pasBill pasGates a écrit 16057 commentaires

il n'y avait pas obligation à pouvoir désactiver secureboot
il n'y avait pas d'obligation à ce que l'utilisateur puisse rajouter des clefs

Faux.

Ce n'etait simplement pas publique car Windows 8 etait en cours de developpement et on ne publie evidemment rien des guidelines a ce moment la.

Que cela n'ait pas ete publique au moment ou les gens se sont mis a crier ne veut pas dire que ce n'etait pas le cas. (Et la raison pour laquelle ca l'etait deja sur x86 etait simple : eviter des problemes anti-trust)

Faut arrêter, ils n'ont pas besoin de faire ce genre de démarche. Ils ont des moyens de pression énorme sur vous et vous font plier comme une brindille. Vous n'avez pas votre mot à dire si la NSA veut quelque chose, vous le ferrez pour pas chère.

Ben justement, ils ont un gros probleme : il y a plein d'etrangers dans la boite qui ont acces au code.

À partir des binaires tu trouve une faille de manière assez compliquée, pour trouver de vrais malfaçon ça deviens bien plus ardu. Pour trouver une backdoor multi-agent qui s'appuie sur une série de logiciel dont certains ne sont pas forcément édités par MS ça deviens bien plus compliqué. Si vous souhaitez ajouter une backdoor dans windows, ça n'a rien de difficile pour vous.

T'as pas compris.

Un gars en interne la trouve.

Mais il la publie de maniere anonyme, avec des details venant des binaires publiques, pas du code. (Une fois que t'as compris la faille a partir du code, la retrouver a partir des binaires est facile).
Partant de la, il devient impossible de remonter a la source, parce qu'il y a un milliard de gens qui ont ces binaires.

Et alors ? La plus grande partie, ce n'est pas tout. Et le choix d'implémenter tel ou tel standard ne dépend pas d'eux, mais de leur hiérarchie.

Tu te fous de qui la ? Tu n'as aucune idee de comment cela fonctionne dans la boite et tu veux venir me raconter des salades la dessus ? Ce qui atterit dans le produit c'est une collaboration entre le dev team et les program managers, rien ne se fait sans l'accord des deux.

Et tu sais, il y a une grande différence entre Microsoft Research et Microsoft / développement de windows & Co.

De nouveau, tu racontes n'importe quoi
Ils ont ecrit eux-meme de grandes parties du code crypto, les commits je les vois moi contrairement a toi.

Faudra quand meme penser un moment a arreter de raconter n'importe quoi sur des sujets auxquels tu ne connais rien hein.

Il me semble evident que le respect de la loi passe avant le respect de ta vie privee pour MS ou tout autre boite…

Non, il y a une enorme difference.

Si tu veux divulger qqe chose de la NSA, tu viens forcement de la NSA, ils ont tout ce qu'il faut comme logs pour savoir qui a eu acces a quoi et ils te retrouveront.

Si tu divulges une backdoor dans Windows, n'importe qui sur cette planete peut le faire car les binaires sont sur 1 milliard de machines et n'importe qui pourrait techniquement les trouver. Resultat, qq'un qui divulge ca en anonyme, il n'y a aucun moyen de remonter a lui.

Bref ça prouve seulement que Microsoft n'a pas beaucoup de héros parmi son personnel, et/ou que la NSA cible avec beaucoup d'attention les personnes de chez Microsoft avec qui elle collabore.

Tu n'en sais fichtre rien et FUD tout simplement.

Note qu'il n'est pas nécessaire qu'il y ai une grosse backdoor « m'as-tu vu » dans le noyau, ça peut marcher de concert avec un ou plusieurs programmes en espace utilisateur (donc oui la procédure d'installation est-toute aussi critique). Ça fait des années que les pirates font ça en espace utilisateur pourquoi pas la NSA ?

Mais evidemment que si la NSA a vraiment envie d'inserer une backdoor dans l'OS elle y arrivera. Il n'y a pas de protection parfaite contre ca, il suffit qu'ils fassent engager 2-3 gars chevronnes. Ils font engager le 1er, qui dit "eh, je connais un pote pour ce poste libre", et hop ca fait 2 gars dans la meme equipe ni vu ni connu.

