Les gouvernements devraient-ils s'abstenir d'externaliser les développements ?

Posté par  (site web personnel) . Édité par Benoît Sibaud. Modéré par patrick_g.
Étiquettes :
18
16
avr.
2010
Sécurité
Suite à une dépêche de pBpG sur la sécurité et le "Threat Modeling", j'ai eu une intéressante discussion avec ce dernier.
Je suis parti de l'idée que pour améliorer la sécurité, il fallait commencer par fournir des garanties aux utilisateurs de logiciel.

Aujourd'hui, je reçois Crypto-Gram, par Bruce Schneier. Le dernier article traite des assurances dans le domaine de la sécurité logiciel et émet l'avis qu'elles sont nécessaires pour faire réellement avancer la sécurité et que les nouvelles méthodes n'apporteront rien.

J'ai donc tenté l'exercice (fort difficile) de la traduction, Lord, have mercy... De plus en plus, les technologies d'information sont partout, les mêmes technologies partout. Les mêmes systèmes d'exploitation sont utilisés dans les entreprises et les gouvernements. Les mêmes logiciels contrôlent les infrastructures sensibles et les achats à domicile. Les mêmes technologies réseau sont utilisées dans chaque pays. Les mêmes infrastructures soutiennent les grands comme les petits, l'important comme le futile, le local comme le global; les mêmes fournisseurs, les mêmes protocoles, les mêmes applications.

Avec toutes ces similitudes, vous pouvez penser que ces technologies sont conçues avec les standards de sécurité les plus élevés, et bien non. Elles sont conçues avec les niveaux plus bas ou, dans le meilleur des cas, un niveau plus ou moins médiocre. Elles sont conçues sans soins, comme un truc bricolé, avec juste l'efficacité en tête.
La sécurité est plus ou moins nécessaire, mais ce n'est pas une priorité. Nettement moins importante que les fonctionnalités et c'est ce qui est compromis quand les délais se resserrent.

Les gouvernement (le nôtre ou d'autres) devraient-ils arrêter d'externaliser le développement ? C'est la mauvaise question. Le code ne devient pas, par magie, plus sûr quand c'est une entreprise qui paie le développeur que quand il s'agit d'un gouvernement qui le paie.
Il ne devient pas moins sûr quand le développeur parle une langue étrangère, ou est payé à l'heure au lieu de mensuellement. Écrire l'intégralité du code en interne n'est plus une option viable; nous dépendons tous des logiciels écrit par Dieu-sait-qui, Dieu-sait-où. Et nous devons découvrir comment obtenir de la sécurité de cette situation.

La solution traditionnelle était la défense en profondeur: empiler une mesure de sécurité médiocre au-dessus d'une autre mesure médiocre.
Nous avons donc de la sécurité embarquée dans notre système d'exploitation et dans nos logiciels applicatifs, dans nos protocoles réseau et nos solutions de sécurité additionnelles comme les anti-virus et les pare-feux. Nous espérons que n'importe quelle faille de sécurité (soit découverte et exploitée, soit ajoutée délibérément) dans une couche soit contrecarrée par une autre couche de sécurité, et quand elle ne l'est pas, nous espérons pouvoir corriger nos systèmes suffisamment rapidement pour éviter des dommages à long-terme. C'est une solution lâche, quand on y pense, mais nous faisons avec.

Ramener tout le développement logiciel (et matériel, je suppose) en interne en raison de la fausse idée que la proximité équivaut la sécurité n'est pas une meilleure solution. Ce dont nous avons besoin c'est une amélioration des méthodes de développement logiciel, pour que nous ayons l'assurance que nos logiciels sont sûrs (indépendamment du programmeur, employé par n'importe quelle société, vivant dans n'importe quel pays, qui l'écrit). Le mot-clef ici est "assurance".

L'assurance, c'est utiliser les techniques de sécurité dont nous disposons avons plutôt que d'en développer des nouvelles. C'est tout ce qui est écrit dans les livres sur les pratiques de code sûr. C'est ce que Microsoft essaie de faire avec son "Security Development Lifecycle". C'est le programme "Build Security In" du "Department of Homeland Security". C'est ce que chaque constructeur d'avion doit respecter avant de mettre en production un élément d'avionique.
C'est ce que la NSA veut avoir avant d'acheter des composants d'équipement de sécurité. Comme industriel, nous savons comment fournir des assurances de sécurité dans les logiciels et les systèmes. Mais généralement, nous n'en avons rien à faire et les logiciels commerciaux, aussi peu sûrs qu'ils soient, sont suffisamment bon pour la majeure partie des besoins.

Une assurance est onéreuse, en terme d'argent et de temps, autant pour le processus que pour sa documentation. Mais la NSA en a besoin pour ses systèmes militaires sensibles et Boeing en a besoin pour son avionique. Et les gouvernements en ont de plus en plus besoin : pour les machines de vote, pour les bases de données où l'on confie nos informations personnelles, pour les passeports électroniques, pour les infrastructures de communication. La nécessité d'assurance devrait être plus commune dans les contrats gouvernementaux sur les technologies informatiques.

Les logiciels faisant tourner nos infrastructures sensibles (gouvernement, entreprise, tout) ne sont pas très sûrs, et il n'y a pas d'espoir de corriger ça de sitôt. Une assurance est notre seule option pour améliorer cette situation, bien que ce soit chère et que le marché ne s'en préoccupe pas. Les gouvernements doivent s'engager et y investir quand le besoin le demande, ensuite nous pourrons tous en bénéficier quand nous achèterons le même logiciel.

