Je ne me souviens plus comment je l'avais appris. Je sais que Windows a un petit tutorial au 1er lancement mais je sais pas si c'est dedans vu que je ne l'ai jamais regarde.
7.5% du marche est sous Windows 8, c'est peu compare a Windows 7, mais c'est plus que ce que MacOS a amasse en 20 ans. Bref, le manque d'utilisateurs on va dire que c'est tres relatif et les apps ont plus tendance a apparaitre qu'a disparaitre dernierement.
Maitenant c'est sur, ca pourrait aller mieux, mais il y a un monde entre l'image catastrophique dans les news et la realite.
Et j'ai teste windows 8 (boulot oblige) et toutes les personnes presentes. Le concours a ete: "En combien de temps tu arrives au system de control" ce fut amusant.
Click droit dans le coin en bas a gauche, choisir "Control Panel"
Entre une plate-forme Windows ou chaque logiciel, plugin et framework gère lui-même ses propres mises à jour (vous avez dit Java ?), et une plate-forme GNU/Linux qui permettrait plusieurs gestionnaires de paquets (un pour tout ce qui est libre, et d'autres pour des choses plus privatrices), il y a quand même du progrès non ?
Ben non… il y a plus de 100'000 apps sous Windows qui utilisent le meme systeme d'update : Windows Store
Oui il y est (maintenant), ca ne veut pas dire qu'il y etait il y a 6 ans et qu'il n'ecrit pas de code pour Windows. De nouveau, ta meconaissance du fonctionnement de la boite.
Quand a dual_ec_drbg, au moment ou il a ete inclus dans Vista, il n'y avait qu'une petite attaque sans grande consequence contre lui et il faisait partie d'un standard.
Meme avec cela, il n'a jamais fait partie des algos par defaut, il devait etre choisi explicitement par l'application qui voulait l'utiliser. Bref, fallait vraiment le vouloir.
et l'audit de sécurité, a fortiori sur un sujet aussi touchy, n'est pas une priorité ?
Sachant qu'on est le modele qu'a peu pres toute l'industrie software suit au niveau securite du code, la reponse coule d'elle meme sur ca. Les pen tests, fuzzing runs, code reviews, design reviews, outils d'analyse statique, … passent sur le code constamment et bien entendu que tout code 'sensible' niveau securite se prend une revue bien profonde vu a quel point il est plus critique que le code du demineur.
Et ces étrangers ont le temps, l'autorisation (y compris non-cloisonnement) et l'envie d'auditer le code juste comme ça ?
a) Toute personne dans la division Windows a acces a tout le code, et plein de gens d'autres divisions ont acces a certaines parties
b) Il y a certainement des audits, mais tu peux tout prendre sur ton laptop du boulot a la maison
c) Pour l'envie d'auditer le code, ben evidemment qu'en dehors de leurs composants c'est selon l'envie, mais c'est comme avec Linux. La difference est qu'ici ils ont au moins les competences et qu'ils sont payes pour.
"Se cacher derriere" ? Tu me fais rire, sachant que c'est des gars de Microsoft qui l'ont revelee publiquement, et qui l'ont publiquement appelee une backdoor de la NSA.
On ajoutera qu'il n'y a pas un bout du systeme qui utilise Dual_ec_drbg, c'est une option que les softs doivent choisir.
Pour supporter les materiels certainement. Mais bon, ca revient a ecrire des drivers, pas a se promener dans le code du noyau forcement, ils ne s'amusent pas tous a faire des forks.
Je regardes ce que tu ecris. Tu me sors que c'est le management qui decide des features, tu me racontes que ces 2 gars sont dans Research et n'ont pas participe au code de Windows, 2 choses qui sont grossierement fausses.
Back doors are simply not acceptable. Besides, they wouldn’t find anybody on this team willing to implement and test the back door.
… Niels Ferguson (developer & cryptographer)
Je sais pas si il y a des gens qui s'interessent aux gadgets proprietaires d'Apple ici, mais en tout cas il y a visiblement des gens qui ne comprennent pas le second degre.