Idem dans le monde Linux, le gars commence a faire de petits commits pour gagner la confiance et gentiment il change des choses a droite a gauche. Tu ne peux rien faire contre ca.

Ouai et il prend quand même assez chère, tu ne trouve pas ? T'a l'impression qu'il est acclamé ? Qu'on lui déroule le tapis rouge et qu'avant d'avoir son asile en Russie, il ne vivait pas la peur au ventre ? Tu trouve que ça donne envie ?

La difference enorme est que le gars qui a envie de montrer une backdoor dans Windows, il n'y a qu'a aller parquer sa voiture a cote d'un Starbucks, utiliser le free wifi pour poster tous les details pour trouver la backdoor a partir des binaires de monsieur tout le monde de maniere anonyme et c'est regle, impossible de tracer la chose.

Snowden lui, du moment ou le leak apparaissait, la NSA savait qui c'etait. MS n'a pas cette possibilite car si backdoor il y a dans le code, il est techniquement possible a n'importe qui sur cette planete de la trouver a partir des binaires.

Ben j'imagines que c'est les pubs et le fait d'avoir un conduit direct a enormement de gens pour pousser les autres produits de la boite, comme tout le monde.

Qui a trouve les failles dans Dual-EC-DBRG ?

Dan Shumow et Niels Ferguson

2 gars qui bossent… chez Microsoft, et qui ont ecrit la plus grande partie du code crypto de Windows.

Ben vu que d’après Wikipédia, c’est la première boîte à avoir participé, le raccourci est assez facile :

Non justement, je ne vois pas en quoi etre les premiers fait d'eux des volontaires.

Et si c'est faux, faudra penser à corriger Wikipedia :

T'as remarque le mot "voluntary" dans la phrase de MS ?

Oui, et encore une fois, c’est très diversifié. Il ne suffit pas d’avoir un noyau Linux pour que ça marche, surtout qu’un noyau n’est pas compilé de la même façon sur un serveur ou un routeur.

T'as une idee de la quantite de code qui est identique dans un noyau Linux sur un tas de plateformes differentes ?

Tu crois qu'il y a combien de piles reseau differentes ? Combien de generateurs de nombre aleatoire differents ? les drivers de filesystem genre fat/ext2 tu crois qu'ils sont presents sur combien de ces machines ? etc…
Tu crois qu'il faut toucher combien de distribs pour arriver a l'enorme majorite de la population Linux ?

C’est sûr que si Microsoft sponsorise les deux candidats aux élections présidentielles, c’est par pure bonté d’âme.
J’avoue, je n’ai pas d’exemple concret (surtout que je n’ai pas cherché), mais ça m’étonnerait sincèrement qu’il n’y ait pas eu de petits cadeaux dans l’autre sens dont aucune des deux parties ne va se vanter. Le département de la justice a bien annulé le jugement en faveur de Samsung contre Apple, je ne vois pas pourquoi il n’y en aurai pas de cas bien arrangeants pour MS même si faut reconnaître que cet exemple est assez énorme.

Google, IBM, Oracle… font de meme. Sun le faisait aussi, …
Au final, ils l'utilisent pour influencer les politiques dans le sens de l'industrie technologique plus qu'autre chose, parce que les politiques sont de toutes facons payes par leurs concurrents aussi.

La programmation par aspect ça n'existe pas ?

Pas compris

Ceux qui lisent les sources n'ont pas dans leur contrat (ou dans l'accord passé avec MS) une clause de non-divulgation ?

Si, et je te parie qu'Edward Snowden avait une clause similaire dans son contrat…
Sur les 10 dernieres annees, au total il doit bien y avoir eu 40 a 50'000 personnes dans MS qui ont eu acces au code de Windows, et il n'y en a pas un qui a vu un truc tellement choquant qu'il en a ressenti le besoin de balancer un poste anonyme decrivant comment trouver cet element choquant…

Mais si Microsoft a trempé dans un programme de la NSA, pourquoi n’aurait-elle pas trempé dans les autres ? Après tout, elle a menti en affirmant ne pas être liée à celui-ci, pourquoi lui ferait-on encore confiance ? Car c’est le nœud du problème : la confiance.

