Les journaux sont destinés à des informations qui ne sont pas suffisamment intéressantes
pour être validées en dépêche (sinon n'hésitez pas à proposer votre information en
dépêche), qui sont sans rapport avec Linux ou le libre, ou simplement pour donner votre
avis. Si vous désirez poser une question, merci d'utiliser Derniers journaux de left :
- [10/07@12:01] IBM Lotus Notes pour Linux
Journal : OpenOffice à l'index
Posté par left () le 12 juillet 2006Extraits: "Après un an de travaux, des experts du ministère de la Défense affirment dans un rapport classifié que la suite bureautique libre n'est absolument pas sécurisée.". Mais heureusement, "Contactés par les représentants européens d'OpenOffice.org, les chercheurs du laboratoire de virologie et de cryptologie vont rencontrer prochainement à Hambourg les développeurs allemands.".
Bon, après ça parle de cryptage et de macros et tout et tout ... j'y connais rien là dedans (surtout dans les macros!)
> Lire le journal (21 commentaires, moyenne: 3,4).
SSTIC 2006
Le colonel Filiol en a parlé pendant la rump session du STIC2006, plusieurs vecteurs d'attaques ont été testé du plus simple au réplicateur sans intervention humaine (ouvre le document et ... pouf la macro).
Les codes Proof Of Concept ne seront pas diffusés.
Il a confirmé ce qui est à la fin de l'article : c'est conceptuel, donc les rustines risquent d'être lourdes à mettre en place :/
http://www.sstic.org
http://actes.sstic.org/SSTIC06/Rump_sessions/SSTIC06-rump-Fi(...)
-
[^]Re: SSTIC 2006
Posté par Grumbl (page perso, ) le 12/07/2006 à 07:17. (lien). Évalué à 1.Sauf erreur de ma part, ne suffit-il pas de désactiver le support des macros à la compilation, ce que tout individu sensé souhaitant utiliser une suite bureautique (ok, c'est un oxymore) fait ?
-
[^]Re: SSTIC 2006
Posté par Guillaume Lebigot (page perso, ) le 12/07/2006 à 07:35. (lien). Évalué à 7.Sauf que bon, parfois les macros ça a du bon, ne serait-ce que pour mettre en page un tableau sous Calc par exemple après avoir importé des données en .CSV juste avant...
C'est un exemple comme un autre bien entendu.-
[+] [^]zut, j'ai glissé dans le troll
Posté par Grumbl (page perso, ) le 12/07/2006 à 07:41. (lien). Évalué à -2.CSV ? Je croyais qu'avec XML l'ère du CSV était révolue :-)
-
[^]Re: SSTIC 2006
Posté par Sirrus () le 13/07/2006 à 08:07. (lien). Évalué à 2.L'option de sécurité des macros dans Options -> OOo -> Sécurité avec le réglage des confiaces ne permet-il pas un minimum de sécurité et une possibilité d'utilisation de ce côté là (surtout si en plus on rajoute d'autres points de sécurité sur la source de confiance) ?
-
-
-
[^]Re: SSTIC 2006
Posté par Zorro () le 12/07/2006 à 15:04. (lien). Évalué à 5."Le colonel Filiol en a parlé pendant la rump session du STIC2006"
L'annonce officielle a donc été faite début juin, et on n'en parle que maintenant, quand ZDnet, en faisant correctement son métier, met l'affaire sur la place publique...
Le moins qu'on puisse dire, c'est qu'on a été très très discrets, par ici... On est pourtant toujours les premiers à pointer la moindre faille dans IE.
Ça me fait penser au cas Wikipedia, contre lequel le catéchisme actuellement en vigueur interdit la moindre critique.
C'est dommage que la transparence nous arrive par la bande, de façon presque détournée, alors que le libre, justement, passe son temps à célébrer la transparence. La transparence, on veut bien l'exiger quand on parle des standards de MS, mais quand on dit du mal d'OO, alors là, ccchhhuttt, laissez faire les grandes personnes.
Je suis un peu dégoûté, sur ce coup-là, tiens.
On passe notre temps à dire que le libre est plus sûr que le proprio, et Filiol vient dire qu'OO ""n'a jamais été pensé en termes de sécurité". Je trouve ça effarant, quand même.
Le seul truc qui me rassure, c'est la rapidité de réaction de la communauté du libre, et j'espère que tout ça va être vite corrigé. En attendant, le quasi-silence de la communauté, dans ce cas précis, montre bien qu'on n'est pas vraiment préparés à affronter certaines phases critiques.-
[^]Re: SSTIC 2006
Posté par rangzen (page perso, ) le 12/07/2006 à 15:38. (lien). Évalué à 7.Sur la place "grand publique" plutôt :) parce que :
http://www.mag-securs.com/article.php3?id_article=5241
http://nonop.blogspot.com/2006/06/sstic-compte-rendu-22.html
http://teh-win.blogspot.com/2006/06/sstic-06-ca-dnonce.html
http://sid.rstack.org/blog/index.php/2006/06/04/91-sstic-200(...)