Autres lecturesCet essai est apparu dans "Information Security" comme deuxième partie d'un "argument/contre-argument" avec Marcus Ranum. Vous pouvez lire l'essai de Marcus.

Aller plus loin

  • # Merci

    Posté par  (site web personnel) . Évalué à 3.

    Merci pour ta traduction.
    • [^] # Re: Merci

      Posté par  (site web personnel) . Évalué à 6.

      Je veux essayer de faire ce genre de traduction plus souvent. C'est difficile, mais c'est bon pour mon anglais ...

      "It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell

  • # cela suppose une prise de conscience au niveau gouvernemental

    Posté par  (site web personnel) . Évalué à 7.

    >>>Les logiciels faisant tourner nos infrastructures sensibles (gouvernement, entreprise, tout) ne sont pas très sûrs, et il n'y a pas d'espoir de corriger ça de sitôt. Une assurance est notre seule option pour améliorer cette situation, bien que ce soit chère et que le marché ne s'en préoccupe pas. Les gouvernements doivent s'engager et y investir quand le besoin le demande, ensuite nous pourrons tous en bénéficier quand nous achèterons le même logiciel.


    Voilà des paroles sensées, mais quand je vois les complets ignares en matière d'informatique dans toute la classe politique française, je me dis qu'on n'en prend pas le chemin ! Et ces personnes sont sans doute convaincues qu'il n'existe pas la moindre alternative à Microsoft, IBM, HP et consorts.
    Et si (par exemple) Microsoft n'est pas très populaire ici, souvenons-nous comme tous les ministres sont venus écouter Ballmer ou Gates à chaque fois qu'ils sont passés à Paris (pour être sur la photo ?).

    ウィズコロナ

    • [^] # Re: cela suppose une prise de conscience au niveau gouvernemental

      Posté par  . Évalué à 4.

      Si, le jour il y aura une crise (perte d'argent, d'information, etc...), peut être que cela bougera. Il faut aussi croire en certain DSI, qui peuvent faire leur boulot consciencieusement quel que soit le vent politique en cours.
      • [^] # Re: cela suppose une prise de conscience au niveau gouvernemental

        Posté par  . Évalué à 4.

        Si, le jour il y aura une crise (perte d'argent, d'information, etc...), peut être que cela bougera.

        C'est toute la magie des grands comptes (grosses entreprises comme administrations) : la personne qui a initié le projet, celle qui le mène à terme et celle qui va se retrouver en première ligne au cas ou tout explose sont totalement distinctes, parfois même appartiennent à des "clans" ou des couleurs politiques différentes.

        Bref il n'y a aucune pénalité à bacler un truc, alors que prendre le temsp et l'argent de faire les choses biens et l'assurance quasi totale qu'un autre viendra prendre sa place avec une autre vision du problème et donc des demandes de corrections en pagailles.
      • [^] # Re: cela suppose une prise de conscience au niveau gouvernemental

        Posté par  (site web personnel) . Évalué à 4.

        >>>Si, le jour il y aura une crise (perte d'argent, d'information, etc...), peut être que cela bougera.

        peut-être, ou pas.

        Si on fait un parallèle avec la finance, en 1996 Nick Leeson coule la Barings. Pourquoi ? Il avait fait d'excellentes performances en bourse les années précédentes, s'est planté cette année-là, et cela n'a pas été détecté, car pour réduire les frais, les contrôles étaient effectués par une seule personne, qui était sa petite amie.

        Plus récemment, Kerviel plante presque la Société Générale, parce que les contrôles sont faciles à contourner et qu'il n'y a pas de limite sur les sommes qu'il peut engager.

        ウィズコロナ

    • [^] # Re: cela suppose une prise de conscience au niveau gouvernemental

      Posté par  . Évalué à 1.

      Ceci dit, dans certaines administrations, quand ils font des appels d'offrent pour développement logiciel, ils exigent de plus en plus que cela soit (et/ou basé sur) du logiciel libre. Ça leur permet de ne plus rester dépendant d'une seule société, et ça diminue les coûts, à la fois car il n'y a plus de coûts de licence et car la concurrence est plus serrée entre les sociétés prestataires.

      Je ne sais pas quelles sont exactement les administrations concernées, c'est une info de seconde main... Je ne saurai dire s'il s'agit d'une tendance générale.
      • [^] # Re: cela suppose une prise de conscience au niveau gouvernemental

        Posté par  (site web personnel) . Évalué à 2.

        >>>Je ne sais pas quelles sont exactement les administrations concernées, c'est une info de seconde main... Je ne saurai dire s'il s'agit d'une tendance générale.

        J'ai lu récemment que dans le cadre de la fusion police-gendarmerie, les gendarmes (sous Linux) et les policiers (sous Microsoft) font du statu quo et personne ne veut migrer son informatique sous le système de l'autre...

        A suivre.

        ウィズコロナ

  • # Belles paroles...

    Posté par  . Évalué à 8.

    J'ai du mal à accorder un quelconque crédit à quelqu'un qui parle sérieusement de machine à voter.

