Tixeo, éditeur français spécialisé en visioconférence sécurisée, a annoncé le 19 avril 2018 que sa solution propriétaire est maintenant disponible sous GNU/Linux. Il est désormais possible d’installer le client natif Tixeo et de profiter d’un haut niveau de sécurité et de confidentialité pour des réunions en ligne.
Cette version GNU/Linux vient compléter les autres déclinaisons du client Tixeo déjà disponibles sur les plates‐formes Windows, macOS, iOS et Android. Il est maintenant possible de l’installer sous différentes distributions GNU/Linux (Debian, Ubuntu, CentOS…) permettant d’organiser et de participer à des visioconférences en toute confidentialité.
N. D. M. : Il est difficile de les comparer techniquement car la solution propriétaire donne peu de détails techniques sur son fonctionnement, mais la solution libre Ring fait de la visioconférence avec chiffrement de bout en bout multi‐système d’exploitation.
Combiner Tixeo et GNU/Linux pour un niveau de sécurité encore jamais atteint
La sécurité fait partie des composantes essentielles et communes au système GNU/Linux et à la solution Tixeo. En associant les deux technologies, les utilisateurs accèdent à une visioconférence réellement confidentielle qui répond aux exigences les plus strictes en matière de sécurité.
En plus des nombreux dispositifs de sécurité dont dispose la plate‐forme GNU/Linux, les utilisateurs bénéficient avec Tixeo d’un ensemble de mécanismes permettant d’assurer la sécurité et la confidentialité des réunions en ligne. La solution propose notamment un véritable chiffrement de bout en bout des communications (audio, vidéo et données) dans une visioconférence multipoint ainsi qu’un chiffrement de lien de communication entre client et serveur. À cela s’ajoute le fait de ne pas ouvrir de ports sur les postes de travail ce qui permet de respecter la politique de sécurité réseau des entreprises.
À noter que la solution Tixeo est certifiée (certification de premier niveau) et qualifiée par l’Agence nationale de sécurité des systèmes d’information.
La version GNU/Linux du client Tixeo apporte aux communications une fluidité identique à celle des autres plates‐formes (vidéo HD/4K, son cristallin). Les fonctionnalités de collaboration sont tout aussi nombreuses, comme le partage d’applications ou de bureau, le contrôle à distance, le transfert de fichiers et la messagerie instantanée chiffrés de bout en bout, l’enregistrement de réunions ou encore la messagerie d’entreprise.
Aller plus loin
- Site officiel (440 clics)
- Qualification ANSSI Tixeo Server version 11.5.2.0 (160 clics)
- Certification ANSSI Tixeo Server version 11.5.2.0 (98 clics)
# Et en concret ?
Posté par dani . Évalué à 10.
Ça fait un peu pub grossière. Beaucoup de crypto-bullshit et de c'est trop top sécure mais rien de plus concret à nous mettre sous la dent ?
[^] # Re: Et en concret ?
Posté par Benoît Sibaud (site web personnel) . Évalué à 10.
On a un peu cherché en modération pour trouver des détails techniques, on a aussi renvoyé en rédaction (sans succès). Les seules infos dont on dispose sont 'ça marche sur un système à base de Linux' et 'ça a plu à l'ANSSI'. C'est intéressant pour certains milieux, mais Ring est libre, décrit ses fonctionnalités et ses aspects techniques, ça fait trois raisons de le préférer, à mon sens.
[^] # Re: Et en concret ?
Posté par Tixeo . Évalué à -1.
Nous ne sommes pourtant pas avares en information sur notre site. Vous pouvez trouver plus d’informations.
https://www.tixeo.com/visioconference-securisee/decouvrir/
https://www.tixeo.com/visioconference-securisee/decouvrir/securite/
https://www.tixeo.com/visioconference-securisee/decouvrir/performance-et-visioconference-HD/
Nous avons aussi un livre blanc de disponible et répondons à toutes les questions.
Aussi, vous pouvez essayer gratuitement Tixeo, mais là cela va faire trop pub 😊
[^] # Re: Et en concret ?
Posté par Kerro . Évalué à 9. Dernière modification le 23 juillet 2018 à 22:14.
Je viens de lire. Ce ne sont pas des informations, mais de la pure communication.
Exemples :
- « Tixeo fournit la technologie de visioconférence la plus sécurisée du marché ». Carrément. En fait les autres sont des tarlouzes nan ?
- « Depuis plus de 10 ans, les équipes Tixeo conçoivent et développent, en collaboration avec de grandes entreprises, des mécanismes innovants de sécurité permettant d’assurer un niveau de sécurité encore jamais atteint pour des communications multipoint. » Bla bla bla, pareil, les autres sont franchement des tapettes
- « Pas de porte dérobée (backdoor) ». Ah ben voilà, il suffit de l'écrire pour que ce soit vrai. Bon ben du coup, il suffit d'écrire la même chose à propos du noyau Linux, et magiquement la NSA ne tentera plus d'y installer des trucs crades
- « 99,9% de disponibilité du Cloud » heu… je veux bien que le mot « cloud » soit mis à toutes les sauces mais là je ne vois pas trop
Bon j'arrête là, c'est un morceau du contenu d'une seule page sur les trois proposées dans le commentaire du dessus.
[^] # Re: Et en concret ?
Posté par Benoît Sibaud (site web personnel) . Évalué à 10.
Infos tirées du site Tixeo : les solutions des autres utilisent H323/SIP/RTP, Tixeo « mixe tous les flux audio, vidéo et data dans un unique flux crypté HTTPS » (traversée de firewall/proxy). Ils utilisent des technos à eux pour un peu tout : « QoS Proactive » mais sans plus de précision technique, framework RIC propriétaire de « “web services” temps réels et bidirectionnels », « Media Graph Engine » propriétaire. Au moins le codec audio est standard (OPUS), avec réduction de bruit/annulation d'écho (obligatoire pour des conférences), mais pas la vidéo « innovation / technologie unique SVCoD (Scalable Video Coding on Demand) ». Pas d'info sur la solution de partage de bureau et d’application. Passage par un serveur central. HTTPS/AES pour le chiffrement. API SOAP pour certaines fonctions. Interopérabilité H323/SIP.
[^] # Re: Et en concret ?
Posté par Tonton Th (Mastodon) . Évalué à 5.
