a) Oui, mais il y a deja des dizaines de milliers…
b) Ben le truc est qu'un phone sans apps mobiles, ca sert pas a grand chose…
c) Ca oui, mais au final t'auras juste un telephone sans apps mobiles et avec des apps desktop, super…
Pour le HW, ben faut quand meme se demander pourquoi ils ont suivi Mozilla et pas Ubuntu… Ils veulent vendre du HW, si ils ont refuse c'est qu'ils estimaient que les ventes seraient trop faibles pour en valoir la peine.
Sa solution est carrément plus pertinente que celle de Microsoft. En effet, avec les LL sous Linux (qui supporte ARM depuis ptet plusieurs dizaines d'années), il suffit grosso modo d'une recompil quand Windows, basé sur du proprio doit faire migrer l'ensemble de l'écosystème applicatif. Microsoft essuie d'ailleurs quelques plâtres à cause de ce point.
T'as visiblement rate :
a) la partie C# / Metro de Windows qui ne demande meme pas de recompilation
b) le fait que l'enorme majorite des softs Android n'est PAS LL / open source
c) Quasiment aucun des LLs existant sous Linux ne se pretent a une utilisation sur un telephone
Ubuntu Edge va finir dans le fosse, ils n'ont absolument pas les moyens de faire face a Apple / Google / MS ou meme BlackBerry au niveau support developpeurs, support operateurs, support HW. La simple preuve est qu'ils ont besoin de faire un telephone eux meme et lever des fonds pour, ca veut dire qu'aucun vendeur HW n'est interesse par leur systeme.
Le probleme touché eglibc ET glibc. Et oui, le link statique est plus rare que le link dynamique (heureusement), mais une feature securite qui a laisse trainer ca pendant 7 ans, ca en dit long sur combien de gens font attention au code.
Un binaire, tu as quelque chose : le code binaire. Tu peux le desassembler (va jeter un oeil a ce que Hex-Rays peut faire a ce niveau, c'est bluffant et ca c'est uniquement pour un soft publiquement dispo), tu peux l'analyser, tu peux voir ce qui sort et ce qui entre, tu as controle sur le firewall de ta boite qui dicte qui peut atteindre le soft, etc…
Mais sinon, l'equivalence logiciel a code ouvert <-> binaire ferme, a partir d'une certaine taille elle est en fait totale parce qu'a partir d'une certaine taille, il est absolument impossible de garantir que le code est 'ok'. Petit exemple pour la route : http://seclists.org/oss-sec/2013/q3/108
Ce bug touche une feature securite de glibc, il est sacrement gros(la protection offerte par cet encodage etait absolument nulle dans tout code lie statiquement, le pointeur etait XORe avec 0 plutot qu'une valeur aleatoire), il est reste dans le code 7 ans sans que personne s'en apercoive. C'est le genre de code qui est parmis les premieres choses qui seraient revues vu son importance niveau securite, il y est reste 7 ans.
Vive la securite du code open source, des "given enough eyes all bugs are shallow" et du mythe des gens qui revoient le code source.
Sinon, mon point du haut avait surtout trait a la difference logiciel <-> service, le logiciel tu peux au moins regarder et controller ce qui entre/sort, un service qui n'est pas loge chez toi, evidemment c'est autre chose…
Nombre de failles ont ete introduites dans le kernel par les differents mainteneurs, sans qu'aucun des autres devs ne le remarque. Une de plus ou une de moins, aucune difference, simplement cette fois ce sera volontaire.
Une backdoor ca n'a pas besoin d'etre 1000 lignes de code hein, un simple caractere peut suffire pour creer un buffer overflow exploitable par exemple.
Elle est cette loi sur la vie privee ? Ils se demarquent de ce que Google fait (qui n'est pas illegal de ce que je sais), ils ne parlent pas de cote legal la dedans.
Mais de nouveau, moi je suis d'accord avec toi… Le truc est que nombre de gens considerent que le mot unreasonable laisse assez de place a ce qui se passe.
De la meme maniere que tu verifierais une distrib Linux ou LibreOffice ou PostgreSQL ou Firefox … dont le code est ouvert et ou n'importe qui peut poser du code avec un petit bug 'malheureusement' glisse par megarde.
La seule solution qui change la donne est d'ecrire tout le soft(OS, suite office, …) en isolation et en interne, mais c'est totalement irrealiste d'un point de vue financier et ressources humaines.