    Sinon, de belles paroles... Mais la sécurité, c'est aussi l'empilement de couches diverses et de contre mesures qu'il décrie. Sinon, la moindre faille est directement exploitable, et le 0-faille, ça n'existe pas. Reste encore la méthode la plus prometteuse à l'heure actuelle, à savoir l'isolation, dont il ne parle même pas.

    L'auteur confond d'ailleurs deux choses : Boeing n'a pas la sécurité en tête, mais la correction et la tolérance aux pannes. C'est une approche différente, qui mène à des méthodes différentes.

    Mes commentaires sont en wtfpl. Une licence sur les commentaires, sérieux ? o_0

    • [^] # Re: Belles paroles...

      Posté par  (site web personnel) . Évalué à 6.

      s/machine à voter/ordinateur de vote/

      Mais +1. Le vote informatique n'apporte aucun avantage utile et introduit des inconvénients inadmissibles en démocratie.
    • [^] # Re: Belles paroles...

      Posté par  (site web personnel) . Évalué à 3.

      J'ai du mal à accorder un quelconque crédit à quelqu'un qui parle sérieusement de machine à voter.

      Se voiler la face et dire que ça n'existe pas, c'est une erreur grave. Ces machines existent. C'est pas en n'en parlant pas très fort que le problème va disparaître, l'inertie de ne fais jamais rien changer.

      Mais la sécurité, c'est aussi l'empilement de couches diverses et de contre mesures qu'il décrie. Sinon, la moindre faille est directement exploitable, et le 0-faille, ça n'existe pas.

      Je dirais que le confinement apporte de la sécurité, l'empilement de couche de sécurité apporte juste de la complexité en plus, sans forcément sécurisé plus. Le confinement permet lui de modérer les dégâts en cas de faille et permet de garder le système clair comme de l'eau de roche.
      D'ailleurs, l'empilement c'est ce qu'on utilise depuis le début, ben je suis pas vraiment convaincu.

      Boeing n'a pas la sécurité en tête, mais la correction et la tolérance aux pannes

      Oui, c'est ce qui permet d'assurer la sécurité des personnes à bord d'un avion. On parle d'un concept, la sécurité, tu réponds avec des méthodes pour assurer cette sécurité. On peut pas mélanger la couche 7 avec la couche 3 du modèle OSI, ça fonctionne pas.

      "It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell

      • [^] # Re: Belles paroles...

        Posté par  (site web personnel) . Évalué à 8.

        Se voiler la face et dire que ça n'existe pas, c'est une erreur grave. Ces machines existent. C'est pas en n'en parlant pas très fort que le problème va disparaître, l'inertie de ne fais jamais rien changer.

        C'est pas en parlant des manières théorique d'améliorer un mécanisme inacceptable qu'on aide à en rejeter la mise en œuvre.

        Il ne faut pas améliorer ces mécanismes, mais les bannir du processus démocratique où elles n'ont pas leur place.
        • [^] # Re: Belles paroles...

          Posté par  (site web personnel) . Évalué à 2.

          C'est pas en laissant des mécanismes imposés peu sécurisé qu'on va améliorer la démocratie. Tout le monde n'a pas le pouvoir démocratique de décider ce genre de choses et c'est déjà mieux d'avoir un mécanisme moyennement démocratique sécurisé qu'un mécanisme moyennement démocratique pas sécurisé.

          Il parle d'un point de vue sécurité, pas d'un point de vue démocratique. Ensuite si le peuple veut ces moyens, il n'y a pas de raisons de ne pas les fournir et il y a des raisons de fournir des outils sécurisés.

          "It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell

          • [^] # Re: Belles paroles...

            Posté par  (site web personnel) . Évalué à 2.

            Bah en l'occurrence, du papier et une urne transparente, c'est un moyen plus sécurisé qu'un ordinateur.

            En fait l'ordinateur n'est pas forcément à bannir, mais en tout cas à catégoriquement exclure comme moyen unique de vérification. J'avais lu ici même quelqu'un qui proposait une idée simple et efficace : faire imprimer les résultats sur une feuille, mis dans une urne transparente. Ainsi il y aurais possibilité de combiné des avantages en supprimant des inconvénient :
            – possibilité d'utilisation autonome par les personnes en situation de handicape visuel (avec un ordinateur adapté) ;
            – premier décompte rapide effectuée par la machine ;
            – second décompte classique par les urnes ;
            – moins de papier imprimés (seuls les votants impriment).
          • [^] # Re: Belles paroles...

            Posté par  . Évalué à 6.

            > Tout le monde n'a pas le pouvoir démocratique de décider ce genre de choses et c'est déjà mieux d'avoir un mécanisme moyennement démocratique sécurisé qu'un mécanisme moyennement démocratique pas sécurisé.

            Cette phrase me fait peur car c'est du même acabit que de dire qu'on doit laisser de côté de sa vie privée sous le prétexte d'avoir plus de sécurité.

            Les pays démocratique où la voix du peuple est transmise par d'une manière obscure et incontrôlable par le peuple ne sont pas démocratiques.

            Celui qui prétend le contraire n'est qu'un menteur.

            > Il parle d'un point de vue sécurité, pas d'un point de vue démocratique.

            Sécurité du système informatique, pas du système démocratique. Le système informatique (ou d'information) n'est pas obligé de tomber dans les mains d'une poignée de tiers pour être corrompu, il peut aussi tomber dans les mains d'un groupe de personnes internes afin d'être manipulé et orienté. C'est cette dernière qui a causé bien plus de guerres et de désastres dans notre Histoire, largement plus que les méchants tiers venus s'immiscer dans nos démocraties. Tiers qui ont largement profité de la prise en main du système par une poignée de dirigeants.