Ah ? Ça y est ? les problèmes de brevets sont enfin réglés ?
[^] # Re: Et en concret ?
Posté par gouttegd . Évalué à 10.
Et pour information leur « livre blanc » (qu’ils fournissent contre une adresse e-mail) est du même acabit. Il contient à peine plus d’infos que le site lui-même.
Sur l’absence de portes dérobées par exemple, l’argument se limite au fait que Tixeo étant une société française, elle n’est pas sujette au Patriot Act américain. Ben voilà, je suis rassuré, c’est bien une preuve qu’il ne peut pas y avoir de portes dérobées ⸮
Ah, et ils ont aussi une super technique pour éviter les vulnérabilités : il suffit d’éviter les bugs. Comment personne n’y avait jamais pensé avant ?
Bref, si ce sont des détails techniques que vous voulez, le « livre blanc » n’est pas pour vous, pas la peine de leur filer une adresse e-mail…
[^] # Re: Et en concret ?
Posté par Jiel (site web personnel) . Évalué à 10.
J'ai compris le sens de ton commentaire, mais l'emploi des termes ''tarlouzes'' et ''tapettes'' dans ton commentaire n'est pas approprié. Il n'y a rien de négatif à être une tarlouze. On peut aussi être une tarlouze et être balèze en sécurité.
# Attention publicité
Posté par AAq+#:4$ . Évalué à 10.
Une grosse pub ! :( J'en ai marre des publicités ! Je crois que je fais une overdose du monde d'apparence dans lequel je vis.
[^] # Re: Attention publicité
Posté par Stef . Évalué à -4.
Ce vanter GNU/linux pour un logiciel proprio, ça fait tache, en faite ton truc proprio n'est pas GNU. Donc une fois installé sur ton système GNU/linux ton système n'est plus GNU…
Enfin bon tu t'en fou.
[^] # Re: Attention publicité
Posté par Kerro . Évalué à 10. Dernière modification le 23 juillet 2018 à 15:17.
# Sécurisé contre qui ?
Posté par Kerro . Évalué à 10.
Vu que c'est un « opérateur » français, ils sont obligés d'avoir le nécessaire pour enregistrer les conversation sur requête de la justice française.
Comme ce point important n'est pas indiqué dans cette
dépêchepublicité, on peut douter de tout le reste.Comme d'habitude : code fermé = aucune preuve
[^] # Re: Sécurisé contre qui ?
Posté par Yves Bourguignon . Évalué à 9.
et compte fermé = aucune chance de dialogue avec l'auteur
[^] # Re: Sécurisé contre qui ?
Posté par Tixeo . Évalué à 2.
Tixeo est une PME française composée d’une équipe R&D dont l’un des objectifs est de proposer une alternative aux solutions de visioconférences étrangères fréquemment soumises à des impératifs légaux pouvant compromettre la confidentialité des communications. Tixeo n’est pas un opérateur mais un éditeur et n’est soumis (heureusement) à aucune contrainte légale à ce sujet.
[^] # Re: Sécurisé contre qui ?
Posté par Kerro . Évalué à -1.
Vous proposez de passer par le serveur du client… ou pas.
Et dans le cas « ou pas » c'est un truc magique ou alors ça passe par vos serveurs ?
[^] # Re: Sécurisé contre qui ?
Posté par Tixeo . Évalué à 2.
Notre offre TixeoServer est complétement autonome. Le client peut isoler le serveur sur son réseau local s’il le désire. Sur nos offres cloud, oui les flux passent par nos serveurs de manière chiffrée.
[^] # Re: Sécurisé contre qui ?
Posté par Kerro . Évalué à 1.
Donc vous êtes « opérateurs ».
Que ferez-vous lorsque vous recevrez une requête judiciaire française ? Idem pour vos clients qui ont leur propre serveur.
Et une requête venant d'un autre pays ?
Que ferez-vous lorsque votre (éventuel) refus de répondre positivement à une requête venant d'un autre pays sera assortie d'un blocage de vos domaine/ip/etc ?
Les trucs classiques quoi.
Remarquez que ça n'arrivera que si votre produit a du succès.
[^] # Re: Sécurisé contre qui ?
Posté par Tixeo . Évalué à 10. Dernière modification le 25 juillet 2018 à 11:50.
Nous ne sommes pas un opérateur au sens légal ou tel que défini par l’ARCEP. Notre activité principale est l’édition de logiciel. Les logiciels pur VOIP en sont exempts. Nous n’avons ni les obligations, ni les droits d’un opérateur. https://www.arcep.fr/uploads/tx_gspublication/etude-Hogan-Analysys-juin2011.pdf (voir para 2.5)
Dans le cas d’une requête judiciaire, nous serions dans l’incapacité technique la plus totale avec notre chiffrement.
Nous rappelons que le chiffrement de bout en bout est à ce jour légal en France. L’ANSSI le défend fortement et à très juste raison. https://www.nextinpact.com/news/100863-lanssi-defend-chiffrement-bout-en-bout-sans-portes-derobees.htm
Les enjeux économiques, et de protection contre l’espionnage industriel sont énormes.
Concernant les problématiques à l’internationale, oui nous n’ouvrons pas de bureau dans les pays où le chiffrement de bout en bout est interdit et / ou l’insertion de capacité d’écoute est obligatoire (Russie, Chine , USA … ). Nous assumons, c’est notre stratégie.
Concernant le succès de Tixeo, nous sommes fiers du chemin accompli, de nos 14 ans d’existence, de notre rentabilité, de ne jamais avoir eu d’investisseurs, de notre capital technologique unique, de nos quelques centaines de clients, de nos quelques dizaines de milliers d’utilisateurs, et de réaliser cela en France (Cocorico ! ).
[^] # Re: Sécurisé contre qui ?
Posté par gnumdk (site web personnel) . Évalué à -1. Dernière modification le 25 juillet 2018 à 14:49.
Super, et du coup, vu que vous roulez sur l'or, vous le libérez quand le code de votre outils?
# Une honte
Posté par gasche . Évalué à 10.
Cette dépêche est une honte. (Et je ne dis pas ça à la légère; je suis conscient du travail de rédiger une dépêche, et c'est la première fois que je pense ça d'une dépêche sur ce site.)
