Si je ne me trompe pas, ils ont effectués des tests, donc à priori c'est faisable. Et il est à priori impossible qu'ils aient fait le tout dans un scénario du type "un seul processus tourne sur le processeur" non ?
Par contre je ne vois pas comment, puisqu'en effet, comme ils le disent d'ailleurs eux-même, le temps d'exécution est partagé entre tous les processus.
Le Monde n'est pas une référence en ce qui concerne des articles scientifiques. Si tu veux te faire un avis sur la méthode, lis plutôt l'article même. De là être outré de l'exagération qui est faites, je suis d'accord, même si je trouve que cette attaque, si elle fait vraiment ce qu'elle dit, est de loin beaucoup plus dangereuse que les sus-citées.
La plupart des canaux cachés auxquels tu fais référence ne sont plus valables aujourd'hui. Le temps d'exécution était certes une faille dans OpenSSL, mais ça a été corrigé puis longtemps. Pour ce qui est du bruit et la consommation électrique, le problème est au final le même, la solution aussi (on équilibre la longueur des branches en rajoutant du bruit). Enfin, micro sur clavier, ondes électromagnétiques, tout ceci nécessite une présence physique proche de la victime (au moins le micro par exemple).
Ce n'est pas le cas de cette attaque là. Ici, tout ce dont nous avons besoin, c'est de pouvoir exécuter un processus. Certes pas n'importe lequel, donc on doit avoir alors au moins accès à un compilateur, et pouvoir l'exécuter.
L'utilisateur "de base" (en gros, monsieur X qui est tranquillement devant son pc, dans son salon) n'a à priori rien à craindre, sauf si quelqu'un réussit à accéder à son pc. Or, ce monsieur X a 70% (et encore, je suis optimiste) de chances d'utiliser windows. Ce système étant particulièrement connu pour être la cible de multitudes de vers/chevaux de troie, il n'est pas impossible (loin de là même) d'exécuter un processus espion sur sa machine (par processus espion, j'entends le sens qui est donné dans l'article).
Nombreux sont ceux qui oublient que les serveurs aussi sont ciblés. Prenez l'exemple d'une entreprise/université qui possèdent un certain nombre de serveurs proposant des services aux employés/étudiants, qui peuvent profiter de ces derniers en se connectant à l'aide d'un terminal. N'importe qui peut alors lancé un processus espion.
Certes, ce n'est pas si facile que ça, mais la difficulté est considérablement réduite et la compléxité également (grande partie de la clé est trouvée en un seul passage, le reste peut être alors retrouvé par attaque exhaustive). Donc en quelque sorte c'est alarmant. Ce n'est pas la fin de SSL, il ne faut pas renoncer à SSH, mais disons qu'il va falloir suivre de près cette affaire.
Voilà ce que je me disais aussi, jusqu'à ce que je vois que l'article est en fait disponible (j'avais cru comprendre que rien n'avait été publié encore).
En fait, tout ce dont nous avons besoin c'est de pouvoir exécuter un processus sur le même processeur qui est utilisé par l'algorithme de chiffrement. C'est tout. Pas besoin d'accès privilégiés quelconques, donc au final c'est beaucoup plus dangereux (car beaucoup plus facile à déployer) qu'un intercepteur de touches par exemple. Enfin non, disons que si le système que nous avons en face n'est pas très sécurisé, c'est plus simple d'essayer directement de lire ce que la victime tappe sur le clavier, mais dans le cas d'une machine protégée, là les attaques possibles sont limitées.
Je ne pourrai pas résumer l'article ici, je n'en ai pas les moyens. Ceci dit, les 9 premières pages sont à priori abordables, puisque tout y est expliqué, de manière très claire. Seul flou (pour moi du moins), c'est le fonctionnement exact du processus espion. Je vois l'astuce, mais l'histoire de "mapper" les branches d'exécution de ce dernier sur celles du processus de chiffrement, là je vois plus trop.
Lecture donc fortement recommandée à toute personne intéressée.
Bien que je sois aussi pour le 100% libre, ça me semble un peu naïf de résumer ainsi la contribution de Shuttleworth au libre.
Ubuntu, même si elle contient certains paquets non-libres permet la démocratisation de Linux. Les paquets non-libres sont là tout simplement parce qu'actuellement il n'y a pas d'alternative libre. Puis le public visé se soucie peu que ce soit libre ou pas. Par contre, avec le temps, je crois/espère/suis confiant qu'ils seront de plus en plus sensibles à la chose et là on dira que mine de rien, Shuttleworth était quelqu'un de bien.
Ubuntu à part (pour éviter tout commentaire inutile, je n'ai pas Ubuntu sur mes pc et je ne l'ai utilisée que 20 mn dans ma vie ; mais je connais beaucoup de personnes qui ne juraient que par windows, mais qui à présent tournent sous linux grâce à cette distrib), il a aussi donné beaucoup d'argent au libre, et que ça nous plaise ou pas, l'argent, même dans le libre, il y en a besoin. On peut faire sans, certes, mais une aide financière n'est jamais de refus.
Je suis tout de même rassuré de voir que contrairement à toi, certains font preuve d'ouverture d'esprit, le libre en a bien besoin.
En fait, on est tout à fait d'accord :). Enfin, je suis un peu moins pessimiste que toi, mais je ne garde de cet accord que l'inquiétude de me voir dire dans 5 ans (ou du moins un futur proche) : "Voilà, on vous le disait, cet accord était plus néfaste qu'autre chose pour le libre".
J'ai une question, parce que je me sens un peu perdu là. Pourquoi parle-t-on de copyright pour des projets libres ?
Si un projet est libre/open-source, il est accessible à tous sans restrictions particulières (mis à part quelques petites exceptions, et les restrictions qui pourraient être là pour garantir la liberté), non ?
Faudra te démerder contre d'éventuelles attaques extérieures de la même manière.
On ne parle pas d'attaques extérieures imminentes envers Trolltech depuis longtemps non ? Je n'ai pas fait de recherche approfondie, mais à ce que je sache, il n'y a pas d'ennui. D'où le sans souci. Au contraire, des problèmes on sait (avec certitude à présent) qu'il y en a. On sait également que M$ poursuivra en justice (du moins elle peut s'amuser à faire du chantage) ceux qui ne sont pas couverts par l'accord avec Novell, soit une majorité du LL.
