Tu penses sincèrement qu'ils l'utilisent partout, y compris pour les plus hauts niveau de sécurité ? Non parce que sinon (discussion de bas étage), il suffit qu'il y ait un cuisinier allemand dans une base militaire qui utilise un système de gestion de stocks de nourriture pour la cantine basé sous windows pour dire que le ministère de la défense allemande utilise windows, hein…
PARTOUT non, dans la plupart des endroits, y compris des elements sensibles, oui.
There's been enough backlash on Patrick's article that the German Federal Office for security in information technology has provided an actual press release to set the story straight. The press release is HERE, but I've included the translated bits below.
The press release states that the German government did not warn against using Windows 8. It only highlighted that steps needed to be taken to ensure that Windows 8, with TPM, provided a safe computing environment****
J'ai cité IBM avec Lotus Notes. En remontant plus loin, IBM avait poussé le standard DES qui était volontairement affaibli par la NSA (clef de 56 bits au lieu de 64, soit 256 fois plus faciles à péter).
De nouveau, du blabla qui ne vaut rien. La loi etait claire et publique : a l'international l'entropie etait limitee a 40bits. Les societes US vendaient les softs avec des elements crypto repondant a ces criteres, qui etaient publiques, les clients savaient ce qu'ils achetaient. Rien de cache, pas de backdoor dissimulee.
Accessoirement, tous les services en ligne (donc offerts à l'étranger) d'industriels américains renommés (y compris ceux de Microsoft) sont accessibles à la NSA, d'après les documents fuités par Snowden.
De nouveau, je ne vois pas le rapport avec le soft. Les fournisseurs de services sont lies a des lois specifiques, auquelles l'edition de soft n'est pas soumis.
Sans déconner, la première clef serait détruite par inadvertance ou perdue ? Et il faudrait utiliser la deuxième, qu'on met donc en double chez tous les clients ?? Tu ne te foutrais pas de tous ceux qui suivent la conversation (et de moi en particulier) ?
Non du tout, c'est l'explication, et elle a ete donnee publiquement par MS. Je t'ai mis le lien precedemment, mais visiblement tu n'as pas estime qu'il fallait lire la version de MS.
Si la première clef, qui sert régulièrement (grosso modo à chaque mise à jour, pour les signatures), qui fait maximum 4Ko (c'est large) et peut donc être stockée sur deux feuilles A4 dans 36 banques différentes, est perdue, que dire de la deuxième, qui selon tes dires n'aura servi à rien jusqu'ici ?
J'imagines bien qu'ils la gardaient separement.
Et Microsoft ne serait pas capable de conserver ne serait-ce que 4 kilo-octets aussi sensibles ?
J'en sais rien, je sais pas quelle infrastructure ils avaient a l'epoque, visiblement il devait y avoir une crainte, et j'imagines bien que dans les annees 90 MS n'etait pas le mastodonte avec une organisation rigoureuse qu'il est aujourd'hui.
Ben dis moi, vous étiez mauvais à ce point chez Microsoft à l'époque ? Il ne me semble pas avoir entendu parler de beaucoup de mails détruits chez les utilisateurs hotmail, par exemple… Et ça représentait un peu plus que 4 Ko.
Les pertes de donnees ca arrive partout, les annees 90 c'est pas les annees 2000, les societes murissent, s'organisent mieux… Tu remarqueras que les versions recentes de l'OS n'ont pas de clefs de backup.
a) Les allemands et les francais utilisent Windows dans leur departement de la defense depuis plus de 10 ans, ca suffit pour voir a quel point ils en ont peur…
b) Tu es le seul ici a dire que d'autres industriels americains exportent des produits compromis par la NSA et qu'ils le savent/ont collabore.
Dans le cas de l'AS/400 les agences gouvernementales n'ont effectivement pas « forcé » IBM. Mais, elles ont quand même imposé certaines caractéristiques de l'OS pour accepter de l'utiliser. Ce n'est pas n'importe quel client qui peut formuler de telles demandes.
N'importe quel client qui represente un gros pourcentage de ventes le peut, c'est le cas du gouvernement, et ajouter cela ne pose aucun risque a IBM envers ses autres clients donc ils le font, normal.
Si la première clef n'est pas révoquée, autant continuer à l'utiliser, même si elle est compromise, et pas besoin d'une deuxième clef.