Deja, j'aime bien le mot "trempe". Genre ils le font volontairement…
Pour ce qui est de mentir, tu me montres ou ils ont menti ? MS a dit depuis le debut qu'ils sont obliges de respecter les lois US, ils n'ont rien dit d'autre.

Certes l’open source n’apporte pas beaucoup de garanties en plus (ce qui reste sujet à débat), mais le fait est que Linux est trop peu utilisé et trop diversifié pour être intéressant pour la NSA. Par contre, Windows est installé sur 90% des PC de la planète. Pourquoi se priverait-elle d’une telle chance ?

Toi t'as visiblement oublie le succes de Linux sur les serveurs, et sur les routeurs qui donnent acces au reseau local de monsieur tout le monde.

Non bien sûr, c’est le principe d’une backdoor. Mais il est beaucoup plus difficile d’en faire une qui soit valable partout, sur tous les distributions et quelque soit la manière de compiler le noyau. En tout cas bien plus que sur le système majoritaire contrôlé par une seule boîte…

Ca s'appelle de la naivete cela… Tout depend de la backdoor.

Bien entendu, je ne devrais pas blâmer Microsoft, qui après tout ne fait que respecter la loi américaine, mais vu le nombre de fois qu'ils se sont assis sur la loi ou que celle-ci a été arrangée pour eux, je trouve assez cocasse de se prétendre tout blanc en se cachant derrière aujourd'hui.

Ah tiens, la loi US est ecrite par et pour MS maintenant ? On entend des nouvelles a chaque fois ici…
Quand aux violations de la loi, tu me parles desquelles exactement ? Parce qu'on est en 2013, le proces anti-trust c'etait il y a 13 ans hein, pas hier.

Humf… Ouai distinguer les services MS et Windows, c'est comme distinguer les services Google et Android. L'un est la porte pour l'autre…

Euh… si tous les utilisateurs de Windows (voire meme la majorite) avaient des comptes Hotmail et autres, notre cours de la bourse serait beaucoup, beaucoup plus haut…

Il n'a pas parlé de driver.

C'est quoi la difference entre un module et un driver ? Sous Windows par exemple, la stack TCP/IP est un driver, tout comme NTFS, SMB, …

Un indice : la NSA a versé des milllions de dollars à Microsoft, pas à Red Hat. Et l'article ajoute que la première a pourtant affirmé le contraire. On se demande bien pourquoi…

Tu ne comprends visiblement pas de quoi tu parles. PRISM c'etait le programme pour avoir acces aux donnees de certains utilisateurs sur les services de Microsoft/Google/Yahoo/…, et pour ceux la, selon la loi, les fournisseurs de services peuvent se faire rembourser le travail necessaire.
PRISM n'a rien a avoir avec Windows.

Tu sais que quand tu compiles ton noyau, tu choisis les modules que tu mets dedans ?

Et ? Tu sais ou est la(les) backdoor ? Parce que sous Windows tu peux aussi choisir de ne pas charger nombre de drivers hein, aucune difference.

a) Desole, mais je ne vois toujours pas ou il a ete annonce que Windows aurait des backdoors et Linux pas.

b) Tu sais que les developpeurs de Redhat font leur commits dans le kernel que tout le monde reprend ?

Faut voir ce que tu compares aussi.

Dans les 1000, il n'y a personne bossant sur des drivers HW par exemple, alors que si tu regardes le code de Linux, c'est une grosse partie du code du noyau. Chez nous ce sont les developpeurs externes qui font ca (et qui remontent des bugs du noyau de maniere reguliere quand ils en trouvent).

Tu regardes Linux : http://royal.pingdom.com/2012/04/16/linux-kernel-development-numbers/

Pour la 3.2 : 1316 personnes on pose du code. Tu enleves ceux qui bossent sur les drivers HW, tu mets une proportion pour ceux qui font ca a temps partiel, tu rajoutes ceux qui regardent le code de maniere serieuse mais n'ont pas fait de commit, t'arrives probablement a environ 1000.