GCJ à mon goût n'est pas encore ancré dans le LL. Il n'introduit pas une nouvelle technologie dont la disparition pourrait laisser en suspens plusieurs projets libres (le fait de pouvoir compiler en exécutable une application java est certes intéressant, mais au pire on se contente d'une JVM puis voilà).
Si Linux était attaqué, la défense serait tellement importante que l'offensive serait très très vite arrêtée. Et puis comme j'ai dis précédemment, si Linux ne respecte pas certains brevets, les personnes/boîtes les détenants ne se sont pas particulièrement manifestées, ce qui n'est clairement pas le cas de M$ avec .net.
Python pour ma part je n'ai pas connaissance de problèmes de brevets qui font parler d'eux. J'ai cherché sur le net, j'ai rien trouvé. Je ne dis pas "Donc il n'y en a pas", je serai là bien naïf. Cependant, ce que je dis c'est qu'on cours moins de risques, voir quasiment pas.
Moi je regarde les intentions : MS a tout fait pour que naisse d'autres implémentation de .NET
Je ne dis pas que je suis ne suis pas d'accord, ceci je te serais reconnaissant si t'argumentais ton point de vue. Pour ma part, je pense plutôt que M$ voit le potentiel qu'il y a dans .net, sait que sa part de marché en ce qui concerne les OS serveur n'est pas foudroyante. Elle a donc intérêt à garder .net le moins accessible possible pour essayer de faire migrer petit à petit les gens vers des OS, des environnements de développement et des services payants qu'elle seule du coup pourrait proposer.
A la seule différence que si Trolltech change sa licence, on peut forker sans soucis. Là les brevets sont le centre du problème même. On ne sera pas couverts par la protection qu'on les clients/utilisateurs de Novell une fois qu'on aura forké.
Ne met les doigts dans aucun logiciel, ils ont potentiellement tous le même problème.
Il y a moins d'enjeux pour une grande partie d'entre eux (voir ce que j'ai dis plus haut, différence entre un logiciel très simple qui peut disparaître pour cause de non respect d'un brevet, puis les conséquences dévastatrices que pourrait avoir une attaque de M$ envers Mono, et donc à fortiori les logiciels basés sur ce dernier, dans 5 ans!). De plus, si des brevets peuvent être utilisés contre des projets libres/open-source, le fait même qu'on n'en parle pas beaucoup est signe que soit ça ne mènera à rien en justice, soit les entités qui détiennent ces brevets ne sont pas intéressées par une attaque.
Au contraire, on sait pertinemment que M$ serait prête à tout pour blesser le libre, donc il faut faire particulièrement attention quand on traite avec des technologies qui proviennent de ses labos...
A priori, les deux autres produits sont moins touchés par la crainte des brevets... Enfin du moins OOo. C'est même plutôt le contraire là, c'est Novell qui a la main sur M$.
Ce qui fait que Mono est la cible de toutes les critiques à mon avis est qu'il est pour la plus grande partie fondé sur des technologies introduites par M$ et que celle-ci y tient beaucoup. Le .net c'est tout de même le produit phare de M$ depuis quelques années.
Pis que tout, un problème avec mono est alarmant non seulement pour le produit Mono même, mais pour toutes les applications qui ont été développées avec ! C'est bien là (du moins en ce qui me concerne) le point critique. Si jamais M$, dans un futur plus ou moins proche, devait se retourner et attaquer Mono, elle s'attaquerait d'un coup à plusieurs projets (prenons l'exemple de Gnome et son intégration toujours plus importante de Mono, ou Beagle, Tomboy, etc.).
Justement, la standardisation oblige à ne pas abuser des brevets, et surtout à ne pas faire de discrimination dans l'attribution de ceux ci
Extraits de la conférence de presse d'avant-hier :
Ballmer (41:46): if you want to use Linux, let's make sure that you get a version of Linux that respects our intellectual property
Avocat de M$ (51.15): The cover net, that will run for example from Microsoft to customers, applies to the code and the patent issues on Linux as it exists today. It will (chuchottements, et l'avocat se rattrape) In Suse Linux as it exists today...
Ballmer (52:00): Novell is acting as a proxy for its customers, and it's only for its customers. So this does not apply to any forms of Linux other than Novell's Suse Linux. And if people want to have patent peace, and interoperability they'll look at Novell Suse Linux. If they make other choices they have all of the compliance of intellectual property issues that are associated with that.
MS s'est engagé à ne pas utiliser ses brevets contre les projets open-sources développés dans un cadre non commercial. C'est pas tip-top, mais c'est toujours ca. Bref, des projets comme Debian rentrent plus ou moins dans ce cadre.
C'est ce que je pensais au début également. C'est pour ça que je disais que DotGNU était du coup protégé. Seulement, voilà, on m'a filé un lien vers la page de M$ qui a le mérite d'être bien plus explicite que ce que j'ai peu entendre à la conférence de presse donnée avant-hier :
Microsoft hereby covenants not to assert Microsoft Patents against each Non-Compensated Individual Hobbyist Developer (also referred to as “You”) for Your personal creation of an originally authored work (“Original Work”) and personal use of Your Original Work. This pledge is personal to You and does not apply to the use of Your Original Work by others or to the distribution of Your Original Work by You or others.
Donc le seul protégé est l'auteur, et seulement pour la partie du code qu'il a écrite. Autant dire que ça n'apporte rien du tout aux projets libres (en tèrme de protection je veux dire).
Je suis plutôt pessimiste et connaissant les démarches agressives de M$ pour éliminer toute concurrence, je préfère ne pas prendre de "risques" jusqu'à ce qu'on m'assure que les garanties qu'ils mettent en avant seront valables non pas pour les 5 ans à suivre, mais à vie...