Mais pourquoi parles tu de compromission ?! Je t'ai dit depuis le debut que la 2eme clef est la au cas ou la 1ere est PERDUE
Je te dis pas qu'elle est volee, mais qu'elle est perdue (tremblement de terre qui explose le lieu ou elle est stockee, etc…)
Dans ce cas la, il n'y a aucun besoin de revoquer la 1ere clef.
Note : pour bien nous comprendre, on ne perd jamais une clef au sens "l'oublier", "avoir perdu l'unique papier sur lequel elle était écrite" ; surtout une clef de cette importance, qui sert très régulièrement.
Elle peut etre detruite, et c'est bien ca le risque qui a amene la 2eme clef, cela a ete dit clairement.
Supputation encore, tu as simplement absolument envie de croire que MS l'a fait, et tu t'amuses a sauter plein de barrieres pour arriver a ta conclusion, reviens quand tu as du solide, d'ici la, formes tes phrases en tant qu'hypotheses plutot qu'affirmations.
Tu n'en sais rien, tu presumes, tu supputes, et tu n'as rien pour le soutenir, depuis le debut. Reviens quand tu as un truc un peu solide et on en reparlera.
Faudrait peut-etre aussi comprendre de quoi il parle avant de sortir n'importe quoi ?
Va chercher ce que Common Criteria et EAL sont, tu comprendras que que les agences gouvernementales US ont demande des lors. Ils ont des standards pour la securite des softs qu'ils utilisent, et les softs doivent repondre a ca pour etre adopte dans des agences.
Que des agences gouvernementales US fassent des demandes aux editeurs de softs ne veut pas dire que c'est forcement des backdoors qu'ils demandent hein.
et elle s'étend donc à tout Microsoft jusqu'à preuve du contraire.
Ca encore c'est une belle connerie.
La NSA a un mandat sur certains aspects du commerce (export crypto notamment), et tu en profites pour etendre cela a l'ensemble de ce que la NSA fait sans aucun element le justifiant.
De nouveau, cela n'engage que toi et ta vision du monde, ca n'en fait pas une realite.
Que la NSA les ait vole d'une maniere ou d'une autre je peux tout a fait l'imaginer.
Que MS les ait donne, bcp moins.
Sinon j'ai rien vu dans les docs de Snowden disant que les societes US donnaient quoi que ce soit de ce genre a la NSA. J'y ai surtout vu parler de la NSA influencant des organismes comme NIST, s'infiltrant dans les boites pour prendre ce dont il a besoin, …
Si les ingés ne veulent pas suivre et qu'ils se cassent, c'est autant de voix d'opposition en moins.
Si ils se cassent, la boite n'arrivera pas a atteindre ses objectifs, et finira dans le mur…
Quand t'as du monde en dessous, tu ne vois plus s'ils sont bons ou pas. Tu vois des managers/directeurs qui te font des rapports, et tu ne descends pas voir les ingénieurs pour leur demander si "c'est vraiment vrai ce qu'il y a là-dedans?"
Les gens marchent dans les couloirs, ils se rencontrent, parlent autour de la machine a cafe. Faut arreter de croire que c'est des sas etanches.
Je ne sais pas quel niveau hiérarchique tu occupes, mais ton chef te refile toujours les présentations qu'il fait à son propre chef? Je pense que non.
Pas toutes non, mais son chef il etait dans le couloir a 100 metres de moi, on se croisait souvent et on causait de x, y, z
Si moi ou un autre voyait un truc qui cloche, on avait toute lattitude pour en parler avec lui, ou meme la personne au dessus.
Et son chef, tu as la moindre petite idée de ce qu'il rapporte sur votre équipe au niveau encore au-dessus?
De nouveau, idem. Les gens se parlent.
Et même si c'est trop transparent dans la hiérarchie, on peut encore sortir une autre arme: on recrute un consultant, qui a une mission officielle mais à qui on a déjà discrètement expliqué ce que devra être sa conclusion.
De nouveau, en isolation oui. Dans un contexte reel c'est tres dur car cela se voit quand la source d'opposition vient d'un lieu central.
Ah oui c'est rigolo, tout le monde l'a implemente, y compris la librairie cherie du libre, mais tu arrives a focaliser tout le negatif sur MS, qui sont pourtant les seuls a avoir signale un probleme dans dual_ec_drbg…
Tout a fait oui, parce que tu te contentes d'accuser, lancer des hypotheses, sans rien de solide derriere. Je peux te lancer une hypothese demontrant que Francois Hollande est un pretre pedophile extra-terrestre en suivant le meme genre logique.
Tu lances une hypothese, c'est une hypothese jusqu'a ce que tu aies quelque chose de solide qui demontre sa realite.
