L'auteur a trouvé des vulnérabilités dans libolm, par dépit : il avait une très mauvaise opinion de Matrix, et les évangélistes de cette solution l'ont poussé à regarder le code cryptographique. Il a trouvé rapidement 3 vulnérabilités, qu'il a professionnellement rapportées.
Le client principal (Element) a basculé sur vodozemac (une implémentation en Rust, audité), donc ce n'est plus d'actualité.
Le problème vient du fait que l'équipe de développeur de Matrix a déprécié libolm, n'a plus les moyens de maintenir ce code, et ne va pas corriger ces vulnérabilités.
Son opinion sur Matrix a empiré, au vu des réactions visibles sur HackerNews notamment : la sécurité du code et la cryptographie ont été négligées.
Posté par Misc (site web personnel) .
Évalué à 6 (+3/-0).
Dernière modification le 16 août 2024 à 04:40.
Il y a aussi le fait que les vulns étaient plus ou moins connus depuis un certain temps, que les bindings non rust de vodozemac ne sont pas fonctionnels (donc que des clients sont revenus à libolm).
Et bon, du coté de matrix/element, c'est pas exactement la première fois que la réalité ne correspond pas à ce qui est promis.
J'ai le sentiment qu'il y a un pattern de personnes mécontentes.
Par exemple, ici, on voit un spécialiste en crypto qui visiblement réagit avec pas mal de force, mais je me souviens aussi de tout le foin fait autour d'un rapport par une ASBL quasi inconnu en 2019.
Je me souviens aussi avoir entendu des discussions un peu houleuse avec des gens qui ont bossés sur xmpp.
Ma théorie personnel, c'est que l'un des 2 fondateurs (sans doute plus Matthew Hodgson qu'Amandine Le Pape) a une capacité à convaincre les gens, et il a tendance à faire des promesses qui ne sont pas tenus.
Quand je regarde, ça se voit un peu partout. L'origine de la boite, c'est que le management de l'époque n'a pas financé la suite du projet, comme on peut le voir en lisant entre les lignes sur les interviews (vu que pendant longtemps, ça a été financé via patreon, etc, etc). Mais quand on regarde aussi sur ce qui a été proposé, comme "faire des appels videos", ça ne marche pas toujours bien (et ça, ç'est après avoir remplacé la pile jitsi, et ça le fait pas trop pour des gens qui bossent sur ça depuis 20 ans).
Mais on peut le voir aussi sur la compromission de leur infra en 2019, la cause principale, c'est de ne pas avoir eu d'admin à temps plein pour s'occuper de ça, et c'est un peu "on peut le faire nous même" de la part des devs (surtout quand tu as 65 services à administrer).
Je pense que la cause des soucis de sécu avec la crypto, c'est aussi "on peut le faire nous même".
Les bridges sont contre les ToS des différents services et c'était beaucoup mis en avant sur le site pendant un temps. Je ai personnellement demandé lors d'une conférence, et la réponse a été de passer la question à la PDG (Amandine, qui était dans la salle). Elle a dit "oui, c'est un point qu'on devrait regarder".
Pour leur défense, c'est vachement moins mis en avant maintenant mais pour moi, ça veut dire qu'à aucun moment un juriste n'a regardé (ou personne n'a simplement lu les conditions). Comme on me l'a dit après la conférence "c'est encore vachement une boite de techie, c'est pas des juristes". Avec le recul, c'est aussi sans doute "on peut le faire nous même".
Ou le changement de license de synapse, qui est passé en AGPL. Le changement n'avait visiblement pas été signalé à Josh Simmons, le directeur de la fondation. Il avait l'air d'être pris par surprise sur les réseaux sociaux, et si j'en crois l'article annonçant ça, ça a été fait en 1 semaine. Ça fait tache d'employer un ancien de l'OSI et de ne pas lui demander son avis sur le sujet.
