Journal code malveillant / vérification des trames émises sur le port Ethernet

Posté par .
Tags : aucun
-1
20
déc.
2010
Nal, c'est mon jour.

Siouplait, les gens, je vous soumets une réflexion pondue en live, il y a quelques mois (dans un tchat, donc un type réagit à un moment).

Concernant les machines, ce qui me pose question en matière de sécurité, au-delà de l'OS (Operating System), c'est la possibilité d'injecter des trames sur le brin Ethernet, à l'insu du code logiciel qui s'exécute légitimement dans le processeur... Genre tu mets un OS béton, mais ton disque dur est visité à ton insu, par un processus qui s'exécute à l'insu de l'OS (depuis un processeur dédié avec du code embarqué (matériellement gravé ou bien logiciel et actualisable à distance...) qui prendrait la main sur les périphériques "en cachette" de l'OS légitime).

Dans cette hypothèse, l'OS (légitime) sur le PC aurait peut-être quelques difficultés, dans la mesure ou le processeur malveillant embarqué avec son code, prendrait matériellement la main sur les périphériques. Une telle activité malveillante pourrait avoir des difficultés à être transparente pour l'OS. Cela dépend de la tolérance de l'OS. On peut alors imaginer qu'à terme, les OS orientés sécurité s'assureront de temps de réponse conformes à leur attente par la machine.

Bon... En y réfléchissant, on voit très bien qu'une activité malveillante peut être cachée à l'OS légitime : il suffit que le matériel soit plus véloce que ses spécifications techniques publiques ne le laissent paraitre.

Il faudrait donc une machine intermédiaire sur le réseau, en série, pour analyser les trames et vérifier leur intégrité (comparaison avec ce que la machine contrôlée aurait du envoyer réellement).

Le processeur seul ne peut pas lire et envoyer des données, s'il n'est pas programmé pour le faire (si l'OS sécurisé est propre et que les applications qui tournent sont des applications dignes de confiance). Si c'est une puce sur la carte mère qui fait ce travail, il faudrait quelle sache lire dans les divers formats de disque (ntfs, fat ,nfs, ext2, etc) et qu'elle intègre certains pilote pour les disque dur spéciaux (sata, ssd, etc). Cela est d'autant plus possible que le code malveillant serait actualisable à distance, permettant une adaptation à l'évolution du matériel embarqué dans le PC...

Le processeur et son code malveillant peuvent être associés à une RAM malveillante. La RAM peut être embarquée dans le processeur (dans le même chip). Le processeur malveillant devrait être relié au bus général de la machine, pour lire (pourquoi pas écrire, allez...) dans la RAM, dans le disque dur... Il faut bien sûr une carte mère volontairement malveillante, avec une architecture conçue spécifiquement. J'imagine sans peine que ce soit déjà le cas de toutes les cartes mères modernes... Il suffirait juste qu'aucun hacker bienveillant n'ait pris la peine de vérifier ce qui sort du port ethernet. Si le travail malveillant est bien fait, les développeur d'OS (comme Linux ou les BSD) n'y voient que du feu.

Par conception, les trames émises légitimement par l'OS sur le port ethernet pourraient être modifiées à la volée par le processeur malveillant : simple ajout de trame intercalées, par exemple, pour éviter que ce soit trop voyant. Il n'est pas nécessaire que les paquets IP soient corrompus. Il suffit d'intercaler des paquets valides entres d'autres paquets valides.

Pour détecter une telle activité malveillante, il faut contrôler la conformité entre ce qui est réellement émis et ce qui était souhaité par conception logicielle légitime. Je note au passage qu'il me semble que, par architecture, un traitement matériel est fait pour "encapsuler" les trames logicielles dans des trames définies par le matériel (qui rajoute un en-tête, une somme de contrôle, que sais-je, je ne sais plus le détail).

Peut-être que seulement certaines cartes mères sont foireuses (peut-être aucune, hein...). Par ailleurs, si on intercale des paquets bien formés entre les paquets légitimes, pour que ce soit vu comme illégitime en face, il faut qu'il y ait un protocole qui permette de contrôler non pas la conformité entre ce qui est reçu et ce qui a été émis (par la carte réseau...) mais entre ce qui est reçu et ce que l'OS voulait émettre.

Il faudrait que tous les paquets soient "signés" pour être sûr que les paquets sont bien légitimes... Est-ce le cas ? C'est une excellente question... Et encore, il faudrait que l'éventuel code malveillant embarqué sur la carte mère ne sache pas reproduire une signature valide (or on peut imaginer qu'il puisse s'informer auprès de l'OS, en scrutant ce qui s'y passe par ex, pour éviter une intrusion logicielle visible comme un processus...) - scrutation possible : ce qui se passe en RAM, les processus mis en route, le code disponible dans le file system... que sais-je...

Question :
Je ne saurait pas trop savoir si c'est possible d'ajouter des paquets (avec des firewalls matériels, il serait vraiment très difficile de les corrompre (surtout que aucun développeur ne voit un bug a un moment donné, comme un paquet en trop reçu/envoyé). De plus, ce paquet rajouté entre deux autres paquets légitimes aurait quel but une fois arrivé à destination?

Réponse :
Le but que le concepteur lui donne, qu'importe... non ? Il aurait une adresse de départ, une adresse de destinataire, comme tout paquet... Il serait traité par la machine qui le reçoit comme tout autre... Quelle différence ?

Question :
Si il a une machine cible, le firewall verrait cette destination.

Réponse :
Et pourquoi le firewall s'en inquiéterait ? Ok je n'intégrais pas le firewall dans ma réflexion. Le firewall embarqué dans la machine cliente finale, on s'en fout (le code malveillant qui intercalerait des paquets est au-delà), si on considère un firewall intermédiaire sur le chemin qui mène à l'Internet, ok, encore faut-il des règles très très strictes.... Tu vois le genre, pour discriminer entre du trafic légitime (y a de quoi faire...) avec les paquets malveillants intercalés (du "surf", non voulu par l'utilisateur).

Question :
il en existe beaucoup de firewall avec des règles très strictes (et mille et une façon de surveiller son réseau). Sniffer une connexion apporte plus (en données sur l'utilisateur) que de vouloir contrôler sa connexion.

Réponse :
Je n'ai pas idée, dans la pratique, de toutes les possibilités d'analyse du trafic réseau, ce qui est fait en pratique par les admins réseau. Je crois que j'arrive aux limites de mon initiation :-)

------

Voilà, j'ai réfléchis un peu ce jour-là. Ça m'a semblé assez rare pour être remarquable et que j'en fasse l'étalage :-) BISOUS les gens.
  • # Qubes OS

    Posté par . Évalué à  7 .

    • [^] # Re: Qubes OS

      Posté par . Évalué à  3 .

      Ouch ! T'es rapide ! T'as vraiment lu le journal (et répondu) en trois minutes ?

