Juste pour info parce que c'est la deuxième fois que je le vois, on parle de mètre étalon. Au début du système métrique, sous la révolution, il était important d'avoir des références relativement fiables (on voit encore un mètre étalon en pierre du côté de l'Odéon/rue de Vaugirard à Paris si je ne dis pas de bêtises), maintenant le mètre est défini à partir d'autres constantes fondamentales (la vitesse de la lumière et la seconde).
Il existe encore un unique étalon fait de main d'homme pour définir les unités du système SI, c'est le kilogramme.
Les DRM peut-être ? Étant donné toutes les grandes chaînes de télévision et de vidéo en streaming qui se raccrochent à eux, je les vois mal en sortir les specs...
D'un autre côté à défaut d'un emplacement dans lequel on a une entière confiance (par exemple pour un particulier qui n'a pas des ressources infinies à consacrer à un lieu de stockage sécurisé), utiliser plusieurs services de stockage distant type amazon storage et concurrents sur lesquels on stocke une copie chiffrée des données à sauvegarder ramène le problème du stockage des données à celui du stockage d'une phrase de passe (utiliser par exemple openssl avec un chiffrement symétrique et une clef dérivée de la phrase de passe).
Cette dernière est quand même bien plus simple à sauvegarder efficacement (ne serait-ce que dans la tête et une copie papier dans le portefeuille par exemple), et le contrôle d'accès aux données sensibles des sauvegardes est largement facilité.
Niveau facilité enfin, on peut par exemple monter un répertoire amazon storage sur son système de fichier local via une couche de chiffrement, qui fait que seules des données chiffrées transitent sur le web.
Basée sur Debian (pour tout sauf la partie graphique), assez stable, utilisée pour un téléphone de tous les jours ici. J'avoue ne pas avoir testé les autres, mais la réactivité et la stabilité me conviennent bien.
En tous cas c'est pas le cas de Numéricâble, qui propose toujours un bon vieux WEP des familles (box de septembre dernier).
Quant au matériel complètement compatible avec WPA2 (le seul à peu près correct, à condition de ne pas mettre une phrase de passe trop facile genre "Médor" ou "love"), c'est pas forcément pour tous ceux qui ont encore un PC de 2005 par exemple (un bon gros pentium 4 + un peu de RAM ajouté par exemple, ça tourne très bien pour une utilisation bureautique). Et en plus les gens qui ont ce genre de matériel sont plutôt pas très à la pointe en informatique, donc il leur faut un truc qui marche (d'une part) et ils représentent une bonne part des clients des FAI (le genre à qui on peut refourguer plein d'options en plus).
Donc c'est pas pour tout de suite un truc à peu près potable par défaut...
évidemment, mais bon c'est un bout de code tellement petit qu'avoir en plus un exemple d'implémentation en source ouverte rend inexcusable le besoins d'aller ouvrir les .mozilla/* plutôt que d'implémenter la même chose différemment.
C'est quand même marrant que Skype ait besoin d'aller chercher les paramètres de proxy chez d'autre logiciels, qui eux savent se débrouiller seul généralement.
Firefox a un mode de "détection automatique des paramètres de proxy pour ce réseau" qui marche extrêmement bien. C'est typiquement le genre de bout de code qui traîne un peu partout, ou dont on peut reprendre le principe très facilement !!
Accessoirement, firefox se débrouille pour que l'utilisateur lui rentre les paramètres de proxy si jamais il y a besoin, alors pourquoi skype serait obligé d'aller regarder ailleurs ???
sauf quand ils ne sont pas contents, passent à moitié sur le trottoir et t'arrachent le rétroviseur pour bien montrer qu'ils ont compris ta manœuvre...
Cela dit dans des conditions normales il est interdit de rouler à moins de 80km/h sur autoroute avec une voiture particulière il me semble (idem en Allemagne)...
