Ben c'est sur que la France pourrait trouver les milliards necessaires en piochant ailleurs : en construisant moins d'avions, ayant moins de soldats, etc…
Mais clairement, les gens en chargent estiment que c'est pas la bonne priorite. Je les comprends assez personellement.
Ah le truc de bas etage ou on mélange un vote emis par quelque personnes avec une decision d'état ayant trait a la securite du pays…
Et a part ca, ce vote n'a pas eu grand chose de scandaleux, au moins compare au fait qu'ODF a ete adopte alors qu'il n'etait pas plus pret qu'OpenXML(qui a dit le mot formule ?).
C'est drole comme d'un cote vous vous amusez a critiquer le lobbyisme des societes que vous n'aimez pas, et des que cela va dans le sens de ce que vous voulez, vous applaudissez des 2 mains.
Je lis ca et je ne vois nulle part ou il est dit qu'il a trouve son bug par code review. Au contraire quand tu vois le bug, il a donne un PoC et une copie d'ecran du crash dans un debugger, et pas un seul lien sur le code source qui contient le probleme, ce qui tend a montrer qu'il a trouve ca par fuzzing.
Depuis le debut ? Mais tu parles de qui exactement ici ? Il y a qui qui a lu les sources de Linux depuis le debut il y a 20 ans et qui a suivi ? Quasiment personne sur cette planete.
Que tous les pays aient de mauvaises / discutables raisons est a mon avis sacrament tire par les cheveux…
Ce qu'on remarque c'est surtout que nous ne sommes plus maître d'une technologie hautement stratégique, on a une forte dépendance envers les USA. Que les USA soient « gentils » aujourd'hui ou pas ne change rien à cet état de fait. On a appris à s'en accommoder, mais ce serait risible de ta part de nier que les USA se servent de cette position comme d'une arme, il est important pour eux de garder cette dépendance (et il n'y a rien dévalorisant à faire ça) et leur patriotisme les poussera à ne jamais avoir de dépendances inverse.
Tout a fait. Mais en fait je crois que cela revient a "tout a un prix". Cette independence technologique a un cout, ce cout est tres eleve. Est-ce que les pays sont prets a payer pour cela ? Visiblement non a part peut-etre la Chine (qui est la seule a en avoir les moyens certains diront).
Si j'étais un ingé de chez microsoft, en charge de la backdoor pour le gouvernement je m'arrangerai pour réutiliser les adresses IP voir même les ports TCP de windows update pour faire passer mon flux. Dès lors, à moins de connaître le protocole de cette merde de windows update, pas moyen de dissocier la backdoor du reste….
On pourrait même envisager que Windows Update ai un petit process malicieux qui scanne le disque et envoie ce qu'il estime "intéressant" en mode pro-actif à la bande de chinois du FBI.
Et bien sur ce process ne serait pas detecte… Indice : ca serait la pire des methodes, il y a bien mieux pour faire ca, suffit de regarder comment les rootkits font.
Moi je regardes les pays de cette planete, il n'y en a pas un qui le fait a part en partie la Chine, et c'est pas comme si l'existence de cette option ne leur etait pas connue… Ils sont soit totalement stupides, soit ils ont de tres bonnes raisons… et ils ne sont certainement pas stupides…
Munich ne change pas le code, ils packagent des softs existants dans une distrib, c'est sacrement different.
La proposition plus haut qui vise a modifier le code pour qu'un exploit ne marche plus, c'est une tout autre paire de manche, car ca implique devoir faire le support/maintenance du fork soi-meme, integrer chaque patch a la main, faire la batterie de tests, avoir des gens pour repondre au support car IBM/Redhat ne le fera pas… Mandriva n'a jamais eu a faire cela a cette echelle, bcp des softs etaient juste pris en batch tel quels et simplement le packaging changeait, et leur support etait a des lieux de ce qui doit se faire pour un deployment a cette echelle.
Au milieu de tout ses flux illégitimes, comment repérer celui qui t'intéresse?
