pasBill pasGates a écrit 16062 commentaires

Probablement. Richard de la NSA fera ça car Michael de la NSA est déjà occupé à faire de même avec Redhat.

Un code open source ne veut pas dire que tu dois accepter du code de n'importe qui. Ou meme en accepter tout cours.

Un code proprio ne veut pas dire que tu vas mettre des backdoors dedans.

Mais bien sur que si qu'il y a une difference. On ne peut jamais avoir une garantie à 100%, ca ne veut pas dire qu'il n'y a pas de difference.

C'est quoi la différence alors ? Faire un code open source sans accepter de changement ? Ca laisse toujours la porte ouverte à l'auteur d'y insèrer ses backdoors, comme un auteur proprio.

Et en pratique, dans la vraie vie, combien de projets ayant une valeur sont dans ce cas ? Linux ? Apache ? OpenOffice ? KDE ? Gnome ? … Ah oui, aucun.

"beaucoup plus complique" ?

Vraiment ?

Si moi demain, je veux insérer une backdoor dans Linux, je peux. J'envoies qqe patches qui sont bien, je gagnes la confiance, et au bout d'un moment j'insères ma backdoor discrètement. Au pire, les gens la verront, croiront que c'est un bug innocent, je réessaierai un peu plus tard et je finirai par y arriver.

Si je veux aller insèrer une backdoor dans iOS ou Windows par contre, ah ben merde, j'ai pas accès… Seule la société elle-même peut le faire.

Ces 2 phrases sont vraies pour n'importe qui. Moi, toi, TImaniac, ta grand-mère, …

Eh oui, il n'est pas si évident que ce soit plus simple d'un coté que de l'autre.

Ben oui, avoir et pouvoir lire les sources c'est une sacrée garantie qu'il n'y a pas de failles/backdoors.

Shellshock et Heartbleed l'ont très bien montré.

T'auras du mal, bcp de mal, à faire mieux que les gros providers de "cloud computing" en terme de fiabilité et étiquette environnement vu qu'ils optimisent un max l'utilisation de leurs ressources (pour raisons monétaires), ce qui permet justement de limiter le nombre de systèmes consommant au maximum en placant de manière optimisée les VMs sur les serveurs, alors que toi, au final ta machine continuera de bouffer de l'énergie alors que tu ne l'utiliseras probablement que très rarement.

Pfff petit jeune…. moi je sauvais mes premières lignes de code sur cassette audio avec mon Intellivision !

Ou qu'un editeur de logiciel refuserait forcement d'ajouter une backdoor si la NSA le demandait ?

Ca c'est une bonne question.

Combien de développeurs Linux bossent pour Redhat, Google, IBM, … déjà ?

Merci de nous confirmer toi-même ce que TImaniac dit.

C'est absolument pas comparable. Dans un cas on a un evenement heureusement assez rare, un bug critique qui n'a pas été reperé pendant plusieurs années. Dans l'autre, le dev du logiciel proprietaire peut rajouter une backdoor en 5 minutes dans n'importe quelle release sans que personne ne puisse le savoir.

Tu me fais bien marrer. Qu'est ce qui te dit que ce bug Shellshock n'était pas une backdoor ? Tu n'en sais absolument rien. Tu t'amuses à assumer que n'importe quelle vulnérabilité trouvée dans un soft libre est juste ça : une vulnérabilité innocente, alors que tu mets le doute sur le proprio, on va dire que c'est sacrément gonflé.

Dans l'autre, le dev du logiciel proprietaire peut rajouter une backdoor en 5 minutes dans n'importe quelle release sans que personne ne puisse le savoir.

Ca doit bien être pour ça que plein de backdoor ont été trouvées dans divers produits (firmwares de routeurs notamment) ? Ah ben non, visiblement elles se trouvent, même dans du code binaire.

Word 2007 je sais pas, mais Word 2013 (laptop maison, p-e que 2010/2007 l'ont aussi) a une option "premiere page differente" dans le ruban du footer.

Tu choisis ca, enleves le numero du de page de la 1ere page, et tu clique droit sur le numero de page du footer dans la page 2 pour changer le numero de depart a 0, ca amene ta 2eme page a etre la 1ere.

De ce que je lis, ils 'cassent' principalement à travers :
- des failles software
- des certificats 'volés'

Ce n'est pas des failles de protocole/algorithme crypto ou une puissance de calcul dingue

Partant de la, je ne trouves pas cela si inquiétant que cela. Il n'y a pas grand chose de nouveau.

Word 2010 (en anglais) :

Tab "Insert" du ruban, choisir "Footer" -> Blank (ou autre, ça ne change rien à la suite…)

Une fois dans la tab du Footer, cliquer sur l’icône "Page Number" dans le ruban, et choisir le modèle approprié.

Ouh lala c'était compliqué !

CreateObject ca crée une instance de l'objet COM représentant l'application Word, Visible ça le met en visible oui, mais évidemment il suffit de le mettre en false, et tout se passera en background sans que cela soit visible.

