Un article assez intéressant sur les systèmes d'exploitations sécurisés se trouve ici.
Alors attention, quand je dis "assez intéressant" cela ne signifie pas que nous allons bénéficier de détails techniques...c'est un article généraliste (sans sources d'ailleurs) qui est posté sur un site de webnews. Je ne sais pas quelle est la réputation du site knowckers.org.
Bon toujours est-il que l'article évoque le système d’exploitation chinois Kylin qui est censé être un truc ultra-sécurisé qui résiste à la CIA et à la NSA. C'était basé sur du FreeBSD 5.3 mais l'article parle d'une bascule ultérieure vers Linux.
Là ou ça devient plus amusant c'est que le journaliste parle ensuite du cas de l'Europe. Pour éviter que les gouvernements européens ne fassent le même choix d'indépendance que la Chine, Microsoft a créé son "Government Security Program" (aussi appelé "vous pouvez voir un code source mais pas le modifier ni le compiler") puis son "Security Cooperation Program" (aussi appelé "partagez entre vous les infos sur les failles"). Cela a marché assez bien puisque 18 pays européens sont partenaires du "Government Security Program" mais la France a choisi, comme souvent, l'indépendance et à lancé le projet SINAPSE (Solution Informatique à Noyau Avancé pour une Sureté Elevée).
C'est Mandriva qui est chargé de coordonner le projet depuis 2004 mais rien n'en est encore vraiment sorti. Il semble que ce soit très long de construire un OS sécurisé.
A noter que l'article se termine sur un paragraphe ("Linux, le nouveau standard ?") qui contient une série de trolls d'un fort beau gabarit et qui seraient dignes de figurer sur linuxfr un vendredi :
- "contrairement à une idée largement répandue, une distribution Linux standard comme Mandriva (ou Ubuntu) n’est pas intrinsèquement plus sûre que, par exemple, Windows Vista, qui possède plus de composants de protection (ASLR, DEP, stack et heap protection".
- "Le choix de Mandriva, la seule distribution française de Linux, comme base du système d’exploitation SINAPSE s’explique aisément, mais il existe aujourd’hui des distributions beaucoup plus robustes du point de vue de la sécurité, comme Hardened Gentoo".
- "Linux possède aussi sa part de problèmes de sécurité (...) Une alternative séduisante pourrait alors être OpenBSD".
En définitive, et malgré ses raccourcis et ses trolls, l'article est assez informatif et il propage les bonnes idées : Un code source ouvert est plus sûr à long terme; Des alternatives à Microsoft existent; En matière de sécurité étatique l'indépendance est à privilégier.
On ne peut que souhaiter que les décideurs politiques aient l'occasion de lire cet article afin de leur remettre les idées en place.
Journal Au coeur de la cyberguerre
23
juin
2009
# du flou...
Posté par Antoine . Évalué à 9.
Ah, et comment le savent-ils ?
Quand la CIA et la NSA décident d'attaquer un système (à supposer qu'ils le fassent régulièrement, pour de vrai, sur des systèmes tiers plutôt que sur des équipements de test dans leurs labos), ça m'étonnerait qu'ils envoient un message pour dire « Bonjour, nous sommes la CIA et la NSA, ne vous étonnez pas si l'IP 1.2.3.4 vous fait des trucs bizarres dans le troufignon vendredi prochain, on essaie juste de hacker vos systèmes ».
C'est le même problème qu'avec les algos de crypto : on présume en général que la NSA a dix ans d'avance sur les cryptanalystes du civil en matière de cassage de codes, mais on ne sait pas réellement ce qu'elle est capable de faire concrètement.
(on remarquera que cette nécessité du secret est l'exact inverse de la dissuasion nucléaire, dont l'existence a besoin d'être publique ou publiquement reconnue afin d'être efficace)
contrairement à une idée largement répandue, une distribution Linux standard comme Mandriva (ou Ubuntu) n’est pas intrinsèquement plus sûre que, par exemple, Windows Vista, qui possède plus de composants de protection (ASLR, DEP, stack et heap protection".
Je ne vois pas en quoi c'est un troll, sauf si la démonstration du contraire est triviale (l'est-elle ?).
Certes, en général, tout ce qui ne va pas dans le sens de la promotion du gentil logiciel libre se voit affubler du qualificatif honni par le militant servile.
[^] # Re: du flou...
Posté par nicoastro . Évalué à 10.
Un troll utilise le sophisme, par exemple (toujours totalement pris au hasard;), lancer une affirmation et l’estimer juste tant que le contraire n’a pas été démontré.
[^] # Re: du flou...
Posté par Antoine . Évalué à 3.
En l'occurence une affirmation raisonnable est effectivement de considérer que X et Y sont aussi sûrs l'un que l'autre jusqu'à preuve du contraire. C'est ce que dit le soi-disant troll et je constate que tu ne l'as pas réfuté (ni l'auteur de la dépêche, d'ailleurs).
Ceci dit, on voit bien la technique rhétorique qui consiste à passer au niveau méta et pérorer sur la définition du troll, plutôt que de répondre à la question sous-jacente : Vista est-il, oui ou non, « intrinsèquement » aussi sûr qu'une distrib standard telle que Mandriva ou Ubuntu ? Manifestement, ça agace de ne pas être capable de répondre et on se défoule/défausse en traitant l'auteur de troll. C'est amusant finalement pour quelqu'un qui se targue de débusquer les sophismes.
[^] # Re: du flou...
Posté par Nitchevo (site web personnel) . Évalué à 4.
Tu sais que cette question n'a pas beaucoup de sens?
[^] # Re: du flou...
Posté par nicoastro . Évalué à 9.
Je n’en sais rien. (Je ne suis pas compétent dans le domaine, et me garde bien de faire des affirmations concernant le niveau non-meta.)
[^] # Re: du flou...
Posté par B16F4RV4RD1N . Évalué à 10.
Lui conseillant de vérifier son ordinateur de bureau également, il a remarqué qu'il était également criblé de virus.
Je n'ai jamais vu ce genre de chose sur une distribution linux "standard".
Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it
[^] # Re: du flou...
Posté par chl (site web personnel) . Évalué à -5.
Dire : Vista a une faille via l'auto exécution du contenu d'une clé usb ==> Vista est moins secure qu'un linux "standard"
est très loin d'être une démonstration :)
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à 6.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Re: du flou...
Posté par B16F4RV4RD1N . Évalué à 7.
À partir du moment où un système a une telle faille (exécution automatique de autorun.inf sur un support réinscriptible), et qui s'est avérée conduire à l'installation et la propagation de virus, je me permets de me sentir plus en sécurité sous linux que sous vista, ce qui ne veut pas dire que pour un ensemble d'attaques données (par exemple par le réseau, là où on parle d'attaque physique), vista ne sera pas forcément plus impacté que linux. Mais cela reste à démontrer là aussi.
Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it
[^] # Re: du flou...
Posté par tiot (site web personnel) . Évalué à 1.