Donc j'espère que les projets que tu cites se verront améliorés, je le leur souhaite de tout coeur. Par contre, j'espère vraiment que les modifications qui seront apportés ne seront pas, à tèrme de l'accord (qui peut très bien ne pas être renouvelé), utilisées par M$ contre Novell et la communauté du libre. En effet, on parle ici de produits qui sont proches où s'adressent pas mal à une interopérabilité avec des machines Windows. Que se passe-t-il où, par excès de confiance et sous l'assurance de cet accord, les ingénieurs de Novell introduisent un code qui irait à l'encontre d'un brevet de M$. Là ils sont tranquilles, mais dans 5 ans ?
Je pense que la question initialie n'a pas eu droit à sa réponse. C'est très bien tout ça pour Novell, certes, on est d'accord ils s'assurent une base de clients bien plus importante... Comme tu l'as dit, leurs clients sont contents.
Mais le libre dans tout ça ? La question est plutôt là ! Que les clients de Novell soient heureux, moi je dis heureusement, parce que sinon avec leur accord avec M$, ils se seraient bien fait entuber ! Mais le libre est-il vraiment gagnant ?
Tu disais tout à l'heure que Mono est un produit Novell donc tout le monde est assuré par cet accord et que toute contribution nécessite plus ou moins un préaccord de Novell...
Si j'ai bien compris et que tes propos se résument à ça, je dois avouer que j'ai de sérieux doutes. Mono est distribué dans Debian. Si toute contribution au code (quelle qu'elle soit) nécessite un accord de Novell, c'est contraire au Debian Free Software Guidelines (cf. http://www.debian.org/social_contract et cf. histoires récentes de firefox, thunderbird !). Donc déjà ceci me fait croire que soit j'ai pas compris (fort possible), soit t'as tord.
Comme l'a dit Ballmer à maintes reprises, Novell sert de proxy. En gros, ils s'assurent que Mono (même s'il n'a pas été cité, on y faisait très probablement référence à ce moment là) n'enfreint pas les brevets M$ hors ceux qui font partie de l'accord. Mais alors qu'est-ce qui empêche monsieur X, d'étendre Mono en rajoutant des capacités qui ne "plaisent" pas à M$ ?
Merci, je n'aurai pas pu mieux m'exprimer que ça... Tout à fait d'accord, plus ça va plus je suis persuadé que cet accord est plus néfaste qu'autre chose.
Pour ceux qui ne seraient pas d'accord (c'est leur droit après tout), je dois quand même avouer que je trouve du plus grand des ridicules la conférence de presse qui a été donnée. Si pour leur part les gens de M$ étaient assez clairs (on voyait bien que leurs propos étaient très mesurés et on décernait par moments des remarques plutôt gênantes, voir relevé que j'ai fait), les représentants de Novell semblaient tout extasiés et reprenaient quasiment tout le temps le terme de "communauté".
Je suis désolé, mais la communauté à mon avis n'a rien gagné (je garde tout de même une petite réserve jusqu'à publication de l'accord exact; quoi qu'il en soit, si quelque chose de positif ressort finalement de tout ça, faces à tous les reproches qu'on a à faire, ça passera inaperçu, et ce à juste titre). Je trouve donc honteux de la part des représentants de Novell de faire usage de la communauté pour placer leur produit et gagner leur part de marché, qui visiblement leur est si chère...
Regardez plutôt les titres des articles publiés par les médias et vous verrez à quel point l'information est biaisée...
Attention, faut bien lire ce que j'ai dis : Seuls les projets étant susceptibles de ne pas respecter les brevets de M$ et développés pour un but commercial
Il y a deux conditions là. M$ ne peut pas s'attaquer à tous les développeurs du lire qui sont payés pour ce qu'ils font (pour ce qui est du pourcentage, je n'ai pas un chiffre en tête, mais ça ne m'étonne pas du tout ce que tu dis, donc on est d'accord). Il faut bien avoir une raison avant de s'attaquer. Et je crois que dire que 95% du noyau ne respecte pas les brevets de M$ est irrationnel.
Donc attention, il y a deux conditions, et la première est la plus importante...
Andrew Morton a dit que plus de 95 % des lignes de code du noyau Linux était fait par des développeurs payés (c'est-à-dire qu'il y a une boite commerciale derrière).
Le noyau n'est pas ce qui est remis en question je crois ici. Seuls les projets étant susceptibles de ne pas respecter les brevets de M$ et développés pour un but commercial sont à priori ici attaqués.
Je faisais référence à la GPL en fait, ou du moins une bonne partie des licenses libres (toutes ?). Si le logiciel est opensource, et qu'il permet la lectude des DVD, nous mettons nos mains sur une des si précieuses clés qui permettre de lire nos films, sans plus devoir "contourner" la protection...
Donc illégal dans le sens que ça serait contraire à la license libre qui serait utilisé pour le logiciel en question.
Puis j'ai pris soin de dire EUCD-DADVSI, si en France malheureusement ça a pris une sale tournure, EUCD est la directive européenne appliquée dans tous (ou du moins presque tous, je ne sais pas exactement ce qu'il en est, à la limite regardez wikipedia sur EUCD) les pays membres. Et aux Etats-Unis, c'est déjà fait depuis longtemps (DMCA).
Même si ça reste vague et il se peut que tu ais raison, voici un petit point qui me rassure un peu :
More importantly, Microsoft announced today that it will not assert its patents against individual, non-commercial developers. Novell has secured an irrevocable promise from Microsoft to allow individual and non-commercial contributors the freedom to continue open source development, free from any concern of Microsoft patent lawsuits. That's right, Microsoft wants you to keep hacking.
Mais, mais, il y a encore un léger doute qui planne... Je pense que dans les mois à suivre, on en saura plus. Puis de toute manière l'annonce (papier) officielle n'est pas disponible. A en croire la présentation à la presse, tous les détails (peut-être pas les brevets concernés par contre) seront publiés.
Donc en gros, c'est contraire à la GPL ? Si la redistribution commerciale est aussi interdite, toutes les applications utilisant les technologies .NET susceptibles d'être brevetées, doivent être enlevées des distributions (sauf Novell bien sûr) ?
Ça me semble vraiment trop négatif pour y croire... Les gens de chez Novell avaient l'air plus optimistes (en ce qui concerne l'open-source bien évidemment, le reste à la limite, nous on s'en foue).