Je viens pourtant d'acheter un MacBook Pro il y a 3 semaines (et non, je n'ai pas vire Mac OS X, j'utilises BootCamp), mais a regarder iOS 7 j'ai vraiment l'impression d'une regression enorme au niveau visuel, c'est d'un moche incroyable. Apple sans Steve Jobs c'est quand meme plus ca.
il n'y avait pas obligation à pouvoir désactiver secureboot il n'y avait pas d'obligation à ce que l'utilisateur puisse rajouter des clefs
Faux.
Ce n'etait simplement pas publique car Windows 8 etait en cours de developpement et on ne publie evidemment rien des guidelines a ce moment la.
Que cela n'ait pas ete publique au moment ou les gens se sont mis a crier ne veut pas dire que ce n'etait pas le cas. (Et la raison pour laquelle ca l'etait deja sur x86 etait simple : eviter des problemes anti-trust)
Faut arrêter, ils n'ont pas besoin de faire ce genre de démarche. Ils ont des moyens de pression énorme sur vous et vous font plier comme une brindille. Vous n'avez pas votre mot à dire si la NSA veut quelque chose, vous le ferrez pour pas chère.
Ben justement, ils ont un gros probleme : il y a plein d'etrangers dans la boite qui ont acces au code.
À partir des binaires tu trouve une faille de manière assez compliquée, pour trouver de vrais malfaçon ça deviens bien plus ardu. Pour trouver une backdoor multi-agent qui s'appuie sur une série de logiciel dont certains ne sont pas forcément édités par MS ça deviens bien plus compliqué. Si vous souhaitez ajouter une backdoor dans windows, ça n'a rien de difficile pour vous.
T'as pas compris.
Un gars en interne la trouve.
Mais il la publie de maniere anonyme, avec des details venant des binaires publiques, pas du code. (Une fois que t'as compris la faille a partir du code, la retrouver a partir des binaires est facile).
Partant de la, il devient impossible de remonter a la source, parce qu'il y a un milliard de gens qui ont ces binaires.
Et alors ? La plus grande partie, ce n'est pas tout. Et le choix d'implémenter tel ou tel standard ne dépend pas d'eux, mais de leur hiérarchie.
Tu te fous de qui la ? Tu n'as aucune idee de comment cela fonctionne dans la boite et tu veux venir me raconter des salades la dessus ? Ce qui atterit dans le produit c'est une collaboration entre le dev team et les program managers, rien ne se fait sans l'accord des deux.
Et tu sais, il y a une grande différence entre Microsoft Research et Microsoft / développement de windows & Co.
De nouveau, tu racontes n'importe quoi
Ils ont ecrit eux-meme de grandes parties du code crypto, les commits je les vois moi contrairement a toi.
Faudra quand meme penser un moment a arreter de raconter n'importe quoi sur des sujets auxquels tu ne connais rien hein.
Si tu veux divulger qqe chose de la NSA, tu viens forcement de la NSA, ils ont tout ce qu'il faut comme logs pour savoir qui a eu acces a quoi et ils te retrouveront.
Si tu divulges une backdoor dans Windows, n'importe qui sur cette planete peut le faire car les binaires sont sur 1 milliard de machines et n'importe qui pourrait techniquement les trouver. Resultat, qq'un qui divulge ca en anonyme, il n'y a aucun moyen de remonter a lui.
Bref ça prouve seulement que Microsoft n'a pas beaucoup de héros parmi son personnel, et/ou que la NSA cible avec beaucoup d'attention les personnes de chez Microsoft avec qui elle collabore.
Note qu'il n'est pas nécessaire qu'il y ai une grosse backdoor « m'as-tu vu » dans le noyau, ça peut marcher de concert avec un ou plusieurs programmes en espace utilisateur (donc oui la procédure d'installation est-toute aussi critique). Ça fait des années que les pirates font ça en espace utilisateur pourquoi pas la NSA ?