Honnêtement dans ce cas là moi je m'en fiche, je surveille mes comptes régulièrement et au moindre virement suspect, hop, coup de fil à la banque. Pour la carte bleue sur internet, comme il n'y a pas utilisation du code secret ni des questions pénibles 3D secure blabla qu'on configure via une simple adresse mail, la banque n'a qu'une chose à faire c'est te rembourser (et te faire les yeux doux pour que tu restes chez elle / t'augmenter tes plafonds de retrait pour que tu puisses utiliser un moyen de paiement sûr et anonyme, l'argent liquide !)
Sinon ce que tu décris dans les magasins IRL, ça existe déjà et c'est encore pire, ça s'appelle la carte de fidélité crédit.
Alors là d'après ce que j'ai compris Android ça ne va pas être ça du tout, il me semble que mis à part le noyau Linux en lui-même, tout ce qu'il y a derrière est absolument non standard (histoire qu'il ne soit pas si facile de développer des applis sans les faire passer par l'android store).
Sinon mis à part le N900 (qui est relativement proprio dans bon nombre de pilotes), tu peux aussi penser au Neo Freerunner. Sous debian par exemple, toutes les applis que tu développeras seront utilisables par tout utilisateur de Linux sur smartphone ou pas.
Enfin pour ce qui est de la chaîne de compilation, le mieux c'est quand même de ne pas compiler sur le téléphone (manque de place, mémoire, et surtout puissance CPU), mais de crosscompiler depuis un PC ou une station de travail classique.
Surtout qu'avec les sources ils sont obligés par la GPL de founir les scripts, Makefile, chaîne de compilation et tous les moyens nécessaires pour obtenir le binaire à partir des sources.
et flûte posté trop vite, je voulais bien évidemment ajouter qu'il est plus souhaitable d'insister sur le côté modifiable en disant "non modifiable => virus" plutôt que "gratuit => virus, sauf libre".
Il est ensuite naturel d'expliquer que logiciel libre n'est pas freeware
C'est un peu hasardeux comme stratégie de communication non ? Pour quelqu'un qui ne connaît rien au logiciel libre, commencer par faire assimiler gratuit (car freeware assimilé à gratuit) et présenter l'exception libre et gratuit comme étant gratuit sans virus, ça me paraît un peu déconcertant.
En outre, expliquer qu'on peut redistribuer gratuitement le logiciel, tout le monde comprend.
Expliquer qu'on peut le modifier gratuitement, c'est déjà plus chaud à comprendre : modifier est une action bien compliquée.
Si le fautif reconnaît alors avoir accepté dès le début le contrat de licence, le problème se pose alors de son non-respect.
Si le fautif dément toute acceptation de la licence, il est alors possible de lui opposer un délit de contrefaçon car aucun droit d'usage ne lui a été accordé.
Il me semble que la GPL contient une clause diabolique(1) qui retire tout droit sur le logiciel si elle n'est pas respectée http://www.gnu.org/licenses/gpl.html (gpl v3)
"Any attempt otherwise to propagate or modify it is void, and will automatically terminate your rights under this License (includings patents (...) )"
et pour la GPL v2:
"Any attempt otherwise to copy, modify, sublicense or distribute the Program is void, and will automatically terminate your rights under this License. "
donc dans les deux cas il n'y a même plus de droit d'utilisation.
1: c'est pareil avec toutes les licences en fait non ?
"Douteux" ca n'existe pas en informatique,
il n'y a pas que l'informatique... La boîte responsable du code va avoir naturellement tendance à minimiser les risques associés aux failles pour ne pas avoir à bosser patcher le logiciel et faire les tests qui vont avec.
Tu veux un exemple tout frais datant d'aujourd'hui : http://tech.slashdot.org/story/10/04/20/0023238/IE8s-XSS-Fil(...)
"Microsoft says that they have issued two patches that address the issue, but the researchers insist that holes remain. "
et le client n'a pas forcément envie de développer le proof-of-concept qui va bien pour prouver à chaque fois que sisi, c'est bien une faille...
Je passe naturellement sur la réactivité d'un mécanisme qui consisterait à demander à deux autres personnes de jeter un œil.
