Trou de sécurité dans Seti@Home

Posté par  . Modéré par Xavier Antoviaque.
Étiquettes : aucune
0
6
avr.
2003
Sécurité
Un trou de sécurité a été detecté dans le programme "Seti@Home" (programme permettant d'analyser des signaux radio de manière a trouver une forme de vie intelligente). Il est vivement conseiller d'installer la nouvelle version (3.08) car c'est un gros trou; en effet, il est suceptible de permettre de s'introduire a distance dans la machine qui fait fonctionner ce logiciel.

Les versions concernées sont :

setiathome-3.03.i386-pc-linux-gnu-gnulibc2.1
setiathome-3.03.i686-pc-linux-gnu-gnulibc2.1
setiathome-3.03.i386-pc-linux-gnulibc1-static
setiathome-3.03.i686-pc-linux-gnulibc1-static
setiathome-3.03.i386-winnt-cmdline.exe
i386-unknown-freebsd2.2.8
SETI@home.exe (v3.07 Screensaver)

Aller plus loin

  • # Re: Trou de sécurité dans Seti@Home

    Posté par  . Évalué à 10.

    c'était peut-être une fonctionnailté destinée aux formes de vie intelligente pour qu'elles entrent en contact avec nous, en se loggant sur notre machine
  • # Re: Trou de sécurité dans Seti@Home

    Posté par  . Évalué à 10.

    je vous conseille folding@home qui est pas mal, c'est de la genetique pour soigner des maladie.. c'est un peu plus concret.
    en esperant qu'il 'y ai pas de faille ...

    http://folding.stanford.edu/(...)
    • [^] # Re: Trou de sécurité dans Seti@Home

      Posté par  (site web personnel) . Évalué à 9.

      Pour ceux qui se poseraient la question (c'est la première chose à vérifier je pense) :

      <blockquote>
      [...] we will make the data available for others to use. In particular, the results from Folding@home will be made available on several levels. Most importantly, analysis of the simulations will be submitted to scientific journals for publication, and these journal articles will be posted on the web page after publication. Next, after publication of these scientific articles which analyze the data, the raw data of the folding runs will be available for everyone, including other researchers, here on this web site.
      </blockquote>
      http://folding.stanford.edu/faq.html#project.own(...)
      • [^] # Re: Trou de sécurité dans Seti@Home

        Posté par  . Évalué à 5.

        Les résultats scientifiques obtenus par les groupes de recherche publique sont toujours libres il me semble.
        Ce travail collaboratif est même la base de la recherche publique, et ce n'est donc pas vraiment étonnant, meme si ça vaux la peine d'etre mentionné pour ceux qui ne connaissent pas ce milieu là.
        • [^] # Re: Trou de sécurité dans Seti@Home

          Posté par  . Évalué à 1.

          Nan, les résultats obtenus par un chercheur X dans un institut privé Y appartiennent à l'institut Y... Ce dernier peu d'ailleurs revendre ses droits ou gagner de l'argent avec.

          Par contre il existe souvent des accords (parfois même préalables) qui visent à mettre le contenu de la recherche dans le domaine public (ou à transférer les droit gratuitement à une tierce personne). Ces accords ont lieu dans le but de valoriser le contenu de la recherche.

          Reste un cas pariculier qui est celui de la publication dans les revues. Dans ce cas il faut abandonner les droits d'édition à la revue... (et du coup impossible de breveter )
  • # Où est la nouvelle version???

    Posté par  . Évalué à 2.

    C'est bien d'avoir découvert ce trou mais où est la nouvelle version???
  • # Re: Trou de sécurité dans Seti@Home

    Posté par  (site web personnel) . Évalué à 4.

    Vu le nombre de personnes que je connais qui utilisent ce programme (entre autres toutes les licences info de mon université), espérons que cette info va vite se répandre ...

    bref, à faire suivre !

    Sinon, ce ne sont pas des E.T qui vont rentrer en contact avec nos machines...
  • # Re: Trou de sécurité dans Seti@Home

    Posté par  . Évalué à 3.

    Salut

    Je m'attendais à voir des commentaires parlant du fait que le client n'est pas libre ?

    Je trouve que c'est un gros problème quand même... Mais je ne suis pas non plus spécialiste dans ce débat (vérifier des infos envoyées par des clients côté serveur)...

    Mais ça ne serait pas mieux que le client soit libre ? Est-ce que ça rejoint le débat des jeux libres ?
    • [^] # Re: Trou de sécurité dans Seti@Home

      Posté par  . Évalué à 1.

      des jeux libres peut-être, je ne sais pas, mais des logiciels libres sûrement...
    • [^] # Re: Trou de sécurité dans Seti@Home

      Posté par  . Évalué à 3.