Mais evidemment que si la NSA a vraiment envie d'inserer une backdoor dans l'OS elle y arrivera. Il n'y a pas de protection parfaite contre ca, il suffit qu'ils fassent engager 2-3 gars chevronnes. Ils font engager le 1er, qui dit "eh, je connais un pote pour ce poste libre", et hop ca fait 2 gars dans la meme equipe ni vu ni connu.
Idem dans le monde Linux, le gars commence a faire de petits commits pour gagner la confiance et gentiment il change des choses a droite a gauche. Tu ne peux rien faire contre ca.
Ouai et il prend quand même assez chère, tu ne trouve pas ? T'a l'impression qu'il est acclamé ? Qu'on lui déroule le tapis rouge et qu'avant d'avoir son asile en Russie, il ne vivait pas la peur au ventre ? Tu trouve que ça donne envie ?
La difference enorme est que le gars qui a envie de montrer une backdoor dans Windows, il n'y a qu'a aller parquer sa voiture a cote d'un Starbucks, utiliser le free wifi pour poster tous les details pour trouver la backdoor a partir des binaires de monsieur tout le monde de maniere anonyme et c'est regle, impossible de tracer la chose.
Snowden lui, du moment ou le leak apparaissait, la NSA savait qui c'etait. MS n'a pas cette possibilite car si backdoor il y a dans le code, il est techniquement possible a n'importe qui sur cette planete de la trouver a partir des binaires.
Ben j'imagines que c'est les pubs et le fait d'avoir un conduit direct a enormement de gens pour pousser les autres produits de la boite, comme tout le monde.
[^] # Re: Comprends pô
Posté par pasBill pasGates . En réponse au journal SteamOS annoncé. Évalué à -4.
Je ne me souviens plus comment je l'avais appris. Je sais que Windows a un petit tutorial au 1er lancement mais je sais pas si c'est dedans vu que je ne l'ai jamais regarde.
[^] # Re: Comprends pô
Posté par pasBill pasGates . En réponse au journal SteamOS annoncé. Évalué à -1.
500 millions/an de revenus sur 10 ans(allez, disons meme 1 milliard pour l'annee derniere car ca augmentait certainement au fil des ans).
Pour une boite qui fait 100 milliards de revenus par an, ca fait 1%…
L'app store c'est plus une valeur ajoutee qui permet de mieux vendre les autres produits qu'une vache a lait en lui meme.
[^] # Re: Comprends pô
Posté par pasBill pasGates . En réponse au journal SteamOS annoncé. Évalué à -1.
7.5% du marche est sous Windows 8, c'est peu compare a Windows 7, mais c'est plus que ce que MacOS a amasse en 20 ans. Bref, le manque d'utilisateurs on va dire que c'est tres relatif et les apps ont plus tendance a apparaitre qu'a disparaitre dernierement.
Maitenant c'est sur, ca pourrait aller mieux, mais il y a un monde entre l'image catastrophique dans les news et la realite.
[^] # Re: Comprends pô
Posté par pasBill pasGates . En réponse au journal SteamOS annoncé. Évalué à -1.
Et j'ai teste windows 8 (boulot oblige) et toutes les personnes presentes. Le concours a ete: "En combien de temps tu arrives au system de control" ce fut amusant.
Click droit dans le coin en bas a gauche, choisir "Control Panel"
Ca prend bien… 1.5s au moins !
[^] # Re: Comprends pô
Posté par pasBill pasGates . En réponse au journal SteamOS annoncé. Évalué à -2.
Entre une plate-forme Windows ou chaque logiciel, plugin et framework gère lui-même ses propres mises à jour (vous avez dit Java ?), et une plate-forme GNU/Linux qui permettrait plusieurs gestionnaires de paquets (un pour tout ce qui est libre, et d'autres pour des choses plus privatrices), il y a quand même du progrès non ?
Ben non… il y a plus de 100'000 apps sous Windows qui utilisent le meme systeme d'update : Windows Store
[^] # Re: iPhone is now even more NSA friendly *
Posté par pasBill pasGates . En réponse au journal Dans 24h, la terre va trembler de nouveau.... Évalué à -2.
Non, suffit de regarder ce qui transite sur le reseau.
