Pas nécessairement: on pourrait faire un tuyau "intelligent":
- tuyau entre 2 programmes qui comprennent les objets? Ce sont des objets qui sont passés.
- tuyau depuis un programme objet vers un autre: conversion des objets en représentation textuelle (qui est un dénominateur commun quelque part), le tuyau se chargeant de demander aux objets de s'afficher en texte.
Euh desole mais tu as un petit train de retard sur les updates Windows...
a) Tu peux avoir ton propre depot independant de MS, ta machine ne communiquera jamais avec un serveur MS
b) Pas besoin d'ActiveX, il y a un client dans l'OS
c) Il t'installe les patchs automatiquement si tu veux
d) Les entreprises deployent les patchs pour tous les softs non-MS avec GPO depuis des annees automatiquement
Pour ce dernier point, je ne comprends même pas pourquoi Office 2000 n'est pas intégrable à Microsoft update... et pourquoi Microsoft s'ennuit a maintenir un Office Update !
Il y a Microsoft Update si tu aimes rester a travers le web (je ne vois aucune raison d'utiliser Windows Update ou Microsoft Update) qui fait les 2
Qui n'a jamais fait une mise à jour qui OBLIGE un reboot puis se retrouve encore avec une quinzaine de mise à jour après le reboot...
J'ai eu des postes debian qui ont connu 4 versions de distribution stable de debian sans jamais le reformater. Le passage de mon poste de travail de etch à lenny la semaine dernière a nécessité une mise à jour et un reboot, pas plus !
Depuis quand est-ce qu'il faut reformater un Windows pour le passer a la version suivante ? Ils supportent tous les upgrades sans probleme.
Sans parler de la qualité des mises à jour et des failles, le système de mise à jour d'une debian est très loin devant celui d'un système Windows.
Ça marche pas comme ça. Un ministère va utiliser une distribution Linux et attendre que l'éditeur fournisse les mises à jour, quitte à payer (!) le support (ex: Red Hat).
Justement non, pourquoi est-ce que le ministere virerait Windows si c'est pour se retrouver dependant d'une autre societe qu'il ne controle pas ?
Au niveau de l'audit : pour trouver de bugs, code source/binaire compilé, même combat. Il existe des outils pour auditer les deux. Sauf que si on a les sources, on a deux fois plus d'outils, passons. Le problème est plus du côté de la manière de corriger
Oui, et le gouvernement a les sources de Windows comme tu le sais, donc c'est pas un probleme pour lui.
Dans le cas de Windows, il est presque impossible de se passer de Microsoft (enfin, de l'éditeur du logiciel dont on n'a pas les sources). Alors que pour Linux, tu peux patcher les sources et maintenir ta propre version du paquet (ça coûte pas cher en maintenance), au moins en attendant que l'éditeur patche (ou alors si tu veux garder le correctif pour toi).
Oui en theorie.
Maintenant petite question: tu es le ministere de la defense, on vient de te signaler une faille dans le kernel.
Tu vas deployer un patch kernel que tu as ecrit toi-meme sur toutes les machines critique de l'armee ? Tu es sur que ton patch :
a) corrige le probleme correctement (bref tu es un expert du kernel et tu sais exactement quoi changer et comment)
b) ne casse rien (tu comprends tous les effets de bord, on revient a l'expertise necessaire, ainsi qu'a la comprehension des dependances)
c) est complet et n'oublie aucune variante (tu as passe du temps a faire l'analyse de variantes par analyse de code, fuzzing, ...)
?
Parce que faut bien comprendre, Redhat et autres, ils ne mettent pas plusieurs semaines a sortir un patch juste parce qu'ils aiment attendre, ils ont des gens specialises dans le domaine qui bossent sur ces patchs pour faire a), b) et c) et ca leur prend bcp de temps.
Croire que qqe gars dans leurs coins peuvent faire tout ce boulot c'est totalement irrealiste. Ca demande des moyens enorme afin de limiter les risques de regression et d'assurer une recherche de variantes efficace. Soit ils finiront le boulot apres Redhat, soit il y a de tres fortes chances qu'ils baclent le travail reguiierement, soit ils se retrouvent avec une equipe assez grosse pour remplacer Redhat, ce qui coute extremement cher.
Pourquoi prends-tu la Chine comme cible ? En matière de cybercriminalité, je ne pense pas que ça soit les pire. Je pense d'ailleurs que la cybercriminalité est un peu partout : états-unis, pays d'europe de l'est, chine, etc. Ce n'est pas parce que l'IP est chinoise que c'est un chinois qui a lancé l'attaque ;-)
Je parles pas de cybercriminalite, mais d'espionnage et de *combat* informatique, des equipes de l'armee formees a l'attaque de systemes informatiques adverses.
Les USA ont ca(plusieurs de mes collegues ont bosse dedans), la Chine aussi, la France probablement aussi.
Hum, encore du FUD Microsoft qui utilise uniquement le nombre bugs et non pas la criticité ou la période pendant laquelle le bug n'était pas patché.
Aucun FUD, j'ai bien parle de nombre non ? J'ai pas parle de securite generale ou autre (bien que j'ai mon point de vue la dessus qui ne sera pas le meme que le tien)
Je reste convaincu que la diversité des distributions Linux, la réactivité de corrections de bugs et la facilité de mise à jour sont d'autant de forces qui font que Linux est plus difficilement attaquable.
Faux probleme, le ministere de la defense, il va pas s'amuser a deployer 234 distributions differentes, il n'y en aura qu'une voire deux donc la cible est claire. Point de vue mise a jour, c'est pas specialement plus facile que Windows, il leur faudra un repository interne pour leurs updates et le gerer eux-meme, identique avec Windows. Quand a la reactivite elle a un pendant negatif certain: Quand tu sors une update apres 12h, clairement tu n'as pas fait d'analyse de variantes, et tu n'as pas correctement teste le patch.
Quand une faille est decouverte qqe part, souvent il y a des variantes dans le coin, lorsque tu sors un patch en 12h et que tu ne prend pas la peine de trouver ces variantes, ca revient a dire a toute la planete "eh les gars, il y a une faille ici que j'ai corrigee, et il y en a probablement d'autres dans les parages".
Resultat, le ministere de la defense se retrouvera dans une course contre la montre: trouvera t'il les variantes avant l'ennemi ? Dur a dire...
