pasBill pasGates a écrit 16349 commentaires

Je ne vois pas ou MS a dit quoi que ce soit sur outlook.com

Skype disait ca avant d'etre achete par MS. Mais evidemment, avant MS, Skype n'avait pas de presence US…

Je ne crois pas qu'il y ait de limite legale pour l'encryption.

Cette loi US s'appelle le "Patriot Act"

Microsoft n'a jamais touché Outlook.

C'est Outlook.com , un service en ligne, dont on parle. Bref, un systeme de chat/messagerie/e-mail en ligne.

Redhat sera concerne pour leurs services en ligne, si ils en ont (aucune idee si ils en ont).

a) Non ce canal n'est pas en permanence ouvert
b) Tu peux tout a fait utiliser ton propre serveur et empecher les communications vers les serveurs MS, c'est ce que font quasiment toutes les societies
c) Tu peux certainement y faire transiter une mise a jour, tu peux aussi faire du reverse engineering de la mise a jour et voir ce qu'elle fait. Les gars du monde de la securite d'habitude mettent 24-36h a le faire quand on sort nos patchs
d) Si tu veux cacher un processus malicieux, il te faut du code dans le kernel (filtrer les appels du FS, certaines structures de processus, …). Si t'es dans le kernel ben… autant y rester, moins de trucs a cacher, voire meme poser un hyperviseur

Etant une societe US, ils doivent suivre les lois americaines. Ces lois leur imposent de pouvoir intercepter les communications, partant de la ils n'ont pas le choix.

Ils l'ont d'ailleurs dit assez explicitement dans l'article du Guardian :

"In a statement, Microsoft said: "When we upgrade or update products we aren't absolved from the need to comply with existing or future lawful demands." "

Toutes les boites ayant de gros services similaires font de meme, pas par plaisir mais pas obligation: ells doivent fournir un moyen d'intercepter les communications. Elles n'ont pas d'alternatives vu que c'est la loi, en ajoutant le fait qu'elles n'ont non seulement pas le droit d'en parler, elles ne peuvent aussi pas aller devant n'importe quel tribunal pour essayer de l'empecher, c'est un tribunal secret(cf. Yahoo)

Eh oui, USA, pays de la liberte…

Lol, rien a voir, mais alors rien du tout.

Le protocole est defini par la spec, partant de la tu as une base, tu mets un sniffer qui regarde le protocole, quand tu as une deviation -> alerte. Bonne chance pour faire passer des donnees sans declencher une alarme lorsque le protocole est connu et qu'il n'a qu'un ensemble tres limite de donnees qu'il renvoie.

Lol…

Ton lien, il parle du meme truc que le lien de ce journal sur Windows. Il parle du meme truc que Bruce Schneier a demonte ici : http://www.schneier.com/crypto-gram-9909.html#NSAKeyinMicrosoftCryptoAPI

Ca n'a jamais ete qu'une rumeur lancee par un clown qui a vu le mot NSAKEY a a tout de suite assume que cela voulait dire cle pour la NSA

Ces entreprises membres ont droit de vote, ils ont une influence sur l'APRIL. Partant de la, cela donne a l'APRIL un caractere de lobbyiste.

Non ce n'est pas moi, c'est le sens qu'il a en general. (Demandes a khivapia, c'est de ca qu'il parlait).

Tester des binaires, c'est pas de la production.

C'est toi qui n'a pas compris ce que "deployer" veut dire. Bien sur que le gars securite A peut filer le binaire au gars securite B. "Deployer" veut dire utiliser les binaires en production.

Ben en fait non… cf. http://en.wikipedia.org/wiki/Yucca_Mountain_nuclear_waste_repository par exemple. Le gouvernement US a choisi le Nevada, bien que le Nevada soit contre.

Je ne crois pas par exemple que le Minnesota a un programme spatial développé, par contre il est clair que l'Etat de Washington en fait beaucoup.

Ben en fait aucun etat n'a de programme spatial, c'est gere au niveau federal uniquement ( = NASA). Les etats files des subsides a Boeing, Lockheed Martin, … pour qu'ils implantent leurs usines chez eux, mais c'est tout.

Ben c'est sur que la France pourrait trouver les milliards necessaires en piochant ailleurs : en construisant moins d'avions, ayant moins de soldats, etc…

Mais clairement, les gens en chargent estiment que c'est pas la bonne priorite. Je les comprends assez personellement.

Deployer le binaire sur la machine de la secretaire va augmenter la quantite de tests de securite ? Tu rigoles ?

Meuh oui bien sur, et toutes ces boites qui sont membres de l'April, elles ne le sont que par leur amour desinteresse du libre, suis-je bete !

Microsoft par contre, quand ils sont membre d'une association, c'est vraiment pour entuber le monde…

C'est un peu comme le bon chasseur et le mauvais chasseur quoi.

Ah le truc de bas etage ou on mélange un vote emis par quelque personnes avec une decision d'état ayant trait a la securite du pays…

Et a part ca, ce vote n'a pas eu grand chose de scandaleux, au moins compare au fait qu'ODF a ete adopte alors qu'il n'etait pas plus pret qu'OpenXML(qui a dit le mot formule ?).

Tu m'expliqueras en quoi c'est indispensable.

Associations ?

Ah oui, l'APRIL est une association c'est vrai, pas une entreprise ou groupe d'entreprise…

http://www.april.org/association/personnes-morales.html#entreprises

Euh…. Non… rien…

C'est drole comme d'un cote vous vous amusez a critiquer le lobbyisme des societes que vous n'aimez pas, et des que cela va dans le sens de ce que vous voulez, vous applaudissez des 2 mains.

Ah hypocrisie quand tu nous tiens…

Je lis ca et je ne vois nulle part ou il est dit qu'il a trouve son bug par code review. Au contraire quand tu vois le bug, il a donne un PoC et une copie d'ecran du crash dans un debugger, et pas un seul lien sur le code source qui contient le probleme, ce qui tend a montrer qu'il a trouve ca par fuzzing.

Depuis le debut ? Mais tu parles de qui exactement ici ? Il y a qui qui a lu les sources de Linux depuis le debut il y a 20 ans et qui a suivi ? Quasiment personne sur cette planete.

Cette etape n'a rien a voir avec la verification.

Que tous les pays aient de mauvaises / discutables raisons est a mon avis sacrament tire par les cheveux…

Ce qu'on remarque c'est surtout que nous ne sommes plus maître d'une technologie hautement stratégique, on a une forte dépendance envers les USA. Que les USA soient « gentils » aujourd'hui ou pas ne change rien à cet état de fait. On a appris à s'en accommoder, mais ce serait risible de ta part de nier que les USA se servent de cette position comme d'une arme, il est important pour eux de garder cette dépendance (et il n'y a rien dévalorisant à faire ça) et leur patriotisme les poussera à ne jamais avoir de dépendances inverse.

Tout a fait. Mais en fait je crois que cela revient a "tout a un prix". Cette independence technologique a un cout, ce cout est tres eleve. Est-ce que les pays sont prets a payer pour cela ? Visiblement non a part peut-etre la Chine (qui est la seule a en avoir les moyens certains diront).

Tout autant que les gens ont lu les lignes de Linux d'un point de vue securite.

Tu peux probablement faire tourner le compilo sur Wine / ReactOS… C'est le compilo de Visual Studio.