Tu pourrais donner un lien vers ce qui t'as poussé à cette conclusion ?
Ensuite DotGNU ne sera pas non plus attaqué tant que ca restera dans le non-commercial (ce qui évidemment pose le problème de la GPL qui autorise la commercialisation).
Ce n'est pas ce que j'en ai déduit de la présentation qui a été faite. Ce que j'en ai retenu c'est qu'ils ne s'attaqueront pas aux projets financés (ou du moins développés) par des entreprises à but lucratif.
Ceci à priori n'empêche pas la revente du code par un tiers. Tant que l'équipe de développeurs reste indépendante de tout financement, c'est bon.
Quand tu utilises Mono, même dans une autre distribution, tu es utilisateur d'un produit de Novell, et donc protégé. Effectivement, seul Mono est protégé, et pas DotGNU par exemple.
Je dirai faux... DotGNU est développé pendant le temps libre de certains développeurs, pas pour le compte d'une entreprise (cf. http://www.gnu.org/projects/dotgnu/people.html ), donc M$ ne s'attaquera pas au projet (si elle avait des raisons de s'attaquer déjà).
Voici un relevé de la présentation de cet accord (cf. premier lien de l'article):
Ballmer: (06:00) For anybody who runs a mixed Windows and particularly Suse Linux environment, this is all good news.
Ballmer: (07:15) With Novell, those customers will profit from the interoperability, the virtualisation scenarios, the management scenarios.
Mais alors les avancés en interopérabilité ne seront pas disponibles à la communauté du libre ? Le code sera donc propriétaire ?! Sinon je ne vois pas comment ces avancés ne se retrouveront pas dans les distributions.
Avocat de chez M$ (24:17): To do that, one of the things we fashioned was an approach that will ensure for example that every customer who purchases a subscription for example for Suse Linux Enterprise, will get not only service and support from Novell, but will get as part of that in effect a patent convident (?!) from Microsoft.
Donc en gros, tant qu'on n'a pas acheté une Suse, on n'est pas couverts.
Avocat de chez M$ (25:00): Today, Novell is the only company in our industry that is able to provide a customer not only with the code to run Linux, not only the service and support for it, but a patent convident that runs for Microsoft corporation.
Ok, j'avais bien cru comprendre.
Avocat de chez M$ (27:20): Microsoft today is making two, I think, important commitments, or promises, to different groups of developers in the open-source community. The first is a promise that we won't assert our patents agains individual, non-commercial, open-source developers [...]. And the second thing we did in this area was add a promise that goes to developers, even developers who are getting paid, to create code to opensuse.org, code that Novell takes and integrates in its distribution and that is then covered under the patent cooperation between us. Because, after all, Novell is insuring that our patent rights are respected in an appropriate way.
Ça par contre c'est positif. Déjà ne pas utiliser les brevets contre des développeurs qui travaillent à but non lucratif. Ce n'est pas libre, pas parfait, mais c'est mieux que rien (longue vie au projet dotGNU alors !).
Par contre en ce qui concerne le travail des développeurs qui sont payés pour ceux qu'ils codent, je n'ai pas compris... Ils sont obligés de le remettre à Novell sur opensuse.org ? Si leur application est libre, de toute façon rien n'empêche Novell de l'inclure dans ses distributions non ? A moins que ça sous-entende qu'on est obligé de donner notre travail à Novell gratuitement (à supposer qu'on le vende à nos clients), et en retour on sera protégés. Du coup, plutôt que de prendre le risque d'être hors-la-loi, toute entreprise travaillant dans la communauté du libre et visant à vendre son produit/application doit donner son code à Novell, gratos... Comme c'est pas très clair, je ne m'avance pas trop, mais ça me semble assez louche.
Ballmer (41:46): if you want to use Linux, let's make sure that you get a version of Linux that respects our intellectual property
En gros, les distributions autres que Suse doivent commencer à se poser des questions ?!
Ballmer (45:00): I'll make it real simple. Number one, we're going to work together, technically, to help the Windows world and the Linux world interoperate. Number two, we've strucked the deal under wich we can provide patent agreements to Linux customers in which Microsoft's intellectual property is respected (and we are approprietly compensated for the use of our IP), and we've done both of those things in a way that we think still allows the open-source development community to actively pursue what it's been doing on behalf of everybody in the last couple of years. [...]
Question: And consumers what do they get ?
Ballmer (46:40): Consumers can, if they want to, now go buy, what I'll call the best possible form of Linux, the form of Linux that gives you peace of mind and interoperability, and that's Suse Linux Enterprise... or Suse Linux in all of its forms.
Donc opensuse en gros est couverte n'est-ce pas ? Mais alors je ne comprend pas. En quoi travailler avec Mono sous, disons, Debian est plus probable d'être illégal (lire aller à l'encontre des brevets de M$) que de travailler avec Mono sous opensuse ? On m'aurait dit que j'étais obligé d'acheter un produit de chez Novell, ou que ça ne touchait que la version Entreprise, là je voyais bien la feinte. Mais sinon très clairement non. Le project Mono est à priori plus ou moins orchestré par Novell, donc toute distribution qui propose cet environnement à ces utilisateurs a plus ou moins (à quelques différences minimes et insignifantes près) une version proche de celle de Novell, non ?!
L'avocat à nouveau (51.15): The cover net, that will run for example from Microsoft to customers, applies to the code and the patent issues on Linux as it exists today. It will (chuchottements, et l'avocat se rattrape) In Suse Linux as it exists today...
Ballmer (52:00): Novell is acting as a proxy for its customers, and it's only for its customers. So this does not apply to any forms of Linux other than Novell's Suse Linux. And if people want to have patent peace, and interoperability they'll look at Novell Suse Linux. If they make other choices they have all of the compliance of intellectual property issues that are associated with that.