Comme je l'ai dit à l'époque, personne n'avait pensé à un CLA plus équitable alors que c'est la base (tout le monde sort l'exemple de la FSF quand on parle de CLA).
Et le fait de ne pas demander son avis à un spécialiste, c'est toujours dans l'état d'esprit de "on peut le faire nous même".
J'ai d'autres exemples, mais non publiques, donc je vais m’arrêter la.
Et cet état d'esprit, ça me fait penser à l'idée du Reality distortion field de Steve Jobs, et c'est pour ça que je pense que ça vient d'en haut.
Je sais que Matthew s'implique dans la négo des contrats à échelles ou je pense que ça n'a pas de sens pour une boite de 100 personnes, qu'il va commenter sur HN, qu'il fait des lives, et qu'il est vachement impliqué. Ce qui en soit n'est pas un mal, mais ç'est aussi ça qui me fait dire que c'est de lui que découle l'état d'esprit plutôt que sa co-fondatrice.
Et du coup, les critiques sur l'écosystème matrix ne sont qu'un contrecoup de la différence entre la vision venu d'en haut (et qui ruisselle sur une partie de la communauté) et la réalité, ou les outils de modérations sont pourris (alors que je me souviens bien qu'on m'a dit que c'était vachement mieux qu'irc), ou les gens manquent des messages régulièrement, ou il y a des soucis de features non dispos dans les clients comme avec XMPP (alors qu'on m'avait promis le contraire).
Et bon "on a pas les moyens de maintenir le code", c'est aussi "on gagne pas assez d'argent". Quand on voit les clients qu'alignent Element sur son site web, on peut se poser des questions soit sur la gestion commerciale et des prix, soit sur la gestion des ressources en internes.
# Sur HN
Posté par Misc (site web personnel) . Évalué à 4 (+1/-0).
Je n'avais pas vu un post sur HN avant de faire un lien ici, mais le voici:
https://news.ycombinator.com/item?id=41245423
[^] # Re: Sur HN
Posté par Misc (site web personnel) . Évalué à 3 (+0/-0).
Et sur lobste.rs:
https://lobste.rs/s/sd95dm/security_issues_matrix_s_olm_library
# Opinion
Posté par Glandos . Évalué à 3 (+1/-0).
L'auteur a trouvé des vulnérabilités dans libolm, par dépit : il avait une très mauvaise opinion de Matrix, et les évangélistes de cette solution l'ont poussé à regarder le code cryptographique. Il a trouvé rapidement 3 vulnérabilités, qu'il a professionnellement rapportées.
Le client principal (Element) a basculé sur vodozemac (une implémentation en Rust, audité), donc ce n'est plus d'actualité.
Le problème vient du fait que l'équipe de développeur de Matrix a déprécié libolm, n'a plus les moyens de maintenir ce code, et ne va pas corriger ces vulnérabilités.
Son opinion sur Matrix a empiré, au vu des réactions visibles sur HackerNews notamment : la sécurité du code et la cryptographie ont été négligées.
[^] # Re: Opinion
Posté par Misc (site web personnel) . Évalué à 6 (+3/-0). Dernière modification le 16 août 2024 à 04:40.
Il y a aussi le fait que les vulns étaient plus ou moins connus depuis un certain temps, que les bindings non rust de vodozemac ne sont pas fonctionnels (donc que des clients sont revenus à libolm).
Et bon, du coté de matrix/element, c'est pas exactement la première fois que la réalité ne correspond pas à ce qui est promis.
J'ai le sentiment qu'il y a un pattern de personnes mécontentes.
Par exemple, ici, on voit un spécialiste en crypto qui visiblement réagit avec pas mal de force, mais je me souviens aussi de tout le foin fait autour d'un rapport par une ASBL quasi inconnu en 2019.
Je me souviens aussi avoir entendu des discussions un peu houleuse avec des gens qui ont bossés sur xmpp.