C'est assez simple en fait, c'est celui auquel ta machine repond… Parce que si ta machine se met a repondre aux scanners, t'as de sacres problemes…
Si tu veux vraiment etre serieux, tu repands une vingtaine/centaine de machines sur la planete, et tu fais ton analyse sur toutes ces machines. La probabilite d'avoir le meme genre d'acces a travers toute la plenete est tres, tres, faible, ca te permet d'isoler ce qui est vraiment suspect.
Inutile de dire evidemment que les entites ayant un interet la dedans n'ont pas attendu mon post sur linuxfr pour ausculter ce qui passe sur le reseau avec une machine de base.
Ben non, parce que les particuliers/gamins, ils ne trouvent pas leur failles en faisant des revues de code, ils le font en faisant du fuzzing dans quasiment tous les cas. Pas besoin des sources pour ca.
Des failles logiques on en trouve encore aujourd'hui dans des produits sortis il y a des annees (cf. les problemes de serialization/deserialization de Java/.NET par exemple), un audit ne suffit de loin pas, parce qu'il faut d'abord savoir ce qu'on cherche.
Hahaha. Tu veux dire que Microsoft, qui gère un écosystème logiciel comparable à une distribution à lui tout seul, est aussi riche et puissant que tout l'État chinois ? En retirant, bien sûr, la division XBox et tutti quanti.
Moi je regardes la realite, aucun pays le fait.
Tu regardes nos comptes, tu vois que la division Windows fait des milliards de benefs, mais ils coutent aussi des milliards en R&D, et ils emploient des milliers de gens qualifies qu'il a bien fallu trouver. Nous on les trouve en allant embaucher partout sur la planete, si c'est un developpement securitaire et qu'il ne faut que des employes citoyens du pays, ben bonne chance pour les trouvers tes milliers d'ingenieurs qualifies, surtout avec les salaires francais…
Tu veux dire que tu testes le programme sur quelques entrées seulement ??? Donc tu ne passes jamais sur les entrées particulières qui justement activent la branche dont le cas négatif n'est pas testé et qui sert à la faille ?
Analyse statique : tu construit une representation abstraite du code, et c'est ca que tu compares. Vu que les differences sont minimes, rarement cross-procedure(si il y en a tu poses une alerte et un humain ira voir car ca devrait etre rare), t'as pas besoin de garder des etats de bouts en bouts et d'avoir une explosion exponentielle des etats. Tu te retrouves frequemment a des points ou tu peux dire "ok tout est identique", et tu peux repartir de la en faisant abstraction de ce qui precede.
Si tu prends 2 implementations totalement differentes d'un probleme (disons le moteur HTML de IE et de Firefox), alors il est evident que c'est intraitable, mais ici on parle du meme code source compile par le meme compilateur, t'as au final 2 binaires tres tres proches, et tu utilises cet etat de fait pour mettre des contraintes fortes : un changement "consequent" est automatiquement une erreur, la ou dans le cas IE vs. Firefox ca pourrait etre le meme comportement avec 2 implementations totalement differentes et il faudrait une analyse globale des contraintes, ce qui est trop gros pour etre fait.
Demandes toi si l'armee Francaise utilises des PCs construit maison avec des OS fait maison pour toute son infrastructure. Il y a evidemment des cas specialises, mais ca n'est pas faisable a l'echelle du pays.
Recompiler, executer et deployer des versions modifiees ne sert pas a grand-chose quand le produit a une taille monstre tel qu'une distrib ou Windows.__ Haha.
Non c'est une realite, que tu ne comprends probablement pas. La France n'a tout simplement pas les moyens de gerer un OS totalement modifie. Redhat/Debian/… ne vont pas te filer de support vu que ton code est different, ce sera a toi de tout gerer: debuggage des problemes, maintenance du fork pour le garder a jour, etc…
Ca a un cout enorme. Personne ne s'amuse a forker de distrib et la gerer soi-meme a part la Chine, et encore ils ne l'utilisent que tres peu, ca en dit long.