Bref, conclusion, pour ma part j'en retiens quelques aspects positifs :
1) certains projets libres vont grandement bénéficier de cet accord (les éditeurs de textes, suites de bureau en général, il n'y a pas qu'openoffice.org)
2) des avancées techniques vont être apportées à la communauté du libre (je vois difficilement comment ça ne pourrait être que bénéfique à Novell, si leur distribution veux rester libre, à moins de garder une partie fermée)
3) une part des projets libres ne sera pas menacée par les brevets de Microsoft (reste à voir qu'est-ce qu'ils entendent par "on promet de ne pas utiliser nos brevets", parce que juridiquement, la promesse c'est un peu flou)
Mais la vie n'est pas toujours rose. On reconnait très clairement à présent que Microsoft peut faire usage de ses brevets, et cet accord souligne (à mon avis) qu'elle va en faire usage dès qu'elle le pourra/sentira nécessaire.
Le mieux est d'attendre le rapport détaillé de cet accord, afin de pouvoir éclairer un peu les quelques points sombres relevés ci-dessus. Avec un peu de chance, la communauté du libre pourra tirer profit de ce rapprochement. En espèrant également que Novell ne fera pas usage de force pour s'imposer comme seule distribution de Linux pour entreprises.
Le pouvoir de choisir reste mine de rien le plus grand atout du libre...
Je suppose que le logiciel utilisé pour la lecture de fichiers multimedia ne sera pas libre n'est-ce pas, sous peine de rendre son utilisation illégale ?
[^] # Re: Pas si révoluionnaire
Posté par Alexis P. (site web personnel) . En réponse à la dépêche Une faille majeure de la cryptographie courante. Évalué à 4.
[^] # Re: Pas si révoluionnaire
Posté par Alexis P. (site web personnel) . En réponse à la dépêche Une faille majeure de la cryptographie courante. Évalué à 4.
Par contre je ne vois pas comment, puisqu'en effet, comme ils le disent d'ailleurs eux-même, le temps d'exécution est partagé entre tous les processus.
[^] # Re: Pas si révoluionnaire
Posté par Alexis P. (site web personnel) . En réponse à la dépêche Une faille majeure de la cryptographie courante. Évalué à 3.
La plupart des canaux cachés auxquels tu fais référence ne sont plus valables aujourd'hui. Le temps d'exécution était certes une faille dans OpenSSL, mais ça a été corrigé puis longtemps. Pour ce qui est du bruit et la consommation électrique, le problème est au final le même, la solution aussi (on équilibre la longueur des branches en rajoutant du bruit). Enfin, micro sur clavier, ondes électromagnétiques, tout ceci nécessite une présence physique proche de la victime (au moins le micro par exemple).
Ce n'est pas le cas de cette attaque là. Ici, tout ce dont nous avons besoin, c'est de pouvoir exécuter un processus. Certes pas n'importe lequel, donc on doit avoir alors au moins accès à un compilateur, et pouvoir l'exécuter.
L'utilisateur "de base" (en gros, monsieur X qui est tranquillement devant son pc, dans son salon) n'a à priori rien à craindre, sauf si quelqu'un réussit à accéder à son pc. Or, ce monsieur X a 70% (et encore, je suis optimiste) de chances d'utiliser windows. Ce système étant particulièrement connu pour être la cible de multitudes de vers/chevaux de troie, il n'est pas impossible (loin de là même) d'exécuter un processus espion sur sa machine (par processus espion, j'entends le sens qui est donné dans l'article).
Nombreux sont ceux qui oublient que les serveurs aussi sont ciblés. Prenez l'exemple d'une entreprise/université qui possèdent un certain nombre de serveurs proposant des services aux employés/étudiants, qui peuvent profiter de ces derniers en se connectant à l'aide d'un terminal. N'importe qui peut alors lancé un processus espion.
Certes, ce n'est pas si facile que ça, mais la difficulté est considérablement réduite et la compléxité également (grande partie de la clé est trouvée en un seul passage, le reste peut être alors retrouvé par attaque exhaustive). Donc en quelque sorte c'est alarmant. Ce n'est pas la fin de SSL, il ne faut pas renoncer à SSH, mais disons qu'il va falloir suivre de près cette affaire.
[^] # Re: Pas si révoluionnaire
Posté par Alexis P. (site web personnel) . En réponse à la dépêche Une faille majeure de la cryptographie courante. Évalué à 7.
En fait, tout ce dont nous avons besoin c'est de pouvoir exécuter un processus sur le même processeur qui est utilisé par l'algorithme de chiffrement. C'est tout. Pas besoin d'accès privilégiés quelconques, donc au final c'est beaucoup plus dangereux (car beaucoup plus facile à déployer) qu'un intercepteur de touches par exemple. Enfin non, disons que si le système que nous avons en face n'est pas très sécurisé, c'est plus simple d'essayer directement de lire ce que la victime tappe sur le clavier, mais dans le cas d'une machine protégée, là les attaques possibles sont limitées.
Je ne pourrai pas résumer l'article ici, je n'en ai pas les moyens. Ceci dit, les 9 premières pages sont à priori abordables, puisque tout y est expliqué, de manière très claire. Seul flou (pour moi du moins), c'est le fonctionnement exact du processus espion. Je vois l'astuce, mais l'histoire de "mapper" les branches d'exécution de ce dernier sur celles du processus de chiffrement, là je vois plus trop.
Lecture donc fortement recommandée à toute personne intéressée.
[^] # Re: MS pour le libre ?
Posté par Alexis P. (site web personnel) . En réponse à la dépêche Nomination pour les Trophées du Libre. Évalué à 5.
Ubuntu, même si elle contient certains paquets non-libres permet la démocratisation de Linux. Les paquets non-libres sont là tout simplement parce qu'actuellement il n'y a pas d'alternative libre. Puis le public visé se soucie peu que ce soit libre ou pas. Par contre, avec le temps, je crois/espère/suis confiant qu'ils seront de plus en plus sensibles à la chose et là on dira que mine de rien, Shuttleworth était quelqu'un de bien.
Ubuntu à part (pour éviter tout commentaire inutile, je n'ai pas Ubuntu sur mes pc et je ne l'ai utilisée que 20 mn dans ma vie ; mais je connais beaucoup de personnes qui ne juraient que par windows, mais qui à présent tournent sous linux grâce à cette distrib), il a aussi donné beaucoup d'argent au libre, et que ça nous plaise ou pas, l'argent, même dans le libre, il y en a besoin. On peut faire sans, certes, mais une aide financière n'est jamais de refus.