C'est pas le probleme, si tu fork, tu dois maintenir ta version, ca implique les tests de regression, devoir suivre les evolutions, etc...
ou alors tu ne patches qu'a minima, que les failles de sécurité et les bugs les plus importants, et tu gardes un ensemble cohérent en faisant une migration toutes les quelques années. Les distributions se resynchronisent upstream régulièrement et ça ne les empêche pas de vivre.
Tu laisses ta porte ouverte car il est possible de casser la fenetre et entrer toi ?
Non et si tu me relis bien tu verras que je parle de la justification des coûts. Les ressources ne sont pas infinies, et les coûts doivent être justifiés.
soit c'est un vrai probleme soit ca ne l'est pas.
et les ennuis commencent quand l'un pense qu'il y a un problème, l'autre pas. Ça arrive tout le temps et pas qu'avec Microsoft ;) (cf les failles d'Acrobat Reader qui n'étaient pas considérées comme critiques par l'éditeur alors que des exploits circulaient presque).
(...) petites failles type off by one (...)
idem pour le libre
Oui. Encore que la relecture des sources lors du développement limite un peu ce risque.
(...) blabla étudier le binaire pour trouver les failles (...)
Idem pour le libre
Oui. Sauf qu'avec le libre, on ne sait jamais quelle version du compilateur ni quelles options de compilation ont été utilisées... c'est pas comme si la philosophie historique du libre était fortement marquée par l'accès aux sources !
En outre avec le libre, on peut utiliser des architectures matérielles très variées pour peu que les programmes soient codés un peu proprement.
maintenir un OS entier sans en avoir les competences ou les ressources pour le faire.
moui enfin c'est pas comme si les équipes en charge de la sécurité dans les distros Linux étaient si énorme que ça par exemple.
Ca n'explique toujours pas pourquoi le ministere de la defense(et autres ministeres) ne pourraient pas bouger toute leur bureautique et serveurs sous Linux/Unix ou autres.
Il faut gérer les priorités... À quoi ça sert d'améliorer la sécurité de la bureautique classique si les systèmes de défense (beaucoup plus critiques) ne le sont pas ? Le coût du changement ne paraît pas très justifié là...
En face, il y a des rumeurs a la con, n'ayant _aucun_ argument solide.
Ben franchement :
* historiquement la crypto a toujours été très fortement contrôlée par les états, qui ont été très très réticents à sa libéralisation
* il y a tout un historique de backdoor avérées ou non. Dans Lotus Notes, ils n'ont pas été pas été très fins en appelant ça "workload reduction factor" qui était bien explicite, mais ça peut être beaucoup plus discret. Sans compter les tentatives type skipjack & co d'avouer pour mieux faire passer la pilule.
* les possibilités sont énormes : une petite faille dans un firmware de carte réseau et hop, un paquet bien formaté et on a autant de pouvoir que le BIOS sur la machine (aka, mieux que root!). C'est tentant non ? et niveau discrétion, c'est plutôt bien vu... Franchement la Chine ne ferait pas pression sur les fabricants chinois de cartes réseau ? Et rien ne prouvera jamais que la faille était intentionnelle hein ! ce qui donne une parade toute trouvée à l'industriel... (d'ailleurs ils en appellent tous à prouver que c'était intentionnel, voir http://openpgp.vie-privee.org/rumeurs.htm )
* ou sans aller jusqu'à la carte réseau, un petit ajout au BIOS de quelques Ko, ça passe ni vu ni connu, de toutes façons "les BIOS c'est tellement compliqué...
* ou un petit ajout de quelques centaines de portes logiques à un CPU, pour passer en mode réel suite à une certaine opération... Sur les centaines de millions qu'il en contient, ça laisse de la place pour se cacher...
je n'accuse pas Microsoft d'avoir délibérément mis des trous dans windows au service de la NSA (surtout depuis 2003 avec l'ouverture du code comme tu dis, encore que cette ouverture sans possibilité de patcher est loin d'être parfaite). Je pense simplement qu'il faudrait être bien naïf pour ne pas croire que c'est possible voire probable, dans windows ou ailleurs, ou que si il y a cette ouverture c'est que les agences d'espionnage ont trouvé plus discret (windows devenant bien connu par ailleurs). Quand il y a une faille, Cherche à qui le crime profite dit l'adage... et ça ne profite pas qu'aux mafias et autres éditeurs de virus.
ils ne planifieraient jamais de changer et accepteraient de se faire entuber, meuh oui...