Ca c'est la belle theorie qui marche a peu pres de nos jours.
Elle marchait bcp moins bien dans les annees 90 quand peu de gens avaient internet et un moyen de verifier les listes de revocation. Sans parler du fait que revoquer la 1ere aurait entraine l'impossibilite de charger le moindre module (tout etait signe avec), et qu'il aurait donc fallu aussi resigner tous les modules et les envoyer a tout le monde, ce qui a l'epoque des modems 28k aurait ete une sacree gageure.
Cela a ete explique par MS : la NSA est l'autorite de regulation pour l'export d'element cryptographiques, et cette cle etait utilisee pour valider le chargement d'extensions a CryptoAPI.
Tu noteras que c'est une deuxieme clef (MS l'a mise comme backup au cas ou la partie privee de la 1ere est perdue), si MS voulait autoriser la NSA a charger ce qu'il veut, il lui aurait largement suffi de signer ce que la NSA veut avec sa 1ere clef, inserer une backdoor dans le code lors d'un patch, etc… bref, cette clef n'apporte rien a la NSA qu'il n'aurait pu avoir d'une autre maniere.
Hypothese fumeuse sans rien pour la soutenir, viens avec du factuel plutot que des affirmations péremptoires non justifiées
Le truc etant que moi je n'accuse personne de rien, la derniere fois que j'ai regarde, c'est a l'accuseur de prouver ses dires avec qqe chose de solide, pas a l'accuse d'aller prouver que chaque accusation est sans valeur.
Si je reçois le rapport et que je veux relayer ça à ma hiérarchie qui n'y comprend rien et ne parle jamais avec les ingénieurs, et que je veux pousser dans l'autre sens, je vais faire un beau Powerpoint:
… Et voilà le travail!
Ca c'est la belle theorie, et en isolation c'est vrai. Le truc est que les choses s'ebruitent, s'apprennent, les entreprises ne sont jamais des couches totalement isolees, et lorsque les ingenieurs voient ce que la hierarchie a fait, cela a tendance a faire du bruit si cela va totalement dans le sens oppose, et le boss qui va totalement a l'oppose sans meme expliquer sa decision aux ingenieurs est bon pour aller au casse pipe avec eux dans le futur.
C'est pour ca que c'est rarement le cas, la decision finale pourrait aller a l'encontre des recommendations des ingenieurs, parce qu'apres tout il n'y a pas que le technique qui entre en jeu d'habitude, mais cela ne se fait certainement pas de maniere totalement noire et cachee, il y a negotiation, les techiques gagneront ou perdront, mais il y a echange parce que sans ca la hierarchie se met tout le monde a dos.
Une argumentation solide ? Pour quoi ? L'explication de la clef a ete donnee par MS. Jusqu'a preuve du contraire, ceux qui doivent prouver leurs dires sont ceux qui accusent.
Tu veux que je te prouves qu'on a jamais donne les clefs privees de tous nos certificats aussi ? Qu'on est pas tous des employes de la NSA ? Qu'on a pas mis ton telephone sur ecoute ? etc.. ?
a) Ils ont certainement de quoi faire un build (tout l'environnement de build est dans le depot avec les sources) a moins qu'ils soient sur un acces separe du reste du gvt mais vu le job de l'ANSSI ca me surprendrait enormement.
b) Ils n'ont jamais file de clefs privees aux USA non plus, ils donnent acces aux donnees de certains utilisateurs de leurs services en ligne lorsque cela est demande comme la loi l'exige, mais c'est pour les individus demandes uniquement, rien de global.
Le truc etant que Niels Ferguson et Dan Shumow a l'epoque etaient dans la division Windows, dans le groupe qui a pondu une bonne partie du code crypto ( et il y a plusieurs elements le montrant en ligne, avec leur fonction a cote de leur nom mentionnant clairement la division Windows et leur role de dev). Ton incapacite a comprendre le fonctionnement interne de MS est ton probleme, pas celui de MS.
Pas besoin de clef supplémentaire dans les systèmes pour autant. L'ANSSI, en France, fait le même boulot, et pourtant elle est soumise au droit commun (pas comme un service d'espionnage), et la loi française ne prévoit pas qu'elle puisse faire modifier les implémentations
De nouveau, ou as tu vu que c'est la NSA qui a requis le fait d'avoir 2 clefs ? Ils sont l'autorite de regulation, le fait d'avoir un systeme de backup c'est MS qui l'a mis pour pouvoir gerer le systeme en cas de probleme avec la 1ere clef, rien a voir avec la NSA.