Faire de la publicité pour du logiciel propriétaire sur LinuxFR devrait être réservé aux cas exceptionnels, où la disponibilité du logiciel peut avoir un impact important sur les écosystèmes libres, parce qu'il n'existe pas de vraie alternative libre ou à cause de l'importance de l'effet réseau venant des utilisateurs des autres systèmes.
Ce logiciel n'est pas notable (combien de personnes vont pouvoir migrer à un système libre parce que celui-ci est disponible dessus ?), a tous les problèmes évidents des logiciels propriétaires qui se prétendent sécurisés, peut être remplacé par des alternatives libres—Jitsi par exemple chiffre les conversations par défaut (la version WebRTC, Jitsi Meet, passe par un relai géré par Jitsi auquel il faut faire confiance).
Un peu moins de superbe ascii-art avec des pingouins et des verrous géants, un peu plus de contenu, s'il vous plaît.
[^] # Re: Une honte
Posté par gouttegd . Évalué à 9. Dernière modification le 21 juillet 2018 à 19:51.
Oh ben là tu n’as pas de soucis à te faire ou de scrupules à avoir, cette « dépêche » n’a pas demandé de gros efforts à son auteur vu que c’est une reprise intégrale d’une annonce déjà publiée sur le site de Tixeo… annonce rédigée par la même personne très probablement (Olivier Azan).
(Ah si, il y a quand même du travail derrière : dans l’antépénultième paragraphe, l’auteur a remplacé « politique de sécurité réseau des organisations » par « politique de sécurité réseau des entreprises ». On applaudit l’effort pour s’adapter au public du site, SVP.)
Et sur le fond, que ce soit en lisant cette dépêche ou en cherchant sur le site de Tixeo, mon détecteur de snake-oil a explosé (fait chier, c’était un modèle Schneier de 1999). Le seul détail technique est, je cite, « End-to-End encryption AES 256 ».
[^] # Re: Une honte
Posté par gasche . Évalué à 8.
Tu vas un peu loin je pense, sur leur site web il y a lien vers une certification de sécurité validée par l'ANSSI, fait par une entreprise de certification qui semble avoir procédé à une revue sérieuse de la sécurité du produit (et indique y compris que la partie propriétaire du code source a été expertisée). Le rapport confirme bien l'existence d'un chiffrement pair-à-pair "respectant les bonnes pratiques du domaine".
Je n'ai pas de raison de penser que ce n'est pas effectivement une solution de vidéo-conférence sécurisée—je dirais qu'on sait faire cela correctement aujourd'hui—juste qu'elle ne mérite pas une dépêche publicitaire sur ce site.
[^] # Re: Une honte
Posté par Walter . Évalué à 10. Dernière modification le 21 juillet 2018 à 20:36.
Attention,
dans le rapport de certification, il est dit que seul les versions Windows et MacOS ont été validé.
Nul part il n'est fait mention du client Linux.
Voir chapitre 1.2 du document Rapport de certification ANSSI-CSPN-2017/08
[^] # Re: Une honte
Posté par gouttegd . Évalué à 10.
Oui, et voilà la tronche de l’expertise dans toute sa splendeur :
Circulez, le code est lisible et documenté, y a rien à voir.
Moi j’ai toutes les raisons de le penser. On a suffisamment d’exemples de fournisseurs de « solutions de sécurité » qui vendent de la merde en boîte pour discréditer automatiquement quiconque fournit aussi peu d’information sur sa solution miracle. Sur un produit de sécurité il ne peut pas y avoir de présomption de fiabilité. Ou le fournisseur démontre que sa solution est fiable ou c’est un vendeur d’huile de serpent.
Certifiée ou pas, la sécurité par l’obscurité reste de la sécurité par l’obscurité.
[^] # Re: Une honte
Posté par gouttegd . Évalué à 9.
Ah, et j’adore aussi le fait que le Rapport Technique d’Évaluation (RTE), référencé dans le rapport de certification (et qui j’imagine contient les détails qui ne figurent pas dans ce dernier) ne semble disponible nulle part.
Mais pourquoi voudriez-vous vous embêter avec un « rapport technique » alors qu’on vous dit que c’est secure ?
’tain, la prochaine que je rédigerai une dépêche sur GnuPG ou assimilé, je me casserai moins la tête. Une phrase et ce sera bouclé : « C’est secure parce que je le dis, biatch ! »
[^] # Re: Une honte
Posté par Harvesterify (site web personnel) . Évalué à 6.
C'est tout à fait normal, ce rapport, dans le cadre d'une CSPN, n'a pas vocation a être rendu public, il sert à l'ANSSI pour dire si oui ou non ils certifient le produit, rien d'autre.
Et ça se comprend tout à fait dans le cadre d'une évaluation d'un produit commercial couvert par le secret industriel : aucune entreprise ne ferait certifier ses produits si tous les détails techniques des implémentations sont rendus publics pour le faire.
La description des fonctions de sécurité évaluées se trouvent dans le cible de sécurité, et c'est bien suffisant pour un utilisateur final du produit pour décider de la pertinence d'utiliser ou non ledit produit en fonction de son cahier des charges.
Mes messages engagent qui je veux.
[^] # Re: Une honte
Posté par brendel . Évalué à 1.
Pour effectuer la CSPN il est obligatoire que les auditeurs aient accès au code source ainsi qu'a pas mal de documentation. C'est pas parce que le seul commentaire sur le code est qu'il est lisible qu'ils ne s'en sont pas servis pour vérifier les fonctions de sécurités.
[^] # Re: Une honte
Posté par gouttegd . Évalué à 9.
En parlant de source, tu en as une pour cette affirmation ?
Parce que d’après les propres documents de l’ANSSI, c’est totalement faux.
Il n’est fait nulle mention du code source dans ce document.
Donc l’évaluateur peut procéder à une revue du code source si l’éditeur du produit le lui fournit, mais ce dernier n’a aucune obligation de le faire.
Et l’ANSSI n’attend de la revue de code qu’elle ne porte que sur
Donc, on n’attend de la revue de code (quand elle a lieu) ni qu’elle soit exhaustive (l’évaluateur peut ne regarder qu’une partie des modules), ni qu’elle ne cherche des failles ou des vulnérabilités.
[^] # Re: Une honte
Posté par brendel . Évalué à 2.