      Concernant Qubes OS, j'avais vu passer (et commenté) cette annonce en avril : http://linuxfr.org/2010/04/07/26705.html mais depuis je n'ai pas trop creusé. De mémoire, leur code ne tournait à l'époque que sur des processeurs Intel type Core I3/5/7 car cette série intègre des instructions spécifiques utilisées par Qubes OS. Et je n'ai pas le souvenir que ce code avait vocation à contrôler le problème que j'évoque... qui nécessite in fine, il me semble, un contrôle par une machine externe en permanence, pour bien faire (dans la mesure où la confiance absolue ne peut pas être accordée à la carte mère utilisée sur la machine cliente).
      Pour Qubes OS, il s'agissait de virtualisation sécurisée. Peut-être la situation a évolué...
      • [^] # Re: Qubes OS

        Posté par . Évalué à  1 .

        T'as vraiment lu le journal (et répondu) en trois minutes ?

        Oui, pourquoi?

        Pour Qubes OS, il s'agissait de virtualisation sécurisée.
        Largement plus, en fait.

        L'idée de qubes OS est justement de segmenter une machine physique en plusieurs machines virtuelles. Peu importe donc que la machine qui gère le firewall (et la carte réseau donc) soit corrompue et émette (ou lise) des trames, le contenu important (aux yeux de l'utilisateur) est chiffré par la machine principale (qui a tes données).
        L'IOMMU empêchera la machine 'firewall' d'aller lire la mémoire physique (et donc les clés de déchiffrement), donc bon, qu'il y ait du trafic rogue qui soit émis ou lu, ça n'est plus très important.

        L'idée de la machine externe qui valide, c'est précisement le TPM. Une machine externe qui permet de "valider" ce que fait la machine principale...

        Pour les cartes réseaux "trojanisées" tu as les liens que j'ai donné, c'est vraiment un truc à lire, et qui fait PEUR. Quand on a pas trop confiance dans le code (cf la couche IPSec d'openBSD), qu'on a plus confiance dans le matos (qui me dit que ma carte réseau, là, n'est pas salement infectée?), est ce que ça vaut encore le coup de chiffrer des données ? :-)
        Je vais revenir au seul truc sûr au monde, c'est à dire le papier collé, avec une feuille de plomb, deux blocs de bois cloués dessus. Au moins, on est tranquille. Ou pas. http://www.bouletcorp.com/lite/index.php?&annee=2010&(...)
    • [^] # Re: Qubes OS

      Posté par (page perso) . Évalué à  4 .

      Et si on mettait la backdoor directement au niveau du CPU ?
      http://actes.sstic.org/SSTIC08/Bogues_Piegeages_Processeurs_(...)
      http://theinvisiblethings.blogspot.com/2009/06/more-thoughts(...)

      pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question. | Free Softwares Users Group Arlon, Belgique : http://fsugar.be/

  • # Un peu hors-sujet

    Posté par (page perso) . Évalué à  7 .

    J'avais lu un article où l'auteur suggérait la possibilité de programme malveillant tournant sur la carte réseau, et qui pourrait accéder à la mémoire de l'ordinateur via le DMA. Bonne chance pour le détecter.
    • [^] # Re: Un peu hors-sujet

      Posté par (page perso) . Évalué à  2 .

      Pour les curieux, je pense que tu fais allusion à cet article : [http://esec-lab.sogeti.com/dotclear/index.php?post/2010/11/2(...)]
    • [^] # Re: Un peu hors-sujet

      Posté par . Évalué à  1 .

      On peut toujours aller voir ce qui se passe sur les bus. Ça demande du matos ( surtout quand on voit le prix d'un simple analyseur I2C, SPI ou USB) mais faire des sniffers n'est pas infaisable.
    • [^] # Re: Un peu hors-sujet

      Posté par . Évalué à  3 .

      Il y a plus simple : les niveau de sécurité supplémentaire des cpu. Par exemple, il y a un niveau spécial pour le code bios dans les x86. Idem pour les dernier arm, dans ce mode invisible par l'os, atterri toutes les interruptions avant quelle soit retransmise à l'os (ou pas).

      "La liberté de tout dire n'a d'ennemis que ceux qui veulent se réserver le droit de tout faire". "La question n'est pas de savoir si vous avez quelque chose à cacher. La question est de savoir si c'est nous qui contrôlons le gouvernement ou l'inverse

    • [^] # Re: Un peu hors-sujet

      Posté par . Évalué à  1 .

      On peut toujours aller voir ce qui se passe sur les bus. Ça demande du matos ( surtout quand on voit le prix d'un simple analyseur I2C, SPI ou USB) mais faire des sniffers n'est pas infaisable.
    • [^] # Re: Un peu hors-sujet

      Posté par . Évalué à  2 .

      Le détecter non, lui empécher l'accès à toute la mémoire, c'est possible ça s'appelle le IO-MMU (l'équivalent d'un MMU pour la mémoire).

      Pour le journal, je ne comprends pas trop la question car il y a aussi la réponse dans le journal:
      - si on a des connections chiffrées, a priori il n'est pas possible pour un attaquant de se faire passer pour la machine source car il n'a pas la clef..
      - pour tout ce qui n'est pas chiffré, oui l'attaquant peut faire ce qu'il veut.


      • [^] # Re: Un peu hors-sujet

        Posté par . Évalué à  1 .

        reno, j'avais lu ta prose sans m'arrêter, mais à la deuxième lecture, je reviens sur ton propos : "si on a une connection chiffrée, à priori, il n'est pas possible pour un attaquant de se faire passer pour la machine source car il n'a pas la clé".
        Tu n'arrives pas à concevoir qu'un matériel illégitime s'informe de tout ce que tu fais de ta machine (même déconnecté du réseau), ne serait-ce que pour sniffer un mot de passe, en scrutant l'activité clavier, l'écriture en RAM... A partir de la, la machine est compromise.

        Imagine le cas "facile" suivant : je te remets une machine de ma fabrication, avec une conception malveillante, tu mets une bonne Debian dessus avec un OpenSSH non patché avec les pieds ou même un OpenBSD au code IPsec sérieusement audité, tu t'arranges pour tout chiffrer, avec une connexion en VPN par exemple. Bon, c'est juste que misère, à ton insu des trames sont intercallées dans le flux Ethernet qui sort de cette machine, sur simple déclenchement à distance de ma part, me permettant alors de récupérer l'information comme quoi tu utilises une connexion chiffrée en VPN. Un processus automatique (ne soyons pas avare d'optimisation et d'automatisation, pour montrer la puissance du concept) déclenche une mise à jour du code caché qui impliquera la récupèrera de ton mot de passe à la première occasion... et au prochain déclenchement voulu depuis l'extérieur je récupère le mot de passe. Mieux : tout ce processus se déroule sur ta machine sans mise à jour de code s'il n'en est pas besoin.

        N'oublie pas cet élément révélé dans ce fil de commentaire en de multiples points : un matériel malveillant embarqué peut prendre la main sur le flot d'exécution des instructions légitimement traitées par le processeur central.
        • [^] # Re: Un peu hors-sujet

          Posté par . Évalué à  2 .

          Tu as oublié la partie ou je parlais du IO-MMU..

