Ce qui est démontré dans le cas Debian c'est qu'il à fallu au moins 2 failles de sécurité pour passer root.
Si les éléments pour comprendre l'usurpation des privilèges de root manquent actuellement, ce seul défaut n'aurait pas suffit à quelqu'un d'extérieur au projet pour exploiter cette faille (Je fais l'hypothèse que tous les mainteneurs Debian sont gentils.).
Il a donc fallu exploiter en premier lieu un autre défaut pour se faire passer pour un utilisateur normal d'une machine Debian.
Je regrette le manque d'explication sur ce préalable, et je vais tenter de proposer plusieurs hypothèses naïves que je soumet à votre sagacité.
Tout d'abord il faut envisagé les cas non techniques. Je n'en vois qu'un. C'est le cas ou le pirate a regardé par dessus l'épaule d'un mainteneur Debian au moment où il se loggait sur une machine Debian (cas 0).
Les cas techniques que j'entrevois sont les suivants :
1 - espionnage de l'entrée du mot de passe au clavier
2 - exploitation d'une faille dans SSH/OpenSSH permettant de décrypter le mot de passe envoyé
3 - vol d'une la clé privé OpenSSH
4 - autres exploitations de faille SSH permettant de se passer d'une authentification
5 - exploitation d'une faille GPG permettant de décrypter un message et interception d'un mail de demande de changement de mot de passe
6 - interception d'une transaction SSL de demande de changement de mot de passe
7 - espionnage de la page/mémoire du navigateur lors du changement par un mainteneur Debian de ses info personnelles sur le site db.debian.org.
Dans les cas 0,1,3 et 7 il faut probablement que le pirate soit root pour que cela soit possible, et donc qu'il soit administrateur de la machine ou qui ai usurpé les droits de root sur cette machine également.
Il me semble que l'on peu raisonnablement se prémunir contre ces 4 cas par l'application d'une politique de sécurité rigoureuse mais malheureusement contraignante, qu'il risque d'être difficile à imposer à une communauté de bénévoles.
Par contre pour les cas restants, la seule solution que j'envisage est de rechercher les failles et de se passer des services inutiles.
J'avais testé il y a pas mal de temps le plugin Solex (http://solex.sourceforge.net/(...)) qui installe un proxy entre le serveur web et le client pour enregistrer les requêtes et les reponses pour pouvoir rejouer les requêtes automatiquement et comparer les reponses aux réponses initiales..
Ça me parait être une bonne approche pour systématiser les tests de non-regressions.
* Que les moyens cryptographiques soit expliqués
ce serait bien, meme si la pluspart des gens n'en ont rien à f...aire
Oui mais si on part sur des considérations de ce type on peut aussi dire que la plupart des gens n'utilisent pas Linux. De même la plupart des utilisateurs de linux ne regarderont jamais les sources de linux alors à quoi bon les avoir à disposition. La réponse est qu'une petite minorité les regarde, les critique et les améliore.
Pour ce qui est de l'argument du «c'est trop compliqué techniquement» il ne tient pas non plus puisse que c'est déjà un document numérique signé qui est généré donc rien n'empêche d'en avoir une copie localement.
Pour ta réponse au troisième point «c'est peut etre un peu trop pour l'utilisateur moyen» sa réfutation est du même ordre que pour le premier point, quant à laisser entendre que cela poserait un problème au client mail je pense que c'est du pure FUD vu que l'administration génère un fichier PDF elle pourrait encore plus facilement générer du texte et donc sans intervention de quelque mail que ce soit.
Tous ce que je propose n'est pas un alourdissement de la procédure mais juste donner la possibilité à ceux qui veulent savoir de savoir et à ceux qui veulent des preuves d'en avoir.
A force de prendre tout le monde pour des neuneu on aura un monde de neuneu.
Il demeure tout de même un grave défaut dans la procédure, car quand nous nous envoyons la déclaration nous la signons électroniquement bien que nous ayons peu d'informations sur la nature de cette signature, l'accusé réception envoyé par l'administration n'est lui pas signé. Donc même s'il est indiqué sur le site qu'il lui est opposable, cette derniere à tout loisir de le répudier et de prétendre que soit celui que nous détenons est faut soit qu'il ne correspond pas aux données envoyées.
