Back doors are simply not acceptable. Besides, they wouldn’t find anybody on this team willing to implement and test the back door.
… Niels Ferguson (developer & cryptographer)
Je sais pas si il y a des gens qui s'interessent aux gadgets proprietaires d'Apple ici, mais en tout cas il y a visiblement des gens qui ne comprennent pas le second degre.
Je viens pourtant d'acheter un MacBook Pro il y a 3 semaines (et non, je n'ai pas vire Mac OS X, j'utilises BootCamp), mais a regarder iOS 7 j'ai vraiment l'impression d'une regression enorme au niveau visuel, c'est d'un moche incroyable. Apple sans Steve Jobs c'est quand meme plus ca.
il n'y avait pas obligation à pouvoir désactiver secureboot il n'y avait pas d'obligation à ce que l'utilisateur puisse rajouter des clefs
Faux.
Ce n'etait simplement pas publique car Windows 8 etait en cours de developpement et on ne publie evidemment rien des guidelines a ce moment la.
Que cela n'ait pas ete publique au moment ou les gens se sont mis a crier ne veut pas dire que ce n'etait pas le cas. (Et la raison pour laquelle ca l'etait deja sur x86 etait simple : eviter des problemes anti-trust)
Faut arrêter, ils n'ont pas besoin de faire ce genre de démarche. Ils ont des moyens de pression énorme sur vous et vous font plier comme une brindille. Vous n'avez pas votre mot à dire si la NSA veut quelque chose, vous le ferrez pour pas chère.
Ben justement, ils ont un gros probleme : il y a plein d'etrangers dans la boite qui ont acces au code.
À partir des binaires tu trouve une faille de manière assez compliquée, pour trouver de vrais malfaçon ça deviens bien plus ardu. Pour trouver une backdoor multi-agent qui s'appuie sur une série de logiciel dont certains ne sont pas forcément édités par MS ça deviens bien plus compliqué. Si vous souhaitez ajouter une backdoor dans windows, ça n'a rien de difficile pour vous.
T'as pas compris.
Un gars en interne la trouve.
Mais il la publie de maniere anonyme, avec des details venant des binaires publiques, pas du code. (Une fois que t'as compris la faille a partir du code, la retrouver a partir des binaires est facile).
Partant de la, il devient impossible de remonter a la source, parce qu'il y a un milliard de gens qui ont ces binaires.
Et alors ? La plus grande partie, ce n'est pas tout. Et le choix d'implémenter tel ou tel standard ne dépend pas d'eux, mais de leur hiérarchie.
Tu te fous de qui la ? Tu n'as aucune idee de comment cela fonctionne dans la boite et tu veux venir me raconter des salades la dessus ? Ce qui atterit dans le produit c'est une collaboration entre le dev team et les program managers, rien ne se fait sans l'accord des deux.
Et tu sais, il y a une grande différence entre Microsoft Research et Microsoft / développement de windows & Co.
De nouveau, tu racontes n'importe quoi
Ils ont ecrit eux-meme de grandes parties du code crypto, les commits je les vois moi contrairement a toi.
Faudra quand meme penser un moment a arreter de raconter n'importe quoi sur des sujets auxquels tu ne connais rien hein.
Si tu veux divulger qqe chose de la NSA, tu viens forcement de la NSA, ils ont tout ce qu'il faut comme logs pour savoir qui a eu acces a quoi et ils te retrouveront.
Si tu divulges une backdoor dans Windows, n'importe qui sur cette planete peut le faire car les binaires sont sur 1 milliard de machines et n'importe qui pourrait techniquement les trouver. Resultat, qq'un qui divulge ca en anonyme, il n'y a aucun moyen de remonter a lui.
Bref ça prouve seulement que Microsoft n'a pas beaucoup de héros parmi son personnel, et/ou que la NSA cible avec beaucoup d'attention les personnes de chez Microsoft avec qui elle collabore.
Note qu'il n'est pas nécessaire qu'il y ai une grosse backdoor « m'as-tu vu » dans le noyau, ça peut marcher de concert avec un ou plusieurs programmes en espace utilisateur (donc oui la procédure d'installation est-toute aussi critique). Ça fait des années que les pirates font ça en espace utilisateur pourquoi pas la NSA ?