Sauf qu'avec un système libre, dont on a accès aux sources, il y a peu de chance qu'une seule équipe dans le monde trouve la faille. Tous les pays/organisations se donnant les moyens (formation, équipement informatique) sera à même d'étudier le logiciel, de le tester et de trouver les failles.
Ca c'est la theorie.
En pratique, on trouve constamment des failles dans les LL, y compris dans du code qui date de 5 ou 10 ans.
Bref, si il suffisait d'y avoir acces et de le lire, il n'y aurait plus de failles dans les LL depuis longtemps. La realite c'est que c'est extremement complique de trouver des failles, les revues de code sont loin d'etre suffisantes et ca demande un gros investissement sans aucune garantie que tu vas trouver toutes les failles.
Quoi qu'il en soit je suppose que tous les systèmes informatiques (cryptage, guidage satellite, etc,...) liés au secret-défense ne seront jamais libres. Ça me semble incompatible avec la notion de secret. Mais dans tous les autres domaines, le libre s'imposera.
Le monde se globalise, et seul un logiciel "globalisé", universel, pas lié à un pays* ou à une entreprise peut survivre.
Euh, pourquoi présupposes-tu que les contributions externes contiennent forcément des failles ? Quand tu installes un pilote Nvidia sous Windows, tu vas auditer son code ? C'est quand même un gros bout de code qui tourne en espace noyau. Et pour Flash ou Quicktime ?
Si t'es le departement de la defense avec ta propre distrib et tu recois une contrib, t'as une vision des choses un peu differente de l'utilisateur moyen...
Sous Linux, les sources de tous les logiciels sont disponibles et on peut donc auditer le code de Firefox, Gnash, Gstreamer, etc. D'ailleurs, d'autres le font dans le monde entier et ont déjà rapportés de bugs s'ils en ont trouvés ;-)
On *peut*, le probleme c'est la complexite de la tache, si tu sais quel genre de probleme tu cherches et ou, tu vas trouver.
Si je te donnes les 2352 fichiers cpp et te dis "va trouver des failles", tu va vite tomber dans les pommes et tu rateras nombre de failles je te le garantis, je parles d'experience.
J'ai tendance à avoir moins confiance dans les logiciels dont je n'ai pas accès aux sources. Autre nuance entre Windows et Linux : sous Windows, les éditeurs ont souvent des motivations financières. Certains vont jusqu'à se laisser tenter par l'ajout de logiciels espions (envoi d'information, insertion de pub, etc.)
Tu bosses pour le gouvernement russe disons (et tu es d'origine disons... allemande ou belge, histoire que ton nom sonne pas comme une alarme), on te dit que la France a sa propre distrib Linux pour le ministere de la defense.
Ca te viendrait pas a l'idee d'envoyer une contrib ?
Moi oui.
Resultat, la France aura le choix entre faire une analyse de toutes les contrib, ou refuser toutes les contrib.
Ca oui, mais sur le long terme le probleme reste le meme : il est trop couteux et complexe de gerer l'evolution et la maintenance d'un OS d'une taille pareille (= Mac OS X, Linux, Windows) pour meme un pays de taille moyenne, car ca coute extremement cher.
Sur un système libre est ouvert la plus part des failles seront communes... Si par exemple les états unis et la chine utilise linux (une version modifié, pas les mêmes modifs...), s'il y a un bug dans linux et que ce bug affecte ces deux versions, les agences de sureté de ces deux pays devront travailler ensemble (vu qu'ils travaillerons à résoudre les même problématiques) à la correction de cette faille.
Je te donnes une autre vision :
L'equipe chinoise trouve une faille.
Ils la corrigent dans leur version(qu'ils gardent pour eux evidemment) et ne le disent a personne.
Le jour ou ils en ont besoin, boom ils vont l'utiliser sur les systemes americains/francais/...
Si tu crees ta version pour des raisons de securite et d'independance, alors tu ne peux pas te reposer sur les contributions de code externes, relire des grosses contribs pour y trouver des failles qui auraient ete inserees est un vrai cauchemard, les gens a l'exterieur n'ont pas acces a ta version donc bon amusement pour l'integration, ...
Bref, ca oblige rapidement a devoir supporter la plateforme entiere soi-meme.
Mon avis est que la DGSE partage une grosse partie du code Linux avec les distrib "standards" et qu'ils n'ont pas fait grand chose d'autre qu'y mettre leur propre config voire qqe ajouts de softs ou modifications precises.
Tant qu'ils sont pret a faire confiance aux distribs c'est bon, le jour ou ca change, ils seront dans la mouise tout comme si c'etait Windows car ils devront s'occuper eux-meme de l'evolution et de la maintenance de tout le code, et la, bonjour l'explosion des couts et les problemes pour trouver les competences.
Comment dire... des entreprises comme Thales n'ont pas vraiment que les moyens des grosses SSII... ;-)
Beaucoup de systèmes critiques utilisent des OS propriétaires (j'imagine que Thales en a plusieurs en interne, y en a un qui tourne sur l'avionique A380 par exemple) ou même pas d'OS du tout (est-ce qu'un séquenceur est encore un OS ?)
Tout a fait, mais un OS generaliste ca couvre un espace extremement vaste, ca contient une quantite de code bcp plus grande qu'un OS specialise et ca a enormement plus de dependances.
L'equipe qui est en charge de la maintenance chez nous, c'est des centaines de personnes a plein temps avec des experiences bien particulieres, plus une aide reguliere d'autres equipes et un equipement materiel enorme(des milliers de machines, un tas de HW exotique, des machines multiproc, switchs et routeurs de tous bord...).
Et je parles juste de la maintenance la hein, pas du developpement futur de l'OS, la tu rajoutes qqe milliers de gens.
Meme Thales n'aurait pas les reins pour un projet de cette taille, tout simplement car il n'aurait pas un retour suffisant pour payer ce cout uniquement sur le territoire francais.
C'est plutôt cool, on peut penser qu'une partie d'entre-eux remonterons les bugs...
Pas de bol, leur job est justement de les garder bien au chaud en cas de besoin.
Je suppose que les chinois, comme d'autres peuples, souhaitent être en possession d'un système d'exploitation qu'ils contrôlent, qui s'adapte à leur besoin (la censure par exemple), qu'ils peuvent "forker" à tous moment.
C'est sur, et la Chine est un des rares pays qui en a les moyens de par sa masse, il leur faut encore trouver/former des gens ayant les connaissances par contre.