J'ai participé à quelques évaluations CSPN, et il me semblait que c'était obligatoire, alors qu'il semble que en effet ce ne soit pas le cas. Cela dit cela permet de réduire le nombre de jours de l'évaluation et donc le coût de la CSPN.
Tout à fait, une CSPN vise à vérifier que les fonctions de sécurité du produit sont respectée (la cible est tut de même validée par l'ANSSI, et une cible qui ne couvre pas correctement les fonctionalités du produit peut être refusée). Par exemple si il y a du chiffrement la CSPN t'assure que les bonnes pratiques sont utilisées : des algos pas vulns, les bonnes tailles de clés, etc. Mais pas qu'il n'y a pas un use-after-free enfoui quelque part dans l'implementation du chiffrement.
Le code est quand même utile pour l'évaluation. Par exemple si il faut étudier comment sont stockées des données confidentitelles, c'est plus pratique avec le code. Pour autant, il ne s'agit pas d'un audit de code visant à trouver des vulnérabilités.
Cela dit si l'auditeur reporte des vulnérabilités (par exemple SQLi évidentes sur un webservice) cela est pris en compte pour l'évaluation.
[^] # Re: Une honte
Posté par thamieu . Évalué à 9.
Ha, c'est pour ça qu'à mon boulot l'iRSSI (l'irResponsable de la Sécurité des Systèmes d'Information) a pu se féliciter de la bonne appréciation décernée par l'ANSSI suite à une revue de code, au sujet d'une application qui stocke les mots de passe des utilisateurs en clair ?
[^] # Re: Une honte
Posté par Kerro . Évalué à 2.
Qu'il ne lisent pas le code, admettons.
Mais qu'ils ne regardent même pas les bases de données ou les fichiers de configuration, ça fait un peu gros.
Un peu gros ou totalement incompétent, selon le niveau d'optimisme en la nature humaine (hint : mon niveau est bas, genre trèèèèèès bas).
[^] # Re: Une honte
Posté par Tixeo . Évalué à -2.
Notre techno n’a rien à voir avec les technologies traditionnelles H.323, SIP ou encore WebRTC.
Nous avons des caractéristiques que nous ne retrouvons nullement chez des solutions concurrentes (propriétaires ou libres). Par exemple, notre architecture permet d’avoir un chiffrement de bout en bout dans un contexte de réunion multipoint en ayant une réelle adaptativité aux conditions réseaux, et en effectuant des économies de bandes passantes significatives.
[^] # Re: Une honte
Posté par Zatalyz (site web personnel) . Évalué à 10.
Il aurait été appréciable que vous développiez cette aspect technique dans la dépêche. Il n'est pas trop tard. On veut plus de détails, et des détails techniques, vérifiables :)
[^] # Re: Une honte
Posté par Tixeo . Évalué à 7.
La nouvelle concernait principalement la sortie de notre client natif Linux. Notre technologie de chiffrement de bout en bout est disponible dans notre solution depuis 2015 (voir news https://www.tixeo.com/la-visioconference-securisee-contre-lespionnage-industriel/ ) qui elle-même repose entièrement sur notre architecture SVC on Demand sortie en 2014 ( voir news https://www.tixeo.com/innovation-tixeo-repousse-les-limites-de-la-video-conference-multipoint/ )
Donc le but, n’était pas de faire du réchauffé, simplement d’informer que notre techno est maintenant disponible sous Linux. Concernant, les informations sur notre site web, oui c’est de la communication. Nous devons avoir des messages clairs et simples à comprendre. Les décideurs ne sont pas forcément des experts. Il faut vulgariser. Nous comprenons que vous vouliez plus d’informations techniques et allons voir ce que nous pouvons faire. Notre techno est bien une réalité et certainement pas un snakeoil !
[^] # Re: Une honte
Posté par freejeff . Évalué à 8.
Ces liens pour le coup permettent de mieux comprendre ce que fait le soft, les schémas pour les non-initiés comme moi sont simples à comprendre. On voit bien l'intérêt du SVCoD.
C'est dommage que ces liens n'aient pas été mis dans la dépêche initiale. Je pense qu'avec ces infos en cœur de dépêche la news aurait pu être notée positivement. Sur l'aspect "réchauffé", ça n'est pas réchauffé si le public ne connaît pas !
# vs Matrix/Riot
Posté par Maclag . Évalué à 10.
Les certifications, c'est sûrement bien pour les
pigeonsdécideurs pressés en entreprise, mais rappelons que l'État français a déjà choisi une autre solution, Matrix, avec semble-t-il un Riot sur mesure, et que l'ANSSI est impliquée dans le projet.Donc même là-dessus, je ne vois pas non plus l'apport de ce logiciel.
[^] # Re: vs Matrix/Riot
Posté par Harvesterify (site web personnel) . Évalué à 2.
Tout le monde n'a pas le même cahier des charges que l'Etat français en terme de sécurité ou de robustesse pour ses logiciels de communication, il faudrait donc que tous les autres se retrouvent avec des solutions non auditées ou non qualifiées parce qu'une alternative existe déjà ?
Mes messages engagent qui je veux.
[^] # Re: vs Matrix/Riot
Posté par Maclag . Évalué à 10. Dernière modification le 22 juillet 2018 à 00:48.
Bah d'un côté tu as un outil audité par l'ANSSI dont ils disent que le code est "propre et lisible", et de l'autre tu as un projet auquel l'ANSSI et le Ministère de la Défense contribuent directement, et je doute que ce soit pour s'assurer que le code sera crade et imbitable…
Donc oui, je vois 2 options:
1.Tu ne fais pas confiance dans l'État français pour aboutir à un outil sécurisé, c'est ton droit, mais du coup, pourquoi donc prendre un audit de la même ANSSI jugée incompétente d'un côté pour argent comptant de l'autre?
2.Tu fais confiance à l'État français pour aboutir à un outil sécurisé, et le "Riot" qui va en sortir vaudra aussi bien que toutes les solutions proprios certifiées.
[^] # Re: vs Matrix/Riot
Posté par souch . Évalué à 1. Dernière modification le 24 juillet 2018 à 12:34.
Dire que pour avoir une certification ANSSI il suffit que le code soit "propre et lisible", je trouve ça limite insultant pour les gens qui font les certifs à l'ANSSI. As-tu des preuves de ce que tu avances ?