Faut le temps de changer : imagine le sous-marin américain qui avait manqué de couler à cause d'un problème lié à windows NT 4.0, ou plus prosaïquement les systèmes de la Marine qui ont été paralysés à cause du virus Conficker. Imagine aussi la durée de vie prévue du Rafale, et ajoute l'augmentation de durée de vie probable liée aux retards de son successeur... Ça fait un système qui va rester sous windows pendant, euh, 20 ans ? Alors franchement non ça risque pas d'évoluer vite (surtout qu'un système informatique, quand ça marche, on ne veut pas vraiment y toucher...)
En outre le problème des backdoors dans les systèmes informatiques, c'est que ça ne se repère pas (les agences d'espionnage ne vont pas crier sur tous les toits qu'elles arrivent à écouter tel ou tel truc), c'est tellement discret justement que ça ne paraît pas avoir beaucoup d'importance... Bref c'est forcément moins vendeur de dire "la NSA pourrait nous écouter, changeons de système" que de dire "développons vite un nouveau système".
pourquoi la Gendarmerie, qui depend du ministere de la Defense, peut faire cela, en reduisant ses couts, (...)
la gendarmerie est une petite structure comparée aux armées. En plus, ses besoins informatiques sont assez classiques : postes bureautiques essentiellement, réseau de communication Rubis et réseau pour savoir si une plaque d'immatriculation ne correspond pas à une voiture volée par exemple, mais pas vraiment de gros systèmes d'armes type Marine (http://www.silicon.fr/fr/news/2009/02/09/le_virus_conficker_(...) )...
Meuh oui bien sur, on sait tous que la securite nationale ca ne compte pas quand il s'agit de Microsoft hein !
ben les pays ont la sécurité qu'ils peuvent se payer. Le Togo a la sécurité nationale qu'il peut se payer, la France aussi, tout est question de ressources : le coût du changement de tous les processus industriels axés sur le tout Microsoft est énorme. Coût pour le côté technique comme pour le côté politique (décision d'abord, gestion du changement ensuite, etc.).
L'administration ne fait pas exception à la règle "on investit dans la sécurité qu'on juge utile", le curseur étant seulement un peu plus loin que pour le gie cartes bancaires lambda (qui l'avait totalement négligée). Ensuite l'ingénieur qui vient dire "hé mais c'est pas sécurisé votre truc", on lui mettra en face le coût technique (argent à investir) et le coût politique (quoi, on se méfie de la NSA qui nous protège des terroristes ?), et il pourra aller se rhabiller.
Moi je te propose d'aller bosser dans une entreprise, et tu comprendras en quoi le probleme est technique (pense au mot ActiveX notamment).
Ben au mieux dans ma vie j'aurais déjà vu 20 entreprises différentes un peu sérieusement (2 ans en moyenne par poste, ce serait ridiculement bas). Et j'ai vu pas mal d'entreprises qui fonctionnaient très bien en se passant des contrôles activeX... Pour les autres, là encore c'est le coût du changement qui prime sur la sécurité. On a la sécurité qu'on peut et veut s'offrir.
on dirait qu'au la gendarmerie c'est possible de changer sans problemes financiers
pour la gendarmerie la migration vers OpenOffice.org et les produits Mozilla d'abord, puis vers Linux ensuite n'a pas été motivée pour des questions de sécurité mais de choix politique (un général a décidé ça) et surtout de coût (économies de budget réalisées qui ont été investies entre autres pour changer ces vieilles 4L qu'on voit encore rouler de temps en temps). Demande à n'importe quel gendarme : leur matériel (notamment informatique) est d'une ancienneté qui a confiné parfois à la misère.