Il n'auront plus à chercher les failles dans le système de leurs concurrents, ils auront à leur disposition un système qui les protège.
Oh oui c'est sur, personne n'ira chercher de failles dans LEUR systeme bien entendu, les americains iront boire des bieres et les francais du vin...
Tu sais, j'ai eu la meme impression dans mon universite en Suisse, j'avais l'impression d'avoir recu une formation loin d'etre bonne et que les profs etaient des glandeurs sans interet pour leur job.
Ensuite je suis parti aux USA, et j'ai vu ce que l'americain moyen recoit comme education, mon avis sur mon universite publique qui ne m'a pas coute un sou a change du tout au tout, finalement ils se debrouillent pas mal a l'uni de Geneve...
A mon avis, il y a un certain effet "l'herbe est plus verte chez le voisin" avec l'enseignement. On voit tous des defauts et on se dit qu'ailleurs c'est different, la realite c'est que les voisins ont souvent des problemes identiques voire pire.
Ouais, aucune armée ne serait assez stupide pour utiliser un système propriétaire qu'elle ne maîtrise pas totalement (sources, indépendance technologique, etc.), connu pour ses dizaines de milliers de virus,non prévu pour l'embarqué critique, etc. Aucune.
Parce que tu crois qu'ils utilisent Windows pour de l'embarque critique ? Mais tu reves mon cher... Les serveurs sharepoint du ministere de la defense ne sont pas des systemes critiques, les ordinateurs de bord des Rafales je peux t'assurer qu'ils ne tournent pas sous Windows, ni sous Linux.
Sinon, ils ont les sources, quand a l'independance technologique, vu qu'ils n'ont tout simplement pas les moyens de maintenir un OS eux-meme, c'est un faux probleme(eh oui, c'est tres complexe et cher a faire, la SSII du coin, meme une grosse n'en a pas les moyens).
Perso ca me fait toujours rire qu'on ramene le choix des militaires au fait qu'il y a des virus sur une plateforme.
Ce qui importe c'est que la plateforme elle meme soit sure, et que les failles soient patchees.
Le nombre de virus sur une plateforme grand public, ca donne une vue sur l'interet de hackers pour leur renommee et du crime organise pour la plateforme, ca ne dit rien sur la securite de la plateforme.
Le jour ou la France passera sur Linux ou MultideskOS ou autre, crois-moi la Chine n'aura pas de probleme a dire a son unite de combat informatique d'arreter de chercher des failles dans Windows et de les chercher dans Linux, ils sont payes pour ca, et au vu des statistiques ils en trouveront tout autant si ce n'est plus.
Faut etre un minimum realiste aussi, le cout de la migration a Linux, c'est pas seulement le port de ce soft/plugin, il y a tout un tas de choses qui entrent en compte.
Faut pas comparer les 8 millions de Vista avec le seul cout du port de ce soft, il y a bcp d'autres choses a prendre en compte du cote de la migration au libre.
Je ne sais pas qui est Matt Miller. Michael Eddington est un officier de sécurité qui abandonné son poste dans Star Trek. Heureusement j'ai trouvé des infos sur Dan Kaminsky. Je ne suis pas développeur de renom ni (malheureusement) de grand talent mais dois-je m'inquiéter de ne pas connaitre ces personnes?
Le salaire n'est pas specifiquement le probleme, j'imagines que je gagnerais a peu pres la meme chose si je bossais pour IBM, voire Redhat ou autre grosse boite, et pas mal plus si je devenais consultant securite.
Il y a plusieurs cotes :
a) Le cote "mon job a un impact" : je vois les resultats de mon boulot dans la presse tous les mois (ca amene aussi son stress, si je merdes, c'est aussi dans la presse...), c'est plutot gratifiant de savoir que ce que tu fais affecte des centaines de millions de gens d'une maniere positive.
b) L'environnement : Je bosses regulierement avec des tetes genre Matt Miller, Dan Kaminsky, Michael Eddington, ...
d) Liberte : J'ai totale liberte de faire a peu pres ce que je veux dans ma position actuelle, mon manager me fait totalement confiance et suit a peu pres tout ce que je propose, et je peux reutiliser tout ce qui existe en interne pour developper de nouveaux outils(une vraie mine d'or), pour que je change de job (y compris a l'interieur de MS), il faudrait que je retrouves cette liberte totale ce qui risque d'etre dur
Ah oui d'ailleurs Microsoft corrige tous les bugs qu'on lui signale, ils sont efficaces là dessus. Pareil pour SAP et je te parle pas des autres gros à qui tu renvoies un rapport de bugs et dont tu peux considérer avoir de la chance si tu as un retour.
Les failles oui si on les considere comme des failles valides, et vu notre reputation dans le monde de la securite(a ne pas confondre avec le monde des fanboys Linux, je parles des gens qui savent ce qu'est une faille), faut croire qu'on fait un bon boulot.
Sinon niveau bugs "non-securite", tu penses quoi des bugs qui datent de plus d'un an dans les bugzillas de Mozilla, OOo, ... ?
Sans parler des atteintes à la liberté d'utilisation caractéristique du type "oui faut utiliser notre soft sur tel os puis telle version de java puis telle lib machin et boire telle marque de café sinon vous êtes hors charte d'utilisation et vous n'aurez pas de support".
T'as raison c'est scandaleux, tu devrais penser a te plaindre a Redhat.
Sinon, le support n'a rien a voir avec la liberte d'utilisation hein...
T'as deux/trois boîtes de dév. avec qui tu travailles qui sont réactives parce qu'elles sont dans un marché de niche et qu'elles te fournissent une appli métier ? Cool, mais ça ne résume pas le monde du logiciel privateur, celui des gros acteurs du marché et des gros contrats de support sans lesquels c'est même pas la peine de contacter le support. Désolé de te sortir de ton contexte limité et de ton jugement biaisé par ton expérience professionnelle/personnelle.
Si on regarde la plus grosse boite de logiciels "privateurs" de la planete, elle fait un bien meilleur boulot qu'a peu pres n'importe qui d'autre dans le domaine, et elle depense certainement bcp plus sur la securite de ses softs que n'importe qui d'autre.
Rigolons un peu mon cher, prends tous les softs qu'il y a dans Debian (ou Fedora, ou autre)
- Combien on eu un threat model developpe ?
- Combien ont eu des code reviews orientees securite faites ?
- Combien ont ete testees par un fuzzer efficace ?
- Combien ont eu leur design revu par un groupe oriente securite ?