Ma théorie personnel, c'est que l'un des 2 fondateurs (sans doute plus Matthew Hodgson qu'Amandine Le Pape) a une capacité à convaincre les gens, et il a tendance à faire des promesses qui ne sont pas tenus.
Quand je regarde, ça se voit un peu partout. L'origine de la boite, c'est que le management de l'époque n'a pas financé la suite du projet, comme on peut le voir en lisant entre les lignes sur les interviews (vu que pendant longtemps, ça a été financé via patreon, etc, etc). Mais quand on regarde aussi sur ce qui a été proposé, comme "faire des appels videos", ça ne marche pas toujours bien (et ça, ç'est après avoir remplacé la pile jitsi, et ça le fait pas trop pour des gens qui bossent sur ça depuis 20 ans).
Mais on peut le voir aussi sur la compromission de leur infra en 2019, la cause principale, c'est de ne pas avoir eu d'admin à temps plein pour s'occuper de ça, et c'est un peu "on peut le faire nous même" de la part des devs (surtout quand tu as 65 services à administrer).
Je pense que la cause des soucis de sécu avec la crypto, c'est aussi "on peut le faire nous même".
Les bridges sont contre les ToS des différents services et c'était beaucoup mis en avant sur le site pendant un temps. Je ai personnellement demandé lors d'une conférence, et la réponse a été de passer la question à la PDG (Amandine, qui était dans la salle). Elle a dit "oui, c'est un point qu'on devrait regarder".
Pour leur défense, c'est vachement moins mis en avant maintenant mais pour moi, ça veut dire qu'à aucun moment un juriste n'a regardé (ou personne n'a simplement lu les conditions). Comme on me l'a dit après la conférence "c'est encore vachement une boite de techie, c'est pas des juristes". Avec le recul, c'est aussi sans doute "on peut le faire nous même".
Ou le changement de license de synapse, qui est passé en AGPL. Le changement n'avait visiblement pas été signalé à Josh Simmons, le directeur de la fondation. Il avait l'air d'être pris par surprise sur les réseaux sociaux, et si j'en crois l'article annonçant ça, ça a été fait en 1 semaine. Ça fait tache d'employer un ancien de l'OSI et de ne pas lui demander son avis sur le sujet.
Comme je l'ai dit à l'époque, personne n'avait pensé à un CLA plus équitable alors que c'est la base (tout le monde sort l'exemple de la FSF quand on parle de CLA).
Et le fait de ne pas demander son avis à un spécialiste, c'est toujours dans l'état d'esprit de "on peut le faire nous même".
J'ai d'autres exemples, mais non publiques, donc je vais m’arrêter la.
Et cet état d'esprit, ça me fait penser à l'idée du Reality distortion field de Steve Jobs, et c'est pour ça que je pense que ça vient d'en haut.
Je sais que Matthew s'implique dans la négo des contrats à échelles ou je pense que ça n'a pas de sens pour une boite de 100 personnes, qu'il va commenter sur HN, qu'il fait des lives, et qu'il est vachement impliqué. Ce qui en soit n'est pas un mal, mais ç'est aussi ça qui me fait dire que c'est de lui que découle l'état d'esprit plutôt que sa co-fondatrice.
Et du coup, les critiques sur l'écosystème matrix ne sont qu'un contrecoup de la différence entre la vision venu d'en haut (et qui ruisselle sur une partie de la communauté) et la réalité, ou les outils de modérations sont pourris (alors que je me souviens bien qu'on m'a dit que c'était vachement mieux qu'irc), ou les gens manquent des messages régulièrement, ou il y a des soucis de features non dispos dans les clients comme avec XMPP (alors qu'on m'avait promis le contraire).
Et bon "on a pas les moyens de maintenir le code", c'est aussi "on gagne pas assez d'argent". Quand on voit les clients qu'alignent Element sur son site web, on peut se poser des questions soit sur la gestion commerciale et des prix, soit sur la gestion des ressources en internes.
Envoyer un commentaire
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.