Remarque une des idées est que les salariés deviennent actionnaires... Ou au moins aient une part beaucoup plus importante des actions de leur entreprise, ça rééquilibrerait un peu les choses.
[^] # Re: WebM est sacrément bien parti...
Posté par khivapia . En réponse au journal VP8 libéré, WebM est né. Évalué à 4.
Il existe encore un unique étalon fait de main d'homme pour définir les unités du système SI, c'est le kilogramme.
[^] # Re: GStreamer VP8-enabled
Posté par khivapia . En réponse au journal VP8 libéré, WebM est né. Évalué à 5.
[^] # Re: bah euh
Posté par khivapia . En réponse au message chiffrer un email après réception en clair. Évalué à 3.
Cette dernière est quand même bien plus simple à sauvegarder efficacement (ne serait-ce que dans la tête et une copie papier dans le portefeuille par exemple), et le contrôle d'accès aux données sensibles des sauvegardes est largement facilité.
Niveau facilité enfin, on peut par exemple monter un répertoire amazon storage sur son système de fichier local via une couche de chiffrement, qui fait que seules des données chiffrées transitent sur le web.
[^] # Re: Le jeu du lundi
Posté par khivapia . En réponse à la dépêche Nouvelle version 2.6.34 du noyau Linux. Évalué à 10.
# Qt Moko ?
Posté par khivapia . En réponse au message Quelle distribution installer sur un Neo Free Runner ?. Évalué à 4.
Mais bon ça dépend aussi de ce que tu veux faire.
[^] # Re: Heureusement...
Posté par khivapia . En réponse au journal 6 mois après avoir voté Hadopi, la France découvre: "Usurpation d'identité, téléchargement : la fiabilité de l'adresse IP mise en cause". Évalué à 2.
Quant au matériel complètement compatible avec WPA2 (le seul à peu près correct, à condition de ne pas mettre une phrase de passe trop facile genre "Médor" ou "love"), c'est pas forcément pour tous ceux qui ont encore un PC de 2005 par exemple (un bon gros pentium 4 + un peu de RAM ajouté par exemple, ça tourne très bien pour une utilisation bureautique). Et en plus les gens qui ont ce genre de matériel sont plutôt pas très à la pointe en informatique, donc il leur faut un truc qui marche (d'une part) et ils représentent une bonne part des clients des FAI (le genre à qui on peut refourguer plein d'options en plus).
Donc c'est pas pour tout de suite un truc à peu près potable par défaut...
[^] # Re: BIDON
Posté par khivapia . En réponse au journal Cinq cent milliards de petits liens, et moi, et moi, et... Skype. Évalué à 4.
[^] # Re: BIDON
Posté par khivapia . En réponse au journal Cinq cent milliards de petits liens, et moi, et moi, et... Skype. Évalué à 7.
Firefox a un mode de "détection automatique des paramètres de proxy pour ce réseau" qui marche extrêmement bien. C'est typiquement le genre de bout de code qui traîne un peu partout, ou dont on peut reprendre le principe très facilement !!
Accessoirement, firefox se débrouille pour que l'utilisateur lui rentre les paramètres de proxy si jamais il y a besoin, alors pourquoi skype serait obligé d'aller regarder ailleurs ???
[^] # Re: Hé oui
Posté par khivapia . En réponse au journal Mass reduction. Évalué à 3.
[^] # Re: Hé oui
Posté par khivapia . En réponse au journal Mass reduction. Évalué à 5.
[^] # Re: Au maïs et à la patate
Posté par khivapia . En réponse au journal Mass reduction. Évalué à 2.
Faut "juste" faire la récolte en (presque) une seule fois après la pluie qui fait sortir toutes les fleurs d'un coup.
Par contre faut pas compter sur les aides aux agriculteurs.
[^] # Re: Ben oui
Posté par khivapia . En réponse au journal Pêle-mêle: ACTA, droits d'auteur, jeunes et internet. Évalué à 2.
Sinon ce que tu décris dans les magasins IRL, ça existe déjà et c'est encore pire, ça s'appelle la carte de fidélité crédit.