          Si le IO-MMU était activé alors ce programme espion sur la carte Ethernet ne peut pas accéder à toute la RAM mais uniquement aux paquets..

          • [^] # Re: Un peu hors-sujet

            Posté par . Évalué à  0 .

            ok, j'ai oublié ça si tu veux... hihi. Et toi, il me semble que tu as oublié que le niveau de compromission possible des CPU est tel que du code caché peut s'exécuter à l'insu du système d'exploitation. A partir de là, des mécanismes comme IO-MMU (empêchant la carte Ethernet d'accéder à toute la RAM, restreignant l'accès aux seuls paquets à transmettre) me semblent être de la propagande marketing s'il s'agit de vanter la garantie que les données légitimes chiffrées et émises par le CPU vers la carte réseau sont intègres et sans additif intercalé.
            • [^] # Tes réponses ne sont pas cohérentes

              Posté par . Évalué à  2 .

              Tu parlais d'une attaque qui compromette la carte réseau, c'est un problème totalement différent de la compromission du CPU!

              Oui, si le CPU est compromis tu ne peux plus rien faire de sécurisé, ce n'est pas nouveau..

              Bon j'arrete de discuter, tes "reflections remarquables" ne le sont pas vraiment..

              • [^] # Re: Tes réponses ne sont pas cohérentes

                Posté par . Évalué à  -1 .

                Tu juges comme tu voudras. Je considère que tu peux faire des progrès en lecture. J'admets pour ta défense qu'il faut réfléchir un peu, en plus de lire, mais j'ai taché de rendre les concepts fondamentaux accessibles même à un béotien.

                Dans le journal, j'ai considéré l'existence de matériel malveillant sur la carte mère, en général, et notamment sur l'électronique du port Ethernet spécifiquement. J'ai parlé d'un processeur dédié malveillant, accédant aux périphériques, donc branché sur le bus, en omettant, je reconnais, de mentionner explicitement le cas d'une partie des circuits du processeur central (le CPU) dédiés à une activité malveillante. Ainsi, j'ai tout de même vu bien plus large que la seule carte réseau, si ça peut te faire réfléchir.

                Je te trouve à la limite de la mauvaise foi, pour tout dire...
  • # it s not a trouble, it is a feature

    Posté par . Évalué à  4 .

    tu pensais à la dernière de Intel, qui propose de déployer publiquement une nouvelle fonction dans ces novuelles puces pour tablettes et téléphones ? capable de se passer de toute connection réseau, activable par un "super wol" par la 3g (même celle ci désactivée, le wol quoi), et qui une fait rend inopérant l'appareil ?
    encore une fois un cas d'utilisation d'un même type d'outil mais à des fins très différentes ?
    • [^] # La confiance dans les intermediaires

      Posté par (page perso) . Évalué à  3 .

      On en arrive toujours à la même question de la confiance et responsabilité des intermédiaire, si tu n'a pas confiance au constructeur de carte mère , la seul solution pour régler se problème est de la fabriquer toi même ou alors d'utiliser des cartes mères en open hardware, où l'ensemble des spécifiques sont ouvertes et publiés.

      On en reviens toujours à l'éternel question, a quoi sa sert du logiciel libre/open sur du matériel fermé ?

      La prochaine bataille du mouvement open source se passera peut être dans le domaine du matérielle, en tout cas je l'espère...
      • [^] # Re: La confiance dans les intermediaires

        Posté par . Évalué à  1 .

        arrivé à ce stade de la réflexion, et malgré ton orthographe maladroite, je te plussoie (1) car le fond est de première importance !

        La confiance dans le matériel libre AUDITÉ par la communauté (avec signature numérique costaude) viendra par la confiance dans les plans, donc, ET un constructeur indépendant, contrôlé par la communauté.

        (1) dans l'esprit, car dans la forme, avec la chasse moinsseuse que je me traine avec les sujets que j'aborde, je n'ai pas le karma... (et j'observais la note de ce journal à -6 trente minutes après publication, c'est rendu à -2 maintenant...).A croire qu'il y a des gens qui aiment la fouine ici-bas, comme le laisserait supposer cette photo [ http://bonjourapril.fr/page/31 ] // je balance, mais bon, en même temps c'est publique (et tragi-comique)
        • [^] # Re: La confiance dans les intermediaires

          Posté par . Évalué à  2 .

          C'est qui la communauté ?
          Comment on fait pour avoir confiance dans la communauté ?
          Envers qui faut-il avoir confiance ?
          • [^] # Re: La confiance dans les intermediaires

            Posté par . Évalué à  -1 .

            voilà de vraies bonnes questions.
            Tu peux avoir une parfaite confiance en moi... héhé.

            Sérieusement, c'est chiant le manque de transparence. Avec la mafia mondialisée des dégénérés, on ne sait vraiment plus si on vit encore sur la Terre. Donc, au risque d'être éliminé (on m'a déjà menacé de mort), moi c'est Paul Hossenlopp. Je vous invite à faire pareil, tous, il ne restera que les dégénérés pour se planquer.

            Bon, étant donné la peur ambiante, peu suivront... Si l'un d'entre vous, motivé, n'a pas peur de m'approcher pour me prendre la main pour installer une machine bien sécurisée et me relier à un réseau de confiance par clé GPG (je ne maitrise pas assez ces sujets), je veux bien me lancer dans l'aventure : je monte une fondation, je pilote l'organisation d'un sous-réseau de confiance qui mènera à la réalisation d'ordinateurs libres et de Zino, parce que bordel, il est temps. Si je réalise cela, il me faudra être soutenu publiquement, notamment financièrement.

            Voilà ma réponse.
            • [^] # Re: La confiance dans les intermediaires

              Posté par . Évalué à  2 .

              sympa la contradiction entre "coming out global" et le fait de considérer "les autres" comme dans "lost".

              j'voudrais juste savoir où tu habites car le soleil à l'air de taper fort :) et ça, ça m'interesse :)

              blague à part, il ne peux pas y avoir contradiction, car ce ne sont pas les mêmes plans (de compréhension, de besoins). Comme le soulignes Tangi Colin au dessus : "confiance en qui ?", et j'ajoute "pour quoi ?" Perso je suis à la fois pour le "coming out global" et aussi pour un "strict droit à l'intimité", bref, en un mot : que chacun puisse faire ce qu'il veut sans marcher sur les pieds de l'autre. Révolutionnaire, non ? ;) ;)
              • [^] # Re: La confiance dans les intermediaires

                Posté par . Évalué à  0 .

                Bon, le tank, t'es lourd :-)

                Je vais déployer la vérité pour ceux qui n'ont pas encore vu :
                1) l'élite dégénérée affiche sa dégérescence en grand, se masturbe devant nous, le peuple, tout en nous méprisant
                2) nous n'avons qu'à faire pareil pour ce qui est d'afficher qui nous sommes, c'est ça la révolution... Nous sommes juste bien plus nombreux. Or nous sommes souillés, n'est-ce pas ?
                3) se cachent encore... Qui ? Qui en fait se cache encore, en fait ? Les plus hauts banquiers sont nus comme tous les rois de pacotille, sauf devant les yeux et oreilles de messieurs et medames Michu qui se bornent au journaux TV et radio alignés.