Nulle part dans la loi il est question de backdoor dans du code. Les seuls acces demandes sont dans les services de communication. Va lire le Patriot Act, le texte est dispo.
Quand a Redhat et l'obeissance, si il y avait une telle obligation, tu peux etre sur qu'un des devs de Redhat passerait sans probleme une backdoor dans le noyau et personne n'y verrait rien.
a) Non ce canal n'est pas en permanence ouvert
b) Tu peux tout a fait utiliser ton propre serveur et empecher les communications vers les serveurs MS, c'est ce que font quasiment toutes les societies
c) Tu peux certainement y faire transiter une mise a jour, tu peux aussi faire du reverse engineering de la mise a jour et voir ce qu'elle fait. Les gars du monde de la securite d'habitude mettent 24-36h a le faire quand on sort nos patchs
d) Si tu veux cacher un processus malicieux, il te faut du code dans le kernel (filtrer les appels du FS, certaines structures de processus, …). Si t'es dans le kernel ben… autant y rester, moins de trucs a cacher, voire meme poser un hyperviseur
Etant une societe US, ils doivent suivre les lois americaines. Ces lois leur imposent de pouvoir intercepter les communications, partant de la ils n'ont pas le choix.
Ils l'ont d'ailleurs dit assez explicitement dans l'article du Guardian :
"In a statement, Microsoft said: "When we upgrade or update products we aren't absolved from the need to comply with existing or future lawful demands." "
Toutes les boites ayant de gros services similaires font de meme, pas par plaisir mais pas obligation: ells doivent fournir un moyen d'intercepter les communications. Elles n'ont pas d'alternatives vu que c'est la loi, en ajoutant le fait qu'elles n'ont non seulement pas le droit d'en parler, elles ne peuvent aussi pas aller devant n'importe quel tribunal pour essayer de l'empecher, c'est un tribunal secret(cf. Yahoo)
Le protocole est defini par la spec, partant de la tu as une base, tu mets un sniffer qui regarde le protocole, quand tu as une deviation -> alerte. Bonne chance pour faire passer des donnees sans declencher une alarme lorsque le protocole est connu et qu'il n'a qu'un ensemble tres limite de donnees qu'il renvoie.
C'est toi qui n'a pas compris ce que "deployer" veut dire. Bien sur que le gars securite A peut filer le binaire au gars securite B. "Deployer" veut dire utiliser les binaires en production.
Je ne crois pas par exemple que le Minnesota a un programme spatial développé, par contre il est clair que l'Etat de Washington en fait beaucoup.
Ben en fait aucun etat n'a de programme spatial, c'est gere au niveau federal uniquement ( = NASA). Les etats files des subsides a Boeing, Lockheed Martin, … pour qu'ils implantent leurs usines chez eux, mais c'est tout.
[^] # Re: Même analyse que l'auteur de l'article
Posté par pasBill pasGates . En réponse à la dépêche Ubuntu Edge, premier smartphone Canonical : convergent, haut de gamme, financement participatif. Évalué à 1.
a) Oui, mais il y a deja des dizaines de milliers…
b) Ben le truc est qu'un phone sans apps mobiles, ca sert pas a grand chose…
c) Ca oui, mais au final t'auras juste un telephone sans apps mobiles et avec des apps desktop, super…
Pour le HW, ben faut quand meme se demander pourquoi ils ont suivi Mozilla et pas Ubuntu… Ils veulent vendre du HW, si ils ont refuse c'est qu'ils estimaient que les ventes seraient trop faibles pour en valoir la peine.
[^] # Re: Même analyse que l'auteur de l'article
Posté par pasBill pasGates . En réponse à la dépêche Ubuntu Edge, premier smartphone Canonical : convergent, haut de gamme, financement participatif. Évalué à 3.
Sa solution est carrément plus pertinente que celle de Microsoft. En effet, avec les LL sous Linux (qui supporte ARM depuis ptet plusieurs dizaines d'années), il suffit grosso modo d'une recompil quand Windows, basé sur du proprio doit faire migrer l'ensemble de l'écosystème applicatif. Microsoft essuie d'ailleurs quelques plâtres à cause de ce point.
