C'est ce que nous dit zdnet: http://zdnet.fr/actualites/informatique/0,39040745,39362096,(...)
Extraits: "Après un an de travaux, des experts du ministère de la Défense affirment dans un rapport classifié que la suite bureautique libre n'est absolument pas sécurisée.". Mais heureusement, "Contactés par les représentants européens d'OpenOffice.org, les chercheurs du laboratoire de virologie et de cryptologie vont rencontrer prochainement à Hambourg les développeurs allemands.".
Bon, après ça parle de cryptage et de macros et tout et tout ... j'y connais rien là dedans (surtout dans les macros!)
# SSTIC 2006
Posté par rangzen (site web personnel) . Évalué à 4.
Les codes Proof Of Concept ne seront pas diffusés.
Il a confirmé ce qui est à la fin de l'article : c'est conceptuel, donc les rustines risquent d'être lourdes à mettre en place :/
http://www.sstic.org
http://actes.sstic.org/SSTIC06/Rump_sessions/SSTIC06-rump-Fi(...)
[^] # Re: SSTIC 2006
Posté par Grumbl . Évalué à 1.
[^] # Re: SSTIC 2006
Posté par Guillaume Lebigot (site web personnel) . Évalué à 7.
C'est un exemple comme un autre bien entendu.
[^] # zut, j'ai glissé dans le troll
Posté par Grumbl . Évalué à -2.
[^] # Re: SSTIC 2006
Posté par sirrus . Évalué à 2.
[^] # Re: SSTIC 2006
Posté par Zorro (site web personnel) . Évalué à 5.
L'annonce officielle a donc été faite début juin, et on n'en parle que maintenant, quand ZDnet, en faisant correctement son métier, met l'affaire sur la place publique...
Le moins qu'on puisse dire, c'est qu'on a été très très discrets, par ici... On est pourtant toujours les premiers à pointer la moindre faille dans IE.
Ça me fait penser au cas Wikipedia, contre lequel le catéchisme actuellement en vigueur interdit la moindre critique.
C'est dommage que la transparence nous arrive par la bande, de façon presque détournée, alors que le libre, justement, passe son temps à célébrer la transparence. La transparence, on veut bien l'exiger quand on parle des standards de MS, mais quand on dit du mal d'OO, alors là, ccchhhuttt, laissez faire les grandes personnes.
Je suis un peu dégoûté, sur ce coup-là, tiens.
On passe notre temps à dire que le libre est plus sûr que le proprio, et Filiol vient dire qu'OO ""n'a jamais été pensé en termes de sécurité". Je trouve ça effarant, quand même.
Le seul truc qui me rassure, c'est la rapidité de réaction de la communauté du libre, et j'espère que tout ça va être vite corrigé. En attendant, le quasi-silence de la communauté, dans ce cas précis, montre bien qu'on n'est pas vraiment préparés à affronter certaines phases critiques.
[^] # Re: SSTIC 2006
Posté par rangzen (site web personnel) . Évalué à 7.
http://www.mag-securs.com/article.php3?id_article=5241
http://nonop.blogspot.com/2006/06/sstic-compte-rendu-22.html
http://teh-win.blogspot.com/2006/06/sstic-06-ca-dnonce.html
http://sid.rstack.org/blog/index.php/2006/06/04/91-sstic-200(...)
La transparence me semble respecté quand quelqu'un arrive en disant "voilà, on a le code, on a testé plein de truc et problème : tout passe." puis que les codeurs commencent à coder et que tu peux encore mettre le nez dedans.
Le seul truc non-transparent, c'est le code de poc et ça c'est plutôt un débat sur le full-disclosure.
Le libre est plus sur ... Oui et non ... Encore un débat ...
"N'a jamais été pensé en terme de sécurité" effarant ? Star Office à presque 20 ans ! A cette époque, il fallait ratrapper Office, se faire un nom, le net n'était pas le danger d'aujourd'hui. Les problèmes apparaissent maintenant car la suite commence à avoir son succès. Effarant, non, je trouve ça regrettable plutôt mais ça n'a pas surpris grand monde dans la salle. On a tous été géné quand Filliol a dit pour l'instant vaut mieux mettre du Office Microsoft pour la sécurité mais c'est tout :) Et c'était déjà pas mal :D
La communauté réduit à ceux qui lisent les journaux de linuxfr, c'est réducteur, non ? ;p
[^] # Re: SSTIC 2006
Posté par psychoslave__ (site web personnel) . Évalué à 2.
Parceque d'un coté on est content d'avoir le open document interopérable et tout le blabla, et de l'autre on parle que de Ooo!
Sur la page http://www.kde.org/info/security/ on peu voir des entrées pour koffice, ce qui me rassure plutot.