Bref, les 2 sont totalement comparables a ce niveau la.

http://www.propublica.org/article/the-nsas-secret-campaign-to-crack-undermine-internet-encryption

Cryptographers have long suspected that the agency planted vulnerabilities in a standard adopted in 2006 by the National Institute of Standards and Technology, the United States’ encryption standards body, and later by the International Organization for Standardization, which has 163 countries as members.

Classified N.S.A. memos appear to confirm that the fatal weakness, discovered by two Microsoft cryptographers in 2007, was engineered by the agency. The N.S.A. wrote the standard and aggressively pushed it on the international group, privately calling the effort “a challenge in finesse.”

La tu tombes sacrement mal pour parler de ca, parce que la pile reseau j'ai bosse dessus directement pendant des annees, et elle n'a rien, mais alors rien a voir avec la pile BSD. Il n'y a pas une ligne identique entre la pile de BSD et celle de Windows >=2000

Personnellement j'aime beaucoup le tourisme, je vous conseille tous la Nouvelle-Zelande, superbe pays !

Les gens qui bossent de maniere permanente avec le code du noyau c'est moins, mais entre les gars qui s'occupent du noyau lui-meme et d'hyper-v, d'USB, de la pile reseau, des file systems, de la partie graphique, des gens comme nous qui ne regardent que l'aspect securite, des gars d'Azure et de Xbox, ceux qui s'occupent des patchs… ca fait largement plus de 1000 personnes en permanence rien que sur les parties cote noyau.

Mais je vois mal pourquoi tu te limites au noyau, une backdoor dans n'importe quel service qui tourne en root/administrateur est suffisant, pas besoin d'etre dans le noyau.

Chez MS, des gens ayant lu du code de l'OS Windows, il y a en plus de 10'000, et ils font ca de maniere permanente, c'est leur job et ils ont l'expertise requise.

En plus de ca, tu rajoutes les universites, les gouvernments, certaines societes, …

Ensuite Linux, il y a plein de gens qui ont lu des bouts de code ici ou la, mais la plupart n'en ont pas compris grand chose, tres peu comprennent vraiment le code, savent le modifier, etc… Il y a un 'coeur' de gens dont c'est vraiment la passion voire le boulot, le reste c'est plus de l'amateurisme et du tourisme qu'autre chose et n'amene quasiment rien.

Bref, je ne suis pas convaincu du tout qu'il y a de grande differences la dessus.

les sources auxquelles tu as accès ont pu être amputées de toute backdoor

Faut pas deconner… Ca se verrait en 3 secondes que le code final n'est pas le meme. C'est pas comme si seuls les geeks sur linuxfr connaissaient ce truc, a l'ANNSI ils sont au courant aussi hein…

"plein de gens", ça reste une minorité, donc moins de paires d'yeux et de cerveaux pour trouver les éventuelles backdoors, et une proportion très faible de la population capable de faire tourner un windows recompilé à partir des sources (potentiellement sans backdoor, cf. point précédent)

Une minorite, mais de gens qui vont effectivement le lire le code, parce qu'ils l'ont demande.
Linux, oui tout le monde y a acces, mais en pratique quasiment personne ne le lit le code.

Par exemple, les logiciels états-uniens ont des portes dérobées et il ne faut donc pas utiliser Windows (mais je pense que pas mal des lecteurs ici le saveient déjà).

Ah, ben va falloir arreter d'utiliser Linux aussi alors, parce que nombre des contributeurs sont americains la aussi, notamment Redhat.

Et qu'on ne vienne pas me sortir l'anerie de la disponibilite des sources, plein de non-americains (dont moi…) ont acces a toutes les sources de Windows (et peuvent les recompiler, …). Avoir les sources ne va pas permettre de trouver toutes les petites backdoors que quelqu'un voudrait inserer en les faisant passer pour des bugs.

Certainement, il te faudra peut-etre passer 1 minute plutot que 5 secondes, c'est toujours pas la mer a boire…

Amusant comment on peut montrer ce qu'on veut en choisissant l'ecart de dates qui nous arrange…

Avant l'annonce, Nokia etait a 3 euro. Bref, il remontait, tu m'expliques l'interet de t'arreter a 2012 alors qu'il y a encore un an derriere ?

qu'une bonne partie de la françe n'est pas spécialement fan des Parisiens

Je te rassures, en Suisse non plus :)