            The capacity of the human mind for swallowing nonsense and spewing it forth in violent and repressive action has never yet been plumbed. -- Robert A. Heinlein

            • [^] # Re: Belles paroles...

              Posté par  (site web personnel) . Évalué à 3.

              Cette phrase me fait peur car c'est du même acabit que de dire qu'on doit laisser de côté de sa vie privée sous le prétexte d'avoir plus de sécurité.

              Tu connais beaucoup de pays ayant une démocratie directe, où chaque décision gouvernementale est contre-signée par le peuple ?
              Je sais que je ne suis pas prêt à voir disparaître l'urne et le bulletin de vote car vivant dans une démocratie directe. Mais combien de pays ont déjà un système électronique et qu'ils n'ont pas un seul mot à dire ?
              Est-ce qu'il est donc mieux, maintenant, que de fournir du matériel sécurisé ? C'est pas parce que l'on ne risque pas de voir arriver ce genre de machines chez nous qu'il faut briser les démocraties ailleurs en faisant de l'anti-sécurité pour détruire ces machines.

              "It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell

              • [^] # Re: Belles paroles...

                Posté par  . Évalué à 2.

                > Mais combien de pays ont déjà un système électronique et qu'ils n'ont pas un seul mot à dire ?

                Ce ne sont donc pas des pays démocratiques, ça confirme bien ce que j'écrivais précédemment.

                > C'est pas parce que l'on ne risque pas de voir arriver ce genre de machines chez nous qu'il faut briser les démocraties ailleurs en faisant de l'anti-sécurité pour détruire ces machines.



                On parle d'un système de vote transparent et contrôlable par le peuple, pas de la refonte de leurs institutions.

                The capacity of the human mind for swallowing nonsense and spewing it forth in violent and repressive action has never yet been plumbed. -- Robert A. Heinlein

                • [^] # Re: Belles paroles...

                  Posté par  (site web personnel) . Évalué à 2.

                  Ce ne sont donc pas des pays démocratiques, ça confirme bien ce que j'écrivais précédemment.
                  Donc la France n'est pas un pays démocratique :
                  http://fr.wikipedia.org/wiki/Élection_présidentielle_française_de_2007#Vote_.C3.A9lectronique ?

                  "It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell

                  • [^] # Re: Belles paroles...

                    Posté par  . Évalué à 3.

                    Malheureusement nous ne sommes pas obligé de se fonder sur les machines de vote pour affirmer que la démocratie en France est plus un habit d'apparat qu'une réalité.

                    The capacity of the human mind for swallowing nonsense and spewing it forth in violent and repressive action has never yet been plumbed. -- Robert A. Heinlein

              • [^] # Re: Belles paroles...

                Posté par  . Évalué à 1.

                Tu connais beaucoup de pays ayant une démocratie directe, où chaque décision gouvernementale est contre-signée par le peuple ?

                quel est le rapport avec la choucroute ?

                Est-ce qu'il est donc mieux, maintenant, que de fournir du matériel sécurisé ?

                fournir des urnes transparentes ?
                • [^] # Re: Belles paroles...

                  Posté par  (site web personnel) . Évalué à 2.

                  quel est le rapport avec la choucroute ?
                  Les gouvernements peuvent imposer le vote électronique sans l'avale du peuple.

                  fournir des urnes transparentes ?
                  Ben ça c'est déjà le cas.

                  "It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell

          • [^] # Re: Belles paroles...

            Posté par  . Évalué à 2.

            si le peuple veut ces moyens

            mwarf
            en général c'est plutôt du style le patron de la boite qui les construit est pote avec^W^W^W fait du lobbying auprès de je ne sais quel maire / député.

            Je n'ai encore jamais entendu parlé d'un mouvement populaire pro-machine à voter, et c'est heureux.
            • [^] # Re: Belles paroles...

              Posté par  (site web personnel) . Évalué à 2.

              Le canton de Genève, si je ne m'abuse, a accepter le vote via Internet. L'urne n'est pas remplacée, mais la possibilité de faire par Internet est offerte en plus. Et si certaines garanties sont fournies par l'état, je voterais pour.

              "It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell

              • [^] # Re: Belles paroles...

                Posté par  . Évalué à 1.

                Donc tu acceptes de voter dans une urne en bois, qui est ensuite transportée jusque dans les bureaux du ministère où on la fait dépouiller dans le plus grand secret par une société privée, et ensuite on proclame les résultats ?

                Tu appelles sérieusement ça de la démocratie ?

                Mes commentaires sont en wtfpl. Une licence sur les commentaires, sérieux ? o_0

                • [^] # Re: Belles paroles...

                  Posté par  . Évalué à 0.

                  C'est SÉRIEUSEMENT comme ça ? o_O
                  • [^] # Re: Belles paroles...

                    Posté par  . Évalué à 1.

                    C'est l'analogie la plus proche du vote électronique :

                    - tu n'as aucun moyen de vérifier que l'urne n'est pas bourrée au départ des urnes, ou que ton bulletin est bien inséré dans l'urne (l'urne n'est pas transparente).
                    - tu n'as aucun contrôle sur le dépouillement
                    - le logiciel est fait par une société privée
                    - le bon déroulement du dépouillement t'es garanti par le ministère de l'intérieur.