Je suis tout de même rassuré de voir que contrairement à toi, certains font preuve d'ouverture d'esprit, le libre en a bien besoin.
[^] # Re: Portefeuille de Brevets ?
Posté par Alexis P. (site web personnel) . En réponse à la dépêche Novell et Microsoft main dans la main !. Évalué à 3.
J'espère être mis à tord, vraiment...
[^] # Re: Quelques passages de la conférence de presse
Posté par Alexis P. (site web personnel) . En réponse à la dépêche Novell et Microsoft main dans la main !. Évalué à 2.
Si un projet est libre/open-source, il est accessible à tous sans restrictions particulières (mis à part quelques petites exceptions, et les restrictions qui pourraient être là pour garantir la liberté), non ?
Quelqu'un pourrait m'expliquer ?
[^] # Re: Quelques passages de la conférence de presse
Posté par Alexis P. (site web personnel) . En réponse à la dépêche Novell et Microsoft main dans la main !. Évalué à 3.
On ne parle pas d'attaques extérieures imminentes envers Trolltech depuis longtemps non ? Je n'ai pas fait de recherche approfondie, mais à ce que je sache, il n'y a pas d'ennui. D'où le sans souci. Au contraire, des problèmes on sait (avec certitude à présent) qu'il y en a. On sait également que M$ poursuivra en justice (du moins elle peut s'amuser à faire du chantage) ceux qui ne sont pas couverts par l'accord avec Novell, soit une majorité du LL.
GCJ à mon goût n'est pas encore ancré dans le LL. Il n'introduit pas une nouvelle technologie dont la disparition pourrait laisser en suspens plusieurs projets libres (le fait de pouvoir compiler en exécutable une application java est certes intéressant, mais au pire on se contente d'une JVM puis voilà).
Si Linux était attaqué, la défense serait tellement importante que l'offensive serait très très vite arrêtée. Et puis comme j'ai dis précédemment, si Linux ne respecte pas certains brevets, les personnes/boîtes les détenants ne se sont pas particulièrement manifestées, ce qui n'est clairement pas le cas de M$ avec .net.
Python pour ma part je n'ai pas connaissance de problèmes de brevets qui font parler d'eux. J'ai cherché sur le net, j'ai rien trouvé. Je ne dis pas "Donc il n'y en a pas", je serai là bien naïf. Cependant, ce que je dis c'est qu'on cours moins de risques, voir quasiment pas.
Je ne dis pas que je suis ne suis pas d'accord, ceci je te serais reconnaissant si t'argumentais ton point de vue. Pour ma part, je pense plutôt que M$ voit le potentiel qu'il y a dans .net, sait que sa part de marché en ce qui concerne les OS serveur n'est pas foudroyante. Elle a donc intérêt à garder .net le moins accessible possible pour essayer de faire migrer petit à petit les gens vers des OS, des environnements de développement et des services payants qu'elle seule du coup pourrait proposer.
[^] # Re: Quelques passages de la conférence de presse
Posté par Alexis P. (site web personnel) . En réponse à la dépêche Novell et Microsoft main dans la main !. Évalué à 4.
Il y a moins d'enjeux pour une grande partie d'entre eux (voir ce que j'ai dis plus haut, différence entre un logiciel très simple qui peut disparaître pour cause de non respect d'un brevet, puis les conséquences dévastatrices que pourrait avoir une attaque de M$ envers Mono, et donc à fortiori les logiciels basés sur ce dernier, dans 5 ans!). De plus, si des brevets peuvent être utilisés contre des projets libres/open-source, le fait même qu'on n'en parle pas beaucoup est signe que soit ça ne mènera à rien en justice, soit les entités qui détiennent ces brevets ne sont pas intéressées par une attaque.
Au contraire, on sait pertinemment que M$ serait prête à tout pour blesser le libre, donc il faut faire particulièrement attention quand on traite avec des technologies qui proviennent de ses labos...
[^] # Re: Quelques passages de la conférence de presse
Posté par Alexis P. (site web personnel) . En réponse à la dépêche Novell et Microsoft main dans la main !. Évalué à 3.
Ce qui fait que Mono est la cible de toutes les critiques à mon avis est qu'il est pour la plus grande partie fondé sur des technologies introduites par M$ et que celle-ci y tient beaucoup. Le .net c'est tout de même le produit phare de M$ depuis quelques années.
Pis que tout, un problème avec mono est alarmant non seulement pour le produit Mono même, mais pour toutes les applications qui ont été développées avec ! C'est bien là (du moins en ce qui me concerne) le point critique. Si jamais M$, dans un futur plus ou moins proche, devait se retourner et attaquer Mono, elle s'attaquerait d'un coup à plusieurs projets (prenons l'exemple de Gnome et son intégration toujours plus importante de Mono, ou Beagle, Tomboy, etc.).
[^] # Re: Sur le laboratoire OpenSource de microsoft
Posté par Alexis P. (site web personnel) . En réponse au journal Microsoft et Suse main dans la main. Évalué à 3.
Extraits de la conférence de presse d'avant-hier :
C'est de la discrimination là non ?
[^] # Re: Portefeuille de Brevets ?
Posté par Alexis P. (site web personnel) . En réponse à la dépêche Novell et Microsoft main dans la main !. Évalué à 9.
C'est ce que je pensais au début également. C'est pour ça que je disais que DotGNU était du coup protégé. Seulement, voilà, on m'a filé un lien vers la page de M$ qui a le mérite d'être bien plus explicite que ce que j'ai peu entendre à la conférence de presse donnée avant-hier :
Donc le seul protégé est l'auteur, et seulement pour la partie du code qu'il a écrite. Autant dire que ça n'apporte rien du tout aux projets libres (en tèrme de protection je veux dire).
Je suis plutôt pessimiste et connaissant les démarches agressives de M$ pour éliminer toute concurrence, je préfère ne pas prendre de "risques" jusqu'à ce qu'on m'assure que les garanties qu'ils mettent en avant seront valables non pas pour les 5 ans à suivre, mais à vie...
