  . Évalué à 6.

        Il est aussi philantrope et posé que Théo celui là.
        • [^] # Re: Mais qui valide la publication de ces torchons ?

          Posté par  . Évalué à 6.

          D'un autre coté il a (un peu) raison.

          Ça verse un peu dans le sensationnalisme avec cette histoire de chinois du FBI. Et c'est déplaisant.
          • [^] # Re: Mais qui valide la publication de ces torchons ?

            Posté par  . Évalué à 6.

            En quoi avoir raison est incompatible avec le fait de rester zen ?

            On trouvera toujours quelque chose à redire quelque part. Dans ce cas, rien n'interdit de faire part de son mécontentement, et, le cas échéant de débattre.

            Si on devait insulter toutes les personnes avec lesquelles on n'est pas d'accord, ce serait un gros bordel.

            C'est aussi pour ça que depuis quelque millions d'années on a un néocortex qui est sensé s'occuper de ce genre de choses, par opposition au cerveau reptilien qui, lui, ne gère que la survie (en omettant le fait que la théorie du cerveau triunique c'est un tas de foutaises).
      • [^] # Re: Mais qui valide la publication de ces torchons ?

        Posté par  . Évalué à -2.

        Ce qui m'etonne le plus c'est qu'il soit noté à 10.

        Meme s'il a raison sur le fond, l'aggressivité et le manque de respect dont il fait preuve me poussent à le moinser. Meme si, j'en conviens, son commentaire est "pertinent" sur le fond, la forme est tellement gerbante que finalement, je trouve que ce commentaire n'a pas sa place ici.
        • [^] # Re: Mais qui valide la publication de ces torchons ?

          Posté par  . Évalué à 2.

          Mon manque de respect ?!?

          Je pense surtout qu'un site comme celui-ci, qui est considéré par du monde comme une référence et qui propose dans une dépêche de telles calomnies sur un projet, c'est ça, le manque de respect !

          Que les modérateurs n'aient pas l'obligeance de passer deux minutes avant de vérifier ce qui peut se lire instantanément dans les sources... surtout pour une news aussi polémique sur des sujets aussi sensibles... c'est ça, le manque de respect !

          Ici le manque de respect, il vient de ce site... envers les lecteurs, et le projet en question.
          • [^] # Re: Mais qui valide la publication de ces torchons ?

            Posté par  . Évalué à 8.

            Ma 1ere réaction en lisant ton message a été "Moouaaaaarff", parce que le fait qu'un mec a peut être, éventuellement, mais y faut voir on est pas sur, introduit une backdoor dans OpenBSB comme "sujet aussi sensible" on fait mieux.
            "Une news aussi polémique" : j'aimerais savoir en quoi cette news est polémique ?.(je parle de la news pas des commentaires)

            En ce qui concerne la modération, les modo ont fait leur boulot, ils ont estimé que la news était publiable, ils l'ont donc publié. La question est : Selon toi combien de temps doit passer chaque modérateur à vérifier une news ? Parce que s'ils mettent trop de temps les posteurs râlent que leur news n'est pas publiée et les moules râlent parce qu'il n'y a rien de neuf sur la bouchot.

            Des news avec des erreurs, il y en a déjà eu et il y en aura encore et si erreur il y a, les commentaires la corrige. Et si une fois de temps en temps, une erreur passe et n'est pas corrigé c'est que le sujet devait pas intéresser grand monde.
            • [^] # Re: Mais qui valide la publication de ces torchons ?

              Posté par  . Évalué à 2.

              Ma 1ere réaction en lisant ton message a été "Moouaaaaarff", parce que le fait qu'un mec a peut être, éventuellement, mais y faut voir on est pas sur,

              Tu as lu les *faits* ? Il n'y a absolument AUCUNE preuve de quoi que ce soit.

              introduit une backdoor dans OpenBSB comme "sujet aussi sensible" on fait mieux.

              Le problème (et si tu avais lu les liens donnés dans la news tu l'aurais su) c'est que si la rumeur était vraie, elle ne concernerait pas seulement OpenBSD mais *tous* les systèmes BSD et des dizaines d'équipementiers de produits de réseau, de sécurité, etc.

              Donc oui, je ne sais pas ce qu'il te faut de plus... mais c'est sensible.

              "Une news aussi polémique" : j'aimerais savoir en quoi cette news est polémique ?

              Je t'invite à lire le tout premier commentaire.

              En ce qui concerne la modération, les modo ont fait leur boulot, ils ont estimé que la news était publiable, ils l'ont donc publié.