                C'est ça la grande cachoterie, une cachoterie de dupes... Ensuite il y a tout de même toutes les intentions délétères non encore identifiées.

                [digression sur Chavez]

                Par exemple, concernant Chavez : dans sa dernière conférence à paris le 06/12/2010, Pierre hillard dit que Ahmadinejad et Chavez sont des pions du NOM (le nouvel ordre mondial) : à 2'30" (jusque vers 4') ici : http://www.dailymotion.com/video/xg0ot9_pierre-hillard-a-par(...) ...je restranscris : << en oct 2010, c'est tout récent - le président Chavez qui a vu Ahmadinejad, à Téhéran, et tous les deux ont dit qu'il fallait mettre en place le nouvel ordre mondial, afin de mettre fin à la domination de l'occident. la référence : vous allez sur le site russe (équivalent de l'AFP) Ria Novosti, qui traduit en français (etc.) [ Chavez nouvel ordre mondial ria novosti ] pour trouver le texte officiel... Ca n'a pas été, à ma connaissance, répercuté par la presse française. Et d'ailleurs c'est très intéressant, lorsque ces deux hommes ont dit qu'il fallait mettre en place un nouvel ordre mondial à leur sauce à eux, la photo qui est prise est très révélatrice, est-ce qu'ils ont fait exprès je ne sais pas... Enfin en tout cas ça va dans la bonne direction puisque la photo montre Chavez et Ahmadinejad et en arrière fond une peinture représentant un des plus grand franc-maçons sud-américains du 19e siècle, Simon Bolivar. Alors là, j'allais dire, c'est signé. Donc ça va toujours dans la même direction. >>
                Voilà, Chavez m'était sympatique... et je me retrouve plus indéci. Bon, finalement, une fois posé, c'est une peu léger comme "preuve" : Simon Bolivar était FM ? Si c'est vrai, pour moi c'est une découverte et une surprise car Simon Bolivar est une figure exemplaire pour Chavez. Comment des analystes comme Alain Soral et Thierry Meyssan se positionnent ? Révisent-ils leurs position à la lumière des informations qu'apporte Pierre Hillard ? D'ailleurs ces infos sont-elles nouvelles pour eux ?

                Voici la dépêche de Ria Novosti qui sort de la recherche précitée : http://fr.rian.ru/world/20101021/187680914.html (on y lit un court texte laconique et on voit la photo). Autre lien qui sort de la recherche : http://fr.rian.ru/world/20101022/187690235.html où on n'apprend rien de plus. C'est ça la preuve que propose Pierre Hillard ? Ria Novosti rapportant des déclarations et une photo avec un FM ? Notons que la révélation est plutôt là : Bolivar était un des plus hauts FM au 19e, plutôt que dans le blabla sur le nouvel ordre mondial (possible 2nd degré ou tournage en dérision du NOM officiel, ou encore bidonage de Ria Novosti). Affaire à suivre. On est en droit d'attendre des explications plus détaillées et le positionnement des autres analystes français ou d'ailleurs !

                [/digression]
  • # Mode parano

    Posté par . Évalué à  9 .

    Question :
    il en existe beaucoup de firewall avec des règles très strictes (et mille et une façon de surveiller son réseau). Sniffer une connexion apporte plus (en données sur l'utilisateur) que de vouloir contrôler sa connexion.

    Réponse :
    Je n'ai pas idée, dans la pratique, de toutes les possibilités d'analyse du trafic réseau, ce qui est fait en pratique par les admins réseau. Je crois que j'arrive aux limites de mon initiation :-)


    De toute façon, tous les constructeurs de matériel ont des taupes de la NSA qui introduisent ce concept jusque dans ton propre toaster pour s'assurer que tu n'a pas de logiciel tipiaké installé dessus. Les firewalls qui te donnent le traffic ne font pas exception et ne te donnent réellement qu'un sous ensemble du traffic.

    Reste plus qu'à analyser les données au niveau du cable avec un oscillo, et encore, des sources disent que tous les oscillo conçus à ce jour sont capables de filtrer ce genre de données. On est touffus !
    • [^] # Re: Mode parano

      Posté par (page perso) . Évalué à  4 .

      C'est pour ça que je n'utilise que des grille pains (toaster) certifiés sans drm :

      http://www.ch.jura.com/fr/home_ch_x/ironing_kitchen/househol(...)

      --->[]
    • [^] # Re: Mode parano

      Posté par . Évalué à  6 .

      en tant qu'électronicien de formation et fils de statisticien, je dirais que t'es un gentil rigolo qui a voulu faire un bon mot. A priori j'aime bien, mais je précise pour les béotiens qui voudraient comprendre. Donc, on peut accorder une confiance raisonnable à un firewall [dont le code est libre, audité (avec signature numérique des audits), dont on a une copie dont l'intégrité est contrôlée] pour faire le travail pour lequel il est programmé.
      Quand à l'oscilloscope, c'est juste pour rire, d'après mon analyse, étant donné qu'un filtrage des données lues par un oscilloscope en usage serait "rapidement" identifié par la communauté des hackers et ça ferait un boxon qui raisonnerait dans les chaumières. Je n'ai pas connaissance d'un tel cas personnellement. Ceci dit, on peut imaginer un oscillo bien moderne, embarquant une intelligence bien démoniaque... voire relié au net, et là bon...

      [ma vie]
      lorsque la DST a décidé d'éliminer quelqu'un, tout est bon, je l'ai déjà observé IRL : un pote qui avait piraté la Nasa par minitel il y a 20 ans, pour jouer, lol, avec un contexte législatif d'époque où son acte n'était pas répréhensible en l'espèce... Bref, jusqu'à lui couper les freins à pied et à main dans sa caisse, il s'en est rendu compte dans une descente. Il a fallu faire un procès à la DST (secret défense, finalement levé, et procès gagné) [salut à toi, Omega - merci au réseau Voltaire pour le coup de main]. On comprendra qu'à partir de là, je n'ai plus envie de rigoler avec ce qui touche à la sécurité de mes concitoyens (je ne parle pas des "autres", ceux qui arment les dictatures).
      [/ma vie]
      • [^] # Re: Mode parano

        Posté par (page perso) . Évalué à  3 .

        Pourquoi vous le moinsez ? Je trouve que ce post est poutant tout à fait dans la ligne éditorial du titre de la thread des commentaires !

        Mots clés : DST, Réseau Voltaire, NASA, minitel, secret défense
        • [^] # Re: Mode parano

          Posté par . Évalué à  0 .

          Pourquoi « de la thread » ? "A thread" = « un fil », non ?
      • [^] # Re: Mode parano

        Posté par . Évalué à  5 .

        On comprendra qu'à partir de là,

        non, rien, je ne comprends rien. C'est soit du FUD, soit du délire perso, soit de l'accusation bizarre (?!)
        S'il y a procès, c'est public, donc on linke vers les pièces. Sinon, du gros FUD. "piraté la nasa avec un minitel"????
        • [^] # Re: Mode parano

          Posté par . Évalué à  -1 .