On parle des failles de sécurité logicielle, pas logiques. Pour les failles logiques, un audit (dans les cas simples) et sinon (d'après le lien que je donne ci-dessus) carrément faire les couches crypto en interne est ce qu'il y a de mieux.
Ah ben oui, un audit ca trouve toutes les failles, suis-je bête… On aurait du nous le dire avant, on aurait regle le probleme !
Sinon, une faille logique ca peut pas etre une faille securite ? Grande nouvelle.
D'autant qu'avec un peu de chance, même l'analyse statique, surtout sur des gros paquets de code, ne prouvera rien du tout : prouver que deux programmes font la même chose est indécidable en général.
En general oui.
Quand c'est sense etre le meme soft par contre, avec le meme compilateur, c'est tres different. Tu pars du meme point, tu suis les chemins en parrallele, les differences sont sensees etre minimes (optimisations locales du compilo) et resolvables, quoi que ce soit d'autre est une alerte.
Au final c'est tres faisable vu que c'est un cas particulier.
[^] # Re: Bof
Posté par pasBill pasGates . En réponse au journal Espionnage sous Linux ou délire paranoïaque ?. Évalué à -1.
Ben c'est sur que la France pourrait trouver les milliards necessaires en piochant ailleurs : en construisant moins d'avions, ayant moins de soldats, etc…
Mais clairement, les gens en chargent estiment que c'est pas la bonne priorite. Je les comprends assez personellement.
[^] # Re: Bof
Posté par pasBill pasGates . En réponse au journal Espionnage sous Linux ou délire paranoïaque ?. Évalué à -1.
Deployer le binaire sur la machine de la secretaire va augmenter la quantite de tests de securite ? Tu rigoles ?
[^] # Re: Formidable!
Posté par pasBill pasGates . En réponse à la dépêche Le parlement français adopte une disposition législative donnant la priorité au logiciel libre. Évalué à -5.
Meuh oui bien sur, et toutes ces boites qui sont membres de l'April, elles ne le sont que par leur amour desinteresse du libre, suis-je bete !
Microsoft par contre, quand ils sont membre d'une association, c'est vraiment pour entuber le monde…
C'est un peu comme le bon chasseur et le mauvais chasseur quoi.
[^] # Re: Bof
Posté par pasBill pasGates . En réponse au journal Espionnage sous Linux ou délire paranoïaque ?. Évalué à -1.
Ah le truc de bas etage ou on mélange un vote emis par quelque personnes avec une decision d'état ayant trait a la securite du pays…
Et a part ca, ce vote n'a pas eu grand chose de scandaleux, au moins compare au fait qu'ODF a ete adopte alors qu'il n'etait pas plus pret qu'OpenXML(qui a dit le mot formule ?).
[^] # Re: Bof
Posté par pasBill pasGates . En réponse au journal Espionnage sous Linux ou délire paranoïaque ?. Évalué à -2.
Tu m'expliqueras en quoi c'est indispensable.
[^] # Re: Formidable!
Posté par pasBill pasGates . En réponse à la dépêche Le parlement français adopte une disposition législative donnant la priorité au logiciel libre. Évalué à -6.
Associations ?
Ah oui, l'APRIL est une association c'est vrai, pas une entreprise ou groupe d'entreprise…
http://www.april.org/association/personnes-morales.html#entreprises
Euh…. Non… rien…
[^] # Re: Formidable!
Posté par pasBill pasGates . En réponse à la dépêche Le parlement français adopte une disposition législative donnant la priorité au logiciel libre. Évalué à -7.
C'est drole comme d'un cote vous vous amusez a critiquer le lobbyisme des societes que vous n'aimez pas, et des que cela va dans le sens de ce que vous voulez, vous applaudissez des 2 mains.
Ah hypocrisie quand tu nous tiens…
[^] # Re: Bof
Posté par pasBill pasGates . En réponse au journal Espionnage sous Linux ou délire paranoïaque ?. Évalué à 0.
