Journal OpenOffice à l'index

• # SSTIC 2006

  Posté par rangzen (site web personnel) le 12 juillet 2006 à 09:01. Évalué à 4.

  

  Le colonel Filiol en a parlé pendant la rump session du STIC2006, plusieurs vecteurs d'attaques ont été testé du plus simple au réplicateur sans intervention humaine (ouvre le document et ... pouf la macro).
  
  Les codes Proof Of Concept ne seront pas diffusés.
  
  Il a confirmé ce qui est à la fin de l'article : c'est conceptuel, donc les rustines risquent d'être lourdes à mettre en place :/
  
  http://www.sstic.org
  http://actes.sstic.org/SSTIC06/Rump_sessions/SSTIC06-rump-Fi(...)

  • [^] # Re: SSTIC 2006

    Posté par Grumbl le 12 juillet 2006 à 09:17. Évalué à 1.

    

    Sauf erreur de ma part, ne suffit-il pas de désactiver le support des macros à la compilation, ce que tout individu sensé souhaitant utiliser une suite bureautique (ok, c'est un oxymore) fait ?

    • [^] # Re: SSTIC 2006

      Posté par Guillaume Lebigot (site web personnel) le 12 juillet 2006 à 09:35. Évalué à 7.

      

      Sauf que bon, parfois les macros ça a du bon, ne serait-ce que pour mettre en page un tableau sous Calc par exemple après avoir importé des données en .CSV juste avant...
      
      C'est un exemple comme un autre bien entendu.

      • [^] # zut, j'ai glissé dans le troll

        Posté par Grumbl le 12 juillet 2006 à 09:41. Évalué à -2.

        

        CSV ? Je croyais qu'avec XML l'ère du CSV était révolue :-)

      • [^] # Re: SSTIC 2006

        Posté par sirrus le 13 juillet 2006 à 10:07. Évalué à 2.

        

        L'option de sécurité des macros dans Options -> OOo -> Sécurité avec le réglage des confiaces ne permet-il pas un minimum de sécurité et une possibilité d'utilisation de ce côté là (surtout si en plus on rajoute d'autres points de sécurité sur la source de confiance) ?

  • [^] # Re: SSTIC 2006

    Posté par Zorro (site web personnel) le 12 juillet 2006 à 17:04. Évalué à 5.

    

    "Le colonel Filiol en a parlé pendant la rump session du STIC2006"

    
    L'annonce officielle a donc été faite début juin, et on n'en parle que maintenant, quand ZDnet, en faisant correctement son métier, met l'affaire sur la place publique...
    Le moins qu'on puisse dire, c'est qu'on a été très très discrets, par ici... On est pourtant toujours les premiers à pointer la moindre faille dans IE.
    Ça me fait penser au cas Wikipedia, contre lequel le catéchisme actuellement en vigueur interdit la moindre critique.
    C'est dommage que la transparence nous arrive par la bande, de façon presque détournée, alors que le libre, justement, passe son temps à célébrer la transparence. La transparence, on veut bien l'exiger quand on parle des standards de MS, mais quand on dit du mal d'OO, alors là, ccchhhuttt, laissez faire les grandes personnes.
    Je suis un peu dégoûté, sur ce coup-là, tiens.
    On passe notre temps à dire que le libre est plus sûr que le proprio, et Filiol vient dire qu'OO ""n'a jamais été pensé en termes de sécurité". Je trouve ça effarant, quand même.
    Le seul truc qui me rassure, c'est la rapidité de réaction de la communauté du libre, et j'espère que tout ça va être vite corrigé. En attendant, le quasi-silence de la communauté, dans ce cas précis, montre bien qu'on n'est pas vraiment préparés à affronter certaines phases critiques.

    • [^] # Re: SSTIC 2006

      Posté par rangzen (site web personnel) le 12 juillet 2006 à 17:38. Évalué à 7.

      

      Sur la place "grand publique" plutôt :) parce que :
      http://www.mag-securs.com/article.php3?id_article=5241
      http://nonop.blogspot.com/2006/06/sstic-compte-rendu-22.html
      http://teh-win.blogspot.com/2006/06/sstic-06-ca-dnonce.html
      http://sid.rstack.org/blog/index.php/2006/06/04/91-sstic-200(...)
      
      La transparence me semble respecté quand quelqu'un arrive en disant "voilà, on a le code, on a testé plein de truc et problème : tout passe." puis que les codeurs commencent à coder et que tu peux encore mettre le nez dedans.
      Le seul truc non-transparent, c'est le code de poc et ça c'est plutôt un débat sur le full-disclosure.
      