La NSA a déjà aidé de nombreux industriels américains pour qu'ils remportent des contrats à l'étranger. Pas seulement pour des exportations d'armement, mais aussi simplement, pour des contrats commerciaux. Airbus vs Boeing est avéré, par exemple.
Et dans le cas de MS cela aurait aide MS contre qui a l'epoque ? Sun ? IBM ? Oracle ? Novell ? Ca marche comment ? C'est une vente aux encheres et l'enchere la plus haute gagne vu que toutes les boites soft de l'epoque etaient americaines et "collaborent" avec la NSA (comme Linux d'ailleurs avec SELinux) ?
Mais de nouveau, cette NSAKey appartient a MS comme clef de backup, pas a la NSA, ils ne l'ont jamais donnee a la NSA. Comment tu arrives a me sortir dans une meme phrase que c'est une clef de backup, et que c'est une clef de la NSA ?!
Faut que tu arretes avec cette obsession de croire qu'elle vient de la NSA juste parce que le nom est dedans.
[^] # Re: Comment oser?
Posté par pasBill pasGates . En réponse à la dépêche Open Bar Microsoft/Défense : des documents confirment les jeux de pouvoir et la décision politique. Évalué à -9.
Tu penses sincèrement qu'ils l'utilisent partout, y compris pour les plus hauts niveau de sécurité ? Non parce que sinon (discussion de bas étage), il suffit qu'il y ait un cuisinier allemand dans une base militaire qui utilise un système de gestion de stocks de nourriture pour la cantine basé sous windows pour dire que le ministère de la défense allemande utilise windows, hein…
PARTOUT non, dans la plupart des endroits, y compris des elements sensibles, oui.
Tiens et sinon, les allemands en reviennent, pour toutes leurs administrations centrales : http://www.wpcentral.com/german-government-calls-security-within-windows-8-unacceptable-continues-switching-their-machines
LOL ! Ou comment poster un lien sans meme savoir de quoi il en revient : http://windowsitpro.com/industry/germany-has-its-own-snowden
There's been enough backlash on Patrick's article that the German Federal Office for security in information technology has provided an actual press release to set the story straight. The press release is HERE, but I've included the translated bits below.
The press release states that the German government did not warn against using Windows 8. It only highlighted that steps needed to be taken to ensure that Windows 8, with TPM, provided a safe computing environment****
J'ai cité IBM avec Lotus Notes. En remontant plus loin, IBM avait poussé le standard DES qui était volontairement affaibli par la NSA (clef de 56 bits au lieu de 64, soit 256 fois plus faciles à péter).
De nouveau, du blabla qui ne vaut rien. La loi etait claire et publique : a l'international l'entropie etait limitee a 40bits. Les societes US vendaient les softs avec des elements crypto repondant a ces criteres, qui etaient publiques, les clients savaient ce qu'ils achetaient. Rien de cache, pas de backdoor dissimulee.
Accessoirement, tous les services en ligne (donc offerts à l'étranger) d'industriels américains renommés (y compris ceux de Microsoft) sont accessibles à la NSA, d'après les documents fuités par Snowden.
De nouveau, je ne vois pas le rapport avec le soft. Les fournisseurs de services sont lies a des lois specifiques, auquelles l'edition de soft n'est pas soumis.
[^] # Re: Comment oser?
Posté par pasBill pasGates . En réponse à la dépêche Open Bar Microsoft/Défense : des documents confirment les jeux de pouvoir et la décision politique. Évalué à -9.
Sans déconner, la première clef serait détruite par inadvertance ou perdue ? Et il faudrait utiliser la deuxième, qu'on met donc en double chez tous les clients ?? Tu ne te foutrais pas de tous ceux qui suivent la conversation (et de moi en particulier) ?
Non du tout, c'est l'explication, et elle a ete donnee publiquement par MS. Je t'ai mis le lien precedemment, mais visiblement tu n'as pas estime qu'il fallait lire la version de MS.
Si la première clef, qui sert régulièrement (grosso modo à chaque mise à jour, pour les signatures), qui fait maximum 4Ko (c'est large) et peut donc être stockée sur deux feuilles A4 dans 36 banques différentes, est perdue, que dire de la deuxième, qui selon tes dires n'aura servi à rien jusqu'ici ?
J'imagines bien qu'ils la gardaient separement.
Et Microsoft ne serait pas capable de conserver ne serait-ce que 4 kilo-octets aussi sensibles ?