Mais evidemment que si la NSA a vraiment envie d'inserer une backdoor dans l'OS elle y arrivera. Il n'y a pas de protection parfaite contre ca, il suffit qu'ils fassent engager 2-3 gars chevronnes. Ils font engager le 1er, qui dit "eh, je connais un pote pour ce poste libre", et hop ca fait 2 gars dans la meme equipe ni vu ni connu.
Idem dans le monde Linux, le gars commence a faire de petits commits pour gagner la confiance et gentiment il change des choses a droite a gauche. Tu ne peux rien faire contre ca.
Ouai et il prend quand même assez chère, tu ne trouve pas ? T'a l'impression qu'il est acclamé ? Qu'on lui déroule le tapis rouge et qu'avant d'avoir son asile en Russie, il ne vivait pas la peur au ventre ? Tu trouve que ça donne envie ?
La difference enorme est que le gars qui a envie de montrer une backdoor dans Windows, il n'y a qu'a aller parquer sa voiture a cote d'un Starbucks, utiliser le free wifi pour poster tous les details pour trouver la backdoor a partir des binaires de monsieur tout le monde de maniere anonyme et c'est regle, impossible de tracer la chose.
Snowden lui, du moment ou le leak apparaissait, la NSA savait qui c'etait. MS n'a pas cette possibilite car si backdoor il y a dans le code, il est techniquement possible a n'importe qui sur cette planete de la trouver a partir des binaires.
Ben j'imagines que c'est les pubs et le fait d'avoir un conduit direct a enormement de gens pour pousser les autres produits de la boite, comme tout le monde.
Ben vu que d’après Wikipédia, c’est la première boîte à avoir participé, le raccourci est assez facile :
Non justement, je ne vois pas en quoi etre les premiers fait d'eux des volontaires.
Et si c'est faux, faudra penser à corriger Wikipedia :
T'as remarque le mot "voluntary" dans la phrase de MS ?
Oui, et encore une fois, c’est très diversifié. Il ne suffit pas d’avoir un noyau Linux pour que ça marche, surtout qu’un noyau n’est pas compilé de la même façon sur un serveur ou un routeur.
T'as une idee de la quantite de code qui est identique dans un noyau Linux sur un tas de plateformes differentes ?
Tu crois qu'il y a combien de piles reseau differentes ? Combien de generateurs de nombre aleatoire differents ? les drivers de filesystem genre fat/ext2 tu crois qu'ils sont presents sur combien de ces machines ? etc…
Tu crois qu'il faut toucher combien de distribs pour arriver a l'enorme majorite de la population Linux ?
C’est sûr que si Microsoft sponsorise les deux candidats aux élections présidentielles, c’est par pure bonté d’âme. J’avoue, je n’ai pas d’exemple concret (surtout que je n’ai pas cherché), mais ça m’étonnerait sincèrement qu’il n’y ait pas eu de petits cadeaux dans l’autre sens dont aucune des deux parties ne va se vanter. Le département de la justice a bien annulé le jugement en faveur de Samsung contre Apple, je ne vois pas pourquoi il n’y en aurai pas de cas bien arrangeants pour MS même si faut reconnaître que cet exemple est assez énorme.
Google, IBM, Oracle… font de meme. Sun le faisait aussi, …
Au final, ils l'utilisent pour influencer les politiques dans le sens de l'industrie technologique plus qu'autre chose, parce que les politiques sont de toutes facons payes par leurs concurrents aussi.
Ceux qui lisent les sources n'ont pas dans leur contrat (ou dans l'accord passé avec MS) une clause de non-divulgation ?
Si, et je te parie qu'Edward Snowden avait une clause similaire dans son contrat…
Sur les 10 dernieres annees, au total il doit bien y avoir eu 40 a 50'000 personnes dans MS qui ont eu acces au code de Windows, et il n'y en a pas un qui a vu un truc tellement choquant qu'il en a ressenti le besoin de balancer un poste anonyme decrivant comment trouver cet element choquant…
Mais si Microsoft a trempé dans un programme de la NSA, pourquoi n’aurait-elle pas trempé dans les autres ? Après tout, elle a menti en affirmant ne pas être liée à celui-ci, pourquoi lui ferait-on encore confiance ? Car c’est le nœud du problème : la confiance.