Une affirmation raisonnable est conduite par la raison donc elle est juste. Après tu peux jouer sur le double sens de raisonnable est dire que tu voulais parler de « bon sens ».
Et tu bloques sur un problème, les affirmations de bon sens ne viennent pas de la raison mais du monde des opinions et des aprioris. Et c'est effectivement une des bases du sophisme « tout le monde sait que sous Linux il n'y a pas de virus, ce qui montre que c'est un système sûr et efficace ».
[^] # Re: du flou...
Posté par Moonz . Évalué à 9.
[^] # Re: du flou...
Posté par Nicolas Boulay (site web personnel) . Évalué à 2.
Par contre, les couches qui ne sont pas directement prévus pour faire une protection totale ne servent pas (en étant root sous chroot on peut faire un mount ou des mkdev, on peut sortir d'une VM par les IO, etc...)
"La première sécurité est la liberté"
[^] # Re: du flou...
Posté par Fabien (site web personnel) . Évalué à 1.
Et d'autres options permettent de renforcer la sécurité générale des serveurs.
[^] # Re: du flou...
Posté par Nicolas Boulay (site web personnel) . Évalué à 3.
"La première sécurité est la liberté"
[^] # Re: du flou...
Posté par Cédric Chevalier (site web personnel) . Évalué à 1.
Ou sinon un des buts de certains (la plupart ?) des OS c'était plus de faire croire à un programme qu'il est sera exécuté de la même façon que s'il est seul sur la machine, pour faciliter sa conception (enfin au début). Je ne pense pas que cela entraîne forcément une volonté de cacher à un processus qu'il peut avoir des collègues sur la même machine.
[^] # Re: du flou...
Posté par geb . Évalué à 4.
Mandriva et ubuntu ne sont pas des distributions dont la sécurité est la priorité, si vista intègre de base des fonctionalités comme W^x son affirmation tient la route.
De même pour hardened gentoo qui intègre tout de même quelques fonctionalités intéréssantes ( propolice , pax/grsec etc...)
Quand à openbsd, il y a t'il vraiment besoin d'argumenter :) ?
[^] # Re: du flou...
Posté par Maclag . Évalué à 8.
Après tout, ça sert à quoi qu'ils se décarcassent si au final ils ne sont pas jugés mieux placés que les autres pour fournir une bonne base de travail?
Pour Vista, c'est peut-être un préjugé un peu hâtif, mais il faut bien dire que MS nous a habitué à des produits à la sécurité douteuse depuis bien longtemps.
D'ailleurs, tout le monde est d'accord pour dire que moins il y a de code, et moins il y a de faille potentielle, et pour moi Vista part justement avec un gros désavantage, c'est qu'il a besoin d'une chiadée de trucs et machins de sécurité.
M'enfin je suis pas expert, alors vaudrait peut-être mieux que je la ferme.
En même temps, si je clique sur envoyer, là, c'est trop tard :-[
OUPS!
[^] # Re: du flou...
Posté par suJeSelS . Évalué à 5.
Il est aussi intégriste au niveau de l'intégration de blobs, ce qui limite grandement son utilisation sur bien du matériel, donc peu adapté pour les environnements de bureau.
C'est un système que j'utilise et que j'aime beaucoup, mais je comprends bien les problèmes qu'il pourrait rapidement poser (et/ou ne pas résoudre) pour un déploiement massif dans des environnements très variés.
[^] # Re: du flou...
Posté par Nicolas Boulay (site web personnel) . Évalué à 1.
"La première sécurité est la liberté"
[^] # Re: du flou...
Posté par patrick_g (site web personnel) . Évalué à 3.
Ben ça doit dépendre de la charge mais bon OpenBSD, même s'il n'est pas aussi rapide sur les multiprocesseurs, s'en sort honorablement.
Le vrai problème c'est le support assez limité en durée. Les entreprises veulent installer un bidule et que ce soit supporté pendant très longtemps pour ne pas avoir à s'emmerder à tout réinstaller/revalider. Avec OpenBSD il faut suivre la cadence des sorties d'OS car le support n'est pas garanti aussi longtemps que pour d'autres OS.
[^] # Re: du flou...
Posté par Romeo . Évalué à 3.
Pour préciser un peu : La dernière version 4.5 est sorti le 1er mai et sera supporté jusqu'au 1er mai 2010. Mais attention : seul le système de base est supporté, ce n'est pas le cas des packages (tout ce qui est userland). Les packagesont d'ailleurs rapidement obsolètes et la seule manière d'être à jour est de suivre -current (la version de développement).
Et oui je pense que c'est un gros problème pour les entreprises qui n'ont pas quelqu'un qui suive un minimum l'actualité openbsd.
[^] # Re: du flou...
Posté par Psychofox (Mastodon) . Évalué à 8.
[^] # Re: du flou...
Posté par Gniarf . Évalué à 4.
la bonne blague, elles n'ont qu'à acheter du support à une SSLL ou autre.
ah oui mais là il faut raquer et d'un coup elles font la gueule. bouh !
[^] # Re: du flou...
Posté par pasBill pasGates . Évalué à 0.
Qq'un ici pour me montrer une SSLL qui offre un support correct d'une vieille distrib ? J'en ai jamais vu.
[^] # Re: du flou...
Posté par suJeSelS . Évalué à 3.
[^] # Re: du flou...
Posté par pasBill pasGates . Évalué à -3.
[^] # Re: du flou...
Posté par pasBill pasGates . Évalué à 2.
[^] # Re: du flou...
Posté par BAud (site web personnel) . Évalué à 4.
http://www.google.fr/search?hl=fr&ie=UTF-8&oe=UTF-8&(...)
et tu as les professional services de chacun des éditeurs de distrib' comme Red Hat, Mandriva, Novell (tu devrais le savoir)... En "pas SSLL", tu as un "petit" comme Oracle aussi...
Des hébergeurs tels que OBS (Orange Business Services) proposent aussi des services sur Debian (j'ai rencontré leur filiale OLM qui avait l'air sympathique). Un "petit" comme Hewlett Packard propose quelques distributions pour ses Proliant http://h18004.www1.hp.com/products/servers/linux/linuxcommun(...)
Je ne parlerai pas de Free / OVH / Gandi qui proposent des services sur du GNU/Linux, ah bah si je l'ai fait en fait...
Mandriva Linux a une offre OEM, retenue par EMTEC par exemple pour son Gdium
Franchement, passe en France aux Solutions GNU/Linux, tu te rendras compte combien ta question est inepte :)
Dans le monde AIX, il y a Bull je crois qui travaille de concert avec IBM.
Dans le monde Windows, bah j'ai l'impression que Microsoft est bien isolé en revanche :/ (hormis leurs larbins^Wesclaves^WOEM constructeurs qui font de la vente liée à leur matos, même si beaucoup commencent à se rebiffer, z'ont dû en avoir marre de pas réussir à trouver le bugzilla ouvert et soumettre leurs patchs).