[^] # Re: de ce que tu decris ...
Posté par khivapia . En réponse au message Quel Smartphone. Évalué à 2.
Sinon mis à part le N900 (qui est relativement proprio dans bon nombre de pilotes), tu peux aussi penser au Neo Freerunner. Sous debian par exemple, toutes les applis que tu développeras seront utilisables par tout utilisateur de Linux sur smartphone ou pas.
Enfin pour ce qui est de la chaîne de compilation, le mieux c'est quand même de ne pas compiler sur le téléphone (manque de place, mémoire, et surtout puissance CPU), mais de crosscompiler depuis un PC ou une station de travail classique.
[^] # Re: Idée.
Posté par khivapia . En réponse au message Liveradio Vintage. Évalué à 6.
[^] # Re: Avez-vous vu la dernière pub pour ie8 ?
Posté par khivapia . En réponse à la dépêche La Cité des Sciences censure le Libre à la demande de l’INPI. Évalué à 2.
[^] # Re: Avez-vous vu la dernière pub pour ie8 ?
Posté par khivapia . En réponse à la dépêche La Cité des Sciences censure le Libre à la demande de l’INPI. Évalué à 3.
C'est un peu hasardeux comme stratégie de communication non ? Pour quelqu'un qui ne connaît rien au logiciel libre, commencer par faire assimiler gratuit (car freeware assimilé à gratuit) et présenter l'exception libre et gratuit comme étant gratuit sans virus, ça me paraît un peu déconcertant.
En outre, expliquer qu'on peut redistribuer gratuitement le logiciel, tout le monde comprend.
Expliquer qu'on peut le modifier gratuitement, c'est déjà plus chaud à comprendre : modifier est une action bien compliquée.
[^] # Re: Libre et contrefaçon
Posté par khivapia . En réponse à la dépêche La Cité des Sciences censure le Libre à la demande de l’INPI. Évalué à 2.
Si le fautif dément toute acceptation de la licence, il est alors possible de lui opposer un délit de contrefaçon car aucun droit d'usage ne lui a été accordé.
Il me semble que la GPL contient une clause diabolique(1) qui retire tout droit sur le logiciel si elle n'est pas respectée http://www.gnu.org/licenses/gpl.html (gpl v3)
"Any attempt otherwise to propagate or modify it is void, and will automatically terminate your rights under this License (includings patents (...) )"
et pour la GPL v2:
"Any attempt otherwise to copy, modify, sublicense or distribute the Program is void, and will automatically terminate your rights under this License. "
donc dans les deux cas il n'y a même plus de droit d'utilisation.
1: c'est pareil avec toutes les licences en fait non ?
[^] # Re: Personnellement, je m'en fous
Posté par khivapia . En réponse au journal The Google problem. Évalué à 2.
il n'y a pas que l'informatique... La boîte responsable du code va avoir naturellement tendance à minimiser les risques associés aux failles pour ne pas avoir à bosser patcher le logiciel et faire les tests qui vont avec.
Tu veux un exemple tout frais datant d'aujourd'hui : http://tech.slashdot.org/story/10/04/20/0023238/IE8s-XSS-Fil(...)
"Microsoft says that they have issued two patches that address the issue, but the researchers insist that holes remain. "
et le client n'a pas forcément envie de développer le proof-of-concept qui va bien pour prouver à chaque fois que sisi, c'est bien une faille...
Je passe naturellement sur la réactivité d'un mécanisme qui consisterait à demander à deux autres personnes de jeter un œil.
C'est pas le probleme, si tu fork, tu dois maintenir ta version, ca implique les tests de regression, devoir suivre les evolutions, etc...
ou alors tu ne patches qu'a minima, que les failles de sécurité et les bugs les plus importants, et tu gardes un ensemble cohérent en faisant une migration toutes les quelques années. Les distributions se resynchronisent upstream régulièrement et ça ne les empêche pas de vivre.
[^] # Re: Personnellement, je m'en fous
Posté par khivapia . En réponse au journal The Google problem. Évalué à 2.