T'as visiblement rate :
a) la partie C# / Metro de Windows qui ne demande meme pas de recompilation
b) le fait que l'enorme majorite des softs Android n'est PAS LL / open source
c) Quasiment aucun des LLs existant sous Linux ne se pretent a une utilisation sur un telephone
Ubuntu Edge va finir dans le fosse, ils n'ont absolument pas les moyens de faire face a Apple / Google / MS ou meme BlackBerry au niveau support developpeurs, support operateurs, support HW. La simple preuve est qu'ils ont besoin de faire un telephone eux meme et lever des fonds pour, ca veut dire qu'aucun vendeur HW n'est interesse par leur systeme.
[^] # Re: Et tu aurais voulu qu'ils fassent quoi d'autre ?
Posté par pasBill pasGates . En réponse au journal Microsoft : pbpg a-t-il eu une attaque ? "Votre vie privée est notre priorité". Évalué à 3.
Le probleme touché eglibc ET glibc. Et oui, le link statique est plus rare que le link dynamique (heureusement), mais une feature securite qui a laisse trainer ca pendant 7 ans, ca en dit long sur combien de gens font attention au code.
[^] # Re: Et tu aurais voulu qu'ils fassent quoi d'autre ?
Posté par pasBill pasGates . En réponse au journal Microsoft : pbpg a-t-il eu une attaque ? "Votre vie privée est notre priorité". Évalué à 6.
Un binaire, tu as quelque chose : le code binaire. Tu peux le desassembler (va jeter un oeil a ce que Hex-Rays peut faire a ce niveau, c'est bluffant et ca c'est uniquement pour un soft publiquement dispo), tu peux l'analyser, tu peux voir ce qui sort et ce qui entre, tu as controle sur le firewall de ta boite qui dicte qui peut atteindre le soft, etc…
Mais sinon, l'equivalence logiciel a code ouvert <-> binaire ferme, a partir d'une certaine taille elle est en fait totale parce qu'a partir d'une certaine taille, il est absolument impossible de garantir que le code est 'ok'. Petit exemple pour la route : http://seclists.org/oss-sec/2013/q3/108
Ce bug touche une feature securite de glibc, il est sacrement gros(la protection offerte par cet encodage etait absolument nulle dans tout code lie statiquement, le pointeur etait XORe avec 0 plutot qu'une valeur aleatoire), il est reste dans le code 7 ans sans que personne s'en apercoive. C'est le genre de code qui est parmis les premieres choses qui seraient revues vu son importance niveau securite, il y est reste 7 ans.
Vive la securite du code open source, des "given enough eyes all bugs are shallow" et du mythe des gens qui revoient le code source.
Sinon, mon point du haut avait surtout trait a la difference logiciel <-> service, le logiciel tu peux au moins regarder et controller ce qui entre/sort, un service qui n'est pas loge chez toi, evidemment c'est autre chose…
[^] # Re: Et tu aurais voulu qu'ils fassent quoi d'autre ?
Posté par pasBill pasGates . En réponse au journal Microsoft : pbpg a-t-il eu une attaque ? "Votre vie privée est notre priorité". Évalué à 5.
Aucun fantasme, la pure realite.
Nombre de failles ont ete introduites dans le kernel par les differents mainteneurs, sans qu'aucun des autres devs ne le remarque. Une de plus ou une de moins, aucune difference, simplement cette fois ce sera volontaire.
Une backdoor ca n'a pas besoin d'etre 1000 lignes de code hein, un simple caractere peut suffire pour creer un buffer overflow exploitable par exemple.
[^] # Re: Et tu aurais voulu qu'ils fassent quoi d'autre ?
Posté par pasBill pasGates . En réponse au journal Microsoft : pbpg a-t-il eu une attaque ? "Votre vie privée est notre priorité". Évalué à -2.
Je penses qu'ils soustraient leurs obligations legales et ne parlent que de ce qu'ils pourraient faire mais ne font pas.
[^] # Re: Et tu aurais voulu qu'ils fassent quoi d'autre ?
Posté par pasBill pasGates . En réponse au journal Microsoft : pbpg a-t-il eu une attaque ? "Votre vie privée est notre priorité". Évalué à -2.
Elle est cette loi sur la vie privee ? Ils se demarquent de ce que Google fait (qui n'est pas illegal de ce que je sais), ils ne parlent pas de cote legal la dedans.
[^] # Re: Et tu aurais voulu qu'ils fassent quoi d'autre ?
Posté par pasBill pasGates . En réponse au journal Microsoft : pbpg a-t-il eu une attaque ? "Votre vie privée est notre priorité". Évalué à 3.
Mais de nouveau, moi je suis d'accord avec toi… Le truc est que nombre de gens considerent que le mot unreasonable laisse assez de place a ce qui se passe.