[^] # Re: du flou...
Posté par pasBill pasGates . Évalué à 2.
Je veux voir une SSLL qui offre le support d'une distrib en matiere de patchs et autres.
C'est a dire :
a) Ils connaissent le code et sont capable de le corriger
b) Ils gerent et maintiennent le code
b) Ils ont une matrice de tests consequente pour s'assurer de la qualite des patch
Ca n'a absolument rien a voir avec filer du support pour regler des problemes de config et autres, car ca c'est ce que la majorite des boites font.
Tu remarqueras que ni Free, ni OVH, ni Gandi, ni Orange Business Service ne font de patchs.
Des societes de services qui font du support simple, il y en a des milliers pour tous les OS, y compris Windows.
Des boites qui font des patchs et de la maintenance d'OS par contre, c'est une tout autre histoire.
[^] # Re: du flou...
Posté par Alex . Évalué à 2.
depuis que c'es devenu opentrust, je ne sais pas si ils continuent, ni même si ils font encore du libre
[^] # Re: du flou...
Posté par Nicolas Boulay (site web personnel) . Évalué à 4.
Une boite ne fera pas la maintenance d'une distrib en entier. Cela n'a pas d'intérêt pour la boite qui la paye, mais ferait évoluer les logiciels qui posent problème.
Une distrib est infiniment plus gros que ce qui est livré avec Windows. Dans le cas d'un support, cela revient à faire évoluer de version, un logiciel utilisé et gérer proprement les dépendances, voir inclure des patch spécifiques développé par quelqu'un autour du projet en question mais pas de la SSLL ou de la distrib. Cela peut aussi être un patch de logiciel et cela se fait tout les jours pour des ajouts de fonctionnalité, notamment dans le domaine des appli web. Mais on revient dans la prestation plus simple.
"La première sécurité est la liberté"
[^] # Re: du flou...
Posté par zebra3 . Évalué à 3.
Par exemple, la RHEL 2.1 ES qui date de mai 2003 sera supportée jusqu'en mai 2010.
C'est quand même pas mal pour une vieille distrib, sachant que 3 générations sont sorties depuis. Et on ne peut pas dire que les gens de chez RH soient des neuneus niveau support.
Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur
[^] # Re: du flou...
Posté par thedude . Évalué à -4.
compare ta RHEL 2.1 au support de XP par MS...
C'est comparable.
Maintenant, compares a ce que font les autres distros.
[^] # Re: du flou...
Posté par zebra3 . Évalué à 3.
MS a voulu son monopole, il l'a eu, à lui d'assumer le support maintenant. Je ne vais pas les plaindre, pour une fois que le public a fait un choix sciemment (celui de ne pas utiliser Vista).
Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur
[^] # Re: du flou...
Posté par pasBill pasGates . Évalué à -1.
La theorie qui revient tout le temps dans le libre est :
Meme si la boite meurt ou arrete le support, tu peux engager une SSLL pour faire le support et autre.
J'attends toujours de voir une SSLL qui propose ce genre de services... La tu me sors Redhat, en juin 2010, quelle societe sera la pour assurer le support ?
C'est pas une critique de Redhat hein, je veux juste voir une application pratique de cette theorie qui revient tout le temps.
[^] # Re: du flou...
Posté par Bozo_le_clown . Évalué à 7.
Quoique la même question s'applique aussi à XP et Vista d'ailleurs.
[^] # Re: du flou...
Posté par pasBill pasGates . Évalué à 1.
Le jour ou tu me trouveras une boite qui fait le support pour une distrib de 1996 tu m'appelles...
[^] # Re: du flou...
Posté par Sufflope (site web personnel) . Évalué à 6.
Normalement c'est bientôt que toi ou un de tes fans dit qu'on te moinsse parce qu'on veut pas voir la vérité que tu nous assènes.
[^] # Re: du flou...
Posté par thedude . Évalué à 3.
Au contraire, ils vendent exactement l'inverse, a savoir un interloctueur clairement identifie, et avec les reins tellement solide qu'on peut supposer que le jour ou ils disparaitront, l'immense majorite de leurs client sera en train de faire la manche ou de laver des pare brises au feu rouge.
En l'occurence, je voudrais bien savoir quelle boite est assez folle ou arnaqueuse pour pretendre pouvoir assurer le support/maintenance au niveau du code d'une distrib complete.
[^] # Re: du flou...
Posté par briaeros007 . Évalué à 9.
Ben c'est sur, vu que quand ils ont tué leur service de musique, personne a repris le support des serveurs .
Comme quoi, on peut s'appeler ms et dropper quand même des projets avec des clients dessus.
[^] # Re: du flou...
Posté par Nicolas Boulay (site web personnel) . Évalué à 2.
"La première sécurité est la liberté"
[^] # Re: du flou...
Posté par thedude . Évalué à -1.
MS section OS sous departement "support" et MS section "vente d'entertainment" c'est pas vraiment la meme chose.
Bon, je sais, pour toi, c'est pareil, ya marque MS dessus, bouh caca, vilain, pas beau, mechant.
Remarque, on a de la chance dans notre malheur, on a evite le "mais heu!!! d'abord office 2007 arrive pas a lire un document de office 2003, chat bite, perche", pour une fois on a un truc un peu nouveau.
[^] # Re: du flou...
Posté par briaeros007 . Évalué à 2.
Et a part essayer d'être agressif avec les gens (et sortir des conneries), tu as des arguments ?
Bon, je sais, pour toi, c'est pareil, ya marque MS dessus, bouh caca, vilain, pas beau, mechant.
Tu parle de la capacité d'une coporation a faire du support.
Je te réponds dessus.
Et la tu me dis "oula non c'est pas la même division"...
tu es sur que c'est moi qui répond à coté de la plaque?
pour une fois on a un truc un peu nouveau.
En ce qui te concerne, j'ai bien peur que ce commentaire soit au même niveau que tes commentaires précédents, niveau assez peu elevé.
[^] # Re: du flou...
Posté par pasBill pasGates . Évalué à 0.
Mais regulierement ici on me sort que le LL c'est super plus mieux parce que n'importe qui peut faire le support et la maintenance, je demande donc a voir un exemple en pratique, c'est tout.
[^] # Re: du flou...
Posté par Bozo_le_clown . Évalué à 2.
Le support étendu est de 2 ans.
http://www.01net.com/editorial/307002/poste-de-travail/le-su(...)
Pour NT4 ca a donc dù s'arreter en 2007
http://www.zdnet.fr/actualites/informatique/0,39040745,39197(...)
Mais tu es mieux placé et peut-être que tu dis vrai.
Le support est payant et sûrement dissuasif, mais tu peux peut-être nous communiquer les tarifs.
En cumulant avec tous les clients qui payent on doit largement couvrir les frais de maintenance
Avec un tel budget, peut-être qu'une SSLL serait prête à prendre en charge le support d'une distrib.
Il faut donc comparer, ce qui est comparable.