[^] # Re: vs Matrix/Riot
Posté par flan (site web personnel) . Évalué à 2.
Avoir un « tampon ANSSI » veut tout et rien dire. Il y a différents niveaux d'évaluation, avec des critères très différents (et une implication de l'ANSSI très différente dans le processus).
On peut imaginer sans trop de risque que l'ANSSI va regarder de (beaucoup) plus près un produit qui va être qualifié apte à traiter du Secret Défense qu'un produit pour du grand public (même pas Diffusion Restreinte).
[^] # Re: vs Matrix/Riot
Posté par souch . Évalué à 1.
La dépêche précise : "certification de premier niveau". L'ANSSI détaille dans ce document le contenu de cette certification. Il est mentionné notamment 25 jours/homme de test de l'application + 10 jours pour les algos cryptographiques. Si les tests d'intrusion sont réalisés par des hackers de bon niveau, la certification de premier niveau ne se limite pas à un 'code est "propre et lisible" '.
[^] # Re: vs Matrix/Riot
Posté par oinkoink_daotter . Évalué à 5.
Non, tu as un outil audité par un CESTI, Amossys, sur la base d'une cible de sécurité validée par l'Agence. Cet audit/évaluation a fait l'objet d'un rapport sur lequel l'Agence s'est fondée pour mettre son tampon parce qu'elle sait qu'Amossys travaille bien. CSPN ça veut dire "Certification de sécurité de premier niveau", ce qui veut dire "ça fait ce que ça dit que ça fait de façon pas trop mal à priori". Elle n'a jamais audité elle même le truc.
Je ne me rappelle plus des détails, mais il me semble que plus de la moitié des trucs qui se présentent en évaluation CSPN se font retoquer au premier passage.
[^] # Re: vs Matrix/Riot
Posté par flan (site web personnel) . Évalué à 5.
C'est bien de dire que les certifications sont pour les pigeons, mais quand tu dois choisir une solution en souhaitant quelque chose de sécurisé, comment fais-tu ton choix ?
Prends-tu la première solution libre venue en partant du principe que c'est donc forcément sécurisé ?
Examines-tu le code source de toutes les solutions envisagées (ce qui demande une certaine expertise et beaucoup de temps) ?
Te bases-tu sur l'avis du premier geek venu qui te dit que « sisi c'est sécurisé je l'ai lu sur internet » ?
En fait, le problème se pose surtout quand il y a des problèmes et que tu as des comptes à rendre sur le niveau de sécurité. Dire « j'ai suivi les recommandations de l'ANSSI » passera peut-être mieux que « je ne comprends pas ce qui s'est passé, c'est pourtant un produit libre ! ».
[^] # Re: vs Matrix/Riot
Posté par Maclag . Évalué à 4.
Tu sais que tout ton commentaire peut être repris à l'envers?
Prendre la première solution avec un beau discours marketing en partant du principe que s'il y a écrit "sécurisé" sur la boite, c'est forcément sécurisé?
Il vaut mieux donc prendre une solution à sources fermées, juste pour éviter la question…
Ben non, je me base sur la contribution de l'ANSSI, la même qui te fait croire que Tixeo est sûr. On en vient bien à ce que je disais: confiance sélective suivant la conclusion qu'on cherche à obtenir.
Et toi, te bases-tu sur le premier bon discours marketing trouvé sur Google?
Le jour où il y a un problème, je peux aussi dire
«le produit a été co-developpé par l'ANSSI, je ne pense pas que quiconque aurait pu mieux passer leurs certifications qu'eux-même»
Du coup je n'aurai pas non plus à répondre à la question:
«Vous dite que vous avez suivi les recommandations de l'ANSSI, mais ça ne vous a pas inquiété qu'ils utilisent autre chose en interne, une solution à laquelle ils ont contribué directement?»
En fait, la seule valeur ajoutée que pourrait apporter Tixeo c'est une assurance que la sécurité ne sera jamais passée, avec une bonne grosse pénalité financière à la clé.
Est-ce qu'ils proposent ça à leurs clients?
[^] # Re: vs Matrix/Riot
Posté par souch . Évalué à 0.
Même si le logiciel existe déjà en open source, il peut ne pas correspondre suffisamment à ton besoin. Il peut manquer des fonctionnalités ou les choix pris (GUI, "workflow", …) peuvent être en contradiction avec ce que tu attends du logiciel.
# Un cas d"école
Posté par Pierre Jarillon (site web personnel) . Évalué à 10. Dernière modification le 21 juillet 2018 à 22:23.
Nous (les modérateurs) étions divisés sur l'intérêt de cet article. C'est parce que les logiciels de visioconférence sous Linux ne courent pas les rues que nous l'avons laissé passer.
Vos réactions sont nettes, claires et instructives. Elles nous inciteront à être plus intransigeants. Les logiciels libres couvrent maintenant pratiquement tous les domaines et il n"y a plus vraiment de raison de faire une fleur à un logiciel propriétaire.
[^] # Re: Un cas d"école
Posté par dani . Évalué à 10.
C'est pas tant libre vs propriétaire (ça parle d'un logiciel dispo sous Linux, ça pourrait avoir sa place ici). C'est juste qu'il s'agit d'une annonce publicitaire, et il n'y a rien de technique (et le public est un peu exigeant ici, question technique)
[^] # Re: Un cas d"école
Posté par Kerro . Évalué à 10. Dernière modification le 21 juillet 2018 à 22:34.
Pour ma part j'aurais réagi positivement si c'était un contenu présentant ce même logiciel (probablement écrit par un habitué du site) et pas un truc de communicant. Même si le logiciel est propriétaire, même si l'entreprise sort du bullshit, etc : une présentation, même courte, même incomplète.
Là c'est juste de la pub. Or la pub j'en ai autant que je veux, partout. Pas besoin d'en avoir également sur l'
excelent site
qu'est Linuxfr.[^] # Re: Un cas d"école
Posté par Zatalyz (site web personnel) . Évalué à 10.
Le problème de cette dépêche est le manque de fond. Ce serait pardonné dans le cas d'un logiciel libre porté par des bénévoles, il y a déjà eu des dépêches un peu légères qui du coup n'ont pas été très bien notés, mais sans être en négatif. Sauf que là, associer un message vide à du propriétaire, et en plus sur le domaine de la sécurité où on a pas trop envie d'avoir du bullshit, forcément ça vire au karma négatif.