Pour améliorer la procédure il faudrait donc :
* Que les moyens cryptographiques soit expliqués
* Que les données envoyées puissent être conservées localement avec leur signature
* Que l'accusé recéption contienne la signature des données envoyées, qu'il soit lui même signé, et que cette signature puisse être vérifiée.
Ça marche sous linux, donc c'est déjà mieux que si ça ne marchait que sur Mac et Win.
C'est la procédure de récupération du certificat qui n'est pas bien expliquée à mon avis car c'est là que j'ai eu du mal.
Ils devraient préciser qu'il faut attendre le mail de «Notification de retrait de certificat» pour pouvoir continuer l'étape 2.
Pour envoyer mes données, il a aussi fallu que je m'y prenne à 2 fois.
Oui je vois aussi Big Brother qui n'est pas libre comme l'indique l'extrait du site web :
«Big Brother is distributed under our Better than Free license. Clause 1 from that
license determines whether you need to buy a Commercial license.
1.Non-Commercial Use
No part of the Big Brother System and Network Monitor may be used for any commercial
purpose after a 30 day evaluation period without obtaining a commercial license from BB4
Technologies Inc. Commercial purpose includes any activity engaged for the purpose of
directly generating revenues including the sale of the product, use of the product to
provide a service or in support of a service for which you charge.
So if you're using Big Brother to monitor a machine that makes shoes (for example), it's
free. However, if you're using Big Brother to monitor a machine that sells shoes, you need
a commercial license».
Même si cette liste n'est pas parole d'évangile cela donne tout de même une excellente
base de discussion.
Si seulement 300 personnes d'IBM travaillent sur Linux, cela constitue probablement une des 5 premières sociétés en terme de ressources humaines sur le sujet. Vivement qu'on puisse dire qu'il y ait 300 personnes qui consacrent tout leur temps aux logiciels libres dans une société française.
Ma conclusion est qu'au lieu de faire la fine bouche, il vaut mieux prendre ce qui nous est proposé, que ce soit en matière de renommée, qu'en matière de developpement.
Pour ce qui est de profiter, les logiciels libres sont là justement pour que le plus de monde en profite. Donc réjouissons nous quand ce but est atteint dans le respect des regles du jeu que sont les licences. Si en plus les profiteurs font globalement progresser la diffusion des logiciels libres, alors je ne vois pas ce qu'on peut espérer de plus.
Je rappel qu'il n'est pas obligatoire d'être développeur Debian pour participer au projet.
Le simple fait de faire des rapports de bug exploitable est déjà un bon moyen de participer.
Les plus courageux peuvent même agrémenter leur rapport d'un patch.
Il n'est même pas interdit de d'envoyer des patch pour des bug que l'on à pas soit même reporté.
Voila pour le couplet prosélyte/Et toi t'as fait quoi pour Debian aujourd'hui ;-)
Cela dit pour un projet basé sur le volontariat je trouve que ça pourrait être largement pire.
Maintenant comme je trouve aussi que ça pourrait allez plus vite je vais relire le début de cet article.
Je sens bien que je suis un grand naïf dans cette histoire, car je crois encore que l'on peut faire
rectifier un article losque l'on peut démontrer qu'il contient des erreurs.
Je me dis aussi que je n'ai qu'à prendre mon clavier et écrire un petit mail au site qui
publit l'info pour la faire corriger et voir ce que ça donne.
Poutant je crois que l'on pourrait réaliser une sorte de lobbying pour faire corriger les news
au moins pour les fautes les plus grossières.
Pour cela il faudrait des gens qui se partagent la surveillance des news, il faudrait identifier
les techniques qui conduisent le plus surement à faire corriger les sites. Il faudra peut-être dans
certains cas recourir à la justice.
La piste que je propose est de ne pas s'embarquer dans des débats publics à coup de contres
nouvelles, mais juste d'obtenir les modifications que nous demandons le plus rapidement possible.