[^] # Re: un autre lien
Posté par pasBill pasGates . En réponse au journal Chiffrement SSL et confidentialité. Évalué à -3.
Oui il y est (maintenant), ca ne veut pas dire qu'il y etait il y a 6 ans et qu'il n'ecrit pas de code pour Windows. De nouveau, ta meconaissance du fonctionnement de la boite.
Quand a dual_ec_drbg, au moment ou il a ete inclus dans Vista, il n'y avait qu'une petite attaque sans grande consequence contre lui et il faisait partie d'un standard.
Meme avec cela, il n'a jamais fait partie des algos par defaut, il devait etre choisi explicitement par l'application qui voulait l'utiliser. Bref, fallait vraiment le vouloir.
[^] # Re: un autre lien
Posté par pasBill pasGates . En réponse au journal Chiffrement SSL et confidentialité. Évalué à -3.
Et j'allais oublier…
et l'audit de sécurité, a fortiori sur un sujet aussi touchy, n'est pas une priorité ?
Sachant qu'on est le modele qu'a peu pres toute l'industrie software suit au niveau securite du code, la reponse coule d'elle meme sur ca. Les pen tests, fuzzing runs, code reviews, design reviews, outils d'analyse statique, … passent sur le code constamment et bien entendu que tout code 'sensible' niveau securite se prend une revue bien profonde vu a quel point il est plus critique que le code du demineur.
[^] # Re: un autre lien
Posté par pasBill pasGates . En réponse au journal Chiffrement SSL et confidentialité. Évalué à -1.
Et ces étrangers ont le temps, l'autorisation (y compris non-cloisonnement) et l'envie d'auditer le code juste comme ça ?
a) Toute personne dans la division Windows a acces a tout le code, et plein de gens d'autres divisions ont acces a certaines parties
b) Il y a certainement des audits, mais tu peux tout prendre sur ton laptop du boulot a la maison
c) Pour l'envie d'auditer le code, ben evidemment qu'en dehors de leurs composants c'est selon l'envie, mais c'est comme avec Linux. La difference est qu'ici ils ont au moins les competences et qu'ils sont payes pour.
[^] # Re: un autre lien
Posté par pasBill pasGates . En réponse au journal Chiffrement SSL et confidentialité. Évalué à -4.
"Se cacher derriere" ? Tu me fais rire, sachant que c'est des gars de Microsoft qui l'ont revelee publiquement, et qui l'ont publiquement appelee une backdoor de la NSA.
On ajoutera qu'il n'y a pas un bout du systeme qui utilise Dual_ec_drbg, c'est une option que les softs doivent choisir.
[^] # Re: un autre lien
Posté par pasBill pasGates . En réponse au journal Chiffrement SSL et confidentialité. Évalué à 0.
Pour supporter les materiels certainement. Mais bon, ca revient a ecrire des drivers, pas a se promener dans le code du noyau forcement, ils ne s'amusent pas tous a faire des forks.
[^] # Re: un autre lien
Posté par pasBill pasGates . En réponse au journal Chiffrement SSL et confidentialité. Évalué à -4.
Je regardes ce que tu ecris. Tu me sors que c'est le management qui decide des features, tu me racontes que ces 2 gars sont dans Research et n'ont pas participe au code de Windows, 2 choses qui sont grossierement fausses.
[^] # Re: La classe !
Posté par pasBill pasGates . En réponse à la dépêche Linux From Scratch fait sa rentrée des classes. Évalué à -3.
Totalement d'accord avec toi !
[^] # Re: un autre lien
Posté par pasBill pasGates . En réponse au journal Chiffrement SSL et confidentialité. Évalué à -5.
http://blogs.msdn.com/b/si_team/archive/2006/03/02/542590.aspx
Back doors are simply not acceptable. Besides, they wouldn’t find anybody on this team willing to implement and test the back door.