          J'ai pas les billes sous le coude pour "linker". Je suis à ta disposition pour te transmettre tous les éléments que j'ai. Je n'ai pas grand chose, en vérité, sinon ma mémoire... Mais les faits sont têtus et laissent toujours des traces. Quand tu veux.
          PS : je portais le pseudo de "shabkra" sur RTEL (ou RTEL2, je sais plus le libellé) à l'époque des faits, après avoir utilisé celui de "Ion+". Que ceux qui ont connu "Omega" témoignent s'ils en ont envie. Par le réseau Voltaire, auprès de Thierry Meyssan, s'il a gardé des traces de cette affaire, il y a une piste pour retrouver des preuves. Un avocat s'est occupé de l'affaire, je n'ai pas son nom, mais on doit pouvoir le retrouver. Omega, j'ai son nom civil, mais je m'abstiendrai de le donner publiquement sans son consentement. Quand à pirater la Nasa par minitel, c'était les doigts dans le nez avec la notice qui va bien et qui circulait en cercle restreint. Pour ma part, le patron de la DST à Bordeaux était venu faire chier mon père dans son bureau (directeur régional de l'Insee) pour lui expliquer que je n'aurai pas de boulot dans l'informatique plus tard si je continuais à fréquenter Omega, qu'ils suspectaient, disaient-ils, d'être infiltré par le KGB. Tiens, mon père est toujours vivant, si ça t'intéresse il pourrait témoigner, je peux te donner son mail en privé.

          J'en reste là pour l'instant.
          • [^] # Re: Mode parano

            Posté par . Évalué à  4 .

            > PS : je portais le pseudo de "shabkra" sur RTEL (ou RTEL2, je sais plus le libellé)

            RTL2
            • [^] # Re: Mode parano

              Posté par . Évalué à  0 .

              Ça me revient maintenant, c'était bien RTEL, sans le 2. Je passais par 3614... Puis vinrent notamment le fameux QBBS dont j'ai fait très modestement parti de l'équipe une courte époque. René Cougnenc, paix à ton ame (au fond de la sale : "genre il l'a côtoyé, c'était son meilleur pote... le menteur..." C'était un pote en 1984, sur RTEL).

              Je fais ce que je peux pour m'identifier, progressivement :-)
          • [^] # Re: Mode parano

            Posté par . Évalué à  4 .

            J'ai pas les billes sous le coude pour "linker"

            Fear, Uncertain and Doubt.
            En clair, du gros mytho, quoi. Désolé, hein, mais les gars qui prennent des airs pénétrés en disant "moi je sais des trucs et ceux qui savent aussi comprendront" sans étayer un tant soit peu le propos plus que "je dis rien sinon les chinois du FBI risquent de me tuer" le tout sur un site comme linuxfr, je dis: GROPIPO.

            Pour le nom civil des gens, etc, il y a des bases de jugement, tu sais, la justice est publique en France, hein, et avec internet tu peux facilement retrouver les jugements. [Bémol: souvent les jugements sont anonymisés, mais même sans le nom avec quelques infos de l'affaire on le retrouve.]

            De plus, tu te caches sous pseudo?? et tu balances que ton père à l'époque était directeur de l'insee à bordeaux? Donc SamWang, c'est à tout péter à choisir dans une dizaine de personnes (nbre de gosses multipliés par le nbre de directeur d'insee à bordeaux ajusté avec la fenêtre temporelle de l'affaire).

            La sécurité du poste de travail local est un domaine super intéressant, c'est pas en y foutant du FUD à n'en plus finir que ça fera avancer les choses.
            • [^] # Re: Mode parano

              Posté par . Évalué à  1 .

              Octane, tu me cherches, tu devais t'y attendre...
              Je vais mettre un peu de nitro-méthane dans ton moteur. Si tu veux trouver les tenants et aboutissants de cette affaire que tu qualifies de FUD, cherche avec infos suivantes :

              - mon père est Jean Hossenlopp
              - l'affaire remonte à 1991.
              - Mahe (de mémoire à ce stade, mais je peux affiner la garantie) est le nom du boss de la DST qui s'est pointé à la direction générale de l'Insee, qui m'a reçu en entretien, qui a été muté suite à cette affaire, de mémoire.

              Avec RTEL, NASA, DST, minitel, OMEGA, HOSSENLOPP, Bordeaux, 1991, tu dois pouvoir retrouver des billes auprès d'éventuels camarades en poste à la DCRI, ou plus simplement, chercher la trace de l'avocat qu'Omega avait pris, qui siégeait tout près de la place de la Victoire, et qui s'est lancé dans l'aventure. Il était ravi de me voir lui ramener une cassette de mon entretien avec Mahe :-)

              Tu peux aussi chercher une trace dans les dossiers du réseau Voltaire... L'affaire avait fait un certain bruit : c'était le premier procès intenté à la DST qui ait été gagné... voire même le premier procès contre la DST, je ne me souviens plus de ce détail.

              Je vais préciser ceci : j'ai hérité trois choses des mes ascendants :

              1) mon grand père maternel était connu pour aller chercher les mourants sur les champs de bataille alors que les balles filaient, pendant la 1ere guerre mondiale.

              2) mon père a subi les nazi de 3e Reich qui lui ont interdit de parler français à 3 ans en Alsace

              3) j'ai eu pour maitre un certain Chepa Dorje Rimpotche dans la voie tibétaine Nyngma Dzogchen, qui m'a laissé suspendu au bout d'une corde et ça, ça forme un homme, quand il reste vivant.

              Dernier point : la lutte contre le fascisme, c'est jusqu'à la mort.
              J'emmerde tout simplement les illuminati.
              • [^] # Re: Mode parano

                Posté par (page perso) . Évalué à  3 .

                On vient de retrouver le demi-frère de Jason Bourne, fils illégitime de Sean Con^W^WJames Pond.

                Sans rire, ça fait toujours GROPIPO.

                Le seul illuminé que je vois ici, c'est juste au-dessus.
                • [^] # Re: Mode parano

                  Posté par . Évalué à  0 .

                  Ok, j'ai questionné mon maitre intérieurement et voici sa réponse :
                  donne leur du grain à moudre, Christophe comprendra.

                  Voici le nom d'Omega : Christophe Ravenscroft.
              • [^] # Re: Mode parano

                Posté par (page perso) . Évalué à  3 .

                J'ai vérifié avec google rapidement 2/3 points.

                J'ai trouvé trace du groupe Piratel, Korben ! Déni de service sur le 11 au printemps 87, (création de différents « brasseurs » qu’on appelait en 3613 et qui connectaient ton Minitel au serveur de ton choix (parfois 2 serveurs en même temps avec une séquence d’escape, ), et qui s’est introduit un an plus tard sur le serveur du CNET depuis lequel ils consultaient des bases de données étatsuniennes par modem.

                Est-ce la même histoire ? Mystère.

                Quand au tibétain, http://www.dzogchenpa.net/spip.php?article50 il existe.