Il y a n distrib linux avec des parts de marché cumulées infimes par rapport à W$.
Si ca devenait rentable, nul doute que tu aurais ton exemple.
Le pragmatisme, les entreprises non philanthropes, ... ce sont des chose qui te sont familières en général.
Bref, le fait qu'il n'y ait pas d'exemple n'implique pas que ce ne soit pas faisable.
Et y a t'il seulement eu une demande client de ce type d'ailleurs ?
Une SSLL ne va pas proposer un service qui n'intéresse personne.
[^] # Re: du flou...
Posté par pasBill pasGates . Évalué à 1.
Le support est payant et sûrement dissuasif, mais tu peux peut-être nous communiquer les tarifs.
Vu que je suis dans le team qui s'en occupe, oui je pense savoir ce qui se passe :+)
Oui en support etendu, ca devient payant, les prix je ne les connais pas car ils sont negocies.
En cumulant avec tous les clients qui payent on doit largement couvrir les frais de maintenance
Avec un tel budget, peut-être qu'une SSLL serait prête à prendre en charge le support d'une distrib.
Peut-etre qui sait, mais on n'arrete pas de me dire que le LL c'est super baleze parce que tu peux, en attendant j'attends toujours de voir un cas pratique...
Si ca devenait rentable, nul doute que tu aurais ton exemple.
Le pragmatisme, les entreprises non philanthropes, ... ce sont des chose qui te sont familières en général.
C'est EXACTEMENT pour cela que j'en parles... parce que ca coute extremement cher.
Nous on peut, parce qu'on a de toute facon toute l'infrastructure et les connaissances vu qu'on a tous les autres OS a maintenir et qu'on a maintenu l'OS en question pendant des annees.
Une SSLL par contre, c'est une toute autre histoire.
Bref, le fait qu'il n'y ait pas d'exemple n'implique pas que ce ne soit pas faisable.
Certainement, cependant tu en conviendras qu'il est dur de dire que c'est faisable et un reel avantage alors que depuis le temps personne ne l'a fait.
Et y a t'il seulement eu une demande client de ce type d'ailleurs ?
Une SSLL ne va pas proposer un service qui n'intéresse personne.
Vu la propension des entreprises a ne pas toucher leurs machines sauf absolument necessaire, c'est certainement qqe chose qu'elles veulent. On a pas decide d'offrire ce support NT4 par hasard.
[^] # Re: du flou...
Posté par claudex . Évalué à 4.
Bref, le fait qu'il n'y ait pas d'exemple n'implique pas que ce ne soit pas faisable.
Certainement, cependant tu en conviendras qu'il est dur de dire que c'est faisable et un reel avantage alors que depuis le temps personne ne l'a fait.
Et y a t'il seulement eu une demande client de ce type d'ailleurs ?
Une SSLL ne va pas proposer un service qui n'intéresse personne.
Vu la propension des entreprises a ne pas toucher leurs machines sauf absolument necessaire, c'est certainement qqe chose qu'elles veulent. On a pas decide d'offrire ce support NT4 par hasard.
Une SSLL peut reprendre le boulot si RH meurt, car ce sera sans doute plus cher que RH, il faut donc que RH meurt pour que ton exemple existe.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: du flou...
Posté par Nicolas Boulay (site web personnel) . Évalué à 3.
"La première sécurité est la liberté"
[^] # Re: du flou...
Posté par pasBill pasGates . Évalué à 1.
Le jour ou sa distrib arrete le support ou meurt, qui va lui offrire ce support ? Les projets externes ne sont pas interesses le plus souvent a supporter les anciens softs.
Bref, ce mythe qu'il est possible de remplacer le support patchs de la distrib par une autre societe, il ne s'est jamais realise en pratique.
[^] # Re: du flou...
Posté par Nicolas Boulay (site web personnel) . Évalué à 2.
Le logiciel obsolète dans sa version d'une distrib peut facilement passer à une version plus récente par un contributeur de la distribution en question. Il suffit juste de faire un backport propre.
"La première sécurité est la liberté"
[^] # Re: du flou...
Posté par pasBill pasGates . Évalué à 0.
C'est un probleme reel, et le LL n'a visiblement pas de meilleure solution que le proprio.
[^] # Re: du flou...
Posté par nicoastro . Évalué à 3.
[^] # Re: du flou...
Posté par pasBill pasGates . Évalué à 2.
Ils ne migreront que si ils y sont forces avec un revolver sur la tempe. Ces gens la sont ceux qui nous paient pour le support NT4 depuis des annees.
[^] # Re: du flou...
Posté par Nicolas Boulay (site web personnel) . Évalué à 4.
Dans la vrai vie, tu as un site web par logiciel qui propose toutes les différentes version. Si tu as de la chance, elle sont déjà packagé pour les nouvelles versions de la distrib, dans ce cas, il faut faire un backport.
Si le patch n'existe pas, tu peux toujours récupérer les sources et payer qqun pour résoudre le problème. (les sources sont dispos, cela change du proprio...) Cela devient un bête problème de correction de logiciel écrit par d'autre et cela ne change rien du tout du fait que cela provient d'une distrib.
Je vais t'apprendre un truc, ce n'est même pas les distrib qui développent le noyau Linux, dingue, non ?
"La première sécurité est la liberté"
[^] # Re: du flou...
Posté par pasBill pasGates . Évalué à 1.
Si le patch n'existe pas, tu peux toujours récupérer les sources et payer qqun pour résoudre le problème. (les sources sont dispos, cela change du proprio...) Cela devient un bête problème de correction de logiciel écrit par d'autre et cela ne change rien du tout du fait que cela provient d'une distrib.
T'as un probleme avec le kernel Linux, voire une ancienne version d'OOo.
Trouves moi UNE SSLL qui a l'infrastructure de test necessaire pour ces softs(je t'aide: le nombre de tests qu'on a pour Office se compte en millions).
Eh oui, il n'y en a aucune, hors ces gens restent sur des vieux softs pour la stabilite, va leur dire que ton patch est totalement non teste, tu verras leur tete.
La valeur ajoutee des distrib c'est ca : integration, test et support.
[^] # Re: du flou...
Posté par suJeSelS . Évalué à 3.
[^] # Re: du flou...
Posté par pasBill pasGates . Évalué à -1.
Tu fais comment les tests de regressions pour la compatibilite ? Faut tout un tas de softs, les automatiser, acheter ceux qui sont pas gratuits, rafraichir la liste de temps en temps, ...
etc...
Je crois que vous etes tres tres loin de vous rendre compte du boulot et des ressources que la maintenance d'un OS demande.
IBM, ils font LTP, ca veut pas dire qu'ils offrent la maintenance d'OS.
[^] # Re: du flou...
Posté par suJeSelS . Évalué à 3.
Heuu IBM ils ne sont pas à la rue tout de même.