                    Bref, tu votes dans une urne en bois dépouillée par une société privée dans les locaux du ministère de l'intérieur.

                    Personnellement, j'ai du mal à appeler ça de la démocratie...

                    Mes commentaires sont en wtfpl. Une licence sur les commentaires, sérieux ? o_0

                    • [^] # Re: Belles paroles...

                      Posté par  . Évalué à 1.

                      Ha mais non, j'avais compris l'analogie comme le standard la bas ^^'
                      J'habite depuis peu à coté du Luxembourg, mais je ne sais déjà même pas exactement ça se passe chez mes (nos ?) voisins...
                • [^] # Re: Belles paroles...

                  Posté par  (site web personnel) . Évalué à 2.

                  Dans les conditions que tu présentes, c'est pas viable en effet. Mais ça ne veut pas dire qu'il n'y a aucun moyen électronique pour faire du vote démocratique.
                  Tu prends _une_ méthode particulièrement obscure et tu dis "ça c'est le vote électronique. D'autres méthodes plus transparentes sont possibles. Renoncer à une technologie parce que la première méthode appliquée est obscure, c'est un peu contre-productif. Trouver une méthode transparente, c'est productif.

                  Je suis pas contre le vote électronique, mais je suis contre un vote électronique obscure.

                  "It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell

                  • [^] # Re: Belles paroles...

                    Posté par  . Évalué à 1.

                    Je ne prends pas _une_ méthode au hasard, je prends celle qui est en place actuellement dans les pays qui pratiquent.

                    Ensuite, je veux bien que tu décrives comment on fait du vote électronique qui réponde à ces garanties :
                    - N'importe quel citoyen qui a le droit de vote peut contrôler :
                    * que son vote est pris en compte, et que ce qu'il met dans l'urne est bien ce qu'il a choisi.
                    * que le nombre de bulletins comptés et le nombre de bulletins de vote sont identiques (urnes non bourrées)
                    * que le dépouillement est effectué dans de bonnes conditions
                    * que seuls des vrais votants ont voté
                    - Le vote reste totalement anonyme (ce qui implique que le votant ne peut pas contrôler le résultat de son propre vote à posteriori puisque cette information ne doit exister nulle part, sinon il n'y a plus anonymat)

                    Honnêtement, j'y ai déjà pas mal réfléchi, je n'ai pas trouvé de solution qui réponde à tout ça (sauf à réintroduire le papier et l'urne transparente, l'électronique n'étant alors là que pour avoir le résultat plus vite). Ca ne veut pas dire qu'elle n'existe pas, mais en général, on se heurte toujours à un des points.

                    Mes commentaires sont en wtfpl. Une licence sur les commentaires, sérieux ? o_0

      • [^] # Re: Belles paroles...

        Posté par  . Évalué à 1.

        Je dirais que le confinement apporte de la sécurité, l'empilement de couche de sécurité apporte juste de la complexité en plus, sans forcément sécurisé plus. Le confinement permet lui de modérer les dégâts en cas de faille et permet de garder le système clair comme de l'eau de roche.
        D'ailleurs, l'empilement c'est ce qu'on utilise depuis le début, ben je suis pas vraiment convaincu.


        Pas la peine de prêcher pour le confinement, j'en suis déjà convaincu. Mais l'empilement donne quand même de bons résultats (cf sécurités relatives de chrome et safari, utilisant pourtant une énorme base commune).

        Oui, c'est ce qui permet d'assurer la sécurité des personnes à bord d'un avion. On parle d'un concept, la sécurité, tu réponds avec des méthodes pour assurer cette sécurité.

        On parle de sécurité logicielle, pas de sécurité des passagers. Un code peut être parfaitement correct, mais pas sécurisé du tout, et je ne serais pas du tout surpris que ça soit le cas de ce qui tourne dans nos avions (pas besoin de sécurité, le système est de toute manière isolé).

        On peut pas mélanger la couche 7 avec la couche 3 du modèle OSI, ça fonctionne pas.

        Il dit qu'il voit pas le rapport avec la choucroute :).

        Mes commentaires sont en wtfpl. Une licence sur les commentaires, sérieux ? o_0

        • [^] # Re: Belles paroles...

          Posté par  (site web personnel) . Évalué à 3.

          On parle de sécurité logicielle, pas de sécurité des passagers.
          Je crois bien que dans cet article, il parle de code assurant la sécurité des passagers, donc de sécurité dans les pratiques de codes (pas de buffer overflow et tout ça) :
          L'assurance, c'est utiliser les techniques de sécurité dont nous disposons avons plutôt que d'en développer des nouvelles. C'est tout ce qui est écrit dans les livres sur les pratiques de code sûr.


          Il dit qu'il voit pas le rapport avec la choucroute :).
          Tolérance aux pannes et sécurité sont deux choses différentes (bien que parfois liées). Sinon c'est la journée de la choucroute ici ?

          "It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell

          • [^] # Re: Belles paroles...

            Posté par  . Évalué à 1.

            C'est pas justement avec des saloperies de « buffer overflow » et autre choses du genre que fonctionne un sacré paquet de failles ?
  • # Clarification

    Posté par  . Évalué à 2.