Donc j'espère que les projets que tu cites se verront améliorés, je le leur souhaite de tout coeur. Par contre, j'espère vraiment que les modifications qui seront apportés ne seront pas, à tèrme de l'accord (qui peut très bien ne pas être renouvelé), utilisées par M$ contre Novell et la communauté du libre. En effet, on parle ici de produits qui sont proches où s'adressent pas mal à une interopérabilité avec des machines Windows. Que se passe-t-il où, par excès de confiance et sous l'assurance de cet accord, les ingénieurs de Novell introduisent un code qui irait à l'encontre d'un brevet de M$. Là ils sont tranquilles, mais dans 5 ans ?
[^] # Re: Quelques passages de la conférence de presse
Posté par Alexis P. (site web personnel) . En réponse à la dépêche Novell et Microsoft main dans la main !. Évalué à 2.
Un article qui a une vision un brin plus positive, avec des arguments qui me semblent fondés sur quelque chose d'assez concret : http://asay.blogspot.com/2006/11/microsoft-and-novell-much-a(...)
[^] # Re: Portefeuille de Brevets ?
Posté par Alexis P. (site web personnel) . En réponse à la dépêche Novell et Microsoft main dans la main !. Évalué à 8.
Mais le libre dans tout ça ? La question est plutôt là ! Que les clients de Novell soient heureux, moi je dis heureusement, parce que sinon avec leur accord avec M$, ils se seraient bien fait entuber ! Mais le libre est-il vraiment gagnant ?
Tu disais tout à l'heure que Mono est un produit Novell donc tout le monde est assuré par cet accord et que toute contribution nécessite plus ou moins un préaccord de Novell...
Si j'ai bien compris et que tes propos se résument à ça, je dois avouer que j'ai de sérieux doutes. Mono est distribué dans Debian. Si toute contribution au code (quelle qu'elle soit) nécessite un accord de Novell, c'est contraire au Debian Free Software Guidelines (cf. http://www.debian.org/social_contract et cf. histoires récentes de firefox, thunderbird !). Donc déjà ceci me fait croire que soit j'ai pas compris (fort possible), soit t'as tord.
Comme l'a dit Ballmer à maintes reprises, Novell sert de proxy. En gros, ils s'assurent que Mono (même s'il n'a pas été cité, on y faisait très probablement référence à ce moment là) n'enfreint pas les brevets M$ hors ceux qui font partie de l'accord. Mais alors qu'est-ce qui empêche monsieur X, d'étendre Mono en rajoutant des capacités qui ne "plaisent" pas à M$ ?
[^] # Re: Quelques passages de la conférence de presse
Posté par Alexis P. (site web personnel) . En réponse à la dépêche Novell et Microsoft main dans la main !. Évalué à 3.
Pour ceux qui ne seraient pas d'accord (c'est leur droit après tout), je dois quand même avouer que je trouve du plus grand des ridicules la conférence de presse qui a été donnée. Si pour leur part les gens de M$ étaient assez clairs (on voyait bien que leurs propos étaient très mesurés et on décernait par moments des remarques plutôt gênantes, voir relevé que j'ai fait), les représentants de Novell semblaient tout extasiés et reprenaient quasiment tout le temps le terme de "communauté".
Je suis désolé, mais la communauté à mon avis n'a rien gagné (je garde tout de même une petite réserve jusqu'à publication de l'accord exact; quoi qu'il en soit, si quelque chose de positif ressort finalement de tout ça, faces à tous les reproches qu'on a à faire, ça passera inaperçu, et ce à juste titre). Je trouve donc honteux de la part des représentants de Novell de faire usage de la communauté pour placer leur produit et gagner leur part de marché, qui visiblement leur est si chère...
Regardez plutôt les titres des articles publiés par les médias et vous verrez à quel point l'information est biaisée...
[^] # Re: Portefeuille de Brevets ?
Posté par Alexis P. (site web personnel) . En réponse à la dépêche Novell et Microsoft main dans la main !. Évalué à 2.
Il y a deux conditions là. M$ ne peut pas s'attaquer à tous les développeurs du lire qui sont payés pour ce qu'ils font (pour ce qui est du pourcentage, je n'ai pas un chiffre en tête, mais ça ne m'étonne pas du tout ce que tu dis, donc on est d'accord). Il faut bien avoir une raison avant de s'attaquer. Et je crois que dire que 95% du noyau ne respecte pas les brevets de M$ est irrationnel.
Donc attention, il y a deux conditions, et la première est la plus importante...
[^] # Re: Portefeuille de Brevets ?
Posté par Alexis P. (site web personnel) . En réponse à la dépêche Novell et Microsoft main dans la main !. Évalué à 2.
et en effet, le principe ici est tout autre (malheureusement)
Le noyau n'est pas ce qui est remis en question je crois ici. Seuls les projets étant susceptibles de ne pas respecter les brevets de M$ et développés pour un but commercial sont à priori ici attaqués.
[^] # Re: EUCD - DADVSI
Posté par Alexis P. (site web personnel) . En réponse à la dépêche Il y aura un Linux pour la Playstation 3. Évalué à 1.
Donc illégal dans le sens que ça serait contraire à la license libre qui serait utilisé pour le logiciel en question.
Puis j'ai pris soin de dire EUCD-DADVSI, si en France malheureusement ça a pris une sale tournure, EUCD est la directive européenne appliquée dans tous (ou du moins presque tous, je ne sais pas exactement ce qu'il en est, à la limite regardez wikipedia sur EUCD) les pays membres. Et aux Etats-Unis, c'est déjà fait depuis longtemps (DMCA).
Aller, je suis gentil, je fais la recherche pour vous :
_ http://fr.wikipedia.org/wiki/Directive_EUCD
_ http://fr.wikipedia.org/wiki/Digital_Millennium_Copyright_Ac(...)
Je signale tout de même que les articles anglais correspondants sont bien plus denses.