Word, Excel, IE, SQL Server… ont tous des objets COM exposant leur fonctionnalité, avec un objet COM en haut de l'arborescence qui représente l'application elle-même, que tu peux réutiliser à bon vouloir à travers n'importe quel langage qui supporte l'appel d'objets COM.
Quand tu vois un installer faire tout un tas de registrations à l'installation, c'est souvent pour ça : enregistrer les interfaces des objets COM dans le système (une GUID) et l'associer à un dll/exe sur le disque. Ca permet ensuite à un script ou autre de simplement instancier un objet par son nom ou son GUID.

Bref, tu peux automatiser ton Word ou Excel ou autre en C#, VBScript, C++, Python,… très simplement.

Ah VBScript (ou Powershell, ou n'importe quel language supportant OLE en fait…)

Exemple volé sur un des blogs de MS :

Set objWord = CreateObject("Word.Application")
objWord.Visible = True
Set objDoc = objWord.Documents.Add()
Set objRange = objDoc.Range()
objDoc.Tables.Add objRange, 1, 3
Set objTable = objDoc.Tables(1)
objTable.Cell(1, 1).Range.Text = "Row 1, Column 1"
objTable.Cell(1, 2).Range.Text = "Row 1, Column 2"
objTable.Cell(1, 3).Range.Text = "Row 1, Column 3"

Ce qui est marrant vu le poste du haut, c'est qu'il est bien plus facile de créer une table de manière automatisée avec Word qu'avec LaTeX, il y a tout un tas d'APIs pour ça.

Tout a fait, il faut se mettre dans la tête que pour Win32, le chemin de path maximum est MAX_PATH (255) caractères. Le truc '\\?\' revient à faire un bypass de Win32, faut pas espérer que les softs Windows vont gérer cela vu que l'objectif de la chose est justement un bypass.

Vraiment ? Et quand tu as des objets de type fondamentalement différent, avec un nom de méthode identique et potentiellement des arguments totalement différents, ca donne quoi ?

C'est pas une limitation, c'est un effet tout a fait normal. '\\?\' signifie au système: " n'essaye pas d'interpréter le chemin, envoie le directement au FS". Ca empêche évidemment toute résolution de chemins relatifs.

Snowden a publié ce qu'il trouve scandaleux : les capacités offensives et comment ils les utilisent.

Leurs capacités défensives, Snowden n'a rien contre, vu que justement c'est de la défense. Faut pas s'attendre à le voir les lister.

Ben non. Le boulot de la NSA est aussi de protèger, notamment l'infrastructure du gouvernement. Ils sont juste bcp plus connus pour leur coté James Bond que pour l'autre.

En lisant ça, tout ce que cela dit est que les adresses utilisées avaient été utilisées précédemment par la Corée du Nord, pas qu'elles étaient assignées à la Corée du Nord.

Genre ça aurait pu être un serveur sur Azure ou AWS, utilisé précédemment.

"Linux Other" signifie que c'est un Linux, et qu'ils n'ont pas réussi à savoir quelle distrib. Ca pourrait être des Ubuntu, Redhat ou autre en grande majorite, on n'en sait rien (j'imagines que c'était des clients ne passant pas de user-agent assez précis).

Si git supposait que 2 fichiers avec une casse différente sont de fichiers identiques, alors on pourrait dire aussi que c'est de sa faute car ce n'est pas le cas avec tous les systèmes de fichiers.

Le client git est spécifique à un OS, il est sensé suivre les conventions de celui-ci, et c'est à lui de protèger le système du client d'un serveur qui enverrait qqe chose de malicieux, aussi simple que ça.

Rien à voir avec être étudiant ou pas, la plupart des gens, que ce soit aux US ou en Europe hein, se préoccupent de ce qui les affecte directement, dans un futur à peu près proche (on va dire qqe années ou jusqu'à leur retraite au mieux).

Les gens qui se préoccupent de l'état de la planète dans 200 ou 2000 ans, de qui pourrait être au pouvoir dans 20 ou 30 ans, etc… c'est une minorité, pas infime, mais une minorité. C'est triste, mais c'est comme ça…

Bien sur, mais ca me semble sacrément tiré par les cheveux simplement pour la raison première : La société lançant l'attaque prend un risque énorme de se faire attraper par le govt US, car ils n'ont aucune idéee des "envies" politiques de ce dernier en regard de la Corée du Nord.

Avec un soft concu proprement oui, quand il se rend compte qu'un fichier avec le meme nom existe deja, il devrait ouvrir un prompt avec un avertissment si il est ecrit proprement.

Je doutes que ce soit Sony qui mène les gens en bateau, vu le dommage énorme que cela a fait a leur réputation et l'effet que cela a eu sur leurs opérations, en plus, mener le FBI en bateau comme ça, faut pas avoir peur, si le FBI s'en rend compte, les gens responsables iraient en prison, pas simplement avec une amende…

Ensuite, Corée du Nord / pas Corée du Nord. C'est un peu le tirage au sort. A mon avis on n'aura jamais une confirmation sûre et vérifiable.