J'en sais rien, je sais pas quelle infrastructure ils avaient a l'epoque, visiblement il devait y avoir une crainte, et j'imagines bien que dans les annees 90 MS n'etait pas le mastodonte avec une organisation rigoureuse qu'il est aujourd'hui.
Ben dis moi, vous étiez mauvais à ce point chez Microsoft à l'époque ? Il ne me semble pas avoir entendu parler de beaucoup de mails détruits chez les utilisateurs hotmail, par exemple… Et ça représentait un peu plus que 4 Ko.
Les pertes de donnees ca arrive partout, les annees 90 c'est pas les annees 2000, les societes murissent, s'organisent mieux… Tu remarqueras que les versions recentes de l'OS n'ont pas de clefs de backup.
[^] # Re: Comment oser?
Posté par pasBill pasGates . En réponse à la dépêche Open Bar Microsoft/Défense : des documents confirment les jeux de pouvoir et la décision politique. Évalué à -9.
a) Les allemands et les francais utilisent Windows dans leur departement de la defense depuis plus de 10 ans, ca suffit pour voir a quel point ils en ont peur…
b) Tu es le seul ici a dire que d'autres industriels americains exportent des produits compromis par la NSA et qu'ils le savent/ont collabore.
[^] # Re: Comment oser?
Posté par pasBill pasGates . En réponse à la dépêche Open Bar Microsoft/Défense : des documents confirment les jeux de pouvoir et la décision politique. Évalué à -9.
Dans le cas de l'AS/400 les agences gouvernementales n'ont effectivement pas « forcé » IBM. Mais, elles ont quand même imposé certaines caractéristiques de l'OS pour accepter de l'utiliser. Ce n'est pas n'importe quel client qui peut formuler de telles demandes.
N'importe quel client qui represente un gros pourcentage de ventes le peut, c'est le cas du gouvernement, et ajouter cela ne pose aucun risque a IBM envers ses autres clients donc ils le font, normal.
[^] # Re: Comment oser?
Posté par pasBill pasGates . En réponse à la dépêche Open Bar Microsoft/Défense : des documents confirment les jeux de pouvoir et la décision politique. Évalué à -9.
Si la première clef n'est pas révoquée, autant continuer à l'utiliser, même si elle est compromise, et pas besoin d'une deuxième clef.
Mais pourquoi parles tu de compromission ?! Je t'ai dit depuis le debut que la 2eme clef est la au cas ou la 1ere est PERDUE
Je te dis pas qu'elle est volee, mais qu'elle est perdue (tremblement de terre qui explose le lieu ou elle est stockee, etc…)
Dans ce cas la, il n'y a aucun besoin de revoquer la 1ere clef.
Note : pour bien nous comprendre, on ne perd jamais une clef au sens "l'oublier", "avoir perdu l'unique papier sur lequel elle était écrite" ; surtout une clef de cette importance, qui sert très régulièrement.
Elle peut etre detruite, et c'est bien ca le risque qui a amene la 2eme clef, cela a ete dit clairement.
[^] # Re: Comment oser?
Posté par pasBill pasGates . En réponse à la dépêche Open Bar Microsoft/Défense : des documents confirment les jeux de pouvoir et la décision politique. Évalué à -9.
Supputation encore, tu as simplement absolument envie de croire que MS l'a fait, et tu t'amuses a sauter plein de barrieres pour arriver a ta conclusion, reviens quand tu as du solide, d'ici la, formes tes phrases en tant qu'hypotheses plutot qu'affirmations.
[^] # Re: Comment oser?
Posté par pasBill pasGates . En réponse à la dépêche Open Bar Microsoft/Défense : des documents confirment les jeux de pouvoir et la décision politique. Évalué à -9.
Tu n'en sais rien, tu presumes, tu supputes, et tu n'as rien pour le soutenir, depuis le debut. Reviens quand tu as un truc un peu solide et on en reparlera.
[^] # Re: Comment oser?
Posté par pasBill pasGates . En réponse à la dépêche Open Bar Microsoft/Défense : des documents confirment les jeux de pouvoir et la décision politique. Évalué à -9.
Faudrait peut-etre aussi comprendre de quoi il parle avant de sortir n'importe quoi ?
Va chercher ce que Common Criteria et EAL sont, tu comprendras que que les agences gouvernementales US ont demande des lors. Ils ont des standards pour la securite des softs qu'ils utilisent, et les softs doivent repondre a ca pour etre adopte dans des agences.