[^] # Re: Quelques passages de la conférence de presse
Posté par Alexis P. (site web personnel) . En réponse à la dépêche Novell et Microsoft main dans la main !. Évalué à 1.
(source : http://www.novell.com/linux/microsoft/openletter.html )
A priori, c'est surtout sur les développeurs que ça pèse. Après une fois que c'est développé, peu importe ce que l'on fait du programme.
Mais, mais, il y a encore un léger doute qui planne... Je pense que dans les mois à suivre, on en saura plus. Puis de toute manière l'annonce (papier) officielle n'est pas disponible. A en croire la présentation à la presse, tous les détails (peut-être pas les brevets concernés par contre) seront publiés.
[^] # Re: Quelques passages de la conférence de presse
Posté par Alexis P. (site web personnel) . En réponse à la dépêche Novell et Microsoft main dans la main !. Évalué à 1.
Cliquer sur VIEW THE WEBCAST.
[^] # Re: Quelques passages de la conférence de presse
Posté par Alexis P. (site web personnel) . En réponse à la dépêche Novell et Microsoft main dans la main !. Évalué à 1.
Ça me semble vraiment trop négatif pour y croire... Les gens de chez Novell avaient l'air plus optimistes (en ce qui concerne l'open-source bien évidemment, le reste à la limite, nous on s'en foue).
Tu pourrais donner un lien vers ce qui t'as poussé à cette conclusion ?
Merci.
[^] # Re: Seth Nickell avait raison !
Posté par Alexis P. (site web personnel) . En réponse à la dépêche Novell et Microsoft main dans la main !. Évalué à -1.
Ce n'est pas ce que j'en ai déduit de la présentation qui a été faite. Ce que j'en ai retenu c'est qu'ils ne s'attaqueront pas aux projets financés (ou du moins développés) par des entreprises à but lucratif.
Ceci à priori n'empêche pas la revente du code par un tiers. Tant que l'équipe de développeurs reste indépendante de tout financement, c'est bon.
Je me trompe ?
[^] # Re: Seth Nickell avait raison !
Posté par Alexis P. (site web personnel) . En réponse à la dépêche Novell et Microsoft main dans la main !. Évalué à 1.
Je dirai faux... DotGNU est développé pendant le temps libre de certains développeurs, pas pour le compte d'une entreprise (cf. http://www.gnu.org/projects/dotgnu/people.html ), donc M$ ne s'attaquera pas au projet (si elle avait des raisons de s'attaquer déjà).
# Quelques passages de la conférence de presse
Posté par Alexis P. (site web personnel) . En réponse à la dépêche Novell et Microsoft main dans la main !. Évalué à 10.
Mais alors les avancés en interopérabilité ne seront pas disponibles à la communauté du libre ? Le code sera donc propriétaire ?! Sinon je ne vois pas comment ces avancés ne se retrouveront pas dans les distributions.
Donc en gros, tant qu'on n'a pas acheté une Suse, on n'est pas couverts.
Ok, j'avais bien cru comprendre.
Ça par contre c'est positif. Déjà ne pas utiliser les brevets contre des développeurs qui travaillent à but non lucratif. Ce n'est pas libre, pas parfait, mais c'est mieux que rien (longue vie au projet dotGNU alors !).
Par contre en ce qui concerne le travail des développeurs qui sont payés pour ceux qu'ils codent, je n'ai pas compris... Ils sont obligés de le remettre à Novell sur opensuse.org ? Si leur application est libre, de toute façon rien n'empêche Novell de l'inclure dans ses distributions non ? A moins que ça sous-entende qu'on est obligé de donner notre travail à Novell gratuitement (à supposer qu'on le vende à nos clients), et en retour on sera protégés. Du coup, plutôt que de prendre le risque d'être hors-la-loi, toute entreprise travaillant dans la communauté du libre et visant à vendre son produit/application doit donner son code à Novell, gratos... Comme c'est pas très clair, je ne m'avance pas trop, mais ça me semble assez louche.
En gros, les distributions autres que Suse doivent commencer à se poser des questions ?!
Donc opensuse en gros est couverte n'est-ce pas ? Mais alors je ne comprend pas. En quoi travailler avec Mono sous, disons, Debian est plus probable d'être illégal (lire aller à l'encontre des brevets de M$) que de travailler avec Mono sous opensuse ? On m'aurait dit que j'étais obligé d'acheter un produit de chez Novell, ou que ça ne touchait que la version Entreprise, là je voyais bien la feinte. Mais sinon très clairement non. Le project Mono est à priori plus ou moins orchestré par Novell, donc toute distribution qui propose cet environnement à ces utilisateurs a plus ou moins (à quelques différences minimes et insignifantes près) une version proche de celle de Novell, non ?!
Bref, conclusion, pour ma part j'en retiens quelques aspects positifs :
1) certains projets libres vont grandement bénéficier de cet accord (les éditeurs de textes, suites de bureau en général, il n'y a pas qu'openoffice.org)
2) des avancées techniques vont être apportées à la communauté du libre (je vois difficilement comment ça ne pourrait être que bénéfique à Novell, si leur distribution veux rester libre, à moins de garder une partie fermée)
3) une part des projets libres ne sera pas menacée par les brevets de Microsoft (reste à voir qu'est-ce qu'ils entendent par "on promet de ne pas utiliser nos brevets", parce que juridiquement, la promesse c'est un peu flou)
Mais la vie n'est pas toujours rose. On reconnait très clairement à présent que Microsoft peut faire usage de ses brevets, et cet accord souligne (à mon avis) qu'elle va en faire usage dès qu'elle le pourra/sentira nécessaire.
Le mieux est d'attendre le rapport détaillé de cet accord, afin de pouvoir éclairer un peu les quelques points sombres relevés ci-dessus. Avec un peu de chance, la communauté du libre pourra tirer profit de ce rapprochement. En espèrant également que Novell ne fera pas usage de force pour s'imposer comme seule distribution de Linux pour entreprises.
Le pouvoir de choisir reste mine de rien le plus grand atout du libre...
# EUCD - DADVSI
Posté par Alexis P. (site web personnel) . En réponse à la dépêche Il y aura un Linux pour la Playstation 3. Évalué à 2.