Présenter un logiciel propriétaire mais qui tourne sous Linux, pourquoi pas, ça permet de voir ce qui existe et chacun fait ensuite son choix, mais dans ce cas il faut que la présentation technique soit au top et que des preuves de ce qui est avancé soient amenées. Je rappelle qu'un code propriétaire peut avoir son code lisible publiquement ; c'est une pratique qui se développe, d'ailleurs. Ça ne donne pas le droit de le modifier, de le réutiliser ni rien, mais le simple fait de pouvoir le lire permet de s'assurer de la fiabilité du code en question. Bon, personnellement j'ai du mal à faire confiance à un logiciel de sécurité dont le code ne serait pas réellement libre : je me sens plus en confiance si je peux désosser ce que j'installe sur ma machine, même si je ne le fais pas souvent. Mais la sécurité est avant tout une affaire de confiance, à qui on la donne, de qui on se méfie… Et ce n'est pas comme si on manquait d'exemple d'entreprises et de gouvernements ayant installé des backdoors dans des logiciels absolument sécurisés.
[^] # Re: Un cas d"école
Posté par cladmi . Évalué à 2.
En voyant l'article dans mes RSS je me suis dis que c'était un bon article à trolldi (même si il était de samedi). Du coup je suis venu exprès sur le site pour lire les commentaires :)
Du coup plutôt laisser passer pour trolldi que le WE.
[^] # Re: Un cas d"école
Posté par Tixeo . Évalué à 5.
Nous avons aussi débattu en interne par rapport à sa pertinence avant de transmettre notre dépêche sur le site Linuxfr.org. L’objectif de notre démarche était d’informer la communauté Linux qu’une solution propriétaire et française de visioconférence sécurisée était disponible sous Linux et dont les caractéristiques pouvaient s’avérer intéressantes pour les lecteurs.
Nous rappelons que la publication de ce contenu n’a pas été forcée et a été validée par les modérateurs du site (et plus de 3 mois après la diffusion)
[^] # Re: Un cas d"école
Posté par macadoum . Évalué à -10.
Exactement, ce genre de dépêche n'a rien à faire sur Linuxfr. Aux chiottes ce genre de communiqués, c'est révoltant de lire ça ici.
[^] # Re: Un cas d"école
Posté par freejeff . Évalué à 10.
Visiblement, vu ton karma, ta vision n'est pas forcément mieux perçue que celle de Tixeo.
C'est tout de même dingue des gars font l'effort d'avoir un client sous Linux, pas android, non on parle bien d'un client dispo pour les distributions linux, du coup assez logiquement, ils décident d'en parler sur linuxfr. C'est clair le site s'appelle linuxfr, mais il traite des logiciels libres. Mais d'un point de vue extérieur les gens se disent : "tiens, un site sur la communauté linux francophone, on a fait un soft sur linux, ça vaudrait peut être le coup d'en parler !"
Ils passent par le canal de rédaction traditionnel et sont acceptés. Je trouve que ce n'est pas une bonne manière que de les accueillir avec des insultes.
Alors c'est clair qu'ils n'ont pas du tout ciblé leur communiqué et plutôt que d'expliquer l'intérêt de la technologie par rapport à ce qu'il se fait en libre, ils ont reclaqué un communiqué pour madame Michu que sons fils a mis sous Ubuntu. Ceci dit, lors des question, ils ont apportés de vrais arguments techniques et se sont montrés bien plus civilisés que vous autres.
Du coup lorsque tu dis "Exactement, ce genre de dépêche n'a rien à faire sur Linuxfr."
Tu devrais t'adresser directement aux modérateurs car Tixeo n'a rien fait de mal, ils ont suivi la procédure. peut être que les modérateurs auraient pu anticiper les réactions et leur demander de détailler les techniques associées. Peut être l'ont il fait d'ailleurs.
[^] # Re: Un cas d"école
Posté par freejeff . Évalué à 4.
Au passage pour comprendre la confusion associée au nom du site, je pense que la comparaison des status actuels avec les anciens et assez intéressante.
Actuels :
ARTICLE 2 OBJET.
L'association a pour objet de rassembler des utilisateurs francophones de logiciels libres, et de leur fournir un service d'information et de communication, par exemple via un serveur web.
Elle a également pour objet la promotion des systèmes d'exploitation Unix, basés sur le noyau Linux en particulier, et de logiciels libres. Elle peut prendre part à l'organisation de rassemblements sur le sujet, contribuer à l'édition, publication ou distribution de tout ouvrage (informatique ou papier) ou programme informatique traitant du noyau Linux, de systèmes d'exploitation ou de logiciels libres, ainsi que de produits dérivés.
Anciens :
ARTICLE 3 OBJET.
L’association a pour objet de rassembler des utilisateurs francophones de Linux, et de leur fournir un service d’information et de communication, par exemple via un serveur web.
Elle a également pour objet la promotion des systèmes d’exploitation Unix, Linux en particulier, et de logiciels gratuits. Elle peut prendre part à l’organisation de rassemblements sur le sujet, contribuer à l’édition, publication ou distribution de tout ouvrage (informatique ou papier) ou programme informatique traitant de Linux, de systèmes d’exploitation ou de logiciels gratuits, ainsi que de produits dérivés.
On voit donc bien que l'objectif a clairement changer mais pas le nom, il est donc normal que des gens qui ne sont pas des utilisateurs acharnés de ce site imagine que l'objet du site est celui qui était précédemment utilisé.
Cela n'a rien de fantaisiste, c'est juste logique au regard du nom du site.
[^] # Re: Un cas d"école
Posté par gouttegd . Évalué à 10.
Où ça ?
Ils ont apporté des liens vers leur site (riche en marketspeak mais très pauvre en explications techniques, comme noté plus haut), suggéré de consulter leur « livre blanc » (idem), se sont vantés de leur succès (« fiers du chemin accompli etc. ») ou de leur spécifité (« notre techo n’a rien à voir avec les technos traditionnelles »), se sont exclamés que leur « techno est bien une réalité et certainement pas un snakeoil! »… mais des arguments techniques, et a fortiori des arguments techniques qui soutiendraient leur thèse selon laquelle leur solution fournit « un niveau de sécurité encore jamais atteint », désolé je n’en vois aucun.