Eh oui, on se rend tres tres vite compte qu'en fin de compte, les LL c'est le meme topo que tous les autres logiciels a ce niveau la : les plus gros font un boulot decent car ils se sont rendu compte que sans ca les alertes de securite affluent, les autres sont tous a la meme enseigne: tres peu voire rien, soit car ils ne savent pas que ca existe, soit parce qu'ils s'en foutent, soit parce qu'ils n'en ont pas les moyens(humains, financiers, ...).
Tous les developpements ici doivent suivre la SDL (security development lifecycle) et celle-ci definit les cas dans lesquels du fuzzing est necessaire ce qui d'habitude revient a : si ton interface peut recevoir les donnees d'un utilisateur autre que celui sous lequel il tourne(meme indirectement, quoique on a un concept de "nettoyage des donnees" par les interface intermediaires entre le composant et l'utilisateur qui definit ou cela s'arrete), c'est necessaire.
Ce n'est pas la même menace. Mono et MoonLight sont principalement développé par Novell et Novell peut y foutre des brevets de MS tout en étant tranquille (à cause de l'accord MS/Novell) et en plus ceci interdit aux autres de diffuser Mono et MoonLight (bref, Mono et MoonLight exclusivement pour Novell et MS). Ceci fait courir des risques supplémentaires à tout le monde sauf Novell et MS.
C'est vrai ou c'est faux ? C'est vrai.
C'est 100% faux, Mono et Moonlight etant sous GPL, si Novell met le code, alors ils donnent automatiquement une licence a tout le monde. Quand a mettre du code contenant un brevet MS, la GPL interdit cela vu que pour pouvoir le distribuer ils doivent pouvoir garantir que tout le monde peut utiliser le brevet.
Parce que Novell y contribue énormemment moins propotionnellement.
Et ? Novell n'a aucune importance ici, le code est sous GPL, si Novell met ses brevets dedans, ils filent automatiquement une licence de par le fait qu'ils distribuent.
Sans parler des nombreux autres projets libres auquel Novell contribue enormement et pour lesquels vous n'avez aucun probleme.
Parce qu'ils sont beaucoup plus audité par d'autres que par Novell.
Mouhahaha, tu veux la liste des softs dans Fedora qui sont moins audites que Mono / Moonlight ? J'en ai qqe centaines a te proposer.
Parce qu'ils ne sont pas "protégé" par un accord de non-agression TEMPORAIRE.
Bref, tu confirmes qu'au total, les autres softs sont _moins_ proteges, bref, tu confirmes que c'est une attitude sans aucun sens.
Parce que Novell n'a pas le copyright de Linux et Samba alors qu'il a celui de Mono et MoonLight. C'est-à-dire que novell peut rendre Mono et MoonLight "patent-friendly" (et même totalement proprio et close source) alors qu'il ne peut pas pour Linux et Samba.
Rien a voir, le code etant sous GPL, n'importe qui peut faire un fork sans risque. Mais ca tu le sais tres bien, tu cherches des excuses.
Parce que le MoonLight en téléchargement n'est pas totalement open source et inclut du binaire only (des codecs de MS).
Les sources sont dispo et les codecs sont remplacables par Mplayer, faudra trouver mieux
Et plus spécifiquement pour MoonLight, la FSF a dit qu'il y avait problème. Point barre. De plus, MoonLight n'est pas protégé par OIN. Pas encore tu diras...
Ouais la FSF a parle !!! Mais on sait tous les 2 quel jeu la FSF joue et que leur position n'a pas grand-chose a voir avec la realite, mais plus avec la politique.
Ça te suffit ?
Mais pourquoi j'argumente, vous en a rien à foutre.
Vous demandez pourquoi, mais vous en avez rien à foutre.
Mais mon cher, tes arguments ne tiennent pas, a croire que tu ne comprends pas la GPL
Tu manques la question principale a chaque fois, c'est ca le probleme.
Vous ne voulez pas de Mono/Moonlight car vous avez peur d'un proces de MS vis-a-vis de brevets.
C'est comprehensible.
Le truc, c'est que MS a des brevets sur tout et n'importe quoi, _la meme menace_ est applicable a Samba, le kernel, ... Pourquoi vous n'avez aucun probleme avec ces softs la ?
C'est la ou TImaniac a raison, fondamentalement il n'y a aucune difference entre Moonlight et le reste, car MS dit que Linux enfreint des brevets a droite a gauche(qu'ils aient tort ou raison n'est pas la question, on parle de menace). Bref, Moonlight n'est pas plus menace que le reste.
Chacun ses rêves, moi ce serait plutôt un équivalent d'OOo Draw, tu vois. Avant de penser à faire des diagrammes, pouvoir faire des dessins vectoriels tout simple, ce ne serait pas un luxe.
C'est drole, moi je regardes Word 2007 et je vois qu'il y a tout ce qu'il faut pour des cercles, triangles, carres, lignes, redimensionner, les tourner dans tous les sens, changer les couleurs, transparence, effets 3d, ...
[^] # Re: ROhhhhhhh
Posté par pasBill pasGates . En réponse à la dépêche Sortie de GNU Bash 4.0. Évalué à 1.
- tuyau entre 2 programmes qui comprennent les objets? Ce sont des objets qui sont passés.
- tuyau depuis un programme objet vers un autre: conversion des objets en représentation textuelle (qui est un dénominateur commun quelque part), le tuyau se chargeant de demander aux objets de s'afficher en texte.
C'est deja le cas dans Powershell.
[^] # Re: Critique = faut que ça marche sans bug et tout le temps
Posté par pasBill pasGates . En réponse à la dépêche Thales met à disposition un framework à composants logiciels visant les systèmes critiques. Évalué à 0.
a) Tu peux avoir ton propre depot independant de MS, ta machine ne communiquera jamais avec un serveur MS
b) Pas besoin d'ActiveX, il y a un client dans l'OS
c) Il t'installe les patchs automatiquement si tu veux
d) Les entreprises deployent les patchs pour tous les softs non-MS avec GPO depuis des annees automatiquement
Pour ce dernier point, je ne comprends même pas pourquoi Office 2000 n'est pas intégrable à Microsoft update... et pourquoi Microsoft s'ennuit a maintenir un Office Update !
Il y a Microsoft Update si tu aimes rester a travers le web (je ne vois aucune raison d'utiliser Windows Update ou Microsoft Update) qui fait les 2
Qui n'a jamais fait une mise à jour qui OBLIGE un reboot puis se retrouve encore avec une quinzaine de mise à jour après le reboot...