Pour le reste ils contribuent au développement du noyau (bien évidement entre autre pour leurs services et matériel) estimé à pas loin de 10% du total des contributions en 2008, donc à priori ils ont les compétences et l'infrastructure en interne. D'ailleurs intégrant ce systèmes sur leur matériel les tests sont un des points clé de leurs contributions.
[^] # Re: du flou...
Posté par nicoastro . Évalué à 6.
[^] # Re: du flou...
Posté par pasBill pasGates . Évalué à -1.
On remarquera que j'ai demande depuis le debut UN exemple de SSLL qui offre la maintenance d'une distrib apres que son support par l'editeur ait cesse(cad Redhat/Mandriva/Novell/...) et je n'ai toujours pas ma reponse, alors que c'est un des arguments favori des pro-LL: la possibilite d'avoir le support apres la mort de l'editeur, fin du support officiel.
Bref, c'est de nouveau une theorie qui en pratique s'envole en fumee.
[^] # Re: du flou...
Posté par Nicolas Boulay (site web personnel) . Évalué à 3.
"La première sécurité est la liberté"
[^] # Re: du flou...
Posté par pasBill pasGates . Évalué à -1.
Moi je regardes IBM Global Services, je ne vois nulle part une offre de support de distrib...
Oui IBM a largement les ressources vu le monstre que c'est, ca ne veut pas dire qu'ils sont interesses ou meme qu'ils trouvent cela rentable.
Bref, passons les theories, en pratique, toujours pas une seule SSLL qui le fait...
[^] # Re: du flou...
Posté par Nicolas Boulay (site web personnel) . Évalué à 2.
"La première sécurité est la liberté"
[^] # Re: du flou...
Posté par Nicolas Boulay (site web personnel) . Évalué à 3.
"La première sécurité est la liberté"
[^] # Re: du flou...
Posté par pasBill pasGates . Évalué à 1.
Ces softs la doivent etre maintenu pour garder les serveurs en etat de fonctionnement.
Un mythe courrament repandu dans le monde Linux est :
Si la boite qui fait la distrib arrete le support ou meurt, n'importe qui d'autre peut le reprendre et le faire(patchs, etc...).
Realite aujourd'hui : Il n'y a aucune societe qui offre ce support. Ca fait un moment que je demande un exemple, personne n'en a donne un seul.
Alors oui je suis sur que Mandriva le fera, mais Mandriva c'est l'editeur de la distrib, ca ne correspond pas au mythe repandu.
[^] # Re: du flou...
Posté par Nicolas Boulay (site web personnel) . Évalué à 2.
Et puis si le système de package est trouvé trop complexe tu peux toujours utiliser un truc compiler à la main.
Le fait qu'il n'y a pas d'exemple et personne n'ont plus pour se plaindre ne prouve absolument pas que cela n'est pas faisable. Quand on cherche à contre dire une théorie, on cherche un contre-exemple, pas un exemple !
"La première sécurité est la liberté"
[^] # Re: du flou...
Posté par pasBill pasGates . Évalué à 1.
Aucun de ceux-ci ne te fournira un patch correctement teste car ils n'en ont pas les moyens (tu penses que tu contributeur a une licence Oracle pour tester son patch du kernel avec ? un systeme avec 8 CPUs ou plus pour tester la montee en charge ?).
Le fait qu'il n'y a pas d'exemple et personne n'ont plus pour se plaindre ne prouve absolument pas que cela n'est pas faisable. Quand on cherche à contre dire une théorie, on cherche un contre-exemple, pas un exemple !
Ca ne prouve pas que ce n'est pas faisable, non. Ca prouve juste que c'est un avantage qui n'existe qu'en theorie car depuis 10 ans que Linux est en entreprise ca n'a jamais ete fait.
[^] # Re: du flou...
Posté par Nicolas Boulay (site web personnel) . Évalué à 2.
Aucun de ceux-ci ne te fournira un patch correctement teste car ils n'en ont pas les moyens (tu penses que tu contributeur a une licence Oracle pour tester son patch du kernel avec ? un systeme avec 8 CPUs ou plus pour tester la montee en charge ?).
C'est ce que utilise le client qui paye ? Non ? Alors on s'en tape.
Ca ne prouve pas que ce n'est pas faisable, non. Ca prouve juste que c'est un avantage qui n'existe qu'en theorie car depuis 10 ans que Linux est en entreprise ca n'a jamais ete fait.
Tu prouves juste que cela n'est pas démontré. La belle affaire. Cela ne veut pas dire que cela n'est pas fait. Je pense plutôt que les boites se débrouillent par elle-même et préfère gérer leur propre merde elle-même.
"La première sécurité est la liberté"
[^] # Re: du flou...
Posté par pasBill pasGates . Évalué à 1.
La boite utilise certainement la pile reseau, elle utilise certainement le kernel, la libc, etc...
Ca en fait des bouts a tester, et cela quel que soit le client...
Tu prouves juste que cela n'est pas démontré. La belle affaire. Cela ne veut pas dire que cela n'est pas fait. Je pense plutôt que les boites se débrouillent par elle-même et préfère gérer leur propre merde elle-même.
Moi je crois surtout qu'elles migrent car elles y sont forcees (a une version superieure, a un autre OS, une autre distrib, ...), tout comme avec Windows.
[^] # Re: du flou...
Posté par Nicolas Boulay (site web personnel) . Évalué à 2.
Mais tu es idiot... non tu le fais exprès.
Tu ne voie pas la différence entre faire une campagne de test pour les machines utilisées par un client et faire une campagne de test pour tout type de machine ? Tu as à l'air de bosser dans le test ne me fait pas croire que tu ne fais pas la différence entre les 2 situations !
En plus, sous Linux, il n'y a pas ou très de corrections kernel qui cassent la libc ! Il n'y a que MS pour faire des interactions pareils. De plus, tu oublis sciemment que par delà la vie de la distrib, les projets évoluent et les bugs ont déjà été corrigés.
Moi je crois surtout qu'elles migrent car elles y sont forcees (a une version superieure, a un autre OS, une autre distrib, ...), tout comme avec Windows.
Dans certain cas, oui, cela revient moins chère, c'est évident.
"La première sécurité est la liberté"
[^] # Re: du flou...
Posté par pasBill pasGates . Évalué à 1.
Moi je fais parfaitement la difference.
Tu changes un element dans le kernel, tu m'expliques comment tu valides que ton changement n'a pas d'impact sur les elements du dessus ? Tu pries ? Tu te contentes de faire tourner la machine pendant 5 jours et voir si elle explose ? Desole mais c'est pas de la validation ca.
En plus, sous Linux, il n'y a pas ou très de corrections kernel qui cassent la libc ! Il n'y a que MS pour faire des interactions pareils. De plus, tu oublis sciemment que par delà la vie de la distrib, les projets évoluent et les bugs ont déjà été corrigés.
Serieusement, tu as deja fait du test ?
Tu sais comment que ton patch casse qqe chose si tu fait pas la validation ? C'est exactement a ca qu'elle sert cette validation !