Ils ne prétendent pas le contraire d’ailleurs puisque leur dernier message mentionne « nous comprenons que vous vouliez plus d’informations technique et allons voir ce que nous pouvons faire ». OK, mais pour l’instant on attend de voir, justement.
(Et non, parler de « AES256 end-to-end » ou « échange Diffie-Hellman » comme ils le font sur le site ou leur livre blanc n’est pas de l’argumentation technique, c’est du name-dropping.)
Ça ne justifie pas de les insulter, on est d’accord. Mais pas de raison non plus de les accueillir avec des fleurs quand ils viennent juste déverser leurs discours marketing. Indépendamment du fait que leur solution soit propriétaire d’ailleurs, on a déjà vu passer sur ce site des annonces de projets libres qui se sont fait descendre faute de détails techniques…
[^] # Re: Un cas d"école
Posté par Tixeo . Évalué à 5.
Nous sommes en train de voir si nous pouvons enrichir avec plus de détails techniques nos supports de communication. Mais nous avons vraiment l’impression que quel que soit le niveau de détails techniques que nous vous fournirons, vous nous accuserez de « snakeoil » ou de « name dropping » tant que vous n’aurez pas vu les sources… Nous ne vous le reprochons pas, c’est même l’ADN du lectorat LinuxFr de vouloir libérer les sources et de promouvoir les solutions libres.
Nous sommes une solution propriétaire, non open-source, c’est un fait. Pour gagner la confiance de nos clients, nous avons passé la certification et la qualification ANSSI. Ce n’est pas une chose facile, le travail réalisé est très sérieux : des tests d’intrusions ont été réalisés sur la solution, du code review sur les parties sensibles tel que le chiffrement a été réalisé et cela avec succès. Maintenant, libre à vous de faire confiance à l’ANSSI ou pas, et donc indirectement, de nous faire confiance ou pas…
[^] # Re: Un cas d"école
Posté par gouttegd . Évalué à 8. Dernière modification le 26 juillet 2018 à 16:52.
Disclaimer : je ne parle pas au nom de la communauté LinuxFR.org, qui est diverse et dont les membres n’ont pas tous les mêmes sensibilités. Il n’y a pas que des libristes sur DLFP, loin de là (même si ce sont peut-être les plus voyants).
En ce qui me concerne, je considère qu’en matière de sécurité, la disponibilité des sources (sous une licence libre, pas seulement une mise à disposition en lecture seule sans les libertés qui font le logiciel libre) est une condition nécessaire. Pas suffisante (ce n’est pas parce qu’un produit est libre qu’il est forcément bon), mais absolument nécessaire. Donc en effet, vous aurez du mal à me convaincre de la sécurité de votre solution, encore plus à me convaincre qu’elle est plus sécurisée que toutes les autres. Si vous trouvez ça injuste, pas la peine de vous en prendre à moi. C’est vous qui avez choisi de faire du propriétaire.
Le problème avec les produits liés à la sécurité, c’est qu’un produit qui fait de l’excellent travail est indistinguable d’un produit moyen voire même d’un produit qui fait franchement de la merde. Et le fait est que nombre d’éditeurs ont largement profité (et profitent encore) de ce fait pour vendre à leurs clients ce qui n’est rien d’autre que de la poudre de perlimpinpin (snake oil) — après tout pourquoi se casser la tête à faire un produit vraiment sécurisé quand on peut juste prétendre qu’il l’est ?
Je ne dis pas que c’est votre cas, seulement voilà, chat échaudé craint l’eau froide. Encore une fois, pas la peine de vous en prendre à moi. Prenez-vous en à tous les éditeurs qui refourguent de la merde à leurs clients, et constatez au passage que ces éditeurs ont tous un point commun : leurs produits sont propriétaires…
Cela étant dit, je répète que je ne parle pas pour tout le monde ici. Plusieurs utilisateurs de DLFP n’ont aucun soucis avec les logiciels propriétaires (à la manière d’un Torvalds justifiant l’utilisation de BitKeeper, ils utilisent ce qu’ils estiment être les meilleurs outils pour une tâche donnée, et si ce doit être des logiciels proprios, so be it), donc libre à vous d’essayer de les convaincre. Par contre, même ces utilisateurs-là sont en général friands de technique et peu tolérants au discours marketing…
[^] # Re: Un cas d"école
Posté par gouttegd . Évalué à 8.
J’oubliais, il y a au moins une chose que vous pourriez faire pour me donner un minimum confiance dans votre produit : publiez le « Rapport Technique d’Évaluation » (réf. CSPN-RTE-Tixeo-Server, version 1.01 du 27 février 2017) qui a servi de base à la décision de l’ANSSI (pas le « rapport de certification » que vous publiez déjà et qui ne contient pour ainsi dire rien du tout, mais le rapport technique qui contient tous les détails de ce qu’a fait et observé l’auditeur).
Il n’est apparemment pas dans la politique de l’ANSSI de publier ce type de rapport, mais je suppose que vous devez en avoir obtenu une copie (j’espère, d’ailleurs, sinon comment êtes-vous supposés corriger les « manques ou incohérences » auxquelles il est fait allusion dans le rapport de certification ?).
Y a-t-il quelque chose qui vous empêche de le rendre public (est-ce explicitement interdit par l’ANSSI par exemple) ? Si non, alors pourquoi ne pas le publier ?
[^] # Re: Un cas d"école
Posté par Tixeo . Évalué à 6.
Votre raisonnement est légitime. Nous ne voulons surtout pas partir sur un troll libre vs propriétaire, donc désolé de notre non-réponse, et il n’y a rien de personnel.
Concernant le rapport technique d’évaluation : oui c’est explicitement confidentiel.
# Il y a des gens qui font des visio-conférences ?
Posté par Wawet76 . Évalué à 4. Dernière modification le 21 juillet 2018 à 23:16.
Perso au boulot, je fais plein de réunion audio avec une solution (souvent Webex ou Skype, bouh) pour partager des documents, montrer une application, faire défiler une présentation.
Mais voir la tête des gens… Ça fait 40 ans qu'on veut nous vendre le concept, mais il y a beaucoup de monde qui utilise vraiment ça ?