J'ai eu des postes debian qui ont connu 4 versions de distribution stable de debian sans jamais le reformater. Le passage de mon poste de travail de etch à lenny la semaine dernière a nécessité une mise à jour et un reboot, pas plus !
Depuis quand est-ce qu'il faut reformater un Windows pour le passer a la version suivante ? Ils supportent tous les upgrades sans probleme.
Sans parler de la qualité des mises à jour et des failles, le système de mise à jour d'une debian est très loin devant celui d'un système Windows.
Niveau qualite des mises a jour permet moi d'etre d'un avis totalement contraire. Regardons :
- http://lists.debian.org/debian-security-announce/2007/msg000(...) l'update ne contient pas le correctif de securite, vive le testing...
- http://lists.debian.org/debian-security-announce/2009/msg000(...) Plus possible de modifier les champs de table avec phpadmin...
- http://lists.debian.org/debian-security-announce/2008/msg002(...) regression dans Perl
- http://lists.debian.org/debian-security-announce/2008/msg002(...) regression dans courier-authlib
- http://lists.debian.org/debian-security-announce/2008/msg002(...) plus possible de se connecter a l'interface d'administration de mt-daapd, vive le testing
- http://lists.debian.org/debian-security-announce/2008/msg001(...) regression dans lighttpd
- http://lists.debian.org/debian-security-announce/2008/msg001(...) probleme avec le source package de cacti
- http://lists.debian.org/debian-security-announce/2008/msg001(...) 2 regressions dans ikiwiki
- http://lists.debian.org/debian-security-announce/2008/msg001(...) et hop encore une regression dans cacti
- http://lists.debian.org/debian-security-announce/2008/msg001(...) regression dans mailnews
- http://lists.debian.org/debian-security-announce/2008/msg000(...) regression dans nagios-plugins
...
Desole, mais il y a un taux de regression sacrement eleve
etc...
[^] # Re: Critique = faut que ça marche sans bug et tout le temps
Posté par pasBill pasGates . En réponse à la dépêche Thales met à disposition un framework à composants logiciels visant les systèmes critiques. Évalué à 0.
Justement non, pourquoi est-ce que le ministere virerait Windows si c'est pour se retrouver dependant d'une autre societe qu'il ne controle pas ?
Au niveau de l'audit : pour trouver de bugs, code source/binaire compilé, même combat. Il existe des outils pour auditer les deux. Sauf que si on a les sources, on a deux fois plus d'outils, passons. Le problème est plus du côté de la manière de corriger
Oui, et le gouvernement a les sources de Windows comme tu le sais, donc c'est pas un probleme pour lui.
Dans le cas de Windows, il est presque impossible de se passer de Microsoft (enfin, de l'éditeur du logiciel dont on n'a pas les sources). Alors que pour Linux, tu peux patcher les sources et maintenir ta propre version du paquet (ça coûte pas cher en maintenance), au moins en attendant que l'éditeur patche (ou alors si tu veux garder le correctif pour toi).
Oui en theorie.
Maintenant petite question: tu es le ministere de la defense, on vient de te signaler une faille dans le kernel.
Tu vas deployer un patch kernel que tu as ecrit toi-meme sur toutes les machines critique de l'armee ? Tu es sur que ton patch :
a) corrige le probleme correctement (bref tu es un expert du kernel et tu sais exactement quoi changer et comment)
b) ne casse rien (tu comprends tous les effets de bord, on revient a l'expertise necessaire, ainsi qu'a la comprehension des dependances)
c) est complet et n'oublie aucune variante (tu as passe du temps a faire l'analyse de variantes par analyse de code, fuzzing, ...)
?
Parce que faut bien comprendre, Redhat et autres, ils ne mettent pas plusieurs semaines a sortir un patch juste parce qu'ils aiment attendre, ils ont des gens specialises dans le domaine qui bossent sur ces patchs pour faire a), b) et c) et ca leur prend bcp de temps.
Croire que qqe gars dans leurs coins peuvent faire tout ce boulot c'est totalement irrealiste. Ca demande des moyens enorme afin de limiter les risques de regression et d'assurer une recherche de variantes efficace. Soit ils finiront le boulot apres Redhat, soit il y a de tres fortes chances qu'ils baclent le travail reguiierement, soit ils se retrouvent avec une equipe assez grosse pour remplacer Redhat, ce qui coute extremement cher.
[^] # Re: Critique = faut que ça marche sans bug et tout le temps
Posté par pasBill pasGates . En réponse à la dépêche Thales met à disposition un framework à composants logiciels visant les systèmes critiques. Évalué à 1.
Je parles pas de cybercriminalite, mais d'espionnage et de *combat* informatique, des equipes de l'armee formees a l'attaque de systemes informatiques adverses.
Les USA ont ca(plusieurs de mes collegues ont bosse dedans), la Chine aussi, la France probablement aussi.
Hum, encore du FUD Microsoft qui utilise uniquement le nombre bugs et non pas la criticité ou la période pendant laquelle le bug n'était pas patché.
Aucun FUD, j'ai bien parle de nombre non ? J'ai pas parle de securite generale ou autre (bien que j'ai mon point de vue la dessus qui ne sera pas le meme que le tien)
Je reste convaincu que la diversité des distributions Linux, la réactivité de corrections de bugs et la facilité de mise à jour sont d'autant de forces qui font que Linux est plus difficilement attaquable.
Faux probleme, le ministere de la defense, il va pas s'amuser a deployer 234 distributions differentes, il n'y en aura qu'une voire deux donc la cible est claire. Point de vue mise a jour, c'est pas specialement plus facile que Windows, il leur faudra un repository interne pour leurs updates et le gerer eux-meme, identique avec Windows. Quand a la reactivite elle a un pendant negatif certain: Quand tu sors une update apres 12h, clairement tu n'as pas fait d'analyse de variantes, et tu n'as pas correctement teste le patch.
Quand une faille est decouverte qqe part, souvent il y a des variantes dans le coin, lorsque tu sors un patch en 12h et que tu ne prend pas la peine de trouver ces variantes, ca revient a dire a toute la planete "eh les gars, il y a une faille ici que j'ai corrigee, et il y en a probablement d'autres dans les parages".