Lorsque les services de presse de ces sites en auront marre d'être assaillis de demandes de
corrections pour des articles écrits avec certains interlocuteurs, ils finiront par mieux
sélectionner leurs sources. Enfin je l'imagine dans ma grande naïveté.
# Il y a au moins 2 failles à prendre en compte
Posté par Jetto . En réponse à la dépêche Du nouveau sur les serveurs Debian compromis. Évalué à 4.
Si les éléments pour comprendre l'usurpation des privilèges de root manquent actuellement, ce seul défaut n'aurait pas suffit à quelqu'un d'extérieur au projet pour exploiter cette faille (Je fais l'hypothèse que tous les mainteneurs Debian sont gentils.).
Il a donc fallu exploiter en premier lieu un autre défaut pour se faire passer pour un utilisateur normal d'une machine Debian.
Je regrette le manque d'explication sur ce préalable, et je vais tenter de proposer plusieurs hypothèses naïves que je soumet à votre sagacité.
Tout d'abord il faut envisagé les cas non techniques. Je n'en vois qu'un. C'est le cas ou le pirate a regardé par dessus l'épaule d'un mainteneur Debian au moment où il se loggait sur une machine Debian (cas 0).
Les cas techniques que j'entrevois sont les suivants :
1 - espionnage de l'entrée du mot de passe au clavier
2 - exploitation d'une faille dans SSH/OpenSSH permettant de décrypter le mot de passe envoyé
3 - vol d'une la clé privé OpenSSH
4 - autres exploitations de faille SSH permettant de se passer d'une authentification
5 - exploitation d'une faille GPG permettant de décrypter un message et interception d'un mail de demande de changement de mot de passe
6 - interception d'une transaction SSL de demande de changement de mot de passe
7 - espionnage de la page/mémoire du navigateur lors du changement par un mainteneur Debian de ses info personnelles sur le site db.debian.org.
Dans les cas 0,1,3 et 7 il faut probablement que le pirate soit root pour que cela soit possible, et donc qu'il soit administrateur de la machine ou qui ai usurpé les droits de root sur cette machine également.
Il me semble que l'on peu raisonnablement se prémunir contre ces 4 cas par l'application d'une politique de sécurité rigoureuse mais malheureusement contraignante, qu'il risque d'être difficile à imposer à une communauté de bénévoles.
Par contre pour les cas restants, la seule solution que j'envisage est de rechercher les failles et de se passer des services inutiles.
Vous avez d'autres idées ?
# plugin de test d'application web
Posté par Jetto . En réponse à la dépêche Eclipse 2.1 est sorti. Évalué à 8.
Ça me parait être une bonne approche pour systématiser les tests de non-regressions.
[^] # Re: L'accusé réception n'est pas signé
Posté par Jetto . En réponse à la dépêche Déclarer ses revenus sous Linux. Évalué à 1.
[^] # Re: L'accusé réception n'est pas signé
Posté par Jetto . En réponse à la dépêche Déclarer ses revenus sous Linux. Évalué à 6.
# L'accusé réception n'est pas signé
Posté par Jetto . En réponse à la dépêche Déclarer ses revenus sous Linux. Évalué à 10.
[^] # Re: Déclarer ses revenus sous Linux
Posté par Jetto . En réponse à la dépêche Déclarer ses revenus sous Linux. Évalué à 10.
[^] # Re: Le guide IdealX des logiciels *pas tous* libres utilisables en production
Posté par Jetto . En réponse à la dépêche Le guide IdealX des logiciels libres utilisables en production. Évalué à 5.
«Big Brother is distributed under our Better than Free license. Clause 1 from that
license determines whether you need to buy a Commercial license.
1.Non-Commercial Use
No part of the Big Brother System and Network Monitor may be used for any commercial
purpose after a 30 day evaluation period without obtaining a commercial license from BB4
Technologies Inc. Commercial purpose includes any activity engaged for the purpose of
directly generating revenues including the sale of the product, use of the product to
provide a service or in support of a service for which you charge.