Non et si tu me relis bien tu verras que je parle de la justification des coûts. Les ressources ne sont pas infinies, et les coûts doivent être justifiés.
[^] # Re: Personnellement, je m'en fous
Posté par khivapia . En réponse au journal The Google problem. Évalué à 2.
et les ennuis commencent quand l'un pense qu'il y a un problème, l'autre pas. Ça arrive tout le temps et pas qu'avec Microsoft ;) (cf les failles d'Acrobat Reader qui n'étaient pas considérées comme critiques par l'éditeur alors que des exploits circulaient presque).
(...) petites failles type off by one (...)
idem pour le libre
Oui. Encore que la relecture des sources lors du développement limite un peu ce risque.
(...) blabla étudier le binaire pour trouver les failles (...)
Idem pour le libre
Oui. Sauf qu'avec le libre, on ne sait jamais quelle version du compilateur ni quelles options de compilation ont été utilisées... c'est pas comme si la philosophie historique du libre était fortement marquée par l'accès aux sources !
En outre avec le libre, on peut utiliser des architectures matérielles très variées pour peu que les programmes soient codés un peu proprement.
maintenir un OS entier sans en avoir les competences ou les ressources pour le faire.
moui enfin c'est pas comme si les équipes en charge de la sécurité dans les distros Linux étaient si énorme que ça par exemple.
[^] # Re: Personnellement, je m'en fous
Posté par khivapia . En réponse au journal The Google problem. Évalué à 2.
Il faut gérer les priorités... À quoi ça sert d'améliorer la sécurité de la bureautique classique si les systèmes de défense (beaucoup plus critiques) ne le sont pas ? Le coût du changement ne paraît pas très justifié là...
En face, il y a des rumeurs a la con, n'ayant _aucun_ argument solide.
Ben franchement :
* historiquement la crypto a toujours été très fortement contrôlée par les états, qui ont été très très réticents à sa libéralisation
* il y a tout un historique de backdoor avérées ou non. Dans Lotus Notes, ils n'ont pas été pas été très fins en appelant ça "workload reduction factor" qui était bien explicite, mais ça peut être beaucoup plus discret. Sans compter les tentatives type skipjack & co d'avouer pour mieux faire passer la pilule.
* les possibilités sont énormes : une petite faille dans un firmware de carte réseau et hop, un paquet bien formaté et on a autant de pouvoir que le BIOS sur la machine (aka, mieux que root!). C'est tentant non ? et niveau discrétion, c'est plutôt bien vu... Franchement la Chine ne ferait pas pression sur les fabricants chinois de cartes réseau ? Et rien ne prouvera jamais que la faille était intentionnelle hein ! ce qui donne une parade toute trouvée à l'industriel... (d'ailleurs ils en appellent tous à prouver que c'était intentionnel, voir http://openpgp.vie-privee.org/rumeurs.htm )
* ou sans aller jusqu'à la carte réseau, un petit ajout au BIOS de quelques Ko, ça passe ni vu ni connu, de toutes façons "les BIOS c'est tellement compliqué...
* ou un petit ajout de quelques centaines de portes logiques à un CPU, pour passer en mode réel suite à une certaine opération... Sur les centaines de millions qu'il en contient, ça laisse de la place pour se cacher...
je n'accuse pas Microsoft d'avoir délibérément mis des trous dans windows au service de la NSA (surtout depuis 2003 avec l'ouverture du code comme tu dis, encore que cette ouverture sans possibilité de patcher est loin d'être parfaite). Je pense simplement qu'il faudrait être bien naïf pour ne pas croire que c'est possible voire probable, dans windows ou ailleurs, ou que si il y a cette ouverture c'est que les agences d'espionnage ont trouvé plus discret (windows devenant bien connu par ailleurs). Quand il y a une faille, Cherche à qui le crime profite dit l'adage... et ça ne profite pas qu'aux mafias et autres éditeurs de virus.