Resultat, le ministere de la defense se retrouvera dans une course contre la montre: trouvera t'il les variantes avant l'ennemi ? Dur a dire...
[^] # Re: Est-ce que je dois rire
Posté par pasBill pasGates . En réponse à la dépêche Thales met à disposition un framework à composants logiciels visant les systèmes critiques. Évalué à 0.
Ca c'est la theorie.
En pratique, on trouve constamment des failles dans les LL, y compris dans du code qui date de 5 ou 10 ans.
Bref, si il suffisait d'y avoir acces et de le lire, il n'y aurait plus de failles dans les LL depuis longtemps. La realite c'est que c'est extremement complique de trouver des failles, les revues de code sont loin d'etre suffisantes et ca demande un gros investissement sans aucune garantie que tu vas trouver toutes les failles.
Quoi qu'il en soit je suppose que tous les systèmes informatiques (cryptage, guidage satellite, etc,...) liés au secret-défense ne seront jamais libres. Ça me semble incompatible avec la notion de secret. Mais dans tous les autres domaines, le libre s'imposera.
Le monde se globalise, et seul un logiciel "globalisé", universel, pas lié à un pays* ou à une entreprise peut survivre.
Je crois que tu reves un peu la.
[^] # Re: Critique = faut que ça marche sans bug et tout le temps
Posté par pasBill pasGates . En réponse à la dépêche Thales met à disposition un framework à composants logiciels visant les systèmes critiques. Évalué à 1.
Si t'es le departement de la defense avec ta propre distrib et tu recois une contrib, t'as une vision des choses un peu differente de l'utilisateur moyen...
Sous Linux, les sources de tous les logiciels sont disponibles et on peut donc auditer le code de Firefox, Gnash, Gstreamer, etc. D'ailleurs, d'autres le font dans le monde entier et ont déjà rapportés de bugs s'ils en ont trouvés ;-)
On *peut*, le probleme c'est la complexite de la tache, si tu sais quel genre de probleme tu cherches et ou, tu vas trouver.
Si je te donnes les 2352 fichiers cpp et te dis "va trouver des failles", tu va vite tomber dans les pommes et tu rateras nombre de failles je te le garantis, je parles d'experience.
J'ai tendance à avoir moins confiance dans les logiciels dont je n'ai pas accès aux sources. Autre nuance entre Windows et Linux : sous Windows, les éditeurs ont souvent des motivations financières. Certains vont jusqu'à se laisser tenter par l'ajout de logiciels espions (envoi d'information, insertion de pub, etc.)
Tu bosses pour le gouvernement russe disons (et tu es d'origine disons... allemande ou belge, histoire que ton nom sonne pas comme une alarme), on te dit que la France a sa propre distrib Linux pour le ministere de la defense.
Ca te viendrait pas a l'idee d'envoyer une contrib ?
Moi oui.
Resultat, la France aura le choix entre faire une analyse de toutes les contrib, ou refuser toutes les contrib.
[^] # Re: Critique = faut que ça marche sans bug et tout le temps
Posté par pasBill pasGates . En réponse à la dépêche Thales met à disposition un framework à composants logiciels visant les systèmes critiques. Évalué à -1.
[^] # Re: Est-ce que je dois rire
Posté par pasBill pasGates . En réponse à la dépêche Thales met à disposition un framework à composants logiciels visant les systèmes critiques. Évalué à 0.
Je te donnes une autre vision :
L'equipe chinoise trouve une faille.
Ils la corrigent dans leur version(qu'ils gardent pour eux evidemment) et ne le disent a personne.
Le jour ou ils en ont besoin, boom ils vont l'utiliser sur les systemes americains/francais/...
[^] # Re: Critique = faut que ça marche sans bug et tout le temps
Posté par pasBill pasGates . En réponse à la dépêche Thales met à disposition un framework à composants logiciels visant les systèmes critiques. Évalué à 0.
Si tu crees ta version pour des raisons de securite et d'independance, alors tu ne peux pas te reposer sur les contributions de code externes, relire des grosses contribs pour y trouver des failles qui auraient ete inserees est un vrai cauchemard, les gens a l'exterieur n'ont pas acces a ta version donc bon amusement pour l'integration, ...
Bref, ca oblige rapidement a devoir supporter la plateforme entiere soi-meme.
Mon avis est que la DGSE partage une grosse partie du code Linux avec les distrib "standards" et qu'ils n'ont pas fait grand chose d'autre qu'y mettre leur propre config voire qqe ajouts de softs ou modifications precises.
Tant qu'ils sont pret a faire confiance aux distribs c'est bon, le jour ou ca change, ils seront dans la mouise tout comme si c'etait Windows car ils devront s'occuper eux-meme de l'evolution et de la maintenance de tout le code, et la, bonjour l'explosion des couts et les problemes pour trouver les competences.
[^] # Re: Critique = faut que ça marche sans bug et tout le temps
Posté par pasBill pasGates . En réponse à la dépêche Thales met à disposition un framework à composants logiciels visant les systèmes critiques. Évalué à 0.
Beaucoup de systèmes critiques utilisent des OS propriétaires (j'imagine que Thales en a plusieurs en interne, y en a un qui tourne sur l'avionique A380 par exemple) ou même pas d'OS du tout (est-ce qu'un séquenceur est encore un OS ?)
Tout a fait, mais un OS generaliste ca couvre un espace extremement vaste, ca contient une quantite de code bcp plus grande qu'un OS specialise et ca a enormement plus de dependances.
L'equipe qui est en charge de la maintenance chez nous, c'est des centaines de personnes a plein temps avec des experiences bien particulieres, plus une aide reguliere d'autres equipes et un equipement materiel enorme(des milliers de machines, un tas de HW exotique, des machines multiproc, switchs et routeurs de tous bord...).
Et je parles juste de la maintenance la hein, pas du developpement futur de l'OS, la tu rajoutes qqe milliers de gens.
Meme Thales n'aurait pas les reins pour un projet de cette taille, tout simplement car il n'aurait pas un retour suffisant pour payer ce cout uniquement sur le territoire francais.
[^] # Re: Est-ce que je dois rire
Posté par pasBill pasGates . En réponse à la dépêche Thales met à disposition un framework à composants logiciels visant les systèmes critiques. Évalué à 1.
C'est plutôt cool, on peut penser qu'une partie d'entre-eux remonterons les bugs...
Pas de bol, leur job est justement de les garder bien au chaud en cas de besoin.