Je lis ca et je ne vois nulle part ou il est dit qu'il a trouve son bug par code review. Au contraire quand tu vois le bug, il a donne un PoC et une copie d'ecran du crash dans un debugger, et pas un seul lien sur le code source qui contient le probleme, ce qui tend a montrer qu'il a trouve ca par fuzzing.
[^] # Re: Bof
Posté par pasBill pasGates . En réponse au journal Espionnage sous Linux ou délire paranoïaque ?. Évalué à -1.
Depuis le debut ? Mais tu parles de qui exactement ici ? Il y a qui qui a lu les sources de Linux depuis le debut il y a 20 ans et qui a suivi ? Quasiment personne sur cette planete.
[^] # Re: Bof
Posté par pasBill pasGates . En réponse au journal Espionnage sous Linux ou délire paranoïaque ?. Évalué à -2.
Cette etape n'a rien a voir avec la verification.
[^] # Re: Bof
Posté par pasBill pasGates . En réponse au journal Espionnage sous Linux ou délire paranoïaque ?. Évalué à -1.
Que tous les pays aient de mauvaises / discutables raisons est a mon avis sacrament tire par les cheveux…
Ce qu'on remarque c'est surtout que nous ne sommes plus maître d'une technologie hautement stratégique, on a une forte dépendance envers les USA. Que les USA soient « gentils » aujourd'hui ou pas ne change rien à cet état de fait. On a appris à s'en accommoder, mais ce serait risible de ta part de nier que les USA se servent de cette position comme d'une arme, il est important pour eux de garder cette dépendance (et il n'y a rien dévalorisant à faire ça) et leur patriotisme les poussera à ne jamais avoir de dépendances inverse.
Tout a fait. Mais en fait je crois que cela revient a "tout a un prix". Cette independence technologique a un cout, ce cout est tres eleve. Est-ce que les pays sont prets a payer pour cela ? Visiblement non a part peut-etre la Chine (qui est la seule a en avoir les moyens certains diront).
[^] # Re: Bof
Posté par pasBill pasGates . En réponse au journal Espionnage sous Linux ou délire paranoïaque ?. Évalué à -2.
Tout autant que les gens ont lu les lignes de Linux d'un point de vue securite.
[^] # Re: Bof
Posté par pasBill pasGates . En réponse au journal Espionnage sous Linux ou délire paranoïaque ?. Évalué à -1.
Tu peux probablement faire tourner le compilo sur Wine / ReactOS… C'est le compilo de Visual Studio.
[^] # Re: Windows backdoor
Posté par pasBill pasGates . En réponse au journal Espionnage sous Linux ou délire paranoïaque ?. Évalué à -1.
Si j'étais un ingé de chez microsoft, en charge de la backdoor pour le gouvernement je m'arrangerai pour réutiliser les adresses IP voir même les ports TCP de windows update pour faire passer mon flux.
Dès lors, à moins de connaître le protocole de cette merde de windows update, pas moyen de dissocier la backdoor du reste….
Mouarf…
http://msdn.microsoft.com/en-us/library/cc251937.aspx
Le protocole est documente publiquement.
On pourrait même envisager que Windows Update ai un petit process malicieux qui scanne le disque et envoie ce qu'il estime "intéressant" en mode pro-actif à la bande de chinois du FBI.
Et bien sur ce process ne serait pas detecte… Indice : ca serait la pire des methodes, il y a bien mieux pour faire ca, suffit de regarder comment les rootkits font.
[^] # Re: Bof
Posté par pasBill pasGates . En réponse au journal Espionnage sous Linux ou délire paranoïaque ?. Évalué à 0.
Moi je regardes les pays de cette planete, il n'y en a pas un qui le fait a part en partie la Chine, et c'est pas comme si l'existence de cette option ne leur etait pas connue… Ils sont soit totalement stupides, soit ils ont de tres bonnes raisons… et ils ne sont certainement pas stupides…
[^] # Re: Bof
Posté par pasBill pasGates . En réponse au journal Espionnage sous Linux ou délire paranoïaque ?. Évalué à 0.