D'ailleurs il est à noté que koffice peu importer des pdf, ce qui peut être quand même très pratique. Et je ne parle même pas du fait qu'ils font des efforts sur l'ergonomie (là ou d'autre ne veulent pas bousculer les ptites habitudes des utilsateurs).
Je ne dis pas que koffice est parfait non plus, il lui manque plein de fonctionnalités d'après ce que j'ai lu, mais je ne fais pas d'utilisation assez poussé des suites bureautique pour m'en rendre compte je pense.
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à 0.
Ce commentaire a été supprimé par l’équipe de modération.
# quelques pensées profondes...
Posté par Hrundi V. Bakshi . Évalué à 10.
*Je trouve ça super qu'ils en parlent à OpenOffice.
*Je trouve bizarre qu'on entende pas parler d'autres découvertes du genre, sur d'autres logiciels/OS (mais bon, ça n'interesse ptet pas le grand public, ça ne veut pas dire que ça ne se fait pas).
*Je trouve bizarre que personne d'autre n'ait dévoilé ces failles. Normalement il y a plein de gens dans le monde qui devraient faire ça, a priori avec des moyen identiques à la France (y a pas de raison). Je suis ravi de la performance des trouveurs, mais inquiet du soucis des autres...
[^] # Re: quelques pensées profondes...
Posté par Grumbl . Évalué à -1.
[^] # Re: quelques pensées profondes...
Posté par ZeroHeure . Évalué à 2.
"La liberté est à l'homme ce que les ailes sont à l'oiseau" Jean-Pierre Rosnay
[^] # Re: quelques pensées profondes...
Posté par Calim' Héros (site web personnel) . Évalué à 8.
L'interet avec une suite libre c'est qu'on peut dire ce qu'on trouve qui ne vas pas et esperer voir mieux participer a sont amelioration pour obtenir qque chose de plus independant et de plus fiable.
[^] # Re: quelques pensées profondes...
Posté par pasBill pasGates . Évalué à 1.
Genre comme les dizaines de hackers engages par MS pour tester la securite de Vista apres que ces gens aient montre leur talent en devoilant des failles dans les versions precedentes ?
[^] # Re: quelques pensées profondes...
Posté par lezardbreton . Évalué à 4.
[^] # Re: quelques pensées profondes...
Posté par esdeem . Évalué à 3.
Pourquoi?
Ça permet de montrer ce que l'on ne veut pas montrer, c'est-à-dire qu'un logiciel fermé n'est pas spécialement ni forcément moins troué qu'un logiciel libre.
La deuxième chose qui me vient à l'esprit, c'est que le même genre de tests a certainement déjà dû être fait pour des tas d'autres logiciels propriétaires, ne serait-ce que pour évaluer leur capacité a être utiliser dans des situations sensibles/critiques (défense entre autre.)
C'est tout de même une bonne chose, m'est avis.
Je ne doute cependant pas que pour les situations sensibles/critiques des logiciels ad hoc et idoines soient développés et utilisées en interne, après après le même genre de tests.
0. Assume good faith 1. Be kind to other people 2. Express yourself 4. Apply rule 0
[^] # Re: quelques pensées profondes...
Posté par jemore . Évalué à 2.
[^] # Re: quelques pensées profondes...
Posté par salvaire . Évalué à 3.
[^] # Re: quelques pensées profondes...
Posté par qdm . Évalué à 2.
# Cloner n'est absolument pas sécurisé
Posté par salvaire . Évalué à 7.
D'ailleurs se sont ces même macros qui bloquent la migration et plombent la sécurité. Python Sandbox Linux sont des mots qui sonnent mieux dans mon oreille.
Idem pour Gnumeric. M$ ajoute un graphique ou une fonction d'un intérêt contestable, le libre fait de même. À quoi sert un bar graphe 3d? À faire jolie? Mais sûrement pas à représenter graphiquement des données. Un bonne article http://www.tug.org/tex-archive/graphics/pgf/doc/generic/pgf/(...) page 38.
Cela ne changera pas la politique de l'état vis à vis d'OpenOffice. Mais cela donne des "arguments" pour des clients moins clairvoyant.
Dommage. C'est un peu tard de soulever des problèmes d'ordres "structurels". OO aurait due y penser avant. Mais félicitons nous que cela vienne de l'armé, et de manière collaborative. Au moins on est gagnant à ce niveau!
[^] # Re: Cloner n'est absolument pas sécurisé
Posté par Sylvain Sauvage . Évalué à 4.
- Bon, allez, trouvez-moi la fonctionnalité de la mort (killer-feature) de MS Office sur OpenOffice.
- MS Office sait numéroter automatiquement en arménien.
- J'achète !
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.