Que des agences gouvernementales US fassent des demandes aux editeurs de softs ne veut pas dire que c'est forcement des backdoors qu'ils demandent hein.
[^] # Re: Comment oser?
Posté par pasBill pasGates . En réponse à la dépêche Open Bar Microsoft/Défense : des documents confirment les jeux de pouvoir et la décision politique. Évalué à -9.
et elle s'étend donc à tout Microsoft jusqu'à preuve du contraire.
Ca encore c'est une belle connerie.
La NSA a un mandat sur certains aspects du commerce (export crypto notamment), et tu en profites pour etendre cela a l'ensemble de ce que la NSA fait sans aucun element le justifiant.
De nouveau, cela n'engage que toi et ta vision du monde, ca n'en fait pas une realite.
[^] # Re: Comment oser?
Posté par pasBill pasGates . En réponse à la dépêche Open Bar Microsoft/Défense : des documents confirment les jeux de pouvoir et la décision politique. Évalué à -9.
Ah l'amas de connerie dans ce post…
Si c'est pas backup, c'est backdoor… Tu ferais vraiment n'importe quoi pour justifier ton insistance a mettre un truc nocif sur le dos de MS.
C'est une 2eme clef au cas ou la 1ere est perdue. Revoquer la 1ere n'est pas necessaire si la 1ere est perdue plutot que volee.
Ensuite tu tiens absolument a l'appeler backdoor parce que ca entre mieux dans ta notion du monde, libre a toi, ca n'en fait pas une realite.
[^] # Re: Comment oser?
Posté par pasBill pasGates . En réponse à la dépêche Open Bar Microsoft/Défense : des documents confirment les jeux de pouvoir et la décision politique. Évalué à -9.
Oui sans probleme.
Imagines que la fondation n'achete aucune action de BP, Shell, Exxon, …
Voila, aucune.
Qu'est ce qui a change sur la planete ? Ah oui, rien.
[^] # Re: Comment oser?
Posté par pasBill pasGates . En réponse à la dépêche Open Bar Microsoft/Défense : des documents confirment les jeux de pouvoir et la décision politique. Évalué à -9.
Que la NSA les ait vole d'une maniere ou d'une autre je peux tout a fait l'imaginer.
Que MS les ait donne, bcp moins.
Sinon j'ai rien vu dans les docs de Snowden disant que les societes US donnaient quoi que ce soit de ce genre a la NSA. J'y ai surtout vu parler de la NSA influencant des organismes comme NIST, s'infiltrant dans les boites pour prendre ce dont il a besoin, …
[^] # Re: Nos Généraux sont des traîtres
Posté par pasBill pasGates . En réponse à la dépêche Open Bar Microsoft/Défense : des documents confirment les jeux de pouvoir et la décision politique. Évalué à -10.
Si les ingés ne veulent pas suivre et qu'ils se cassent, c'est autant de voix d'opposition en moins.
Si ils se cassent, la boite n'arrivera pas a atteindre ses objectifs, et finira dans le mur…
Quand t'as du monde en dessous, tu ne vois plus s'ils sont bons ou pas. Tu vois des managers/directeurs qui te font des rapports, et tu ne descends pas voir les ingénieurs pour leur demander si "c'est vraiment vrai ce qu'il y a là-dedans?"
Les gens marchent dans les couloirs, ils se rencontrent, parlent autour de la machine a cafe. Faut arreter de croire que c'est des sas etanches.
Je ne sais pas quel niveau hiérarchique tu occupes, mais ton chef te refile toujours les présentations qu'il fait à son propre chef? Je pense que non.
Pas toutes non, mais son chef il etait dans le couloir a 100 metres de moi, on se croisait souvent et on causait de x, y, z
Si moi ou un autre voyait un truc qui cloche, on avait toute lattitude pour en parler avec lui, ou meme la personne au dessus.
Et son chef, tu as la moindre petite idée de ce qu'il rapporte sur votre équipe au niveau encore au-dessus?
De nouveau, idem. Les gens se parlent.
Et même si c'est trop transparent dans la hiérarchie, on peut encore sortir une autre arme: on recrute un consultant, qui a une mission officielle mais à qui on a déjà discrètement expliqué ce que devra être sa conclusion.
De nouveau, en isolation oui. Dans un contexte reel c'est tres dur car cela se voit quand la source d'opposition vient d'un lieu central.
[^] # Re: Comment oser?