…
Niels Ferguson (developer & cryptographer)
http://webcache.googleusercontent.com/search?q=cache:X5gtdtXcWusJ:www.math.washington.edu/acmssem/2006/11-15-2006.ppt+&cd=1&hl=en&ct=clnk
Dan Shumow SDE
Windows Core Security
[^] # Re: LinuxFr.org is not MacWorld.com
Posté par pasBill pasGates . En réponse au journal Dans 24h, la terre va trembler de nouveau.... Évalué à 10.
Je sais pas si il y a des gens qui s'interessent aux gadgets proprietaires d'Apple ici, mais en tout cas il y a visiblement des gens qui ne comprennent pas le second degre.
# C'est marrant
Posté par pasBill pasGates . En réponse au journal Dans 24h, la terre va trembler de nouveau.... Évalué à 0.
Je viens pourtant d'acheter un MacBook Pro il y a 3 semaines (et non, je n'ai pas vire Mac OS X, j'utilises BootCamp), mais a regarder iOS 7 j'ai vraiment l'impression d'une regression enorme au niveau visuel, c'est d'un moche incroyable. Apple sans Steve Jobs c'est quand meme plus ca.
[^] # Re: On signe quoi, en fait?
Posté par pasBill pasGates . En réponse au journal Booting a Self-signed Linux Kernel. Évalué à -5.
Il y a aussi une boite qui s'est fait sacrement emmerder a cause de problemes anti-trust dans le passe, et qui prefere eviter d'y regouter…
[^] # Re: On signe quoi, en fait?
Posté par pasBill pasGates . En réponse au journal Booting a Self-signed Linux Kernel. Évalué à -4.
il n'y avait pas obligation à pouvoir désactiver secureboot
il n'y avait pas d'obligation à ce que l'utilisateur puisse rajouter des clefs
Faux.
Ce n'etait simplement pas publique car Windows 8 etait en cours de developpement et on ne publie evidemment rien des guidelines a ce moment la.
Que cela n'ait pas ete publique au moment ou les gens se sont mis a crier ne veut pas dire que ce n'etait pas le cas. (Et la raison pour laquelle ca l'etait deja sur x86 etait simple : eviter des problemes anti-trust)
[^] # Re: un autre lien
Posté par pasBill pasGates . En réponse au journal Chiffrement SSL et confidentialité. Évalué à -5.
Faut arrêter, ils n'ont pas besoin de faire ce genre de démarche. Ils ont des moyens de pression énorme sur vous et vous font plier comme une brindille. Vous n'avez pas votre mot à dire si la NSA veut quelque chose, vous le ferrez pour pas chère.
Ben justement, ils ont un gros probleme : il y a plein d'etrangers dans la boite qui ont acces au code.
À partir des binaires tu trouve une faille de manière assez compliquée, pour trouver de vrais malfaçon ça deviens bien plus ardu. Pour trouver une backdoor multi-agent qui s'appuie sur une série de logiciel dont certains ne sont pas forcément édités par MS ça deviens bien plus compliqué. Si vous souhaitez ajouter une backdoor dans windows, ça n'a rien de difficile pour vous.
T'as pas compris.
Un gars en interne la trouve.
Mais il la publie de maniere anonyme, avec des details venant des binaires publiques, pas du code. (Une fois que t'as compris la faille a partir du code, la retrouver a partir des binaires est facile).
Partant de la, il devient impossible de remonter a la source, parce qu'il y a un milliard de gens qui ont ces binaires.
[^] # Re: un autre lien
Posté par pasBill pasGates . En réponse au journal Chiffrement SSL et confidentialité. Évalué à -2.
Et alors ? La plus grande partie, ce n'est pas tout. Et le choix d'implémenter tel ou tel standard ne dépend pas d'eux, mais de leur hiérarchie.
Tu te fous de qui la ? Tu n'as aucune idee de comment cela fonctionne dans la boite et tu veux venir me raconter des salades la dessus ? Ce qui atterit dans le produit c'est une collaboration entre le dev team et les program managers, rien ne se fait sans l'accord des deux.
Et tu sais, il y a une grande différence entre Microsoft Research et Microsoft / développement de windows & Co.