[^] # Re: Et tu aurais voulu qu'ils fassent quoi d'autre ?
Posté par pasBill pasGates . En réponse au journal Microsoft : pbpg a-t-il eu une attaque ? "Votre vie privée est notre priorité". Évalué à -4.
De la meme maniere que tu verifierais une distrib Linux ou LibreOffice ou PostgreSQL ou Firefox … dont le code est ouvert et ou n'importe qui peut poser du code avec un petit bug 'malheureusement' glisse par megarde.
La seule solution qui change la donne est d'ecrire tout le soft(OS, suite office, …) en isolation et en interne, mais c'est totalement irrealiste d'un point de vue financier et ressources humaines.
[^] # Re: Et tu aurais voulu qu'ils fassent quoi d'autre ?
Posté par pasBill pasGates . En réponse au journal Microsoft : pbpg a-t-il eu une attaque ? "Votre vie privée est notre priorité". Évalué à 2.
Bof, les logiciels c'est simple, ca peut se verifier. Un service par contre, c'est effectivement un truc ou j'eviterais les US.
[^] # Re: Et tu aurais voulu qu'ils fassent quoi d'autre ?
Posté par pasBill pasGates . En réponse au journal Microsoft : pbpg a-t-il eu une attaque ? "Votre vie privée est notre priorité". Évalué à 1.
Tout a fait d'accord, mais c'est utopiste a mon avis.
[^] # Re: Et tu aurais voulu qu'ils fassent quoi d'autre ?
Posté par pasBill pasGates . En réponse au journal Microsoft : pbpg a-t-il eu une attaque ? "Votre vie privée est notre priorité". Évalué à 5.
Je suis personnellement d'accord avec le monsieur au cojones, mais j'ai l'humilite d'accepter que ni moi ni lui ne sommes des experts en droit.
[^] # Re: Et tu aurais voulu qu'ils fassent quoi d'autre ?
Posté par pasBill pasGates . En réponse au journal Microsoft : pbpg a-t-il eu une attaque ? "Votre vie privée est notre priorité". Évalué à 2.
Nulle part dans la loi il est question de backdoor dans du code. Les seuls acces demandes sont dans les services de communication. Va lire le Patriot Act, le texte est dispo.
Quand a Redhat et l'obeissance, si il y avait une telle obligation, tu peux etre sur qu'un des devs de Redhat passerait sans probleme une backdoor dans le noyau et personne n'y verrait rien.
[^] # Re: Et tu aurais voulu qu'ils fassent quoi d'autre ?
Posté par pasBill pasGates . En réponse au journal Microsoft : pbpg a-t-il eu une attaque ? "Votre vie privée est notre priorité". Évalué à 1.
Je ne vois pas ou MS a dit quoi que ce soit sur outlook.com
Skype disait ca avant d'etre achete par MS. Mais evidemment, avant MS, Skype n'avait pas de presence US…
[^] # Re: Et tu aurais voulu qu'ils fassent quoi d'autre ?
Posté par pasBill pasGates . En réponse au journal Microsoft : pbpg a-t-il eu une attaque ? "Votre vie privée est notre priorité". Évalué à 1.
Je ne crois pas qu'il y ait de limite legale pour l'encryption.
Cette loi US s'appelle le "Patriot Act"
[^] # Re: Et tu aurais voulu qu'ils fassent quoi d'autre ?
Posté par pasBill pasGates . En réponse au journal Microsoft : pbpg a-t-il eu une attaque ? "Votre vie privée est notre priorité". Évalué à 6.
Microsoft n'a jamais touché Outlook.
C'est Outlook.com , un service en ligne, dont on parle. Bref, un systeme de chat/messagerie/e-mail en ligne.
Redhat sera concerne pour leurs services en ligne, si ils en ont (aucune idee si ils en ont).
[^] # Re: Windows backdoor
Posté par pasBill pasGates . En réponse au journal Espionnage sous Linux ou délire paranoïaque ?. Évalué à -2.
a) Non ce canal n'est pas en permanence ouvert
b) Tu peux tout a fait utiliser ton propre serveur et empecher les communications vers les serveurs MS, c'est ce que font quasiment toutes les societies
c) Tu peux certainement y faire transiter une mise a jour, tu peux aussi faire du reverse engineering de la mise a jour et voir ce qu'elle fait. Les gars du monde de la securite d'habitude mettent 24-36h a le faire quand on sort nos patchs
d) Si tu veux cacher un processus malicieux, il te faut du code dans le kernel (filtrer les appels du FS, certaines structures de processus, …). Si t'es dans le kernel ben… autant y rester, moins de trucs a cacher, voire meme poser un hyperviseur
# Et tu aurais voulu qu'ils fassent quoi d'autre ?
Posté par pasBill pasGates . En réponse au journal Microsoft : pbpg a-t-il eu une attaque ? "Votre vie privée est notre priorité". Évalué à 10.