                Maintenant, on peut se poser une question, quel intérêt, pour un mec comme toi qui essaye de protéger le plus possible sa vie privée du FBI et des Francs-maçons, de balancer tant d'infos publiquement ?
                • [^] # Re: Mode parano

                  Posté par . Évalué à  -1 .

                  je n'avais pas la connaissance du protocole, Grid. Je n'ai pas cherché à l'avoir. Je n'ai pas piraté la Nasa. Donc je ne sais pas si c'est la même histoire. Il peut y avoir un lien... Au niveau des dates, ça me parait loin 87. C'est en 91 qu'éclate l'affaire. Désolé je n'ai pas le souvenir assez précis de la date du piratage. Il y avait quelques individus impliqués et l'un d'entre eux a eu des emmerdes pour avoir pénétré le système et altéré des données. Il a balancé les autres, parmis eux Omega que je fréquentais sans connaitre ce petit jeu au moment où il se déroulait.

                  Je m'expose publiquement pour signifier publiquement ma position :
                  1) le système bancaire est mort
                  1 bis) la résistance vraincra, car résister, c'est créer, créer c'est résister
                  2) le peuple veut de l'informatique de confiance, de la vraie.
                  3) étant crédible car intègre, ma vie le prouve, je propose la création d'une fondation de confiance pour une informatique de confiance, passant par du matériel libre audité.
      • [^] # Re: Mode parano

        Posté par . Évalué à  2 .

        [nos vies]
        pour que tu saches, au cas il y aurait un doute...
        90% des + de 30 ans ici ont déjà vécu ça, sans se monter le tout en moutarde intergalactique, hein.
        Perso j'ai déjà vu les bleus venir "sérer" un petit au bahut parceque ft lui réclamait 5millions lourds de factures. en fait, l'erreur, à la base, c'était nous : de ne pas avoir sû se dire "lui il va déconner avec l'outil, on lui file pas"
        [/nos vies]

        bref pas besoin de faire une moutarde pour si peu, des bétises on en a tous fait.
        • [^] # Re: Mode parano

          Posté par . Évalué à  -1 .

          Ha bon... ? 90% des gens de + 30 ans ici se sont retrouvés à fréquenter un français qui a été la cible d'une tentative d'assassinat (très probablement mais il n'y a pas de preuve attestée, je vais m'éviter une inculpation pour calomnie) par les services secrets français, dont les amis ont perdus leur boulot (moi j'étais étudiant), et qui a finalement déclenché un procès contre la DST, qui a finalement été gagné malgré l'apposition d'un secret défense ? On n'a pas la même conception de 90%.
          • [^] # Re: Mode parano

            Posté par . Évalué à  2 .

            J'pense surtout que ton pote devrait se faire soigner (ou se faire s****) parceque ça fait bien longtemps (je crois qu'on était pas nés ou à peine) que les services n'emploient plus ce type de méthodes sur le territoire national. (et ailleurs c'est plus les mêmes)? Faut arrêter les films de james bond.
            • [^] # Re: Mode parano

              Posté par . Évalué à  3 .

              A propos de cinéma, en voici un excellent (et passer à la trappe par des merdes) :
              Etat
              (cherche pas sur wikipedia, il est pas référencé, ni sur imdb, ça doit être à cause du grand complot, ...)
            • [^] # Re: Mode parano

              Posté par . Évalué à  -1 .

              Toi t'es un vrai bouffon. Hahahahaha !
              Alors :
              1) Polo, ton histoire c'est tout le monde la même à 90% ici, pour les +30 ans
              2) Polo, ton histoire c'est James Bond, c'est juste pas possible.

              Et moi je rigole... Enfin, y en a qui comprennent.

              Allez, une petite pour la route : les méthodes de la mafia d'état, c'est pas de méthode, tous les coups sont permis. C'est pas clair à ton age, Tankey ? Allez, lache-toi un peu plus, tu commences à m'intéresser.
            • [^] # Re: Mode parano

              Posté par (page perso) . Évalué à  2 .

              tu me parais bien au courant, pourtant l'affaire du rainbow warrior, c'était il n'y a pas si longtemps. même si ce n'était pas sur le sol national.

              Je ne sais pas si son histoire est vraie ou pas, mais la raillerie ne me parait pas être indiquée.

              Tu crois quoi ? que les services secrets se tournent les pouces en attendant la prochaine guerre ?
              • [^] # Re: Mode parano

                Posté par . Évalué à  3 .

                Non, et non.
                Juste que racontez comme ça, ça donne envie de dire l'inverse :-)
                Des services (français il a dit le monsieur) qui buteraient (ou tenteraient de buter) quelqu'un sur le territoire juste parceque cette personne aurait piratée 2 3 sites ? j'y crois pas une seconde.
                Mais c'est vraie que la raillerie est tjs stupide.
                • [^] # Re: Mode parano

                  Posté par . Évalué à  0 .

                  Je vais t'aider un peu à comprendre :
                  Il était Irlandais et sa femme basque, ça peut inciter les services secrets au zèle. Ensuite, à propos de zèle, le commissariat attenant aux bureaux de la DST a été pris la main dans le sac à pirater la carte pastel (carte de communication téléphonique de l'époque, qui débitait directement sur un compte en banque) d'Omega pour des histoires de porno par tél/minitel... Ce fut d'ailleurs l'élément technique déclencheur de la démarche en justice... Pour le reste, on peut considérer que les freins au pied et à main coupés ne sont qu'une tentative d'intimidation (qu'on m'excuse de ne pas croire à un artéfact juste impromptu), mais tu reconnaîtras qu'en la matière, ça va loin, surtout dans une descente. Il a connu beaucoup de tentatives d'intimidation à cette époque, et je te le répète : tous ses amis ont perdus leur boulot.

                  J'ai choisi de dire non à l'intimidation.
                  Et je requiers ton respect avec courage et détermination :-)
                  • [^] # Re: Mode parano

                    Posté par . Évalué à  -1 .

                    En faisant une revue de code (arf' !) je m'apperçois d'un possible bug que vous auriez pu relever : Omega est français le premier coup, irlandais au coup d'après... Bon double nationalité possible, d'ailleurs je crois me rappeler que c'était le cas. Une chose est sûre : il avait la nationalité française et était d'origine irlandaise.

                    Voilà, comme je cherche à rester un minimum crédible dans cette affaire, comme en général, bien que la vie de James Bond soit une promenade à côté de la mienne, lol, ben j'ai ajouté cette précision, vala vala.
      • [^] # Re: Mode parano

        Posté par . Évalué à  2 .

        Ils avaient pas commence par lui mettre un gps dans l'alim de son imac des fois?

        If you can find a host for me that has a friendly parrot, I will be very very glad. If you can find someone who has a friendly parrot I can visit with, that will be nice too.

        • [^] # Re: Mode parano

          Posté par . Évalué à  -1 .

          de l'humour sur cette affaire n'est pas nécessairement bienvenu, étant donné la nature des faits. Au passage, merci à Grid pour sa délicatesse.
          Sur le fond, de GPS il n'était point question à l'époque il me semble, ça remonte à 1991. Quant au mac, j'ai décroché après la séquence Apple IIe puis Mac 128 et 512, mais je dirais au jugé qu'on avait pas dépassé le Mac II de bien loin. L'imac c'est le machin translucide assez rond qui ornait quelques tables il y a peu, non ?