              C'est là le problème. Ce site se dit un minimum technique. Et concentrer dans une seule dépêche autant d'inexactitudes et de raccourcis, c'est surréaliste. Même les sites généralistes ont été plus factuels.

              D'ailleurs au passage, vu le nombre de sites généralistes ayant relayé cette information, encore une preuve (s'il était besoin d'en faire) que le sujet est sensible.
              • [^] # Re: Mais qui valide la publication de ces torchons ?

                Posté par  . Évalué à 5.

                Ouah !! dis donc que de "calomnies".

                Ah ben non en fait, ils ne sont coupables que d'ignorance et de ne pas avoir épluché tous les forums pendants des heures gratos pour que môssieur soit satisfait.

                Et ca vient parler de respect.
                • [^] # Re: Mais qui valide la publication de ces torchons ?

                  Posté par  . Évalué à -1.

                  Ah ben non en fait, ils ne sont coupables que d'ignorance

                  Ouhla, de mieux en mieux. L'ignorance est une excuse pour raconter n'importe quoi dans une news.

                  et de ne pas avoir épluché tous les forums pendants des heures gratos pour que môssieur soit satisfait.

                  Si pour toi c'est trop demander que la personne qui propose une news lise à minima les références qu'elle fourni... Je pense effectivement pouvoir venir t'expliquer ce qu'est le respect.
                  • [^] # Re: Mais qui valide la publication de ces torchons ?

                    Posté par  . Évalué à 5.


                    Ouhla, de mieux en mieux. L'ignorance est une excuse pour raconter n'importe quoi dans une news.

                    Parce que toi tu ne te trompes jamais ?


                    Si pour toi c'est trop demander que la personne qui propose une news lise à minima les références qu'elle fourni... Je pense effectivement pouvoir venir t'expliquer ce qu'est le respect.

                    Le manque de respect que tu manifestes est envers les modérateurs pas de l'auteur.
                    Et effectivement, je considère qu'il ne sont pas forcément experts dans tous les sujets qu'ils laissent passer.
                    Maintenant, si ce site n'est pas à la hauteur de tes espérances en terme de qualité, je suis navré de te dire que tu t'es gourré d'endroit.
                    C'est un site communautaire pas une autorité officielle ou un consortium de standardisation.
                  • [^] # Re: Mais qui valide la publication de ces torchons ?

                    Posté par  . Évalué à 3.

                    « Ouhla, de mieux en mieux. L'ignorance est une excuse pour raconter n'importe quoi dans une news. »

                    Non c'est pas ce qu'il a dit. Lit avant de répondre. Il a dit que ce n'est pas de la calomnie mais de l'ignorance.

                    Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)

              • [^] # Re: Mais qui valide la publication de ces torchons ?

                Posté par  . Évalué à 0.

                D'ailleurs tu n'en es pas à ton coup d'essai:

                Une de tes rares interventions


                J'étais certain qu'un tel article (très bien écrit et objectif de surcroit) sur linuxfr déclencherait des commentaires de fanatiques comme celui-ci ou les habituelles baves de patrick_g (qui n'a d'ailleurs pas manqué à l'appel ;) ).


                http://www.linuxfr.org/comments/980743,1.html

                T'as un souci avec patrick_g ?
          • [^] # Re: Mais qui valide la publication de ces torchons ?

            Posté par  . Évalué à 5.


            Que les modérateurs n'aient pas l'obligeance de passer deux minutes avant de vérifier ce qui peut se lire instantanément dans les sources... surtout pour une news aussi polémique sur des sujets aussi sensibles... c'est ça, le manque de respect !

            Le manque de respect c'est d'oublier que les modérateurs sont bénévoles et n'ont pas de compte à te rendre.

            Le fait qu'il soit la référence, est tout à son honneur mais il n'en demeure pas moins qu'il ne le revendique pas, il l'est devenu par la force des choses et pas grâce à tes contributions
            http://www.linuxfr.org/~vosgien_/
            • [^] # Re: Mais qui valide la publication de ces torchons ?

              Posté par  . Évalué à -1.

              Le manque de respect c'est d'oublier que les modérateurs sont bénévoles et n'ont pas de compte à te rendre.

              Haha je m'y attendais à celle là. Le fameux bénévolat des modérateurs.

              Et toi, y penses-tu aux bénévoles d'OpenBSD qui contribuent du temps et de l'argent pour en faire ce qu'il est aujourd'hui ? Tu penses à quel point ce type de news leur manque de respect à ces *bénévoles* ?