    Quand il parle d'assurance, ca n'a pas grand-chose a voir avec certaines des garanties que tu demandes.
    Il parle ici specifiquement de developpement avec la securite et qualite en tete, il ne parle pas de garantir le fonctionnement, simplement de garantir qu'un processus a ete suivi pour le developpement, ca n'exclut pas l'existence de problemes.

    Sinon je notes avec sourire qu'il prend lui-aussi ce que fait MS comme exemple a suivre, ca ouvrira peut-etre les yeux de certains ici qui sont ancres dans leur idee que MS et securite sont antinomiques.
    • [^] # Re: Clarification

      Posté par  (site web personnel) . Évalué à 2.

      En effet et sur ce point je suis totalement d'accord. Il est beaucoup plus modérer que moi sur ce point et ses idées ont plus de chances de faire du chemin dans la tête des dirigeants que les miennes d'extrémiste.

      De mon point de vue les assurances sont un premier pas qui permettra, un jour, d'amener des garanties. Si tous le monde a suffisamment d'assurance dans la chaîne de production, le dernier élément de la chaîne peut donner des garanties au client.

      En effet Microsoft avance dans le bon sens depuis quelque temps. Il était temps, car ils en ont les moyens depuis longtemps.

      "It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell

    • [^] # Re: Clarification

      Posté par  . Évalué à 7.

      Sinon je notes avec sourire qu'il prend lui-aussi ce que fait MS comme exemple a suivre, ca ouvrira peut-etre les yeux de certains ici qui sont ancres dans leur idee que MS et securite sont antinomiques.
      C'est juste l'image pré NT-2000, IE5.5, IE6, NetBIOS, Admin par défaut, IIS, back-orifice et j'en passe, qui à du mal à partir chez certain !

      Mais bon, c'était une autre époque de l'informatique... MS devra juste se trainer ce petit boulet pendant une dizaine d'année (si ils n'en rajoute pas !), pas plus :)
      • [^] # Re: Clarification

        Posté par  . Évalué à 3.

        C'est pas juste l'image, c'est un fait que nombre de logiciels MS sont pourris de bugs, et que certaois choix malheureux de conception faits il y a 10 ans se payent encore aujourd'hui. Chaque mois je reçois des Windows Update pour des bugs de sécurité exploitables à distance, y compris pour Windows 7.
        Pas plus tard que cette semaine, il y en avait un sympa qui permet de prendre le contrôle de la machine via un MP3 intégré dans un flux vidéo. En gros, tu lis une video sur internet et t'es mort...
        Mais c'est pas pour autant que le code d'autres logiciels soit meilleur hein...
        • [^] # Re: Clarification

          Posté par  (site web personnel) . Évalué à 6.

          En gros, tu lis une video sur internet et t'es mort...

          7 jours après, à moins d'en faire une copie et de faire visionner à quelqu'un d'autre ? ça me rappelle quelque chose ...

          "It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell

          • [^] # Re: Clarification

            Posté par  . Évalué à 1.

            À la suite de Halloween 20 ans après, RING 20 ans après ?

            remarque, ça se trouve de moins en moins des magnétoscopes, surtout avec cette saleté de TNT à la compression souvent bâclée :(
        • [^] # Re: Clarification

          Posté par  . Évalué à 7.

          En gros, tu lis une video sur internet et t'es mort...

          Je vais me faire l'avocat du diable, bien que je sois totalement d'accord avec toi !

          http://linuxfr.org/2004/08/09/17006.html, une faille dans libpng permet d'executer du code sur une image volontairement mal-formé.
          Que l'on decouvre des failles sur le windows d'aujourd'hui, c'est normal (le temps de patch l'est des fois moins, mais coté libre aussi c'est pas toujours glorieux), mais vraiment avant NT c'était la passoire.

          Mais bon, encore une fois, je le redis, c'était une autre époque ! On ne peut comparer un système d'avant l'an 2000 à un linux (ou autre) d'aujourd'hui. Pour l'anecdote, je me souviens qu'en 1997, j'avais réussi à "pirater" (le mot est fort) une tripoté de routeur de mon opérateur internet rien qu'a base de traceroute pour les trouver et de brute/force sur telnet ! Je me rend compte de mon inconscience avec le recul (log, toussa), mais surtout de manque de sécurité de cette époque(nombre d'essaie illimité, telnet depuis n'importe quelle reseau, etc...). Ou alors les SQL injection qui étaient possible presque sur tout les sites. Netscape qui plantait si tu faisait une page (genre un message dans un forum) avec plein de <<<<<<<<<<<<< ou un truc comme ça, etc... C'était pareil pour les produits MS...
          Les enjeux étaient différent et la sécurité n'était pas un problème avant les années 2000-2002 et l'internet partout pour de plus en plus de services. MS se traine aussi les boulets de l'image de cette époque.

          ps : Je ne défend (ni n'utilise) pas les produits MS, je relativise :).
        • [^] # Re: Clarification

          Posté par  . Évalué à 3.

          Chaque mois je reçois des Windows Update pour des bugs de sécurité exploitables à distance, y compris pour Windows 7.
          Pas plus tard que cette semaine, il y en avait un sympa qui permet de prendre le contrôle de la machine via un MP3 intégré dans un flux vidéo. En gros, tu lis une video sur internet et t'es mort...