La transparence me semble respecté quand quelqu'un arrive en disant "voilà, on a le code, on a testé plein de truc et problème : tout passe." puis que les codeurs commencent à coder et que tu peux encore mettre le nez dedans.
Le seul truc non-transparent, c'est le code de poc et ça c'est plutôt un débat sur le full-disclosure.
Le libre est plus sur ... Oui et non ... Encore un débat ...
"N'a jamais été pensé en terme de sécurité" effarant ? Star Office à presque 20 ans ! A cette époque, il fallait ratrapper Office, se faire un nom, le net n'était pas le danger d'aujourd'hui. Les problèmes apparaissent maintenant car la suite commence à avoir son succès. Effarant, non, je trouve ça regrettable plutôt mais ça n'a pas surpris grand monde dans la salle. On a tous été géné quand Filliol a dit pour l'instant vaut mieux mettre du Office Microsoft pour la sécurité mais c'est tout :) Et c'était déjà pas mal :D
La communauté réduit à ceux qui lisent les journaux de linuxfr, c'est réducteur, non ? ;p-
[^]Re: SSTIC 2006
Posté par Mathieu Stumpf (Jabber id, page perso, ) le 13/07/2006 à 08:10. (lien). Évalué à 2.Quand est-il de koffice (qui s'installe sans problème sur une distribe amd64, contrairement à OO, en tout cas sur sid c'est comme ça)?
Parceque d'un coté on est content d'avoir le open document interopérable et tout le blabla, et de l'autre on parle que de Ooo!
Sur la page http://www.kde.org/info/security/ on peu voir des entrées pour koffice, ce qui me rassure plutot.
D'ailleurs il est à noté que koffice peu importer des pdf, ce qui peut être quand même très pratique. Et je ne parle même pas du fait qu'ils font des efforts sur l'ergonomie (là ou d'autre ne veulent pas bousculer les ptites habitudes des utilsateurs).
Je ne dis pas que koffice est parfait non plus, il lui manque plein de fonctionnalités d'après ce que j'ai lu, mais je ne fais pas d'utilisation assez poussé des suites bureautique pour m'en rendre compte je pense.-
[^]Re: SSTIC 2006
Posté par Nicolas () le 13/07/2006 à 13:01. (lien). Évalué à 0.koffice a encore de gros progres a faire sur le opendocument par exemple la semaine derniere j'ai voulu ouvrir une presentation faite avec OOo avec kpresenter et ben ca foire totalement. Police pas conserve, mise en page pas conserve, fond de diapos pas recupere, etc
-
-
-
quelques pensées profondes...
*Je trouve ça rassurant de voir que les chercheurs de la défense cherchent tellement les failles qu'ils en trouvent.
*Je trouve ça super qu'ils en parlent à OpenOffice.
*Je trouve bizarre qu'on entende pas parler d'autres découvertes du genre, sur d'autres logiciels/OS (mais bon, ça n'interesse ptet pas le grand public, ça ne veut pas dire que ça ne se fait pas).
*Je trouve bizarre que personne d'autre n'ait dévoilé ces failles. Normalement il y a plein de gens dans le monde qui devraient faire ça, a priori avec des moyen identiques à la France (y a pas de raison). Je suis ravi de la performance des trouveurs, mais inquiet du soucis des autres...
-
[+] [^]Re: quelques pensées profondes...
Posté par Grumbl (page perso, ) le 12/07/2006 à 07:46. (lien). Évalué à -1.ça doit être le fameux "génie français" !
-
[^]Re: quelques pensées profondes...
Posté par zero heure (Jabber id, page perso, ) le 12/07/2006 à 08:09. (lien). Évalué à 2.Je ne vois pas l'intéret de tester la sécurité d'une suite bureautique fermée, dont on ne peut ni lire, ni corriger le code source, et qui de toute façon est en situation de monopole.
--
J'ai vu bien des choses dans ma petite vie, et je mesure amèrement l'impuissance à les dire. (JP Rosnay, Le 13ème apôtre) http://www.poesie.net/apotre2.htm-
[^]Re: quelques pensées profondes...
Posté par Calim' Héros (Jabber id, page perso, ) le 12/07/2006 à 08:16. (lien). Évalué à 8.Voire si elle repond ou non a des besoin de securité pour un ministere special, si elle ne propage pas plein d'info a droite a gauche, si elle est plus ou moins securisé qu'une autre... bref si ca vaux le coup ou pas de s'en servir.