Je suppose que les chinois, comme d'autres peuples, souhaitent être en possession d'un système d'exploitation qu'ils contrôlent, qui s'adapte à leur besoin (la censure par exemple), qu'ils peuvent "forker" à tous moment.
C'est sur, et la Chine est un des rares pays qui en a les moyens de par sa masse, il leur faut encore trouver/former des gens ayant les connaissances par contre.
Il n'auront plus à chercher les failles dans le système de leurs concurrents, ils auront à leur disposition un système qui les protège.
Oh oui c'est sur, personne n'ira chercher de failles dans LEUR systeme bien entendu, les americains iront boire des bieres et les francais du vin...
[^] # Re: Ecole privée..
Posté par pasBill pasGates . En réponse à la dépêche WinGineer : concours d'algorithmique, avec bourse d'étude d'ingénieur. Évalué à 4.
Ensuite je suis parti aux USA, et j'ai vu ce que l'americain moyen recoit comme education, mon avis sur mon universite publique qui ne m'a pas coute un sou a change du tout au tout, finalement ils se debrouillent pas mal a l'uni de Geneve...
A mon avis, il y a un certain effet "l'herbe est plus verte chez le voisin" avec l'enseignement. On voit tous des defauts et on se dit qu'ailleurs c'est different, la realite c'est que les voisins ont souvent des problemes identiques voire pire.
[^] # Re: Ca va bien avec les couleurs
Posté par pasBill pasGates . En réponse au journal Ubuntu 9.10 sera Karmik Koala. Évalué à 2.
[^] # Re: Critique = faut que ça marche sans bug et tout le temps
Posté par pasBill pasGates . En réponse à la dépêche Thales met à disposition un framework à composants logiciels visant les systèmes critiques. Évalué à 0.
Parce que tu crois qu'ils utilisent Windows pour de l'embarque critique ? Mais tu reves mon cher... Les serveurs sharepoint du ministere de la defense ne sont pas des systemes critiques, les ordinateurs de bord des Rafales je peux t'assurer qu'ils ne tournent pas sous Windows, ni sous Linux.
Sinon, ils ont les sources, quand a l'independance technologique, vu qu'ils n'ont tout simplement pas les moyens de maintenir un OS eux-meme, c'est un faux probleme(eh oui, c'est tres complexe et cher a faire, la SSII du coin, meme une grosse n'en a pas les moyens).
Perso ca me fait toujours rire qu'on ramene le choix des militaires au fait qu'il y a des virus sur une plateforme.
Ce qui importe c'est que la plateforme elle meme soit sure, et que les failles soient patchees.
Le nombre de virus sur une plateforme grand public, ca donne une vue sur l'interet de hackers pour leur renommee et du crime organise pour la plateforme, ca ne dit rien sur la securite de la plateforme.
Le jour ou la France passera sur Linux ou MultideskOS ou autre, crois-moi la Chine n'aura pas de probleme a dire a son unite de combat informatique d'arreter de chercher des failles dans Windows et de les chercher dans Linux, ils sont payes pour ca, et au vu des statistiques ils en trouveront tout autant si ce n'est plus.
[^] # Re: .
Posté par pasBill pasGates . En réponse au journal Red Hat annonce sa stratégie pour la virtualisation. Évalué à 4.
RDP 7 dans Windows 7 / 2008 R2 le supporte, de meme que le remoting DirectX cf. http://www.dabcc.com/article.aspx?id=9284
[^] # Re: le libre et les pouvoirs publics .
Posté par pasBill pasGates . En réponse au journal Le futur de sunbird/lightning : mauvaises nouvelles.... Évalué à 4.
Faut pas comparer les 8 millions de Vista avec le seul cout du port de ce soft, il y a bcp d'autres choses a prendre en compte du cote de la migration au libre.
[^] # Re: Un indispensable du cycle de développement
Posté par pasBill pasGates . En réponse à la dépêche Publication de Fusil le fuzzer 1.2. Évalué à 2.
http://www.eweek.com/c/a/Security/Microsoft-Patch-Tuesday-Fi(...)
http://blogs.pcmag.com/securitywatch/2008/12/8_patches_from_(...)
etc...
Je ne sais pas qui est Matt Miller. Michael Eddington est un officier de sécurité qui abandonné son poste dans Star Trek. Heureusement j'ai trouvé des infos sur Dan Kaminsky. Je ne suis pas développeur de renom ni (malheureusement) de grand talent mais dois-je m'inquiéter de ne pas connaitre ces personnes?
Matt Miller (aka Skape) : http://www.hick.org/~mmiller/
Michael Eddington : http://phed.org/ & http://peachfuzzer.com/
Ils sont assez connus dans le monde de la securite, mais vu ce qu'ils font, il est assez normal qu'en dehors de ce monde ils ne le soient pas trop
[^] # Re: Un indispensable du cycle de développement
Posté par pasBill pasGates . En réponse à la dépêche Publication de Fusil le fuzzer 1.2. Évalué à 2.
Il y a plusieurs cotes :
a) Le cote "mon job a un impact" : je vois les resultats de mon boulot dans la presse tous les mois (ca amene aussi son stress, si je merdes, c'est aussi dans la presse...), c'est plutot gratifiant de savoir que ce que tu fais affecte des centaines de millions de gens d'une maniere positive.
b) L'environnement : Je bosses regulierement avec des tetes genre Matt Miller, Dan Kaminsky, Michael Eddington, ...
c) Possibilites : J'ai acces a des outils ici qui sont sans commune mesure avec ce qui se trouve ailleurs(petit exemple: ftp://ftp.research.microsoft.com/pub/tr/TR-2007-58.pdf )
d) Liberte : J'ai totale liberte de faire a peu pres ce que je veux dans ma position actuelle, mon manager me fait totalement confiance et suit a peu pres tout ce que je propose, et je peux reutiliser tout ce qui existe en interne pour developper de nouveaux outils(une vraie mine d'or), pour que je change de job (y compris a l'interieur de MS), il faudrait que je retrouves cette liberte totale ce qui risque d'etre dur
[^] # Re: Un indispensable du cycle de développement
Posté par pasBill pasGates . En réponse à la dépêche Publication de Fusil le fuzzer 1.2. Évalué à 1.
Les failles oui si on les considere comme des failles valides, et vu notre reputation dans le monde de la securite(a ne pas confondre avec le monde des fanboys Linux, je parles des gens qui savent ce qu'est une faille), faut croire qu'on fait un bon boulot.