Etant une societe US, ils doivent suivre les lois americaines. Ces lois leur imposent de pouvoir intercepter les communications, partant de la ils n'ont pas le choix.
Ils l'ont d'ailleurs dit assez explicitement dans l'article du Guardian :
"In a statement, Microsoft said: "When we upgrade or update products we aren't absolved from the need to comply with existing or future lawful demands." "
Toutes les boites ayant de gros services similaires font de meme, pas par plaisir mais pas obligation: ells doivent fournir un moyen d'intercepter les communications. Elles n'ont pas d'alternatives vu que c'est la loi, en ajoutant le fait qu'elles n'ont non seulement pas le droit d'en parler, elles ne peuvent aussi pas aller devant n'importe quel tribunal pour essayer de l'empecher, c'est un tribunal secret(cf. Yahoo)
Eh oui, USA, pays de la liberte…
[^] # Re: Windows backdoor
Posté par pasBill pasGates . En réponse au journal Espionnage sous Linux ou délire paranoïaque ?. Évalué à -1.
Lol, rien a voir, mais alors rien du tout.
Le protocole est defini par la spec, partant de la tu as une base, tu mets un sniffer qui regarde le protocole, quand tu as une deviation -> alerte. Bonne chance pour faire passer des donnees sans declencher une alarme lorsque le protocole est connu et qu'il n'a qu'un ensemble tres limite de donnees qu'il renvoie.
[^] # Re: Windows backdoor
Posté par pasBill pasGates . En réponse au journal Espionnage sous Linux ou délire paranoïaque ?. Évalué à 2.
Lol…
Ton lien, il parle du meme truc que le lien de ce journal sur Windows. Il parle du meme truc que Bruce Schneier a demonte ici : http://www.schneier.com/crypto-gram-9909.html#NSAKeyinMicrosoftCryptoAPI
Ca n'a jamais ete qu'une rumeur lancee par un clown qui a vu le mot NSAKEY a a tout de suite assume que cela voulait dire cle pour la NSA
[^] # Re: Formidable!
Posté par pasBill pasGates . En réponse à la dépêche Le parlement français adopte une disposition législative donnant la priorité au logiciel libre. Évalué à -5.
Ces entreprises membres ont droit de vote, ils ont une influence sur l'APRIL. Partant de la, cela donne a l'APRIL un caractere de lobbyiste.
[^] # Re: Bof
Posté par pasBill pasGates . En réponse au journal Espionnage sous Linux ou délire paranoïaque ?. Évalué à 0.
Non ce n'est pas moi, c'est le sens qu'il a en general. (Demandes a khivapia, c'est de ca qu'il parlait).
Tester des binaires, c'est pas de la production.
[^] # Re: Bof
Posté par pasBill pasGates . En réponse au journal Espionnage sous Linux ou délire paranoïaque ?. Évalué à 0.
C'est toi qui n'a pas compris ce que "deployer" veut dire. Bien sur que le gars securite A peut filer le binaire au gars securite B. "Deployer" veut dire utiliser les binaires en production.
[^] # Re: Bof
Posté par pasBill pasGates . En réponse au journal Espionnage sous Linux ou délire paranoïaque ?. Évalué à 1.
Ben en fait non… cf. http://en.wikipedia.org/wiki/Yucca_Mountain_nuclear_waste_repository par exemple. Le gouvernement US a choisi le Nevada, bien que le Nevada soit contre.
[^] # Re: Bof
Posté par pasBill pasGates . En réponse au journal Espionnage sous Linux ou délire paranoïaque ?. Évalué à 1.
Je ne crois pas par exemple que le Minnesota a un programme spatial développé, par contre il est clair que l'Etat de Washington en fait beaucoup.
Ben en fait aucun etat n'a de programme spatial, c'est gere au niveau federal uniquement ( = NASA). Les etats files des subsides a Boeing, Lockheed Martin, … pour qu'ils implantent leurs usines chez eux, mais c'est tout.