      Le libre est plus sur ... Oui et non ... Encore un débat ...
      
      "N'a jamais été pensé en terme de sécurité" effarant ? Star Office à presque 20 ans ! A cette époque, il fallait ratrapper Office, se faire un nom, le net n'était pas le danger d'aujourd'hui. Les problèmes apparaissent maintenant car la suite commence à avoir son succès. Effarant, non, je trouve ça regrettable plutôt mais ça n'a pas surpris grand monde dans la salle. On a tous été géné quand Filliol a dit pour l'instant vaut mieux mettre du Office Microsoft pour la sécurité mais c'est tout :) Et c'était déjà pas mal :D
      
      La communauté réduit à ceux qui lisent les journaux de linuxfr, c'est réducteur, non ? ;p

      • [^] # Re: SSTIC 2006

        Posté par psychoslave__ (site web personnel) le 13 juillet 2006 à 10:10. Évalué à 2.

        

        Quand est-il de koffice (qui s'installe sans problème sur une distribe amd64, contrairement à OO, en tout cas sur sid c'est comme ça)?
        
        Parceque d'un coté on est content d'avoir le open document interopérable et tout le blabla, et de l'autre on parle que de Ooo!
        
        Sur la page http://www.kde.org/info/security/ on peu voir des entrées pour koffice, ce qui me rassure plutot.
        
        D'ailleurs il est à noté que koffice peu importer des pdf, ce qui peut être quand même très pratique. Et je ne parle même pas du fait qu'ils font des efforts sur l'ergonomie (là ou d'autre ne veulent pas bousculer les ptites habitudes des utilsateurs).
        
        Je ne dis pas que koffice est parfait non plus, il lui manque plein de fonctionnalités d'après ce que j'ai lu, mais je ne fais pas d'utilisation assez poussé des suites bureautique pour m'en rendre compte je pense.

        • [^] # Commentaire supprimé

          Posté par Anonyme le 13 juillet 2006 à 15:01. Évalué à 0.

          

          Ce commentaire a été supprimé par l’équipe de modération.

• # quelques pensées profondes...

  Posté par Hrundi V. Bakshi le 12 juillet 2006 à 09:19. Évalué à 10.

  

  *Je trouve ça rassurant de voir que les chercheurs de la défense cherchent tellement les failles qu'ils en trouvent.
  *Je trouve ça super qu'ils en parlent à OpenOffice.
  *Je trouve bizarre qu'on entende pas parler d'autres découvertes du genre, sur d'autres logiciels/OS (mais bon, ça n'interesse ptet pas le grand public, ça ne veut pas dire que ça ne se fait pas).
  *Je trouve bizarre que personne d'autre n'ait dévoilé ces failles. Normalement il y a plein de gens dans le monde qui devraient faire ça, a priori avec des moyen identiques à la France (y a pas de raison). Je suis ravi de la performance des trouveurs, mais inquiet du soucis des autres...

  • [^] # Re: quelques pensées profondes...

    Posté par Grumbl le 12 juillet 2006 à 09:46. Évalué à -1.

    

    ça doit être le fameux "génie français" !

  • [^] # Re: quelques pensées profondes...

    Posté par ZeroHeure (site web personnel) le 12 juillet 2006 à 10:09. Évalué à 2.

    

    Je ne vois pas l'intéret de tester la sécurité d'une suite bureautique fermée, dont on ne peut ni lire, ni corriger le code source, et qui de toute façon est en situation de monopole.

    "La liberté est à l'homme ce que les ailes sont à l'oiseau" Jean-Pierre Rosnay

    • [^] # Re: quelques pensées profondes...

      Posté par Calim' Héros (site web personnel) le 12 juillet 2006 à 10:16. Évalué à 8.

      

      Voire si elle repond ou non a des besoin de securité pour un ministere special, si elle ne propage pas plein d'info a droite a gauche, si elle est plus ou moins securisé qu'une autre... bref si ca vaux le coup ou pas de s'en servir.
      
      L'interet avec une suite libre c'est qu'on peut dire ce qu'on trouve qui ne vas pas et esperer voir mieux participer a sont amelioration pour obtenir qque chose de plus independant et de plus fiable.

      • [^] # Re: quelques pensées profondes...

        Posté par pasBill pasGates le 12 juillet 2006 à 16:56. Évalué à 1.

        

        L'interet avec une suite libre c'est qu'on peut dire ce qu'on trouve qui ne vas pas et esperer voir mieux participer a sont amelioration pour obtenir qque chose de plus independant et de plus fiable.
        
