Salut Nal,
Voici un petit article fort intéressant, ajoutant un nouvel intérêt aux logiciels libres : http://www.developpez.com/actu/85679/Les-Etats-Unis-veulent-reglementer-le-commerce-de-failles-logicielles-pour-empecher-la-vente-de-defauts-zero-day-a-l-etranger/ .
En substance, cette article explique que les États-Unis souhaitent mettre en place un système de licence (un peu comme un licence de vente d'alcool) pour la vente de faille 0-day, et le support permettant de les régler, aux pays n'appartenant pas aux Five Eyes (États-Unis, Canada, le Royaume-Uni, la Nouvelle Zélande et l’Australie).
Cependant, cette régularisation commerciale ne concerne pas les logiciels libres et les logiciels de recherches scientifiques. Cela signifie concrètement que l'univers des logiciels libres permettra toujours une collaboration internationnale pour la correction de faille de sécurité. Grâce à cela, à mon sens l'utilisation des logiciels libres sera plus sûr.
Et toi Nal, qu'en penses-tu ?
# Déjà vu ...
Posté par Etienne Bagnoud (site web personnel) . Évalué à 8.
C'est une bonne idée, comme celle de limiter l'exportation du chiffrement. On bénéficie encore aujourd'hui des bienfaits de ces législations.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
# Je rigole
Posté par Albert_ . Évalué à 3.
Notre tres cher republique qui de part des elus signent des contrats mirobolant avec des compagnies americaines, qui ouvre l'acces aux services de renseignement (au detriment de nos interets commerciaux) et qui n'est pas dans la liste des pays "amis". Tres tres drole.
[^] # Re: Je rigole
Posté par Christophe B. (site web personnel) . Évalué à 1.
Donc si un américain trouve une faille non connue dans un logiciel propriétaire
il en parle a la NSA et à l'éditeur et donc le correctif ne peu pas être diffusé
Cela permettra peut être de repérer les failles non connues plus vite, il suffira de faire la différence entre les correctifs diffusés et non diffusés ?
[^] # Re: Je rigole
Posté par Nitchevo (site web personnel) . Évalué à 3.
Bonne idée mais comment tu récupères le correctif non-diffusé?
[^] # Re: Je rigole
Posté par Christophe B. (site web personnel) . Évalué à 1.
Pardon
Ceux avec licence et ceux sans licences
(c'est comme les papous … il y a les papous à poux et les papous pas à poux )
# Les choses sont loin d'être simple...
Posté par Ellendhel (site web personnel) . Évalué à 5.
Comme toute restriction sur des logiciels, ce n'est pas une bonne nouvelle, surtout si cela est clairement influencé par la communauté du renseignement.
D'un autre côté, comme le montre l'exemple cité par l'EFF, il y existe des entreprises qui se soucient plus de remplir leur tiroir-caisse que de sécurité informatique et ce n'est pas le genre de comportement qui améliore les choses.
Je ne vois pas de solution simple ou facile, et encore moins à mettre en pratique… La recherche de failles, leur communication et les correctifs devraient rester libre autant que possible, et un système de récompense (bounty) pourrait être défini. Par contre la vente commerciale de 0-day ne devrait pas avoir lieu (même si je ne suis pas naïf, cela n'empêchera pas un marché noir, y compris avec des acteurs gouvernementaux). Et au-delà de la réglementation se pose la problème de mise en application application (par Interpol, des services de douanes, une simple émission de licence, … ?).
# Protectionnisme
Posté par deuf . Évalué à 10.
En gros, leur idée c'est pour les chercheur en secu : n'aider pas trop vite les éditeurs étrangers a corriger leur erreurs le temps qu'on les pille.
et pour les clients américains : achetez que des logiciels américain, ils seront plus sur que ceux des étrangers.
Je crois que cela s'appelle du protectionnisme sous couverture de lutte contre le terrorisme. à noter que l'on est dans le groupe des nations terroristes .
[^] # Re: Protectionnisme
Posté par Christophe B. (site web personnel) . Évalué à 3.
Il existe un catalogue de tout ce que la lutte contre le terrorisme permet de faire ?
[^] # Re: Protectionnisme
Posté par Snark . Évalué à 10.
Un catalogue, non, mais une expression régulière oui : *
[^] # Re: Protectionnisme
Posté par bobo38 . Évalué à 6.
tu veux dire ".*" ?
[^] # Re: Protectionnisme
Posté par Plume . Évalué à 3.
Non, mais une regex est disponible
# Et qui délivrera la licence ?
Posté par khivapia . Évalué à 4.
En tous cas, l'organisme qui délivrera la licence aura certainement connaissance de la faille, et rien n'empêchera ses bonnes relations avec la NSA (dont le volet protection de l'information complète celui d'espionnage) de lui en faire profiter.
Du coup, toutes les failles vendues à l'étranger seront connues de la NSA. Sans doute plus pour avoir connaissance des capacités des agences étrangères que pour économiser sur le coût de la découvert des failles.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.