De nouveau, tu racontes n'importe quoi
Ils ont ecrit eux-meme de grandes parties du code crypto, les commits je les vois moi contrairement a toi.
Faudra quand meme penser un moment a arreter de raconter n'importe quoi sur des sujets auxquels tu ne connais rien hein.
[^] # Re: un autre lien
Posté par pasBill pasGates . En réponse au journal Chiffrement SSL et confidentialité. Évalué à -5.
Il me semble evident que le respect de la loi passe avant le respect de ta vie privee pour MS ou tout autre boite…
[^] # Re: un autre lien
Posté par pasBill pasGates . En réponse au journal Chiffrement SSL et confidentialité. Évalué à -5.
Non, il y a une enorme difference.
Si tu veux divulger qqe chose de la NSA, tu viens forcement de la NSA, ils ont tout ce qu'il faut comme logs pour savoir qui a eu acces a quoi et ils te retrouveront.
Si tu divulges une backdoor dans Windows, n'importe qui sur cette planete peut le faire car les binaires sont sur 1 milliard de machines et n'importe qui pourrait techniquement les trouver. Resultat, qq'un qui divulge ca en anonyme, il n'y a aucun moyen de remonter a lui.
Bref ça prouve seulement que Microsoft n'a pas beaucoup de héros parmi son personnel, et/ou que la NSA cible avec beaucoup d'attention les personnes de chez Microsoft avec qui elle collabore.
Tu n'en sais fichtre rien et FUD tout simplement.
[^] # Re: un autre lien
Posté par pasBill pasGates . En réponse au journal Chiffrement SSL et confidentialité. Évalué à -5.
Note qu'il n'est pas nécessaire qu'il y ai une grosse backdoor « m'as-tu vu » dans le noyau, ça peut marcher de concert avec un ou plusieurs programmes en espace utilisateur (donc oui la procédure d'installation est-toute aussi critique). Ça fait des années que les pirates font ça en espace utilisateur pourquoi pas la NSA ?
Mais evidemment que si la NSA a vraiment envie d'inserer une backdoor dans l'OS elle y arrivera. Il n'y a pas de protection parfaite contre ca, il suffit qu'ils fassent engager 2-3 gars chevronnes. Ils font engager le 1er, qui dit "eh, je connais un pote pour ce poste libre", et hop ca fait 2 gars dans la meme equipe ni vu ni connu.
Idem dans le monde Linux, le gars commence a faire de petits commits pour gagner la confiance et gentiment il change des choses a droite a gauche. Tu ne peux rien faire contre ca.
Ouai et il prend quand même assez chère, tu ne trouve pas ? T'a l'impression qu'il est acclamé ? Qu'on lui déroule le tapis rouge et qu'avant d'avoir son asile en Russie, il ne vivait pas la peur au ventre ? Tu trouve que ça donne envie ?
La difference enorme est que le gars qui a envie de montrer une backdoor dans Windows, il n'y a qu'a aller parquer sa voiture a cote d'un Starbucks, utiliser le free wifi pour poster tous les details pour trouver la backdoor a partir des binaires de monsieur tout le monde de maniere anonyme et c'est regle, impossible de tracer la chose.
Snowden lui, du moment ou le leak apparaissait, la NSA savait qui c'etait. MS n'a pas cette possibilite car si backdoor il y a dans le code, il est techniquement possible a n'importe qui sur cette planete de la trouver a partir des binaires.
[^] # Re: un autre lien
Posté par pasBill pasGates . En réponse au journal Chiffrement SSL et confidentialité. Évalué à 0.
Ben j'imagines que c'est les pubs et le fait d'avoir un conduit direct a enormement de gens pour pousser les autres produits de la boite, comme tout le monde.
[^] # Re: un autre lien
Posté par pasBill pasGates . En réponse au journal Chiffrement SSL et confidentialité. Évalué à -2.
Qui a trouve les failles dans Dual-EC-DBRG ?
Dan Shumow et Niels Ferguson
2 gars qui bossent… chez Microsoft, et qui ont ecrit la plus grande partie du code crypto de Windows.