Posté par pasBill pasGates . En réponse à la dépêche Open Bar Microsoft/Défense : des documents confirment les jeux de pouvoir et la décision politique. Évalué à -10.
http://csrc.nist.gov/groups/STM/cavp/documents/drbg/drbgval.html
iOS, Cisco, OpenSSL, …
Ah oui c'est rigolo, tout le monde l'a implemente, y compris la librairie cherie du libre, mais tu arrives a focaliser tout le negatif sur MS, qui sont pourtant les seuls a avoir signale un probleme dans dual_ec_drbg…
[^] # Re: Comment oser?
Posté par pasBill pasGates . En réponse à la dépêche Open Bar Microsoft/Défense : des documents confirment les jeux de pouvoir et la décision politique. Évalué à -9.
Tout a fait oui, parce que tu te contentes d'accuser, lancer des hypotheses, sans rien de solide derriere. Je peux te lancer une hypothese demontrant que Francois Hollande est un pretre pedophile extra-terrestre en suivant le meme genre logique.
Tu lances une hypothese, c'est une hypothese jusqu'a ce que tu aies quelque chose de solide qui demontre sa realite.
[^] # Re: Comment oser?
Posté par pasBill pasGates . En réponse à la dépêche Open Bar Microsoft/Défense : des documents confirment les jeux de pouvoir et la décision politique. Évalué à -10.
Ca c'est la belle theorie qui marche a peu pres de nos jours.
Elle marchait bcp moins bien dans les annees 90 quand peu de gens avaient internet et un moyen de verifier les listes de revocation. Sans parler du fait que revoquer la 1ere aurait entraine l'impossibilite de charger le moindre module (tout etait signe avec), et qu'il aurait donc fallu aussi resigner tous les modules et les envoyer a tout le monde, ce qui a l'epoque des modems 28k aurait ete une sacree gageure.
Bref, il y a la theorie, et la pratique.
[^] # Re: Comment oser?
Posté par pasBill pasGates . En réponse à la dépêche Open Bar Microsoft/Défense : des documents confirment les jeux de pouvoir et la décision politique. Évalué à -10.
Cela a ete explique par MS : la NSA est l'autorite de regulation pour l'export d'element cryptographiques, et cette cle etait utilisee pour valider le chargement d'extensions a CryptoAPI.
Tu noteras que c'est une deuxieme clef (MS l'a mise comme backup au cas ou la partie privee de la 1ere est perdue), si MS voulait autoriser la NSA a charger ce qu'il veut, il lui aurait largement suffi de signer ce que la NSA veut avec sa 1ere clef, inserer une backdoor dans le code lors d'un patch, etc… bref, cette clef n'apporte rien a la NSA qu'il n'aurait pu avoir d'une autre maniere.
[^] # Re: Comment oser?
Posté par pasBill pasGates . En réponse à la dépêche Open Bar Microsoft/Défense : des documents confirment les jeux de pouvoir et la décision politique. Évalué à -10.
Hypothese fumeuse sans rien pour la soutenir, viens avec du factuel plutot que des affirmations péremptoires non justifiées
Le truc etant que moi je n'accuse personne de rien, la derniere fois que j'ai regarde, c'est a l'accuseur de prouver ses dires avec qqe chose de solide, pas a l'accuse d'aller prouver que chaque accusation est sans valeur.
[^] # Re: Nos Généraux sont des traîtres
Posté par pasBill pasGates . En réponse à la dépêche Open Bar Microsoft/Défense : des documents confirment les jeux de pouvoir et la décision politique. Évalué à -10.
Si je reçois le rapport et que je veux relayer ça à ma hiérarchie qui n'y comprend rien et ne parle jamais avec les ingénieurs, et que je veux pousser dans l'autre sens, je vais faire un beau Powerpoint:
…
Et voilà le travail!
Ca c'est la belle theorie, et en isolation c'est vrai. Le truc est que les choses s'ebruitent, s'apprennent, les entreprises ne sont jamais des couches totalement isolees, et lorsque les ingenieurs voient ce que la hierarchie a fait, cela a tendance a faire du bruit si cela va totalement dans le sens oppose, et le boss qui va totalement a l'oppose sans meme expliquer sa decision aux ingenieurs est bon pour aller au casse pipe avec eux dans le futur.
C'est pour ca que c'est rarement le cas, la decision finale pourrait aller a l'encontre des recommendations des ingenieurs, parce qu'apres tout il n'y a pas que le technique qui entre en jeu d'habitude, mais cela ne se fait certainement pas de maniere totalement noire et cachee, il y a negotiation, les techiques gagneront ou perdront, mais il y a echange parce que sans ca la hierarchie se met tout le monde a dos.