              Visiblement non.
              • [^] # Re: Mais qui valide la publication de ces torchons ?

                Posté par  . Évalué à 4.

                J'y pense, et ?

                En quoi cela leur porte atteinte ?

                De Raadt lui-même l'a signalé et c'est tout à son honneur.
                Il a plutôt été salué ici pour sa transparence.

                Mais même sans ça, ca ne te donne pas plus de légitimité pour être odieux.
          • [^] # Re: Mais qui valide la publication de ces torchons ?

            Posté par  . Évalué à 7.

            « telles calomnies »

            Tu as ouvert ton dico aujourd'hui ? C'est bien tu as appris un nouveau mot, mais ce n'est pas pour ça qu'il faut l'utiliser partout tout le temps. Essaie aussi de lire la définition.

            Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)

    • [^] # Re: Mais qui valide la publication de ces torchons ?

      Posté par  . Évalué à 2.

      Comme à l'accoutumée sur Trollfr...
      Tiens, BTW, http://www.trollfr.org/ utilise apparemment OpenBSD :)
    • [^] # Re: Mais qui valide la publication de ces torchons ?

      Posté par  . Évalué à 4.

      Je serais d'avis que les modérateurs changent la dépêche pour corriger ces erreurs, voire même qu'ils la suppriment.
      Laisser passer un tel torchon en dépêche c'est vraiment moche.

      Je pense que les modérateurs devraient prendre le temps de recouper les informations qu'ils valident en dépêche.
    • [^] # Re: Mais qui valide la publication de ces torchons ?

      Posté par  (site web personnel) . Évalué à 3.

      Par ailleurs, c'est juste des failles *découvertes*, ce qui ne veut pas dire qu'il n'y en a pas d'autres...
    • [^] # Re: Mais qui valide la publication de ces torchons ?

      Posté par  . Évalué à 0.

      va sur openbsdfr.org et viens pas faire chier si tu es pas content...
  • # Une porte dérobéde dans un logiciel libre ?

    Posté par  (site web personnel) . Évalué à 3.

    Excusez ma naïveté, mais comment peut-on introduire une porte dérobée dans un logiciel à source ouverte ? Si c'était dans un coin obscur du code, je veux bien, mais j'imagine que pour OpenBSD tout ce qui touche à la crytographie doit être étroitement surveillé, non ?
    • [^] # Re: Une porte dérobée dans un logiciel libre ?

      Posté par  (site web personnel) . Évalué à -1.

      Bon, dans linuxfr-on-rail, j'aurais corrigé la coquille du titre de ce commentaire...

      (Sympa le petit strip quand on se répond à soit même !).
    • [^] # Re: Une porte dérobée dans un logiciel libre ?

      Posté par  . Évalué à 2.

      C'est parfois l'absence de quelque chose qui est une faille de sécurité. Ce fut le cas par exemple pour la partie de code commentée dans OpenSSH chez Debian qui faisait que du coup les clés devenaient prédictibles... cf. le paquet "openssh-blacklist" (/usr/share/doc/openssh-blacklist/README.Debian)
    • [^] # Re: Une porte dérobéde dans un logiciel libre ?

      Posté par  . Évalué à 9.

      > comment peut-on introduire une porte dérobée dans un logiciel à source ouverte ?
      Tu peux aller voir : http://underhanded.xcott.com/

      C'est un concours d'écriture de code C organisé par un universitaire anglais, dont le principe est que le code doit implémenter un comportement subtilement malicieux qui a pourtant l'air innocent à première lecture. Points bonus si tu arrives à faire en sorte que ta faille, une fois découverte, puisse être vue comme une malencontreuse erreur de débutant plutôt qu'une faille délibérée.
    • [^] # Re: Une porte dérobéde dans un logiciel libre ?

      Posté par  (site web personnel) . Évalué à 4.

      Exemple "récent" : UnrealIRCD.

      Le code malicieux était pas mal planqué... il a été découvert mais a touché pas mal de monde...

      http://forums.unrealircd.com/viewtopic.php?t=6562

      Alors effectivement, c'est un peu moins surveillé que d'autres projets... but still !
    • [^] # Re: Une porte dérobéde dans un logiciel libre ?

      Posté par  (site web personnel) . Évalué à 3.

      Tu n'est pas naif. C'est juste que comme dit dans le précédent fil, ce n'est pas très explicite dans la niouz.