          Si vous me cherchez plus, je vous retrouve le nom de boss de la DST qui s'est fait muter dans cette affaire.
          • [^] # Re: Mode parano

            Posté par . Évalué à  3 .

            T'es sur que c'est le reseau que tu sniffes?

            If you can find a host for me that has a friendly parrot, I will be very very glad. If you can find someone who has a friendly parrot I can visit with, that will be nice too.

          • [^] # Re: Mode parano

            Posté par . Évalué à  4 .

            retrouve le nom de boss de la DST
            c'est pas trop dur, ils sont déclarés ceux là.

            qui s'est fait muter
            ha ben ça arrive ça

            dans cette affaire
            preuve qu'il s'est fait muter POUR cette affaire ? hum beaucoup plus dur que les deux autres :-)

            Non, parceque retrouver le nom d'un ex plongeur, et qui s'est fait muter, c'est une chose. Amener la preuve (ou même un élément permettant d'étailler, ça suffira) qu'il s'est fait muter pour et à cause de ton affaire. Ha ben là, j'dit chapeau.

            M'enfin, bon, contacte wikileaks plutôt :p
          • [^] # Re: Mode parano

            Posté par (page perso) . Évalué à  3 .

            L'imac c'est le machin translucide assez rond qui ornait quelques tables il y a peu, non ?

            Oui : http://la.buvette.org/vrac/gpsimac.ogg

            * Ils vendront Usenet quand on aura fini de le remplir.

            • [^] # Re: Mode parano

              Posté par . Évalué à  2 .

              La colle à rustines, c'est mal :-)

              Si ce n'est pas un canular, c'est vraiment ENORME !
  • # Une seule question

    Posté par (page perso) . Évalué à  5 .

    Tu te fournis où ?
  • # résumé de la situation (de ce thread) à 18h40

    Posté par . Évalué à  0 .

    (enfin, mon résumé, vite fait bien fait)

    On peut être infiltré sur n'importe quel appareil communiquant et fouillé a notre insu.

    Le problème que j'évoque est la possibilité d'un matériel malveillant inclu dans l'ordinateur à l'insu de l'utilisateur, qui permette de tout explorer sur la machine, à distance, quel que soit le système d'exploitation installé, dans la mesure où la machine est reliée au réseau Internet.

    Maitriser cette faille nécessite in fine, un contrôle par une machine externe en permanence, pour bien faire (dans la mesure où la confiance absolue ne peut pas être accordée à la carte mère utilisée sur la machine cliente) : une machine intermédiaire sur le réseau, en série, analyserait les trames et vérifierait leur intégrité (comparaison avec ce que la machine contrôlée aurait du envoyer réellement).

    Je cite cette intervention lumineuse :

    << On en arrive toujours à la même question de la confiance et responsabilité des intermédiaires, si tu n'a pas confiance au constructeur de carte mère d'un ordinateur, la seul solution pour régler ce problème est de la fabriquer toi-même ou alors d'utiliser des cartes mères en open hardware, où l'ensemble des spécifications sont ouvertes et publiées. On en revient toujours à l'éternelle question, à quoi ça sert du logiciel libre/open sur du matériel fermé ? La prochaine bataille du mouvement open source se passera peut être dans le domaine du matérielle, en tout cas je l'espère... >>

    La confiance dans le matériel libre AUDITÉ par la communauté (avec signature numérique costaude) viendra par la confiance dans les plans, donc, ET un constructeur indépendant, contrôlé par la communauté.

    J'évoque enfin le projet de créer une fondation pour piloter la réalisation de matériel libre audité, ainsi que de Zino, mais c'est une autre histoire.
    • [^] # Re: résumé de la situation (de ce thread) à 18h40

      Posté par . Évalué à  6 .

      Tu oubliais les soupçons qui pèsent contre toi par rapport à l'utilisation de psychotropes particulièrement puissants. Soupçons auxquels je donne du crédit lorsque je t'entends (entre autre) imaginer qu'on te file du pognon pour créer une fondation qui va concurrencer Intel, Asus, Nvidia et compagnie.
      • [^] # Re: résumé de la situation (de ce thread) à 18h40

        Posté par . Évalué à  0 .

        Tu penses réduire ma crédibilité ainsi ? Hahahaha, repenses à l'histoire de Stallman (que je considère comme un pote, il a les billes pour témoigner de ce qu'il sait de moi, à savoir pas grand chose, mais assez déjà pour comprendre :-)).
    • [^] # IPoT

      Posté par (page perso) . Évalué à  3 .

      Moi j'ai 18h17. On peut donc aussi poster du futur quand on a récupéré les logiciels qui vont bien sur le serveur de la NASA.

      pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question. | Free Softwares Users Group Arlon, Belgique : http://fsugar.be/

      • [^] # Re: IPoT

        Posté par . Évalué à  -2 .

        Pertinent, approprié, c'est une prétention trop haute pour ta vertu, en la demeure.
  • # Fautes.

    Posté par . Évalué à  6 .

    Nal, c'est mon jour.
    Pas vraiment, non.
    Heureusement que je contrôle ta RAM et ta carte réseau, ça m'a permis de corriger à la volée les fautes dans ton journal.

    P.S: t'as des goûts bizarres en porno.
  • # VPN et surveillance du brin réseau

    Posté par (page perso) . Évalué à  2 .

    Si la machine "suspecte" est connectée via VPN à une (ou plusieurs) autres machines, et que tout son trafic réseau passe par le dit VPN, il sera très difficile pour le hardware suspect de la carte réseau d'y modifier des paquets sans que cela ne se voit. Le VPN assurant alors un checksum (efficace ?) du flux réseau.

    Et si une autre machine surveille le brin réseau, il pourra alors détectée tout ce qui passe en-dehors du VPN "normal". Il aura alors la preuve que quelque chose (l'OS ou la carte réseau) injecte des données en-dehors du dit VPN.
    • [^] # Re: VPN et surveillance du brin réseau

      Posté par . Évalué à  1 .

      je prétends ôter à demi ce rêve de ton esprit :

      1) d'abord bravo, c'est une belle idée et c'est à développer !
      2) maintenant c'est pas pour tout le monde...
      3) ensuite, on pourrait rêver de qualifier l'intégrité d'une machine (ou d'une série, mais bon, chaque unité peut être spécifique) par des tests menés par la fondation envisagée, par le biais de l'immersion dans un tel VPN avec des cycles de tests automatiques.
      4) mais en réalité, rien n'empêche la possibilité que l'activité malveillante se réveille sur une trame tout à fait spécifiquement formée. Ainsi, on pourrait envisager qu'une telle trame, émise par un serveur particulier sur Internet (1) soit interceptée par la "carte réseau" du poste client (2) et avalée (non mise à disposition du CPU), et déclenche un mode comportemental malveillant qui n'aurait pu être mis en évidence par l'immersion dans le VPN dédié (probabilité infime de générer la bonne trame (ou série de trame, on va pas être avare d'octets pour la faire chuter autant que possible) dans le contexte du VPN).
      5) si on conserve la machine dans le contexte du VPN dédié, voir point 1)

      (1) par exemple injectée par celui-ci dans le flot des trames renvoyées par un serveur sain légitimement consulté, dans la mesure où suffisamment d'éléments du réseaux seraient compromis, je pense aux routeurs des FAI par exemple...
      (2) par l'électronique associée, avant mise à disposition pour le CPU
      • [^] # Re: VPN et surveillance du brin réseau

        Posté par . Évalué à  1 .