[^] # Re: Comment oser?
Posté par pasBill pasGates . En réponse à la dépêche Open Bar Microsoft/Défense : des documents confirment les jeux de pouvoir et la décision politique. Évalué à -10.
Le fait qu'elle est valide en meme temps la rend autre chose que backup ? Ah bon, elle sort d'ou cette regle ?
Elle est backup car l'objectif est de l'utiliser si la 1ere explose, tu peux lui trouver un autre nom si ca te chante, ca ne change pas son objectif.
[^] # Re: Comment oser?
Posté par pasBill pasGates . En réponse à la dépêche Open Bar Microsoft/Défense : des documents confirment les jeux de pouvoir et la décision politique. Évalué à -10.
Une argumentation solide ? Pour quoi ? L'explication de la clef a ete donnee par MS. Jusqu'a preuve du contraire, ceux qui doivent prouver leurs dires sont ceux qui accusent.
Tu veux que je te prouves qu'on a jamais donne les clefs privees de tous nos certificats aussi ? Qu'on est pas tous des employes de la NSA ? Qu'on a pas mis ton telephone sur ecoute ? etc.. ?
[^] # Re: Comment oser?
Posté par pasBill pasGates . En réponse à la dépêche Open Bar Microsoft/Défense : des documents confirment les jeux de pouvoir et la décision politique. Évalué à -10.
a) Ils ont certainement de quoi faire un build (tout l'environnement de build est dans le depot avec les sources) a moins qu'ils soient sur un acces separe du reste du gvt mais vu le job de l'ANSSI ca me surprendrait enormement.
b) Ils n'ont jamais file de clefs privees aux USA non plus, ils donnent acces aux donnees de certains utilisateurs de leurs services en ligne lorsque cela est demande comme la loi l'exige, mais c'est pour les individus demandes uniquement, rien de global.
[^] # Re: Comment oser?
Posté par pasBill pasGates . En réponse à la dépêche Open Bar Microsoft/Défense : des documents confirment les jeux de pouvoir et la décision politique. Évalué à -10.
Le truc etant que Niels Ferguson et Dan Shumow a l'epoque etaient dans la division Windows, dans le groupe qui a pondu une bonne partie du code crypto ( et il y a plusieurs elements le montrant en ligne, avec leur fonction a cote de leur nom mentionnant clairement la division Windows et leur role de dev). Ton incapacite a comprendre le fonctionnement interne de MS est ton probleme, pas celui de MS.
[^] # Re: Comment oser?
Posté par pasBill pasGates . En réponse à la dépêche Open Bar Microsoft/Défense : des documents confirment les jeux de pouvoir et la décision politique. Évalué à -10.
Pas besoin de clef supplémentaire dans les systèmes pour autant. L'ANSSI, en France, fait le même boulot, et pourtant elle est soumise au droit commun (pas comme un service d'espionnage), et la loi française ne prévoit pas qu'elle puisse faire modifier les implémentations
De nouveau, ou as tu vu que c'est la NSA qui a requis le fait d'avoir 2 clefs ? Ils sont l'autorite de regulation, le fait d'avoir un systeme de backup c'est MS qui l'a mis pour pouvoir gerer le systeme en cas de probleme avec la 1ere clef, rien a voir avec la NSA.
La NSA a déjà aidé de nombreux industriels américains pour qu'ils remportent des contrats à l'étranger. Pas seulement pour des exportations d'armement, mais aussi simplement, pour des contrats commerciaux. Airbus vs Boeing est avéré, par exemple.
Et dans le cas de MS cela aurait aide MS contre qui a l'epoque ? Sun ? IBM ? Oracle ? Novell ? Ca marche comment ? C'est une vente aux encheres et l'enchere la plus haute gagne vu que toutes les boites soft de l'epoque etaient americaines et "collaborent" avec la NSA (comme Linux d'ailleurs avec SELinux) ?
[^] # Re: Comment oser?
Posté par pasBill pasGates . En réponse à la dépêche Open Bar Microsoft/Défense : des documents confirment les jeux de pouvoir et la décision politique. Évalué à -10.
Mais de nouveau, cette NSAKey appartient a MS comme clef de backup, pas a la NSA, ils ne l'ont jamais donnee a la NSA. Comment tu arrives a me sortir dans une meme phrase que c'est une clef de backup, et que c'est une clef de la NSA ?!
Faut que tu arretes avec cette obsession de croire qu'elle vient de la NSA juste parce que le nom est dedans.