      Il explique sur leur site pourquoi le client n'est pas libre ou open source. Le probleme c'est qu'il doivent etre sur que le client fait bien les calculs prévu.
      Si le client est libre, des personnes pourraient modifié la partie sur les calculs.
      • [^] # Re: Trou de sécurité dans Seti@Home

        Posté par  . Évalué à 3.

        genre les gars en noir de la NSA qui brouillent les calculs pour éviter qu'on connaisse la vérité sur les ET ?

        "vous nous faites nos calculs mais c'est pas pour ça qu'on vous fait confiance." bonjour la paranoïa...
      • [^] # Re: Trou de sécurité dans Seti@Home

        Posté par  . Évalué à 3.

        j'avoue que je ne comprends pas très bien :
        si ils font un client libre et qu'on le télécharge sur leur site, quel est le problème ? On est sûr que c'est le bon programme et pas un truc modifié...
        je ne vois pas en quoi le fait qu'il soit libre pose un problème
        ça permettrait aux gens de regarder le code et de proposer des patchs, qu'il ne tiendrait qu'à eux de prendre en compte...
        Et ça permettrait de vérifier que ce programme ne fait pas des choses bizarres, en regardant le code source...

        Si quelqu'un distribue une version modifiée de leur logiciel, toute personne utilisant cette version sait ce qu'elle risque

        Quelqu'un pourrait très bien distribuer une version fermée et compromise du programme, en ce moment, et le fait que le client actuel ne soit pas libre ne peut pas l'empécher...
        • [^] # Re: Trou de sécurité dans Seti@Home

          Posté par  . Évalué à 3.

          Je crois que tu ne vois pas très bien la raison du fait que le programme ne soit pas libre.

          A mon sens, et je comprend très bien les gens du Seti pour cela, le problème est qu'il serait très difficile de distinguer les résultats des calculs provenant d'un client correct ou d'un client adapté.

          Tu suppose que tous ceux qui utiliseraient le client soient assez honnètent pour ne pas falcifier les résultats au travers des modifications des algorithmes de calcul. D'ailleur, je ne pense pas qu'il y ait énormément de personnes qui soient capable de modifier correctement un algorithme de ce type.

          Pour garantir la sureté des données transmisent au Seti, ils avaient le choix entre fermé leurs sources (caché le protocole de communication, l'algorithme, ...) ou mettre en place un système relativement complexe d'authentification des utilisateurs (ce qui à mon sens aurait rebuter bon nombre d'utilisateurs).

          J'avoue que j'aurai aimer avoir les sources du prog du Seti. Mais, en tant que scientifique, la validité de mes résultats est plus importante que le plaisir que possèderai quelques rares personnes à lire mes algorithmes.
          Certe, cela indique que les scientifiques du Seti possèdent une vision négative des personnes susceptibles d'utiliser leur client. Mais il suffirait d'une seule personne mal intentionnée pour que les résultats, produit de centaines d'heures de calcul, soient invalidés.
          • [^] # Re: Trou de sécurité dans Seti@Home

            Posté par  . Évalué à 2.

            Je parlais du rapport avec les jeux vidéos puisque c'est justement un problème de confiance.

            Mais d'un autre coté, je ne participe pas à ce projet parce que ça impliquerait de faire tourner sur une de mes machines un programme non-libre, avec tous les inconvénients techniques que cela entraine...

            Et pour moi, laisser un logiciel propriétaire pour des raisons de sécurité est aussi stupide que les protections contre la copie des CDs : ça emme*** les honnetes personnes, et ne fait pas reculer les personnes motivées.

            C'est mon avis, et je le partage.
            • [^] # Re: Trou de sécurité dans Seti@Home

              Posté par  . Évalué à 1.

              > laisser un logiciel propriétaire pour des raisons de sécurité ...

              Je suis d'accord. Mais le problème n'est pas la sécurité mais la sureté des informations transmisent par les logiciels clients.

              S'il était possible de s'assurer que les données calculées par un logiciel client soient conforment et valident, je pense que l'option d'un code libre serait la bienvenue. Malheureusement, tout le monde n'est pas aussi bien attentionné que toi. Il y aura toujours un risque pour qu'un petit joueur falcifie les résultats des calculs. Ce qui invaliderai tous les résultats du Seti. En tant que scientifique je ne peut qu'approuver l'attitude du Seti dans ce domaine. Même si j'aurai préféré moi aussi un code libre.
  • # Re: Trou de sécurité dans Seti@Home

    Posté par  . Évalué à 1.

    Qui peut prouver que logiciel ne sert pas en fait à analyser les signaux recueillis par Echelon ?
    Parce que moi, je ne vois les américains croire aux petits hommes verts !

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.