        Genre comme les dizaines de hackers engages par MS pour tester la securite de Vista apres que ces gens aient montre leur talent en devoilant des failles dans les versions precedentes ?

        • [^] # Re: quelques pensées profondes...

          Posté par lezardbreton le 12 juillet 2006 à 17:19. Évalué à 4.

          

          C'est beau d'encourager les vocations de crackers ! ;)

    • [^] # Re: quelques pensées profondes...

      Posté par esdeem le 12 juillet 2006 à 10:22. Évalué à 3.

      

      J'ai failli répondre "Grossière erreur".
      
      Pourquoi?
      Ça permet de montrer ce que l'on ne veut pas montrer, c'est-à-dire qu'un logiciel fermé n'est pas spécialement ni forcément moins troué qu'un logiciel libre.
      
      La deuxième chose qui me vient à l'esprit, c'est que le même genre de tests a certainement déjà dû être fait pour des tas d'autres logiciels propriétaires, ne serait-ce que pour évaluer leur capacité a être utiliser dans des situations sensibles/critiques (défense entre autre.)
      C'est tout de même une bonne chose, m'est avis.
      Je ne doute cependant pas que pour les situations sensibles/critiques des logiciels ad hoc et idoines soient développés et utilisées en interne, après après le même genre de tests.

      0. Assume good faith 1. Be kind to other people 2. Express yourself 4. Apply rule 0

    • [^] # Re: quelques pensées profondes...

      Posté par jemore le 12 juillet 2006 à 10:39. Évalué à 2.

      

      Peut être que l'armée à a sa disposition le code source de la suite bureautique. Elle ne peut pas le corriger ni recompiler, ni même être certaine que le code source correspond a l'executable, mais il me semble que MS fournit une partie du code source aux administrations et/ou grand compte ( http://www.microsoft.com/resources/sharedsource/Licensing/GS(...) )

      • [^] # Re: quelques pensées profondes...

        Posté par salvaire le 12 juillet 2006 à 14:24. Évalué à 3.

        

        Peut être que l'armée à a sa disposition le code source de la suite bureautique

        À sûrement. Mais tout est classifié. Ni M$, ni l'armé ne communiqueront dessus. OpenOffice n'impose rien.

  • [^] # Re: quelques pensées profondes...

    Posté par qdm le 12 juillet 2006 à 21:44. Évalué à 2.

    

    Peut être parce qu'on compte déployer 400 000 postes sous Open Office rien qu'en administration centrale (ça ne compte pas les services de l'Etat dans les régions ni dans les collectivités territoriales, donc) d'ici 2007. Ca vaut donc le coup de se pencher un peu sur les entrailles du logiciel.

• # Cloner n'est absolument pas sécurisé

  Posté par salvaire le 12 juillet 2006 à 14:58. Évalué à 7.

  

  Comme quoi on a privilégié la compatibilité à tout prix avec un logiciel de conception très discutable, au lieu de choisir une voie différente en respectant les règles de l'art en matière de conception ... Quitte à faire de la pédagogie sur les format, faisons en aussi sur l'usage.
  
  D'ailleurs se sont ces même macros qui bloquent la migration et plombent la sécurité. Python Sandbox Linux sont des mots qui sonnent mieux dans mon oreille.
  
  Idem pour Gnumeric. M$ ajoute un graphique ou une fonction d'un intérêt contestable, le libre fait de même. À quoi sert un bar graphe 3d? À faire jolie? Mais sûrement pas à représenter graphiquement des données. Un bonne article http://www.tug.org/tex-archive/graphics/pgf/doc/generic/pgf/(...) page 38.
  
  Cela ne changera pas la politique de l'état vis à vis d'OpenOffice. Mais cela donne des "arguments" pour des clients moins clairvoyant.
  
  Dommage. C'est un peu tard de soulever des problèmes d'ordres "structurels". OO aurait due y penser avant. Mais félicitons nous que cela vienne de l'armé, et de manière collaborative. Au moins on est gagnant à ce niveau!

  • [^] # Re: Cloner n'est absolument pas sécurisé

    Posté par Sylvain Sauvage le 12 juillet 2006 à 18:28. Évalué à 4.

    

    Il y a quelques mois, dans une tranche de http://www.userfriendly.org , il y avait un échange de ce genre :
    - Bon, allez, trouvez-moi la fonctionnalité de la mort (killer-feature) de MS Office sur OpenOffice.
    - MS Office sait numéroter automatiquement en arménien.
    - J'achète !

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.