[^] # Re: Personnellement, je m'en fous
Posté par khivapia . En réponse au journal The Google problem. Évalué à 2.
un nouvel avion/bateau/satellite/etc. vous aurez compris
[^] # Re: Personnellement, je m'en fous
Posté par khivapia . En réponse au journal The Google problem. Évalué à 2.
Faut le temps de changer : imagine le sous-marin américain qui avait manqué de couler à cause d'un problème lié à windows NT 4.0, ou plus prosaïquement les systèmes de la Marine qui ont été paralysés à cause du virus Conficker. Imagine aussi la durée de vie prévue du Rafale, et ajoute l'augmentation de durée de vie probable liée aux retards de son successeur... Ça fait un système qui va rester sous windows pendant, euh, 20 ans ? Alors franchement non ça risque pas d'évoluer vite (surtout qu'un système informatique, quand ça marche, on ne veut pas vraiment y toucher...)
En outre le problème des backdoors dans les systèmes informatiques, c'est que ça ne se repère pas (les agences d'espionnage ne vont pas crier sur tous les toits qu'elles arrivent à écouter tel ou tel truc), c'est tellement discret justement que ça ne paraît pas avoir beaucoup d'importance... Bref c'est forcément moins vendeur de dire "la NSA pourrait nous écouter, changeons de système" que de dire "développons vite un nouveau système".
pourquoi la Gendarmerie, qui depend du ministere de la Defense, peut faire cela, en reduisant ses couts, (...)
la gendarmerie est une petite structure comparée aux armées. En plus, ses besoins informatiques sont assez classiques : postes bureautiques essentiellement, réseau de communication Rubis et réseau pour savoir si une plaque d'immatriculation ne correspond pas à une voiture volée par exemple, mais pas vraiment de gros systèmes d'armes type Marine (http://www.silicon.fr/fr/news/2009/02/09/le_virus_conficker_(...) )...
[^] # Re: Personnellement, je m'en fous
Posté par khivapia . En réponse au journal The Google problem. Évalué à 2.
ben les pays ont la sécurité qu'ils peuvent se payer. Le Togo a la sécurité nationale qu'il peut se payer, la France aussi, tout est question de ressources : le coût du changement de tous les processus industriels axés sur le tout Microsoft est énorme. Coût pour le côté technique comme pour le côté politique (décision d'abord, gestion du changement ensuite, etc.).
L'administration ne fait pas exception à la règle "on investit dans la sécurité qu'on juge utile", le curseur étant seulement un peu plus loin que pour le gie cartes bancaires lambda (qui l'avait totalement négligée). Ensuite l'ingénieur qui vient dire "hé mais c'est pas sécurisé votre truc", on lui mettra en face le coût technique (argent à investir) et le coût politique (quoi, on se méfie de la NSA qui nous protège des terroristes ?), et il pourra aller se rhabiller.
Moi je te propose d'aller bosser dans une entreprise, et tu comprendras en quoi le probleme est technique (pense au mot ActiveX notamment).
Ben au mieux dans ma vie j'aurais déjà vu 20 entreprises différentes un peu sérieusement (2 ans en moyenne par poste, ce serait ridiculement bas). Et j'ai vu pas mal d'entreprises qui fonctionnaient très bien en se passant des contrôles activeX... Pour les autres, là encore c'est le coût du changement qui prime sur la sécurité. On a la sécurité qu'on peut et veut s'offrir.
on dirait qu'au la gendarmerie c'est possible de changer sans problemes financiers
pour la gendarmerie la migration vers OpenOffice.org et les produits Mozilla d'abord, puis vers Linux ensuite n'a pas été motivée pour des questions de sécurité mais de choix politique (un général a décidé ça) et surtout de coût (économies de budget réalisées qui ont été investies entre autres pour changer ces vieilles 4L qu'on voit encore rouler de temps en temps). Demande à n'importe quel gendarme : leur matériel (notamment informatique) est d'une ancienneté qui a confiné parfois à la misère.
[^] # Re: Le problème des gros salaires...
Posté par khivapia . En réponse au journal Le ciel ne tombe pas sur le tête de tout le monde. Évalué à 2.