Deja, j'aime bien le mot "trempe". Genre ils le font volontairement…
Pour ce qui est de mentir, tu me montres ou ils ont menti ? MS a dit depuis le debut qu'ils sont obliges de respecter les lois US, ils n'ont rien dit d'autre.
Certes l’open source n’apporte pas beaucoup de garanties en plus (ce qui reste sujet à débat), mais le fait est que Linux est trop peu utilisé et trop diversifié pour être intéressant pour la NSA. Par contre, Windows est installé sur 90% des PC de la planète. Pourquoi se priverait-elle d’une telle chance ?
Toi t'as visiblement oublie le succes de Linux sur les serveurs, et sur les routeurs qui donnent acces au reseau local de monsieur tout le monde.
Non bien sûr, c’est le principe d’une backdoor. Mais il est beaucoup plus difficile d’en faire une qui soit valable partout, sur tous les distributions et quelque soit la manière de compiler le noyau. En tout cas bien plus que sur le système majoritaire contrôlé par une seule boîte…
Ca s'appelle de la naivete cela… Tout depend de la backdoor.
Bien entendu, je ne devrais pas blâmer Microsoft, qui après tout ne fait que respecter la loi américaine, mais vu le nombre de fois qu'ils se sont assis sur la loi ou que celle-ci a été arrangée pour eux, je trouve assez cocasse de se prétendre tout blanc en se cachant derrière aujourd'hui.
Ah tiens, la loi US est ecrite par et pour MS maintenant ? On entend des nouvelles a chaque fois ici…
Quand aux violations de la loi, tu me parles desquelles exactement ? Parce qu'on est en 2013, le proces anti-trust c'etait il y a 13 ans hein, pas hier.
Humf… Ouai distinguer les services MS et Windows, c'est comme distinguer les services Google et Android. L'un est la porte pour l'autre…
Euh… si tous les utilisateurs de Windows (voire meme la majorite) avaient des comptes Hotmail et autres, notre cours de la bourse serait beaucoup, beaucoup plus haut…
Il n'a pas parlé de driver.
C'est quoi la difference entre un module et un driver ? Sous Windows par exemple, la stack TCP/IP est un driver, tout comme NTFS, SMB, …
Un indice : la NSA a versé des milllions de dollars à Microsoft, pas à Red Hat. Et l'article ajoute que la première a pourtant affirmé le contraire. On se demande bien pourquoi…
Tu ne comprends visiblement pas de quoi tu parles. PRISM c'etait le programme pour avoir acces aux donnees de certains utilisateurs sur les services de Microsoft/Google/Yahoo/…, et pour ceux la, selon la loi, les fournisseurs de services peuvent se faire rembourser le travail necessaire.
PRISM n'a rien a avoir avec Windows.
Tu sais que quand tu compiles ton noyau, tu choisis les modules que tu mets dedans ?
Et ? Tu sais ou est la(les) backdoor ? Parce que sous Windows tu peux aussi choisir de ne pas charger nombre de drivers hein, aucune difference.
Dans les 1000, il n'y a personne bossant sur des drivers HW par exemple, alors que si tu regardes le code de Linux, c'est une grosse partie du code du noyau. Chez nous ce sont les developpeurs externes qui font ca (et qui remontent des bugs du noyau de maniere reguliere quand ils en trouvent).
Pour la 3.2 : 1316 personnes on pose du code. Tu enleves ceux qui bossent sur les drivers HW, tu mets une proportion pour ceux qui font ca a temps partiel, tu rajoutes ceux qui regardent le code de maniere serieuse mais n'ont pas fait de commit, t'arrives probablement a environ 1000.
Bref, les 2 sont totalement comparables a ce niveau la.
Cryptographers have long suspected that the agency planted vulnerabilities in a standard adopted in 2006 by the National Institute of Standards and Technology, the United States’ encryption standards body, and later by the International Organization for Standardization, which has 163 countries as members.
Classified N.S.A. memos appear to confirm that the fatal weakness, discovered by two Microsoft cryptographers in 2007, was engineered by the agency. The N.S.A. wrote the standard and aggressively pushed it on the international group, privately calling the effort “a challenge in finesse.”