          Il y a probablement des failles de sécurité découverte chaque semaine pour Linux. Exploitable à distance c'est un peu plus rare, mais ça arrive.
          Et les bibliothèques libres de décodage de fichiers audio/image/video n'ont pas été exempt de faille génantes. (ex: libjpeg utilisé a peu près partout, y compris windows)

          C'est pas très utile de pointer du doigt spécifiquement MS alors que leurs méthodes ont l'air maintenant 3 ordres de grandeur au dessus de la moyenne, "communauté" du libre comprise.

          Le développement totalement à l'arrache de logiciels est un problème qui touche malheureusement l'univers entier des développements, pour des raisons variées d'éducation, de contrôle, d'exigences irréalistes de décideurs non techniques (qui sont parfois paradoxalement rationnel car leur environnement économique est tel qu'ils se contrefichent royalement de la sécu pour leur propre intérêt), etc...

          C'est un problème de cercle vicieux de l'écosystème tout entier du à un manque de clarté (historique et malheureusement persistant) des dommages économiques. Et peut-être aussi au fait que les exigences d'éducation en terme de développement logiciel sont extrêmement basses (sans même parler spécifiquement de la sécurité des logiciels, abordée d'une manière totalement marginale voir plus généralement pas du tout)
    • [^] # Re: Clarification

      Posté par  (site web personnel) . Évalué à 5.

      En même comme on le relève plus haut, il met en avant les ordinateurs de vote, qui est un ajout d'une couche inutilement complexe dans un processus où la sécurité du résultat est un enjeu social primordial.

      Je trouve que tu vas un peu vite en raccourcis entre « microsoft, dans une de ses initiatives, fait un truc correct pour la sécurité » et « microsoft est l'exemple à suivre en matière de sécurité ».

      Le modèle sources fermées et portes dérobés intégrés de base des windows, c'est pas un exemple à suivre en matière de sécurité.

      De toute manière les ingénieurs auront beau s'évertuer d'inventivité pour améliorer la sécurité, au bout il y aura toujours des utilisateurs qui eux n'y comprennent rien (s'en contrefiche d'ailleurs souvent tant qu'ils peuvent voir le ppt avec les chatons) et continuerons à faire n'importe quoi, et surtout ce qu'il ne faut pas.
      • [^] # Re: Clarification

        Posté par  . Évalué à 0.

        Je trouve que tu vas un peu vite en raccourcis entre « microsoft, dans une de ses initiatives, fait un truc correct pour la sécurité » et « microsoft est l'exemple à suivre en matière de sécurité ».

        Je ne fais aucun raccourci, car c'est :
        a) Exactement ce qu'il dit, la SDL, c'est purement securite et c'est du lourd, c'est pas une petite initiative, tout produit qu'on sort passe la dedans
        b) Il n'est de loin pas le seul a le dire dans la communaute securite

        Le modèle sources fermées et portes dérobés intégrés de base des windows, c'est pas un exemple à suivre en matière de sécurité.

        a) Les sources fermees ca n'a rien a voir niveau securite, car les sources sont consultables par nombre de gens
        b) Il n'y a pas de portes derobees

        De toute manière les ingénieurs auront beau s'évertuer d'inventivité pour améliorer la sécurité, au bout il y aura toujours des utilisateurs qui eux n'y comprennent rien (s'en contrefiche d'ailleurs souvent tant qu'ils peuvent voir le ppt avec les chatons) et continuerons à faire n'importe quoi, et surtout ce qu'il ne faut pas.

        Ca c'est sur, et le but sera toujours de les encourager a ne pas faire les idiots sans rendre le systeme chiant a utiliser, et c'est pas facile
    • [^] # Re: Clarification

      Posté par  (site web personnel) . Évalué à 0.

      ca ouvrira peut-etre les yeux de certains ici qui sont ancres dans leur idee que MS et securite sont antinomiques.

      ON EST VENDREDI !!!!

      http://www.googlefight.com/index.php?lang=fr_FR&word1=pr(...)
  • # Vive la défense en profondeur conçue par de bons architectes !

    Posté par  . Évalué à 6.

    Depuis 25 ans que j'observe les états, dont les USA en premier, tenter de mettre en oeuvre des standards d'assurance de sécurité des logiciels, l'échec me semble patent, en gros pour 3 raisons :
    Un : cela coûte entre 2 et 5 fois plus cher à développer, et entre 4 et 10 fois plus cher à mettre à jour, parce qu'on ne sait pas bien limiter la charge de vérification de la sécurité lorsqu'une modification limitée du code a été faite.
    Deux : les critères de vérification de la sécurité sont régulièrement en retard par rapport à l'inventivité des experts en attaque informatique, bien que les coûts de vérification croissent eux aussi régulièrement.
    Trois : personne ne saura jamais démontrer rigoureusement, indiscutablement, la sécurité d'un système complexe, quand on utilise un petit sous-ensemble de briques de sécurité élémentaires qui sont garanties sûres, intégrés dans un vaste ensemble de logiciels sans assurance de sécurité, et utilisés par une organisation donnée, plus ou moins connue et figée.

    C'est pourquoi je milite pour la formation et la promotion d'architectes de sécurité capables de bien concevoir la défense en profondeur d'un système complexe. Ce ne sera jamais facile, et il faut procéder de manière à la fois experte et pragmatique, en collaboration avec tous les métiers impliqués de l'entreprise, et en incluant l'organisation.
    Investir dans ce domaine me semble infiniment plus urgent que de miser sur l'assurance de sécurité. Car les concepts, le partage d'expérience et les outils pour les architectes de sécurité sont encore trop rares et rudimentaires. Il est possible de faire beaucoup mieux, avec des investissements qui seraient plus utiles et plus pérennes que ceux demandés par l'assurance de sécurité.
  • # Énorme propagande

    Posté par  . Évalué à -3.