Quand a MS et ce genre d'interactions, je te suggeres d'eviter ce genre de sarcasmes, surtout avec moi car je connais profondemment les 2 systemes...
[^] # Re: du flou...
Posté par Nicolas Boulay (site web personnel) . Évalué à 2.
Non tu as un design propre...
La validation (enfin le design for test) c'est aussi ne pas avoir à faire toutes les combinaisons d'interactions pour être sûr d'avoir tout les bugs potentiel. Cela s'appelle la modularisation.
Tu sais comment que ton patch casse qqe chose si tu fait pas la validation ? C'est exactement a ca qu'elle sert cette validation !
Je n'ai pas dis de ne pas faire, apprend à lire, je parle de le faire uniquement dans les conditions utiles aux clients (tu parlais de test avec Oracle ou sur 8 cpus).
Mais je voix que tu n'as toujours pas compris cette phrase :"Tu ne voie pas la différence entre faire une campagne de test pour les machines utilisées par un client et faire une campagne de test pour tout type de machine ?"
Et oui, je fais du test, et dans un domaine où un bug peut tuer.
Quand a MS et ce genre d'interactions, je te suggeres d'eviter ce genre de sarcasmes, surtout avec moi car je connais profondemment les 2 systemes...
Toi connaitre profondément Linux ? Cela remonte à combien d'année !
Mais j'adore ta vénération pour le gras et le lourd de ta boite. C'est pas comme si les faits ont montré que 1) Ms est super lent pour sortir un correctif, ce qui fait que la fenètre d'exposition à une faille critique est la plus large dans le domaine des navigateur 2) MS a déjà refusé de corriger des failles de sécurité car c'était trop couteux. Je suis désolé mais ce n'est pas du tout une réussite.
"La première sécurité est la liberté"
[^] # Re: du flou...
Posté par pasBill pasGates . Évalué à 1.
La validation (enfin le design for test) c'est aussi ne pas avoir à faire toutes les combinaisons d'interactions pour être sûr d'avoir tout les bugs potentiel. Cela s'appelle la modularisation.
Tout a fait, maintenant tu regardes un OS grand public comme on parle de Linux, pour qu'il fonctionne il faut que glibc, shell, plusieurs drivers, X probablement, nombre de softs dont plusieurs proprios, etc... tournent
Alors ca sera peut-etre par Oracle sur 8 CPUs non, ca pourrait etre une appli metier dont personne n'a jamais entendu parler qui communique via une connection Token Ring ou autre truc bizarroide.
Pour ce qui est du kernel, le nombre d'elements qui interagissent avec sont tellement nombreux qu'il n'y a que de tres rares cas ou un simple test localise suffit, et la SSII ne va pas attendre que le cas se produise pour commencer a creer toutes ces suites de tests, sinon le client va mettre 1 an a recevoir son patch, et je doutes que ca lui plaise vu qu'il paie pour.
Toi connaitre profondément Linux ? Cela remonte à combien d'année !
Mais qui t'a dit que j'ai arrete d'y toucher ? Ce n'est plus mon systeme principal, ca veut pas dire que je ne l'utilise plus et ne m'y interesse plus. Je n'ai certes plus aucun interet a tester le dernier petit soft a la con qui apparait pour Gnome ou KDE, mais mon interet pour l'OS lui-meme d'un point de vue design n'a pas vraiment change.
Mais j'adore ta vénération pour le gras et le lourd de ta boite. C'est pas comme si les faits ont montré que 1) Ms est super lent pour sortir un correctif, ce qui fait que la fenètre d'exposition à une faille critique est la plus large dans le domaine des navigateur 2) MS a déjà refusé de corriger des failles de sécurité car c'était trop couteux. Je suis désolé mais ce n'est pas du tout une réussite.
1) IE est visiblement plus lent que d'autres oui, il fait aussi visiblement des patchs pour bien plus de gens (IE5,6,7,8)
2) MS n'a jamais refuse de corriger un probleme pour une question de cout, on a refuse de corriger un probleme lorsque la solution etait pire que le mal ce qui est tout autre chose (au hasard quand tu reecris la moitie du truc, tes chances de casses un tas de trucs sont sacrement elevees)
[^] # Re: du flou...
Posté par Nicolas Boulay (site web personnel) . Évalué à 1.
Dans le monde du libre on essait de rester simple histoire de se simplifier la vie à la base. Quand il y a bug sur une lib de base, on n'est pas censé le contourner mais la corriger, car a la version suivante, le code sera cassé.
"La première sécurité est la liberté"
[^] # Re: du flou...
Posté par claudex . Évalué à 4.
Si tu supporte OOo pour une boite, tu n'as pas besoin de faire des millions de tests mais seulement ce que la boite a besoin.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: du flou...
Posté par pasBill pasGates . Évalué à 1.
Maintenant fait une liste de ce dont disons Bank of America a besoin...
[^] # Re: du flou...
Posté par Gniarf . Évalué à 4.
[^] # Re: du flou...
Posté par pasBill pasGates . Évalué à 1.
Et pour une SSLL qui n'a pas les ressources, pas l'infrastructure, qui doit commencer de zero, le cout est enorme, ce qui va probablement le rendre prohibitif pour le client.
(Sans parler de la confiance qu'aura le client dans une SSLL qui n'a jamais fait un boulot de ce genre precedemment)
[^] # Re: du flou...
Posté par Nicolas Boulay (site web personnel) . Évalué à 2.
De plus, une SSII devrait faire les tests pour la configuration du client pas pour tous les systèmes existants.
"La première sécurité est la liberté"
[^] # Re: du flou...
Posté par pasBill pasGates . Évalué à 0.
Ben donnes des exemples alors ! Ca fait des jours que je le demande, personne n'est fichu de les donner.
Notes, je demandes pas pour l'embarque, je demandes pour des serveurs et/ou desktops.
[^] # Re: du flou...
Posté par Nicolas Boulay (site web personnel) . Évalué à 2.
"La première sécurité est la liberté"
[^] # Re: du flou...
Posté par pasBill pasGates . Évalué à -1.
[^] # Re: du flou...
Posté par Nicolas Boulay (site web personnel) . Évalué à 3.
Genre quand ils mettent trois plombes pour corriger une faille IE ?
"La première sécurité est la liberté"
[^] # Re: du flou...
Posté par pasBill pasGates . Évalué à 1.
Ils ont des suites de test pour tous les elements cles du systeme ? Non
Ils ont le materiel necessaire pour tester les patchs ? Probablement pas
etc...
[^] # Re: du flou...
Posté par Nicolas Boulay (site web personnel) . Évalué à 2.
Ensuite, il existe un tas de patch plus ou moins officiel rajouté selon les occasions comme le patch temps réel. Mais j'ai entendu des boites réécrire la pile réseau pour des raisons de perf (routeurs), ou encore des boites faire des patchs kernel pour avoir les timer haute résolutions (bien avant que cela soit intégré dans le noyau) (baie de simulation temps réel)
Tout ces gens là teste pour sa propre plateforme, pas besoin de gros bousin. Si ils ont envie que cela remonte mainstream, il passe par le LKML. Mais la, on parle de développement, pas de maintenance d'une vieille version.