Munich ne change pas le code, ils packagent des softs existants dans une distrib, c'est sacrement different.
La proposition plus haut qui vise a modifier le code pour qu'un exploit ne marche plus, c'est une tout autre paire de manche, car ca implique devoir faire le support/maintenance du fork soi-meme, integrer chaque patch a la main, faire la batterie de tests, avoir des gens pour repondre au support car IBM/Redhat ne le fera pas… Mandriva n'a jamais eu a faire cela a cette echelle, bcp des softs etaient juste pris en batch tel quels et simplement le packaging changeait, et leur support etait a des lieux de ce qui doit se faire pour un deployment a cette echelle.
[^] # Re: Bof
Posté par pasBill pasGates . En réponse au journal Espionnage sous Linux ou délire paranoïaque ?. Évalué à 1.
Certains etats regardent des parties de code tres specifiques, ils se foutent pas mal de regarder le code de calc.exe ou le demineur.
[^] # Re: Windows backdoor
Posté par pasBill pasGates . En réponse au journal Espionnage sous Linux ou délire paranoïaque ?. Évalué à 1.
Au milieu de tout ses flux illégitimes, comment repérer celui qui t'intéresse?
C'est assez simple en fait, c'est celui auquel ta machine repond… Parce que si ta machine se met a repondre aux scanners, t'as de sacres problemes…
Si tu veux vraiment etre serieux, tu repands une vingtaine/centaine de machines sur la planete, et tu fais ton analyse sur toutes ces machines. La probabilite d'avoir le meme genre d'acces a travers toute la plenete est tres, tres, faible, ca te permet d'isoler ce qui est vraiment suspect.
Inutile de dire evidemment que les entites ayant un interet la dedans n'ont pas attendu mon post sur linuxfr pour ausculter ce qui passe sur le reseau avec une machine de base.
[^] # Re: Bof
Posté par pasBill pasGates . En réponse au journal Espionnage sous Linux ou délire paranoïaque ?. Évalué à 0.
Ben non, parce que les particuliers/gamins, ils ne trouvent pas leur failles en faisant des revues de code, ils le font en faisant du fuzzing dans quasiment tous les cas. Pas besoin des sources pour ca.
[^] # Re: Bof
Posté par pasBill pasGates . En réponse au journal Espionnage sous Linux ou délire paranoïaque ?. Évalué à 0.
a) Il est possible de le compiler
b) Il est possible de le faire tourner
[^] # Re: Bof
Posté par pasBill pasGates . En réponse au journal Espionnage sous Linux ou délire paranoïaque ?. Évalué à 0.
Des failles logiques on en trouve encore aujourd'hui dans des produits sortis il y a des annees (cf. les problemes de serialization/deserialization de Java/.NET par exemple), un audit ne suffit de loin pas, parce qu'il faut d'abord savoir ce qu'on cherche.
[^] # Re: Bof
Posté par pasBill pasGates . En réponse au journal Espionnage sous Linux ou délire paranoïaque ?. Évalué à 2.
Hahaha. Tu veux dire que Microsoft, qui gère un écosystème logiciel comparable à une distribution à lui tout seul, est aussi riche et puissant que tout l'État chinois ? En retirant, bien sûr, la division XBox et tutti quanti.
Moi je regardes la realite, aucun pays le fait.
Tu regardes nos comptes, tu vois que la division Windows fait des milliards de benefs, mais ils coutent aussi des milliards en R&D, et ils emploient des milliers de gens qualifies qu'il a bien fallu trouver. Nous on les trouve en allant embaucher partout sur la planete, si c'est un developpement securitaire et qu'il ne faut que des employes citoyens du pays, ben bonne chance pour les trouvers tes milliers d'ingenieurs qualifies, surtout avec les salaires francais…
[^] # Re: Bof
Posté par pasBill pasGates . En réponse au journal Espionnage sous Linux ou délire paranoïaque ?. Évalué à 3.