Sinon niveau bugs "non-securite", tu penses quoi des bugs qui datent de plus d'un an dans les bugzillas de Mozilla, OOo, ... ?
Sans parler des atteintes à la liberté d'utilisation caractéristique du type "oui faut utiliser notre soft sur tel os puis telle version de java puis telle lib machin et boire telle marque de café sinon vous êtes hors charte d'utilisation et vous n'aurez pas de support".
T'as raison c'est scandaleux, tu devrais penser a te plaindre a Redhat.
Sinon, le support n'a rien a voir avec la liberte d'utilisation hein...
T'as deux/trois boîtes de dév. avec qui tu travailles qui sont réactives parce qu'elles sont dans un marché de niche et qu'elles te fournissent une appli métier ? Cool, mais ça ne résume pas le monde du logiciel privateur, celui des gros acteurs du marché et des gros contrats de support sans lesquels c'est même pas la peine de contacter le support. Désolé de te sortir de ton contexte limité et de ton jugement biaisé par ton expérience professionnelle/personnelle.
Si on regarde la plus grosse boite de logiciels "privateurs" de la planete, elle fait un bien meilleur boulot qu'a peu pres n'importe qui d'autre dans le domaine, et elle depense certainement bcp plus sur la securite de ses softs que n'importe qui d'autre.
[^] # Re: Un indispensable du cycle de développement
Posté par pasBill pasGates . En réponse à la dépêche Publication de Fusil le fuzzer 1.2. Évalué à 1.
[^] # Re: Un indispensable du cycle de développement
Posté par pasBill pasGates . En réponse à la dépêche Publication de Fusil le fuzzer 1.2. Évalué à 5.
- Combien on eu un threat model developpe ?
- Combien ont eu des code reviews orientees securite faites ?
- Combien ont ete testees par un fuzzer efficace ?
- Combien ont eu leur design revu par un groupe oriente securite ?
Eh oui, on se rend tres tres vite compte qu'en fin de compte, les LL c'est le meme topo que tous les autres logiciels a ce niveau la : les plus gros font un boulot decent car ils se sont rendu compte que sans ca les alertes de securite affluent, les autres sont tous a la meme enseigne: tres peu voire rien, soit car ils ne savent pas que ca existe, soit parce qu'ils s'en foutent, soit parce qu'ils n'en ont pas les moyens(humains, financiers, ...).
[^] # Re: Un indispensable du cycle de développement
Posté par pasBill pasGates . En réponse à la dépêche Publication de Fusil le fuzzer 1.2. Évalué à 4.
[^] # Re: Red Hat ?
Posté par pasBill pasGates . En réponse à la dépêche Partenariat entre Red Hat et Microsoft sur la virtualisation. Évalué à 1.
C'est vrai ou c'est faux ? C'est vrai.
C'est 100% faux, Mono et Moonlight etant sous GPL, si Novell met le code, alors ils donnent automatiquement une licence a tout le monde. Quand a mettre du code contenant un brevet MS, la GPL interdit cela vu que pour pouvoir le distribuer ils doivent pouvoir garantir que tout le monde peut utiliser le brevet.
Parce que Novell y contribue énormemment moins propotionnellement.
Et ? Novell n'a aucune importance ici, le code est sous GPL, si Novell met ses brevets dedans, ils filent automatiquement une licence de par le fait qu'ils distribuent.
Sans parler des nombreux autres projets libres auquel Novell contribue enormement et pour lesquels vous n'avez aucun probleme.
Parce qu'ils sont beaucoup plus audité par d'autres que par Novell.
Mouhahaha, tu veux la liste des softs dans Fedora qui sont moins audites que Mono / Moonlight ? J'en ai qqe centaines a te proposer.
Parce qu'ils ne sont pas "protégé" par un accord de non-agression TEMPORAIRE.
Bref, tu confirmes qu'au total, les autres softs sont _moins_ proteges, bref, tu confirmes que c'est une attitude sans aucun sens.
Parce que Novell n'a pas le copyright de Linux et Samba alors qu'il a celui de Mono et MoonLight. C'est-à-dire que novell peut rendre Mono et MoonLight "patent-friendly" (et même totalement proprio et close source) alors qu'il ne peut pas pour Linux et Samba.
Rien a voir, le code etant sous GPL, n'importe qui peut faire un fork sans risque. Mais ca tu le sais tres bien, tu cherches des excuses.
Parce que le MoonLight en téléchargement n'est pas totalement open source et inclut du binaire only (des codecs de MS).
Les sources sont dispo et les codecs sont remplacables par Mplayer, faudra trouver mieux
Et plus spécifiquement pour MoonLight, la FSF a dit qu'il y avait problème. Point barre. De plus, MoonLight n'est pas protégé par OIN. Pas encore tu diras...
Ouais la FSF a parle !!! Mais on sait tous les 2 quel jeu la FSF joue et que leur position n'a pas grand-chose a voir avec la realite, mais plus avec la politique.
Ça te suffit ?
Mais pourquoi j'argumente, vous en a rien à foutre.
Vous demandez pourquoi, mais vous en avez rien à foutre.
Mais mon cher, tes arguments ne tiennent pas, a croire que tu ne comprends pas la GPL
[^] # Re: Red Hat ?
Posté par pasBill pasGates . En réponse à la dépêche Partenariat entre Red Hat et Microsoft sur la virtualisation. Évalué à 1.
Vous ne voulez pas de Mono/Moonlight car vous avez peur d'un proces de MS vis-a-vis de brevets.
C'est comprehensible.
Le truc, c'est que MS a des brevets sur tout et n'importe quoi, _la meme menace_ est applicable a Samba, le kernel, ... Pourquoi vous n'avez aucun probleme avec ces softs la ?
C'est la ou TImaniac a raison, fondamentalement il n'y a aucune difference entre Moonlight et le reste, car MS dit que Linux enfreint des brevets a droite a gauche(qu'ils aient tort ou raison n'est pas la question, on parle de menace). Bref, Moonlight n'est pas plus menace que le reste.
[^] # Re: Le probleme
Posté par pasBill pasGates . En réponse à la dépêche Microsoft, marketing et éducation. Évalué à 0.
C'est drole, moi je regardes Word 2007 et je vois qu'il y a tout ce qu'il faut pour des cercles, triangles, carres, lignes, redimensionner, les tourner dans tous les sens, changer les couleurs, transparence, effets 3d, ...