"La première sécurité est la liberté"
[^] # Re: du flou...
Posté par zebra3 . Évalué à 2.
Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur
[^] # Re: du flou...
Posté par pasBill pasGates . Évalué à 1.
[^] # Re: du flou...
Posté par justt . Évalué à 2.
Pour la maintenance à long terme, il y a des distribs corporate, et là, il faut (comme pour MS) compter sur la maison mère.
[^] # Re: du flou...
Posté par B16F4RV4RD1N . Évalué à 3.
Même si comme dit dans l'article, "une nouvelle uniformité autour de Linux signifierait que la découverte d’une vulnérabilité dans ce noyau aurait un impact très important sur de multiples infrastructures nationales", si c'est pour faire un ènième dérivé de Linux, le problème soulevé restera le même. Alors quitte à faire du Linux quand même, pourquoi ne pas reprendre la base de SElinux ?
Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it
[^] # Re: du flou...
Posté par briaeros007 . Évalué à 2.
Actuellement c'est une machine par accréditation, chacun sur leur réseau. Pour éviter cela, ils penchent a faire un hyperviseur bien sécurisé pour faire des machines virtuelles plutot que physiques.
C'était paru dans un article sur le ternet.
Enfin, que même pour le renseignement, il y a plusieurs classes de machines, et toutes ne sont pas amené a gérer des documents ayant plusieurs niveaux de securité, ou différentes catégories (projets).
bref, il faut voir les besoins qu'ont les personnes pour étudier la réponse qu'il est possible d'apporter.
Pour l'instant, on ne sait pas grand chose malheureusement /o\
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à 7.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Re: du flou...
Posté par geb . Évalué à 3.
Tu devrais lire les liens que tu as copié :)
[^] # Re: du flou...
Posté par patrick_g (site web personnel) . Évalué à 9.
Sauf que ASLR est entré dans le noyau Linux de base dès la version 2.6.12 (juin 2005 donc bien avant Vista qui est sorti en janvier 2007).
# Sinapse
Posté par Pascal Terjan (site web personnel) . Évalué à 10.
Et sinon l'auteur de l'article ne sait visiblement pas du tout ce qu'est cet Sinapse:
Afin d’atteindre en si peu de temps un haut niveau de sécurité (Common Criteria EAL-5), il fût décidé de modifier un noyau Linux, en l’occurrence fourni par Mandrake.
Non la sécurité n'est pas mise dans le noyau. Le noyau Linux n'intervient pas dans l'obtention de cette sécurité.
Par exemple http://linuxfr.org/~manouche/17753.html donne déjà plus d'infos comme « De son côté, Jaluna développera le système d'exploitation. Cette start-up dispose déjà d'un micronoyau qui permet à plusieurs systèmes d'exploitation de partager le même processeur. » où la suite qui explique qu'il y aura des applications avec différentes accreditations qui tourneront en même temps avec garantie de séparation des données et de communication que dans le bon sens (pas de sortie de données confidentielles).
Ou aussi le communiqué de presse en 2004 qui disait entre autres Consortium partners envision that hardware partitioning and virtualization technology will play a key role in designing future open operating system security solutions. Les slides présentés à Solutions Linux en 2008 disaient aussi que c'est des OS virtualisés si je me souviens bien.
C'est au niveau du micro noyau que la sécurité est gérée. Le noyau Linux est virtualisé et on ne lui fait pas confiance, ses accès au disques, au réseau, au buffer du clavier, aux devices USB... sont filtrés pour garantir le cloisonnement des differents niveaux de sécurité.
Le choix de Mandriva, la seule distribution française de Linux, comme base du système d’exploitation SINAPSE s’explique aisément, mais il existe aujourd’hui des distributions beaucoup plus robustes du point de vue de la sécurité, comme Hardened Gentoo.
Du coup ceci est n'importe quoi.
[^] # Re: Sinapse
Posté par Olorim . Évalué à 3.
- Considérer que le noyau n'intervient pas dans la sécurité est à mon sens une erreur : plus tu laisse de fonctionnalités active en compilant ton noyau, plus tu as de failles potentiel (ne commencer pas à crier au mensonges, c'est un principe de base de la sécurité, on parle de faille POTENTIEL). Alors, tu ne me fera pas croire que ton noyau virtualisé n'est pas optimisé. En plus, tu le dit un peu plus loin dans ton commentaire...
- Ensuite, oui, les commentaires peuvent être considéré comme des trolls, d'ailleurs, l'auteur du journal l'écrit bien.
Sinon, effectivement, l'article sur lequel est basé ce journal manque de sources...les tiennes ont l'aire plus fiable...
[^] # Re: Sinapse
Posté par liberforce (site web personnel) . Évalué à 6.
En même temps il est développeur kernel chez Mandriva, on peut difficilement faire plus fiable comme source ;-)
[^] # Re: Sinapse
Posté par Nicolas Boulay (site web personnel) . Évalué à 4.
"La première sécurité est la liberté"
# SIN quoi ?!
Posté par Prae . Évalué à 7.
Pouhahahahahahah, :'-)
Mais bordel! je suis sûr qu'il existe un département spécial dans les sous-sols des ministères pour trouver des acronymes et des noms tous aussi débile les uns que les autres :'-)
Sinon, c'est pas possible d'avoir fait un nom aussi idiot et aussi à rallonge juste pour faire le jeu de mot «SINAPSE»!
Allez je me lance !
SINAPSE: « Solution Intrinsèque et Numériquement Arriéré Pour une Salamandre Élevée (à l'air libre) »
[^] # Re: SIN quoi ?!
Posté par Larry Cow . Évalué à 2.
C'est une sorte de mode chez nous, c'est souvent drôle. J'espère juste qu'ils ne dépensent pas des années de commission pour ça (comme pour déterminer le nom du Stade de France), mais bon. Ça reste bon enfant.
[^] # Re: SIN quoi ?!
Posté par NickNolte . Évalué à 0.
Ça fait plaisir de voir qu'on ne cède pas au "tout anglais" parce que c'est tendance ou pour s'approprier les succès, codes des autres!
[^] # Re: SIN quoi ?!
Posté par flashball . Évalué à 1.
[^] # Re: SIN quoi ?!
Posté par Octabrain . Évalué à 2.
# SYNAPSE ? Comme dans le film
Posté par snurpsss . Évalué à 4.
Quelqu'un pour confirmer ?
[^] # Re: SYNAPSE ? Comme dans le film
Posté par Nicolas Boulay (site web personnel) . Évalué à 4.
"La première sécurité est la liberté"
[^] # Re: SYNAPSE ? Comme dans le film
Posté par chuchunain (site web personnel) . Évalué à 0.