La tu tombes sacrement mal pour parler de ca, parce que la pile reseau j'ai bosse dessus directement pendant des annees, et elle n'a rien, mais alors rien a voir avec la pile BSD. Il n'y a pas une ligne identique entre la pile de BSD et celle de Windows >=2000
Les gens qui bossent de maniere permanente avec le code du noyau c'est moins, mais entre les gars qui s'occupent du noyau lui-meme et d'hyper-v, d'USB, de la pile reseau, des file systems, de la partie graphique, des gens comme nous qui ne regardent que l'aspect securite, des gars d'Azure et de Xbox, ceux qui s'occupent des patchs… ca fait largement plus de 1000 personnes en permanence rien que sur les parties cote noyau.
Mais je vois mal pourquoi tu te limites au noyau, une backdoor dans n'importe quel service qui tourne en root/administrateur est suffisant, pas besoin d'etre dans le noyau.
Chez MS, des gens ayant lu du code de l'OS Windows, il y a en plus de 10'000, et ils font ca de maniere permanente, c'est leur job et ils ont l'expertise requise.
En plus de ca, tu rajoutes les universites, les gouvernments, certaines societes, …
Ensuite Linux, il y a plein de gens qui ont lu des bouts de code ici ou la, mais la plupart n'en ont pas compris grand chose, tres peu comprennent vraiment le code, savent le modifier, etc… Il y a un 'coeur' de gens dont c'est vraiment la passion voire le boulot, le reste c'est plus de l'amateurisme et du tourisme qu'autre chose et n'amene quasiment rien.
Bref, je ne suis pas convaincu du tout qu'il y a de grande differences la dessus.
[^] # Re: La classe !
Posté par pasBill pasGates . En réponse à la dépêche Linux From Scratch fait sa rentrée des classes. Évalué à -3.
Totalement d'accord avec toi !
[^] # Re: un autre lien
Posté par pasBill pasGates . En réponse au journal Chiffrement SSL et confidentialité. Évalué à -5.
http://blogs.msdn.com/b/si_team/archive/2006/03/02/542590.aspx
Back doors are simply not acceptable. Besides, they wouldn’t find anybody on this team willing to implement and test the back door.
…
Niels Ferguson (developer & cryptographer)
http://webcache.googleusercontent.com/search?q=cache:X5gtdtXcWusJ:www.math.washington.edu/acmssem/2006/11-15-2006.ppt+&cd=1&hl=en&ct=clnk
Dan Shumow SDE
Windows Core Security
[^] # Re: LinuxFr.org is not MacWorld.com
Posté par pasBill pasGates . En réponse au journal Dans 24h, la terre va trembler de nouveau.... Évalué à 10.
Je sais pas si il y a des gens qui s'interessent aux gadgets proprietaires d'Apple ici, mais en tout cas il y a visiblement des gens qui ne comprennent pas le second degre.
# C'est marrant
Posté par pasBill pasGates . En réponse au journal Dans 24h, la terre va trembler de nouveau.... Évalué à 0.
Je viens pourtant d'acheter un MacBook Pro il y a 3 semaines (et non, je n'ai pas vire Mac OS X, j'utilises BootCamp), mais a regarder iOS 7 j'ai vraiment l'impression d'une regression enorme au niveau visuel, c'est d'un moche incroyable. Apple sans Steve Jobs c'est quand meme plus ca.
[^] # Re: On signe quoi, en fait?
Posté par pasBill pasGates . En réponse au journal Booting a Self-signed Linux Kernel. Évalué à -5.
Il y a aussi une boite qui s'est fait sacrement emmerder a cause de problemes anti-trust dans le passe, et qui prefere eviter d'y regouter…
[^] # Re: On signe quoi, en fait?
Posté par pasBill pasGates . En réponse au journal Booting a Self-signed Linux Kernel. Évalué à -4.
il n'y avait pas obligation à pouvoir désactiver secureboot
il n'y avait pas d'obligation à ce que l'utilisateur puisse rajouter des clefs
Faux.
Ce n'etait simplement pas publique car Windows 8 etait en cours de developpement et on ne publie evidemment rien des guidelines a ce moment la.