    Dans la traduction, est écrit : "... code sûr. C'est ce que Microsoft ...", où ce dernier est à une distance de 4 mots de "code sûr". Puis pour ancrer cette affirmation, on nous parle de Boeing et de la NSA, où l'exigence de sécurité va de soi. C'est une énorme propagande. Le seul code sûr est le logiciel libre, où tout un chacun (comprenez, avec le compétences nécessaires) pourra auditer, modifier, tester et améliorer le code. Ici on essaie de justifier les boîtes noires, encore une fois. Il y a aussi une attaque contre les architectures logicielles en couches, tiens comme par hasard le modèle Unix.
    • [^] # Re: Énorme propagande

      Posté par  (site web personnel) . Évalué à 4.

      Dans la traduction, est écrit : "... code sûr. C'est ce que Microsoft ...", où ce dernier est à une distance de 4 mots de "code sûr".
      Il explique ce que c'est la sécurité et ce que des entreprises majeures dans ce domain _essaient_ de faire ou font.

      Ici on essaie de justifier les boîtes noires, encore une fois.
      Non, on parle de fournir une assurance de qualité, rien de plus. On parle pas de faire du logiciel Libre ou pas, on parle de fournir une assurance sur les logiciels.

      Il y a aussi une attaque contre les architectures logicielles en couches, tiens comme par hasard le modèle Unix.
      L'informatique est en couche. Tout, Microsoft, Apple, Unix, TCP/IP, Firefox, IE, ... C'est rien de spécifique à Unix, mais bon ...

      "It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell

    • [^] # Re: Énorme propagande

      Posté par  . Évalué à 2.

      Énorme propagande: tu as d'abord essayé de te renseigner un peu sur Bruce Schneier avant d'écrire une pareille énormité?

      Ce monsieur n'a qu'une préoccupation: la sécurité. Et il est très loin d'être un opposant au libre, ni un partisan du propriétaire.
    • [^] # Re: Énorme propagande

      Posté par  . Évalué à 3.

      Le seul code sûr est le logiciel libre, où tout un chacun (comprenez, avec le compétences nécessaires) pourra auditer, modifier, tester et améliorer le code.

      C'est bien, tu as recite la legende du logiciel libre.

      Et maintenant, tu nous expliques comment il se fait qu'en realite c'est pas vrai ?
      • [^] # Re: Énorme propagande

        Posté par  . Évalué à 2.

        Il suffit de comparer la sécu de OpenSSL avec d'autres implémentations proprio comme IAIK. Ha non tiens ça marche pas :-) Et si en fait c'était les processus de revue de code et les contrôles qualité qui faisaient la sécu d'un produit plutôt que le libre/non-libre ?
  • # Méconnaissance du dev gouvernemental

    Posté par  . Évalué à 1.

    Impasse complète sur l'existant en France... Du bon dev externalisé par l'état français, ça passe par :

    - une analyse de risques amont formalisée (selon la méthode EBIOS de la DCSSI/ANSSI en général)
    - des spécifications claires en matière de sécurité qui en découlent
    - un suivi rapproché de l'implémentation des specs par le prestataire (le "dossier de sécurité", que le prestataire remplit pour décrire la manière dont il répond aux exigences de sécu précisées dans les specs)
    - une recette qui tient la route, avec une partie dédiée pour la recette des fonctions techniques
    - de l'audit - architecture et recherche des vulnérabilités
    - enfin une homologation du système par une autorité indépendante

    En prime, pour les trucs vraiment sensibles, il est fait appel en priorité à des partenaires de confiance.

    Faut pas croire, la France n'est pas en retard pour tout.
    • [^] # Re: Méconnaissance du dev gouvernemental

      Posté par  (site web personnel) . Évalué à 4.

      Faut pas croire, la France n'est pas en retard pour tout.

      Elle est même en avance, elle va faire gérer ses personnels de recherche publique par des services marocains.

      http://www.sauvonslarecherche.fr/spip.php?article3129

      C'est vrai qu'il n'y a rien de très confidentiel dans la liste des têtes chercheuses du CNRS, domiciliation, salaire,....

      Votez les 30 juin et 7 juillet, en connaissance de cause. http://www.pointal.net/VotesDeputesRN

      • [^] # Re: Méconnaissance du dev gouvernemental

        Posté par  . Évalué à 1.

        Mouais... ça me choque aussi. Mais il faudrait regarder le détail de l'appel d'offres. Il est tout à faut possible d'externaliser à l'étranger la maintenance de l'applicatif (le code), et de garder les données dans l'entreprise. En général pour faire ça on laisse l'environnement de production aux mains de l'entreprise principale, et on se contente d'externaliser les environnements de qualification et de développement, qui ne contiennent pas les données sensibles. En tout cas c'est bien que les syndicats posent ces questions, ça ne peut qu'attirer l'attention de la CNIL.

        Sans en dire trop (devoir de réserve...), à d'autres endroits de la fonction publique les choix ne sont pas du tout les mêmes en matière d'externalisation.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.