So if you're using Big Brother to monitor a machine that makes shoes (for example), it's
free. However, if you're using Big Brother to monitor a machine that sells shoes, you need
a commercial license».
Même si cette liste n'est pas parole d'évangile cela donne tout de même une excellente
base de discussion.
[^] # Re: BitKeeper n'est pas libre...
Posté par Jetto . En réponse à la dépêche Linus passe un peu la main. Évalué à 6.
[^] # Re: Vous en connaissez bcp d'entreprises qui sont passé sous Linux en France ?
Posté par Jetto . En réponse à la dépêche La stratégie d'IBM. Évalué à 1.
Désolé pour les entreprises que j'ai oubliées.
[^] # Re: Superbe d'intelligence.
Posté par Jetto . En réponse à la dépêche La stratégie d'IBM. Évalué à 10.
Pour ce qui est de leurs contributions au libre palpables il y a au moins OpenAFS (http://www.openafs.org/(...)), et JFS (http://oss.software.ibm.com/developerworks/opensource/jfs/index.htm(...))..
Si seulement 300 personnes d'IBM travaillent sur Linux, cela constitue probablement une des 5 premières sociétés en terme de ressources humaines sur le sujet. Vivement qu'on puisse dire qu'il y ait 300 personnes qui consacrent tout leur temps aux logiciels libres dans une société française.
Ma conclusion est qu'au lieu de faire la fine bouche, il vaut mieux prendre ce qui nous est proposé, que ce soit en matière de renommée, qu'en matière de developpement.
Pour ce qui est de profiter, les logiciels libres sont là justement pour que le plus de monde en profite. Donc réjouissons nous quand ce but est atteint dans le respect des regles du jeu que sont les licences. Si en plus les profiteurs font globalement progresser la diffusion des logiciels libres, alors je ne vois pas ce qu'on peut espérer de plus.
[^] # Re: C'est trop injuste...
Posté par Jetto . En réponse à la dépêche leader de Debian-boot. Évalué à 1.
Je rappel qu'il n'est pas obligatoire d'être développeur Debian pour participer au projet.
Le simple fait de faire des rapports de bug exploitable est déjà un bon moyen de participer.
Les plus courageux peuvent même agrémenter leur rapport d'un patch.
Il n'est même pas interdit de d'envoyer des patch pour des bug que l'on à pas soit même reporté.
Pour les plus motivés donc un bon début est ici: http://bugs.debian.net(...)
Voila pour le couplet prosélyte/Et toi t'as fait quoi pour Debian aujourd'hui ;-)
Cela dit pour un projet basé sur le volontariat je trouve que ça pourrait être largement pire.
Maintenant comme je trouve aussi que ça pourrait allez plus vite je vais relire le début de cet article.
[^] # Re: Le site est vide ?
Posté par Jetto . En réponse à la dépêche DaNews: Information spéciale. Évalué à 1.
Je vous laisse tirer les conclusions qui s'imposent :-(
[^] # Re: Ca faisait longtemps
Posté par Jetto . En réponse à la dépêche Quelques articles truffés d'erreurs. Évalué à 1.
rectifier un article losque l'on peut démontrer qu'il contient des erreurs.
Je me dis aussi que je n'ai qu'à prendre mon clavier et écrire un petit mail au site qui
publit l'info pour la faire corriger et voir ce que ça donne.
Poutant je crois que l'on pourrait réaliser une sorte de lobbying pour faire corriger les news
au moins pour les fautes les plus grossières.
Pour cela il faudrait des gens qui se partagent la surveillance des news, il faudrait identifier
les techniques qui conduisent le plus surement à faire corriger les sites. Il faudra peut-être dans
certains cas recourir à la justice.
La piste que je propose est de ne pas s'embarquer dans des débats publics à coup de contres
nouvelles, mais juste d'obtenir les modifications que nous demandons le plus rapidement possible.
Lorsque les services de presse de ces sites en auront marre d'être assaillis de demandes de
corrections pour des articles écrits avec certains interlocuteurs, ils finiront par mieux
sélectionner leurs sources. Enfin je l'imagine dans ma grande naïveté.