"attention aux allergies alimentaires, la cacahouète, c'est le mal"
x--->[]
Concernant les représentations allusives à Microsoft et Bill Gates, le porte-parole de Microsoft, Jim Cullinan a déclaré : « A partir des bandes d'annonce, nous ne pouvions pas dire si le film était au sujet d'AOL ou d'Oracle ».
http://fr.wikipedia.org/wiki/Antitrust_(film)
T'as le bonjour de JavaScript !
# Plus d'infos sur SINAPSE
Posté par cpradier_ . Évalué à 7.
j'ai fait un petit tour du web, enfin plutôt une vue à la jumelle depuis la terrasse de quelqu'un qui est mon ami, pour chercher davantage d'infos sur SINAPSE. Citations entre guillemets françaises, le reste est mon résumé (faillible, errare humanum est).
*** Source 1
L'article de Don Julio (déjà signalé par Pascal Terjan plus haut) : http://linuxfr.org/~manouche/17753.html de 2005 nous apprend que 5 entreprises participent :
- Bertin Technologies, qui « coordonne les développements et assure l'évaluation EAL-5. »
- Surlog, qui « fournit les moyens pour évaluer la sécurité des logiciels. »
- Jaluna, qui « développera le système d'exploitation », qui possède déjà « un micronoyau qui permet à plusieurs systèmes d'exploitation de partager le même processeur. »
- MandrakeSoft, qui « apporte une distribution Linux et animera, en outre, le club d'industriels qui pourra, sous certaines conditions, utiliser le code et contribuer à renforcer la sécurité du SE par leurs développements. »
- Oppida (faute de frappe dans l'article), qui « se charge de l'évaluation au standard ISO 15408 Common Criteria. »
Je note que toutes les références sont liées au militaire : « armée », « ministère de la défense », « applications militaires », « DGA », « secret défense et confidentiel défense ».
Les certifications CC et EAL-5 sont présentées comme des objectifs du projet.
Les motivations présentées sont l'indépendance vis-à-vis de Microsoft et la réduction des coûts supplémentaires engendrés par les problématiques de sécurité.
La question finance est aussi abordée, avec une prévision initiale de 7 millions de dollars sur trois ans (2004 -> 2007 ?)
Comme noté en plusieurs endroits, MandrakeSoft -> Mandriva et Jaluna -> VirtualLogix.
*** Source 2
La page [Nos] Valeurs de Mandriva, http://www.mandriva.com/enterprise/fr/societe/valeurs cite SINAPSE comme classé CC et EAL5, on peut donc supposer que le système a bien été certifié. Ce qui n'implique pas forcément qu'il soit terminé ou même utilisable :-|
*** Source 3
Un article de NetEco, http://www.neteco.com/49617-le-ministere-de-la-defense-passe(...) , donne que le commanditaire est le Ministère de la Défense lui-même.
*** Source 4
Un article d'Indexel, http://www.indexel.net/article/un-linux-ultra-securise-pour-(...) , cite comme objectif du projet de pouvoir se passer des Unix propriétaires sécurisés, trop coûteux.
L'article dit que le système « introduira notamment les notions de virtualisation et de partitionnement hardware pour une meilleure compartimentation du système », ce qui n'est pas radicalement nouveau par rapport aux questions de classification des données évoquées dans le journal de Don Julio, mais qui donne une idée de la méthode employée : il ne s'agit pas d'une séparation superficielle des informations, mais bien d'une séparation dès le niveau du noyau.
*** Source 5
Le CV de Jérôme Carrère, [PDF] http://jerome.carrere.free.fr/CV/cv.pdf , cite la « DGA/SPOTI » comme participant au projet. SPOTI = "Service des Programmes d'Observation, de Télécommunication et d'Information", qui semble être installé à Issy-les-Moulineaux. Mais j'ai pas trouvé à valoriser davantage cet indice, hélas.
*** Source 6
Un communiqué de presse du site de Surlog, [PDF] http://www.surlog.com/Communs/Presse/fr/OS-EAL5/Sinapse-PR-F(...) , résume le projet en 5 pages.
On en apprend un peu plus sur le rôle de Mandriva, qui « va faire des contributions et adapter sa distribution Linux, et stimuler la communauté opensource autour des futurs résultats du projet, qui seront publiés sous une licence opensource à la fin du projet. »
(original : "Mandrakesoft will contribute and adapt its Linux distribution, and stimulate the open source community around the future results of the project, which will be released under an open-source license following project completion.")
NB : Pour ce qui est du noyau, la licence, ce sera bien GPL obligatoirement, non ?
Le communiqué dit que les utilisateurs ne seront pas seulement militaires et que les grands entreprises seront « invitées à se joindre au projet en tant qu'associés (associates), à exprimer leur besoins et à interagir avec l'équipe de développement. »
(original : "Major industry players worldwide will be invited to join the project as associates, express their requirements, and interact with the development team.")
Le communiqué fait ensuite de très courtes présentations ("communication corporate") des cinq entreprises participant.
*** Source 7
Un avis d'attribution de marché public donne des infos plus officielles, http://www.klekoon.com/Joce/JOCE_3_Detail.asp?ID_joce=230053 :
- le marché a été attribué le 20 août 2004 ;
- la valeur total estimée est de € 7 177 920 ;
- le marché est attribué à Bertin Technologies, qui semble donc être le point central du projet.
*** Source 8
Une autre entrée de journal de DLFP, http://linuxfr.org/2004/09/23/17269.html , de Kalimero, ajoute une chose que je n'avais pas encore vue ailleurs : la part des 7 millions d'euro attribuée à Mandriva serait de 1 million.
*** Source 9
Un document hors-sujet, plutôt académique, "Safety and Security UndeR Focal", [PDF] www-spi.lip6.fr/~jaume/description_ssurf.pdf , cite Bertin Technologies et informe simplement au passage que le système de contrôle d'accès à plusieurs niveaux a été développé avec l'aide de la méthode/du logiciel Coq.
- Fanf de DLFP en parlait justement dans un des journaux précédents : http://linuxfr.org/2004/09/23/17269.html#476822
- http://fr.wikipedia.org/wiki/Coq_(logiciel) et http://en.wikipedia.org/wiki/Coq
Voilou pour ma part, si quelqu'un en trouve davantage, je suis curieux^W^W^W^W preneur.
[^] # Re: Plus d'infos sur SINAPSE
Posté par Newinx . Évalué à 4.
la on est dans le full disclosure, le but étant de fournir un linux sécurisé et ergonomique pour madame michu (sous linux), en mettant en concurrence (pour la gloire, pas pour le fric, ce qui peut laisser planer des doutes sur l'implication des acteurs) 3 organismes: la fac d'orsay, l'ENS Ulm et LIFO.
Le principe est que chaque concurrent propose une solution et attaque celle des autres, le tout de manière itérative pendant quelque chose comme 2 ans.
On peut suivre (de très loin) la dessus: http://secsi.adullact.net/
Si quelqu'un à un meilleur pointeur pour suivre l'histoire, je suis preneur !
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.