[^] # Re: Il y a des gens qui font des visio-conférences ?
Posté par ckiller . Évalué à 4.
je trouve que ca apporte un plus en terme de communication, l'expression du visage, les réactions.
Quand la bande passante le permet.
[^] # Re: Il y a des gens qui font des visio-conférences ?
Posté par Zatalyz (site web personnel) . Évalué à 8.
J'ai testé diverses solutions avec visio, y compris des propriétaires, et le problème reste toujours la bande passante de chaque participant, il suffit qu'une des personnes aie une connexion un peu branlante et ça devient vite pénible pour tout le monde. Du coup je préfère vraiment les solutions audio pures, qui marchent généralement bien mieux.
Mais je suis d'accord, la visio amène des informations en plus qui peuvent être intéressantes dans certaines circonstances, en particulier toutes les réunions où le but est plus de sociabiliser que de travailler. Simplement ça consomme trop de bande passante pour une bonne partie des connexions…
[^] # Re: Il y a des gens qui font des visio-conférences ?
Posté par Michaël (site web personnel) . Évalué à 5.
Pour les entretiens d'embauche ça apporte définitivement un plus, puisque le candidat est à la maison:
Mais c'est vrai qu'en pratique c'est assez galère niveau bande passante – déjà que le téléphone lui-même ne marche pas toujours bien.
[^] # Re: Il y a des gens qui font des visio-conférences ?
Posté par devnewton 🍺 (site web personnel) . Évalué à 8.
Au boulot, c'est utilisé presque pour toutes les réunions, car l'entreprise est réparti sur plusieurs sites. Le système, privateur dont j'aimerai bien trouver un équivalent libre, est très bien: on réserve une réunion sur son agenda et le système envoie des invitations par mail avec le nom des salles, une url pour la visioconférence et un numéro à appeler pour ceux qui n'ont qu'un téléphone. Dans chaque salle de réunion, il y a un PC avec un grand écran et une caméra où la conférence s'affiche automatiquement à l'heure du début. Les gens peuvent connecter leur PC portable pour partager un écran ou uploader une présentation. 10 minutes avant la fin, une voix prévient que ça va couper chérie.
Tout cela est sans doute faisable en combinant des solutions qui utilisent iCal, webrtc, smtp & autres protocoles standards, mais c'est l'intégration et la finition qui fait tout.
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
[^] # Re: Il y a des gens qui font des visio-conférences ?
Posté par Psychofox (Mastodon) . Évalué à 4. Dernière modification le 22 juillet 2018 à 22:01.
D'expérience non. Pour deux raisons:
On n'a pas encore créé de combiné écran/webcam qui situe l'objectif au niveau du visage des interlocuteurs à l'écrant et qui permette à l'utilisateur de regarder "dans les yeux de son interlocuteurs", du coup tout vidéo conférence est au mieux maladroite parce qu'on pense à regarder l'écran, pas l'objectif. Perso je me force à le faire au niveau privé en tant qu'expatrié qui veut permettre à ses parents de voir leurs petits enfants qu'ils ne rencontrent que 2-3 fois dans l'année mais au niveau pro, niet.
En général quand tu fais une vidéo conférence et que tu es plusieurs collègues dans une même pièce et que tu discutes avec un client, fournisseur ou autre, tu aimes pouvoir échanger des regards ou grimaces avec tes collègues pour pouvoir diriger au mieux la discussion sans vexer l'interlocuteur.
Par contre partager des écrans ou documents, oui c'est utile et c'est la raison #1 pour laquelle les entreprises utilisent des solutions types webex. J'imagine que dans certains domaines (marketing, design, mode, whatever) la caméra peut être utilisée pour montrer des objects, mannequins, que sais-je.
[^] # Re: Il y a des gens qui font des visio-conférences ?
Posté par Paul POULAIN (site web personnel, Mastodon) . Évalué à 3.
Oui : ma boite.
nous sommes 18, répartis un peu partout en France, bureau à Marseille ou nous sommes entre 0 et 8 selon les jours (certains télé-travaillent 3j par semaine)
On se retrouve IRL 4x par an, une semaine et le reste du temps, c'est à distance.
On fait des visios (jitsi remplace peu à peu hangout) tous les jours; voire plusieurs fois par jour à 2, 3, ou plus. Selon les cas on met ou on coupe la caméra, on partage ou non son écran, on est très souple.
Dans notre bureau de Marseille on a investi dans une bonne caméra qui permet de voir tout le monde dans la pièce. On a aussi un bon micro panoramique.
Si j'essaye d'analyser ce qui fait qu'on active la caméra je dirais "si c'est une réunion de 3mn, on met pas. Si c'est une "vraie" réunion, on la met. Et lorsqu'on est plus que 3 dans la réunion, on a plus facilement tendance à ne pas la mettre. Enfin certains ont la caméra activée par défaut, d'autres désactivée par défaut.
[^] # Re: Il y a des gens qui font des visio-conférences ?
Posté par Tixeo . Évalué à 8.
Oui, tous nos clients sont des gros utilisateurs de visioconférences. La vidéo apporte vraiment un plus pour les communications non-verbales.
Pour ce qui concerne Tixeo, nous avons quasiment « dématérialisé » la société depuis 3 ans. Depuis, nous sommes en visioconférence continu tous les jours avec une équipe répartie en France. Donc oui, il y a des gens qui font des visioconférences.
Notre dépêche aura au moins le mérite de provoquer un débat sur la sécurité des visioconférences et sur la visioconférence en générale.
[^] # Re: Il y a des gens qui font des visio-conférences ?
Posté par Axioplase ıɥs∀ (site web personnel) . Évalué à 4.
Voir la tête des gens, c'est très important.
Vidéo + audio > audio > texte + smiley > texte
En voyant la tête des gens, tu peux décoder leurs émotions et analyser mieux leur message. Je fais de la visio conf depuis des années, et la voix ne suffit pas quand tu discutes avec un tas de gens qui viennent de cultures différentes et qui ont des accents tout aussi différents.
Ca permet aussi de créer un rapport personnel beaucoup plus rapidement. Dans une boîte de 5 personnes qui se connaissent bien, tu peux peut-être t'en passer, mais dans ma boîte où je communique avec des Polonais, des Russes, des Américains, des Chinois, des Indiens, etc., pas question que je m'en passe.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.