Que cela n'ait pas ete publique au moment ou les gens se sont mis a crier ne veut pas dire que ce n'etait pas le cas. (Et la raison pour laquelle ca l'etait deja sur x86 etait simple : eviter des problemes anti-trust)
[^] # Re: un autre lien
Posté par pasBill pasGates . En réponse au journal Chiffrement SSL et confidentialité. Évalué à -5.
Faut arrêter, ils n'ont pas besoin de faire ce genre de démarche. Ils ont des moyens de pression énorme sur vous et vous font plier comme une brindille. Vous n'avez pas votre mot à dire si la NSA veut quelque chose, vous le ferrez pour pas chère.
Ben justement, ils ont un gros probleme : il y a plein d'etrangers dans la boite qui ont acces au code.
À partir des binaires tu trouve une faille de manière assez compliquée, pour trouver de vrais malfaçon ça deviens bien plus ardu. Pour trouver une backdoor multi-agent qui s'appuie sur une série de logiciel dont certains ne sont pas forcément édités par MS ça deviens bien plus compliqué. Si vous souhaitez ajouter une backdoor dans windows, ça n'a rien de difficile pour vous.
T'as pas compris.
Un gars en interne la trouve.
Mais il la publie de maniere anonyme, avec des details venant des binaires publiques, pas du code. (Une fois que t'as compris la faille a partir du code, la retrouver a partir des binaires est facile).
Partant de la, il devient impossible de remonter a la source, parce qu'il y a un milliard de gens qui ont ces binaires.
[^] # Re: un autre lien
Posté par pasBill pasGates . En réponse au journal Chiffrement SSL et confidentialité. Évalué à -2.
Et alors ? La plus grande partie, ce n'est pas tout. Et le choix d'implémenter tel ou tel standard ne dépend pas d'eux, mais de leur hiérarchie.
Tu te fous de qui la ? Tu n'as aucune idee de comment cela fonctionne dans la boite et tu veux venir me raconter des salades la dessus ? Ce qui atterit dans le produit c'est une collaboration entre le dev team et les program managers, rien ne se fait sans l'accord des deux.
Et tu sais, il y a une grande différence entre Microsoft Research et Microsoft / développement de windows & Co.
De nouveau, tu racontes n'importe quoi
Ils ont ecrit eux-meme de grandes parties du code crypto, les commits je les vois moi contrairement a toi.
Faudra quand meme penser un moment a arreter de raconter n'importe quoi sur des sujets auxquels tu ne connais rien hein.
[^] # Re: un autre lien
Posté par pasBill pasGates . En réponse au journal Chiffrement SSL et confidentialité. Évalué à -5.
Il me semble evident que le respect de la loi passe avant le respect de ta vie privee pour MS ou tout autre boite…
[^] # Re: un autre lien
Posté par pasBill pasGates . En réponse au journal Chiffrement SSL et confidentialité. Évalué à -5.
Non, il y a une enorme difference.
Si tu veux divulger qqe chose de la NSA, tu viens forcement de la NSA, ils ont tout ce qu'il faut comme logs pour savoir qui a eu acces a quoi et ils te retrouveront.
Si tu divulges une backdoor dans Windows, n'importe qui sur cette planete peut le faire car les binaires sont sur 1 milliard de machines et n'importe qui pourrait techniquement les trouver. Resultat, qq'un qui divulge ca en anonyme, il n'y a aucun moyen de remonter a lui.
Bref ça prouve seulement que Microsoft n'a pas beaucoup de héros parmi son personnel, et/ou que la NSA cible avec beaucoup d'attention les personnes de chez Microsoft avec qui elle collabore.
Tu n'en sais fichtre rien et FUD tout simplement.
[^] # Re: un autre lien
Posté par pasBill pasGates . En réponse au journal Chiffrement SSL et confidentialité. Évalué à -5.
Note qu'il n'est pas nécessaire qu'il y ai une grosse backdoor « m'as-tu vu » dans le noyau, ça peut marcher de concert avec un ou plusieurs programmes en espace utilisateur (donc oui la procédure d'installation est-toute aussi critique). Ça fait des années que les pirates font ça en espace utilisateur pourquoi pas la NSA ?
Mais evidemment que si la NSA a vraiment envie d'inserer une backdoor dans l'OS elle y arrivera. Il n'y a pas de protection parfaite contre ca, il suffit qu'ils fassent engager 2-3 gars chevronnes. Ils font engager le 1er, qui dit "eh, je connais un pote pour ce poste libre", et hop ca fait 2 gars dans la meme equipe ni vu ni connu.