L'interet avec une suite libre c'est qu'on peut dire ce qu'on trouve qui ne vas pas et esperer voir mieux participer a sont amelioration pour obtenir qque chose de plus independant et de plus fiable.-
[^]Re: quelques pensées profondes...
Posté par pasBill pasGates () le 12/07/2006 à 14:56. (lien). Évalué à 1.L'interet avec une suite libre c'est qu'on peut dire ce qu'on trouve qui ne vas pas et esperer voir mieux participer a sont amelioration pour obtenir qque chose de plus independant et de plus fiable.
Genre comme les dizaines de hackers engages par MS pour tester la securite de Vista apres que ces gens aient montre leur talent en devoilant des failles dans les versions precedentes ?-
[^]Re: quelques pensées profondes...
Posté par lezardbreton (Jabber id, page perso, ) le 12/07/2006 à 15:19. (lien). Évalué à 4.C'est beau d'encourager les vocations de crackers ! ;)
-
-
-
[^]Re: quelques pensées profondes...
Posté par eggman (Jabber id, ) le 12/07/2006 à 08:22. (lien). Évalué à 3.J'ai failli répondre "Grossière erreur".
Pourquoi?
Ça permet de montrer ce que l'on ne veut pas montrer, c'est-à-dire qu'un logiciel fermé n'est pas spécialement ni forcément moins troué qu'un logiciel libre.
La deuxième chose qui me vient à l'esprit, c'est que le même genre de tests a certainement déjà dû être fait pour des tas d'autres logiciels propriétaires, ne serait-ce que pour évaluer leur capacité a être utiliser dans des situations sensibles/critiques (défense entre autre.)
C'est tout de même une bonne chose, m'est avis.
Je ne doute cependant pas que pour les situations sensibles/critiques des logiciels ad hoc et idoines soient développés et utilisées en interne, après après le même genre de tests.
-
[^]Re: quelques pensées profondes...
Posté par jemore () le 12/07/2006 à 08:39. (lien). Évalué à 2.Peut être que l'armée à a sa disposition le code source de la suite bureautique. Elle ne peut pas le corriger ni recompiler, ni même être certaine que le code source correspond a l'executable, mais il me semble que MS fournit une partie du code source aux administrations et/ou grand compte ( http://www.microsoft.com/resources/sharedsource/Licensing/GS(...) )
--
"Quand on est l'homme le plus viril du monde, c'est comme pour les ordinateurs surpuissants : on a besoin d'un putain de système d'exploitation en béton pour faire tourner tout ça sans plantage." P.B.-
[^]Re: quelques pensées profondes...
-
-
-
[^]Re: quelques pensées profondes...
Posté par qdm () le 12/07/2006 à 19:44. (lien). Évalué à 2.Peut être parce qu'on compte déployer 400 000 postes sous Open Office rien qu'en administration centrale (ça ne compte pas les services de l'Etat dans les régions ni dans les collectivités territoriales, donc) d'ici 2007. Ca vaut donc le coup de se pencher un peu sur les entrailles du logiciel.
Cloner n'est absolument pas sécurisé
Comme quoi on a privilégié la compatibilité à tout prix avec un logiciel de conception très discutable, au lieu de choisir une voie différente en respectant les règles de l'art en matière de conception ... Quitte à faire de la pédagogie sur les format, faisons en aussi sur l'usage.
D'ailleurs se sont ces même macros qui bloquent la migration et plombent la sécurité. Python Sandbox Linux sont des mots qui sonnent mieux dans mon oreille.
Idem pour Gnumeric. M$ ajoute un graphique ou une fonction d'un intérêt contestable, le libre fait de même. À quoi sert un bar graphe 3d? À faire jolie? Mais sûrement pas à représenter graphiquement des données. Un bonne article http://www.tug.org/tex-archive/graphics/pgf/doc/generic/pgf/(...) page 38.
Cela ne changera pas la politique de l'état vis à vis d'OpenOffice. Mais cela donne des "arguments" pour des clients moins clairvoyant.
Dommage. C'est un peu tard de soulever des problèmes d'ordres "structurels". OO aurait due y penser avant. Mais félicitons nous que cela vienne de l'armé, et de manière collaborative. Au moins on est gagnant à ce niveau!
-
[^]Re: Cloner n'est absolument pas sécurisé
Posté par Sylvain Sauvage () le 12/07/2006 à 16:28. (lien). Évalué à 4.Il y a quelques mois, dans une tranche de http://www.userfriendly.org , il y avait un échange de ce genre :
- Bon, allez, trouvez-moi la fonctionnalité de la mort (killer-feature) de MS Office sur OpenOffice.
- MS Office sait numéroter automatiquement en arménien.
- J'achète !
Cette page a été générée par Templeet en 0.0906s (dont 0.0094 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.
Cette discussion est archivée, il n'est plus possible de laisser des commentaires.
Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.