      En effet, introduire une backdoor (porte dérobée) brute du type "j'envois la clé crypto à telle adresse" serait détectée dès le commit.

      Ce qui aurait été introduit serait plus de l'ordre d'une erreur de code pour rendre l'algorithme de chiffrement plus faible et donc plus facilement cassable ; comme par exemple un tampon pas initialisé totalement de manière aléatoire.
    • [^] # Re: Une porte dérobéde dans un logiciel libre ?

      Posté par  (site web personnel) . Évalué à 7.

      C'est pas vraiment une porte dérobée qui permettrait à un attaquant de se connecter sur la machine.
      Il s'agit d'une porte dérobée qui *permettrait* à un attaquant sachant qu'elle existe de casser un algorithme de crypto.

      Le meilleur exemple, c'est le coup de Debian avec OpenSSL. Un mainteneur debian a enlevé une ligne de code qui initialisait le générateur aléatoire d'OpenSSL. Du coup, ce dernier avait seulement 98301 valeurs d'initialisation possibles. Et même si ça semble beaucoup, ça permet à un attaquant de retrouver la clé privée associée à une clé publique.

      Bref, la crypto c'est vraiment un domaine ultra sensible où une simple addition ou une valeur qui traîne dans un buffer peut complètement casser un algorithme. Certains s'amusent même à mesurer le temps que prends le processeur pour vérifier un mot de passe ou calculer un hash afin d'en tirer de l'information[2].

      Donc c'est vraiment loin d'être facile de s'assurer qu'un logiciel - même libre - n'est pas sujet à ce genre de chose. D'ailleurs en général, le code des fonctions de crypto est très très peu digeste, donc on a vite fait d'y cacher une petite erreur.

      Et puis bon, être capable de s'assurer qu'une fonction de crypto fonctionne correctement, ça demande un sacré niveau en maths ET en informatique, donc le nombre de potentiels relecteurs est pas si grand que ça. D'ailleurs sur la discussion sur la liste OpenBDS, il est à plusieurs reprise mentionné que ça serait bien si un "vrai" cryptographe pouvait jeter un oeil.

      [1] http://wiki.debian.org/SSLkeys#Howweak.3F
      [2] http://fr.wikipedia.org/wiki/Attaque_temporelle
    • [^] # Re: Une porte dérobéde dans un logiciel libre ?

      Posté par  (site web personnel) . Évalué à 3.

      Il y a eu au moins deux tentatives d'introduction d'une porte dérobée dans un logiciel libre, dans PostgreSQL (en 2010) et dans le noyau Linux (2003). Dans les deux cas, la faille introduit était flagrante. D'ailleurs, pour PostgreSQL, l'archive verrolée est restée en ligne 5 jours, et la faille dans le noyau Linux a été vue et corrigée en un jour à peine.

      Après il existe aussi les portes dérobées involontaires, comme la fameuse histoire de Debian+OpenSSL, ou encore l'installeur Ubuntu qui stockait le mot de passe root en clair sans un fichier lisible par n'importe qui.

      J'ai complété l'article Wikipédia en documentant 7 affaires de portes dérobées :
      http://fr.wikipedia.org/wiki/Porte_d%C3%A9rob%C3%A9e
  • # Ouf ?

    Posté par  . Évalué à -4.

    Donc le FBI tenté indirectement d'introduire un backdoor dans du code OpenBSD mais grâce au sérieux du projet, le code suspect n'aurait pas rejoint le codebase et cela n'aurait pas fonctionné ...

    Heureusement que Linux n'a pas de code originaire d'une agence américaine ... à part SELinux

    Moi je dis si cette histoire est vraie, le code compromis c'est OpenBSD pas sure. Linux certainement.
  • # Les serveurs racine du DNS sont multiples

    Posté par  (site web personnel, Mastodon) . Évalué à 7.

    Plusieurs commentateurs ont déjà noté que cet article était très faible, question faits, et notamment que l'affirmation comme quoi les treize serveurs racine du DNS utilisaient OpenBSD était fausse. Cela vaut la peine de préciser en quoi elle était fausse. Les treize serveurs sont gérés par des équipes complètement différentes. Personne n'a d'autorité sur les treize et ne pourrait leur imposer un système particulier.

    Donc, les treize serveurs utilisent des systèmes d'exploitation différents et des serveurs DNS différents. Heureusement, pour la fiabilité de l'Internet. Sinon, une seule bogue dans un logiciel particulier pourrait les faire tomber en même temps !

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.