Idem dans le monde Linux, le gars commence a faire de petits commits pour gagner la confiance et gentiment il change des choses a droite a gauche. Tu ne peux rien faire contre ca.
Ouai et il prend quand même assez chère, tu ne trouve pas ? T'a l'impression qu'il est acclamé ? Qu'on lui déroule le tapis rouge et qu'avant d'avoir son asile en Russie, il ne vivait pas la peur au ventre ? Tu trouve que ça donne envie ?
La difference enorme est que le gars qui a envie de montrer une backdoor dans Windows, il n'y a qu'a aller parquer sa voiture a cote d'un Starbucks, utiliser le free wifi pour poster tous les details pour trouver la backdoor a partir des binaires de monsieur tout le monde de maniere anonyme et c'est regle, impossible de tracer la chose.
Snowden lui, du moment ou le leak apparaissait, la NSA savait qui c'etait. MS n'a pas cette possibilite car si backdoor il y a dans le code, il est techniquement possible a n'importe qui sur cette planete de la trouver a partir des binaires.
[^] # Re: un autre lien
Posté par pasBill pasGates . En réponse au journal Chiffrement SSL et confidentialité. Évalué à 0.
Ben j'imagines que c'est les pubs et le fait d'avoir un conduit direct a enormement de gens pour pousser les autres produits de la boite, comme tout le monde.
[^] # Re: un autre lien
Posté par pasBill pasGates . En réponse au journal Chiffrement SSL et confidentialité. Évalué à -2.
Qui a trouve les failles dans Dual-EC-DBRG ?
Dan Shumow et Niels Ferguson
2 gars qui bossent… chez Microsoft, et qui ont ecrit la plus grande partie du code crypto de Windows.
[^] # Re: un autre lien
Posté par pasBill pasGates . En réponse au journal Chiffrement SSL et confidentialité. Évalué à -3.
Ben vu que d’après Wikipédia, c’est la première boîte à avoir participé, le raccourci est assez facile :
Non justement, je ne vois pas en quoi etre les premiers fait d'eux des volontaires.
Et si c'est faux, faudra penser à corriger Wikipedia :
T'as remarque le mot "voluntary" dans la phrase de MS ?
Oui, et encore une fois, c’est très diversifié. Il ne suffit pas d’avoir un noyau Linux pour que ça marche, surtout qu’un noyau n’est pas compilé de la même façon sur un serveur ou un routeur.
T'as une idee de la quantite de code qui est identique dans un noyau Linux sur un tas de plateformes differentes ?
Tu crois qu'il y a combien de piles reseau differentes ? Combien de generateurs de nombre aleatoire differents ? les drivers de filesystem genre fat/ext2 tu crois qu'ils sont presents sur combien de ces machines ? etc…
Tu crois qu'il faut toucher combien de distribs pour arriver a l'enorme majorite de la population Linux ?
C’est sûr que si Microsoft sponsorise les deux candidats aux élections présidentielles, c’est par pure bonté d’âme.
J’avoue, je n’ai pas d’exemple concret (surtout que je n’ai pas cherché), mais ça m’étonnerait sincèrement qu’il n’y ait pas eu de petits cadeaux dans l’autre sens dont aucune des deux parties ne va se vanter. Le département de la justice a bien annulé le jugement en faveur de Samsung contre Apple, je ne vois pas pourquoi il n’y en aurai pas de cas bien arrangeants pour MS même si faut reconnaître que cet exemple est assez énorme.
Google, IBM, Oracle… font de meme. Sun le faisait aussi, …
Au final, ils l'utilisent pour influencer les politiques dans le sens de l'industrie technologique plus qu'autre chose, parce que les politiques sont de toutes facons payes par leurs concurrents aussi.
[^] # Re: un autre lien
Posté par pasBill pasGates . En réponse au journal Chiffrement SSL et confidentialité. Évalué à -5.
La programmation par aspect ça n'existe pas ?
Pas compris
Ceux qui lisent les sources n'ont pas dans leur contrat (ou dans l'accord passé avec MS) une clause de non-divulgation ?