Tu veux dire que tu testes le programme sur quelques entrées seulement ??? Donc tu ne passes jamais sur les entrées particulières qui justement activent la branche dont le cas négatif n'est pas testé et qui sert à la faille ?
Analyse statique : tu construit une representation abstraite du code, et c'est ca que tu compares. Vu que les differences sont minimes, rarement cross-procedure(si il y en a tu poses une alerte et un humain ira voir car ca devrait etre rare), t'as pas besoin de garder des etats de bouts en bouts et d'avoir une explosion exponentielle des etats. Tu te retrouves frequemment a des points ou tu peux dire "ok tout est identique", et tu peux repartir de la en faisant abstraction de ce qui precede.
Si tu prends 2 implementations totalement differentes d'un probleme (disons le moteur HTML de IE et de Firefox), alors il est evident que c'est intraitable, mais ici on parle du meme code source compile par le meme compilateur, t'as au final 2 binaires tres tres proches, et tu utilises cet etat de fait pour mettre des contraintes fortes : un changement "consequent" est automatiquement une erreur, la ou dans le cas IE vs. Firefox ca pourrait etre le meme comportement avec 2 implementations totalement differentes et il faudrait une analyse globale des contraintes, ce qui est trop gros pour etre fait.
[^] # Re: Bof
Posté par pasBill pasGates . En réponse au journal Espionnage sous Linux ou délire paranoïaque ?. Évalué à 2.
Sinon visiblement, d'après http://www.lepoint.fr/actualites-technologie-internet/2010-01-06/nicolas-sarkozy-a-teste-le-teorem-son-futur-telephone-crypte/1387/0/411021 quand il s'agit de réellement protéger un secret par ces gens-là, tout est fait from scratch en interne, jusqu'au composant (donc forcément le logiciel qui tourne dessus, et toutes les couches supérieures).
Demandes toi si l'armee Francaise utilises des PCs construit maison avec des OS fait maison pour toute son infrastructure. Il y a evidemment des cas specialises, mais ca n'est pas faisable a l'echelle du pays.
Recompiler, executer et deployer des versions modifiees ne sert pas a grand-chose quand le produit a une taille monstre tel qu'une distrib ou Windows.__
Haha.
Non c'est une realite, que tu ne comprends probablement pas. La France n'a tout simplement pas les moyens de gerer un OS totalement modifie. Redhat/Debian/… ne vont pas te filer de support vu que ton code est different, ce sera a toi de tout gerer: debuggage des problemes, maintenance du fork pour le garder a jour, etc…
Ca a un cout enorme. Personne ne s'amuse a forker de distrib et la gerer soi-meme a part la Chine, et encore ils ne l'utilisent que tres peu, ca en dit long.
On parle des failles de sécurité logicielle, pas logiques. Pour les failles logiques, un audit (dans les cas simples) et sinon (d'après le lien que je donne ci-dessus) carrément faire les couches crypto en interne est ce qu'il y a de mieux.
Ah ben oui, un audit ca trouve toutes les failles, suis-je bête… On aurait du nous le dire avant, on aurait regle le probleme !
Sinon, une faille logique ca peut pas etre une faille securite ? Grande nouvelle.
[^] # Re: Bof
Posté par pasBill pasGates . En réponse au journal Espionnage sous Linux ou délire paranoïaque ?. Évalué à -1.
D'autant qu'avec un peu de chance, même l'analyse statique, surtout sur des gros paquets de code, ne prouvera rien du tout : prouver que deux programmes font la même chose est indécidable en général.
En general oui.
Quand c'est sense etre le meme soft par contre, avec le meme compilateur, c'est tres different. Tu pars du meme point, tu suis les chemins en parrallele, les differences sont sensees etre minimes (optimisations locales du compilo) et resolvables, quoi que ce soit d'autre est une alerte.
Au final c'est tres faisable vu que c'est un cas particulier.