        En réfléchissant plus avant, je me prends à rêver, pour le coup : un FPGA, un port Ethernet, le principe du VPN avec un coeur dédié au contrôle du trafic... comme Olivier le décrit à l'échelle de plusieurs PC en réseau, mais dans une carte réseau libre, communiquant avec le CPU de la carte mère en VPN. Dans l'esprit de ce qui se fait actuellement en prototype de carte vidéo libre.

        Dans ce concept, le CPU principal communiquerait avec la carte réseau en VPN. A la sortie de la carte réseau, le trafic serait normalisé --> vu de l'extérieur : ni vu ni connu / mais à l'intérieur du PC : garantie d'absence d'entourloupe par aucun composant de la carte mère, CPU inclu (le port Ethernet fourni d'office serait inutilisé).

        Une fois le principe mis au point, passage en production de carte réseau générant une véritable informatique de confiance pour tout PC, du fixe au portable (du point de vue de l'utilisateur).

        L'idée est à creuser.

        L'impact sur le CPU central serait le chiffrement lié au VPN mais avec le matériel moderne, c'est quantité négligeable.
        • [^] # Re: VPN et surveillance du brin réseau

          Posté par . Évalué à  0 .

          nom de Dieu !
          On a posé les bases de la fondation :-)
          • [^] # Re: VPN et surveillance du brin réseau

            Posté par . Évalué à  1 .

            Argh, c'était pourtant écrit en toutes lettres par Nicolas Boulay plus haut [ http://linuxfr.org/comments/1192937.html#1192937 ] : << ...les niveau de sécurité supplémentaire des cpu. Par exemple, il y a un niveau spécial pour le code bios dans les x86. Idem pour les dernier arm, dans ce mode invisible par l'os, atterri toutes les interruptions avant quelle soit retransmise à l'os (ou pas). >> conclusion, la compromission des CPU est à un tel niveau qu'il est très délicat de faire confiance à la machine insérée dans le VPN (macro, avec des machines reliées en réseau, ou "embarqué", dans la carte réseau libre envisagée). En effet, des interruptions peuvent être redéfinies (RE- car on peut même envisager une modification malveillante du Bios à distance (par le constructeur ?)) et du code illégitime peut s'exécuter à l'insu de l'utilisateur voire du programmeur au plus bas niveau.

            Si j'y vois clair à ce stade, c'est toujours le jeu du chat et de la souris, avec une souris qui ne maitrise pas les données du coeur de l'affaire...

            Ainsi, je considère que la bonne solution, c'est du matériel libre produit par des acteurs de confiance. On en sortira pas, il me semble. Persévérons.
        • [^] # Re: VPN et surveillance du brin réseau

          Posté par . Évalué à  0 .

          désolé pour le léger flood, c'est pour préciser : quand je dis "dans l'esprit de ce qui se fait actuellement en prototype de carte vidéo libre", je pense au principe du FPGA pour permettre une conception matérielle sur carte prototype reconfigurable, pas plus, il n'est pas question de VPN sur la carte vidéo à priori :-)
  • # Les grands génies sont des incompris

    Posté par . Évalué à  2 .

    Le journal en lui-même pose des questions que je trouve tout à fait sensées. C'est d'ailleurs un des problèmes de base à résoudre pour une "informatique de confiance".
    C'est ensuite que ça devient moins... sensé :-)

    Le problème de base est : si une entité possédant de gros moyens (gouvernement par exemple) financiers/humains/etc souhaite planquer quelque part une porte dérobée, il y arrivera.
    La question est de savoir si ça tiendra. Si la cachette sera découverte ou pas. Si tous les intervenants resteront parfaitement muets. Si aucun élément parasite ne viendra troubler le bal.
    Pour arriver à cela, il faut :
    - très peu d'intervenants
    - qui se taisent à 100%. Ou qui se suicident de 5 balles dans la nuque
    - implanter cela dans un endroit efficace (processeur, chipset, carte réseau, etc)

    C'pas gagné.
    • [^] # Re: Les grands génies sont des incompris

      Posté par . Évalué à  -2 .

      merci Kerro, pour la reconnaissance d'intérêt.

      le bal est lancé, il est troublé, mais il continue. Il n'est pas besoin que tout soit parfaitement caché définitivement pour que le bal continue. Preuve en est les révélations étalées dans ce fil de commentaires. Pour l'implantation dans un endroit efficace, c'est établi. Pour le nombre d'intervenants, il est relativement petit dans cette industrie de la fabrication de micro-processeurs, non ? Pour ce qui est de se taire, JFK avait ouvert la bouche mais nous n'étions pas prêt à l'entendre partout sur la Terre. La franc-maçonnerie est une petite confrérie puissante qui se rejoint à la vie à la mort, on le voit dans les rituels où ils font le geste de se trancher la gorge, n'est-ce pas ?

      Il ne m'est pas difficile de comprendre que Boulay est crédible avec son témoignage d'interruptions Bios exécutables dans un mode caché au système d'exploitation, ou toute autre implémentation de code illégitime sérieusement caché (réveillable sur commande, changé à distance) du point de vue de l'utilisateur.

      Maintenant, nous en sommes à la micro et même de la nano-électronique (l'actualité est à 28 nanomètres). Il devient parfois impossible de faire de la rétro-ingénierie sur les micro-processeurs, y compris par abrasion et oscultation au microscope (électronique) + mesure, du fait que l'approche de l'instrument de mesure détériore les jonctions des transistors (interaction électrique-magnétique). On en est là, cf le témoignage ici : http://lacantine.ubicast.eu/videos/cherie-jai-roote-la-telev(...) - note : actuellement, en matériel libre, on a des plans libres pour faire tout un ordinateur libre, jusqu'au logiciel dans le détail (y compris le Bios). Par exemple http://jpcahen.blogspot.com/2010/02/always-innovating-touch-(...) (je crois que juste la puce du wifi n'est pas libre dans ce truc), mais le wifi, tout le monde le sait, c'est dangereux pour la santé tel que c'est implémenté (hyperfréquences pulsées à 2,4 Ghz). Attention, je ne cautionne pas l'usage de cette machine. J'attends de voir des audits signés d'experts, qui soient reconnus par une communauté représentée par une fondation.
  • # Commentaire supprimé

    Posté par . Évalué à  1 .

    Ce commentaire a été supprimé par l'équipe de modération.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.