Si, et je te parie qu'Edward Snowden avait une clause similaire dans son contrat…
Sur les 10 dernieres annees, au total il doit bien y avoir eu 40 a 50'000 personnes dans MS qui ont eu acces au code de Windows, et il n'y en a pas un qui a vu un truc tellement choquant qu'il en a ressenti le besoin de balancer un poste anonyme decrivant comment trouver cet element choquant…
[^] # Re: un autre lien
Posté par pasBill pasGates . En réponse au journal Chiffrement SSL et confidentialité. Évalué à -2.
Mais si Microsoft a trempé dans un programme de la NSA, pourquoi n’aurait-elle pas trempé dans les autres ? Après tout, elle a menti en affirmant ne pas être liée à celui-ci, pourquoi lui ferait-on encore confiance ? Car c’est le nœud du problème : la confiance.
Deja, j'aime bien le mot "trempe". Genre ils le font volontairement…
Pour ce qui est de mentir, tu me montres ou ils ont menti ? MS a dit depuis le debut qu'ils sont obliges de respecter les lois US, ils n'ont rien dit d'autre.
Certes l’open source n’apporte pas beaucoup de garanties en plus (ce qui reste sujet à débat), mais le fait est que Linux est trop peu utilisé et trop diversifié pour être intéressant pour la NSA. Par contre, Windows est installé sur 90% des PC de la planète. Pourquoi se priverait-elle d’une telle chance ?
Toi t'as visiblement oublie le succes de Linux sur les serveurs, et sur les routeurs qui donnent acces au reseau local de monsieur tout le monde.
Non bien sûr, c’est le principe d’une backdoor. Mais il est beaucoup plus difficile d’en faire une qui soit valable partout, sur tous les distributions et quelque soit la manière de compiler le noyau. En tout cas bien plus que sur le système majoritaire contrôlé par une seule boîte…
Ca s'appelle de la naivete cela… Tout depend de la backdoor.
Bien entendu, je ne devrais pas blâmer Microsoft, qui après tout ne fait que respecter la loi américaine, mais vu le nombre de fois qu'ils se sont assis sur la loi ou que celle-ci a été arrangée pour eux, je trouve assez cocasse de se prétendre tout blanc en se cachant derrière aujourd'hui.
Ah tiens, la loi US est ecrite par et pour MS maintenant ? On entend des nouvelles a chaque fois ici…
Quand aux violations de la loi, tu me parles desquelles exactement ? Parce qu'on est en 2013, le proces anti-trust c'etait il y a 13 ans hein, pas hier.
[^] # Re: un autre lien
Posté par pasBill pasGates . En réponse au journal Chiffrement SSL et confidentialité. Évalué à -2.
Humf… Ouai distinguer les services MS et Windows, c'est comme distinguer les services Google et Android. L'un est la porte pour l'autre…
Euh… si tous les utilisateurs de Windows (voire meme la majorite) avaient des comptes Hotmail et autres, notre cours de la bourse serait beaucoup, beaucoup plus haut…
Il n'a pas parlé de driver.
C'est quoi la difference entre un module et un driver ? Sous Windows par exemple, la stack TCP/IP est un driver, tout comme NTFS, SMB, …
[^] # Re: un autre lien
Posté par pasBill pasGates . En réponse au journal Chiffrement SSL et confidentialité. Évalué à -3.
Un indice : la NSA a versé des milllions de dollars à Microsoft, pas à Red Hat. Et l'article ajoute que la première a pourtant affirmé le contraire. On se demande bien pourquoi…
Tu ne comprends visiblement pas de quoi tu parles. PRISM c'etait le programme pour avoir acces aux donnees de certains utilisateurs sur les services de Microsoft/Google/Yahoo/…, et pour ceux la, selon la loi, les fournisseurs de services peuvent se faire rembourser le travail necessaire.
PRISM n'a rien a avoir avec Windows.
Tu sais que quand tu compiles ton noyau, tu choisis les modules que tu mets dedans ?
Et ? Tu sais ou est la(les) backdoor ? Parce que sous Windows tu peux aussi choisir de ne pas charger nombre de drivers hein, aucune difference.
[^] # Re: un autre lien
Posté par pasBill pasGates . En réponse au journal Chiffrement SSL et confidentialité. Évalué à -3.
a) Desole, mais je ne vois toujours pas ou il a ete annonce que Windows aurait des backdoors et Linux pas.
b) Tu sais que les developpeurs de Redhat font leur commits dans le kernel que tout le monde reprend ?
[^] # Re: un autre lien
Posté par pasBill pasGates . En réponse au journal Chiffrement SSL et confidentialité. Évalué à 0.
Faut voir ce que tu compares aussi.
Dans les 1000, il n'y a personne bossant sur des drivers HW par exemple, alors que si tu regardes le code de Linux, c'est une grosse partie du code du noyau. Chez nous ce sont les developpeurs externes qui font ca (et qui remontent des bugs du noyau de maniere reguliere quand ils en trouvent).
Tu regardes Linux : http://royal.pingdom.com/2012/04/16/linux-kernel-development-numbers/
Pour la 3.2 : 1316 personnes on pose du code. Tu enleves ceux qui bossent sur les drivers HW, tu mets une proportion pour ceux qui font ca a temps partiel, tu rajoutes ceux qui regardent le code de maniere serieuse mais n'ont pas fait de commit, t'arrives probablement a environ 1000.
Bref, les 2 sont totalement comparables a ce niveau la.
[^] # Re: Les articles "source"
Posté par pasBill pasGates . En réponse au journal Chiffrement SSL et confidentialité. Évalué à 0.
http://www.propublica.org/article/the-nsas-secret-campaign-to-crack-undermine-internet-encryption
Cryptographers have long suspected that the agency planted vulnerabilities in a standard adopted in 2006 by the National Institute of Standards and Technology, the United States’ encryption standards body, and later by the International Organization for Standardization, which has 163 countries as members.
Classified N.S.A. memos appear to confirm that the fatal weakness, discovered by two Microsoft cryptographers in 2007, was engineered by the agency. The N.S.A. wrote the standard and aggressively pushed it on the international group, privately calling the effort “a challenge in finesse.”
[^] # Re: un autre lien
Posté par pasBill pasGates . En réponse au journal Chiffrement SSL et confidentialité. Évalué à 2.
La tu tombes sacrement mal pour parler de ca, parce que la pile reseau j'ai bosse dessus directement pendant des annees, et elle n'a rien, mais alors rien a voir avec la pile BSD. Il n'y a pas une ligne identique entre la pile de BSD et celle de Windows >=2000
[^] # Re: un autre lien
Posté par pasBill pasGates . En réponse au journal Chiffrement SSL et confidentialité. Évalué à 0.
Personnellement j'aime beaucoup le tourisme, je vous conseille tous la Nouvelle-Zelande, superbe pays !
[^] # Re: un autre lien
Posté par pasBill pasGates . En réponse au journal Chiffrement SSL et confidentialité. Évalué à 1.
Les gens qui bossent de maniere permanente avec le code du noyau c'est moins, mais entre les gars qui s'occupent du noyau lui-meme et d'hyper-v, d'USB, de la pile reseau, des file systems, de la partie graphique, des gens comme nous qui ne regardent que l'aspect securite, des gars d'Azure et de Xbox, ceux qui s'occupent des patchs… ca fait largement plus de 1000 personnes en permanence rien que sur les parties cote noyau.
Mais je vois mal pourquoi tu te limites au noyau, une backdoor dans n'importe quel service qui tourne en root/administrateur est suffisant, pas besoin d'etre dans le noyau.
[^] # Re: un autre lien
Posté par pasBill pasGates . En réponse au journal Chiffrement SSL et confidentialité. Évalué à -8.
Chez MS, des gens ayant lu du code de l'OS Windows, il y a en plus de 10'000, et ils font ca de maniere permanente, c'est leur job et ils ont l'expertise requise.
En plus de ca, tu rajoutes les universites, les gouvernments, certaines societes, …
Ensuite Linux, il y a plein de gens qui ont lu des bouts de code ici ou la, mais la plupart n'en ont pas compris grand chose, tres peu comprennent vraiment le code, savent le modifier, etc… Il y a un 'coeur' de gens dont c'est vraiment la passion voire le boulot, le reste c'est plus de l'amateurisme et du tourisme qu'autre chose et n'amene quasiment rien.
Bref, je ne suis pas convaincu du tout qu'il y a de grande differences la dessus.