Journal Au coeur de la cyberguerre

Posté par  (site web personnel) .
Étiquettes :
16
23
juin
2009
Un article assez intéressant sur les systèmes d'exploitations sécurisés se trouve ici.

Alors attention, quand je dis "assez intéressant" cela ne signifie pas que nous allons bénéficier de détails techniques...c'est un article généraliste (sans sources d'ailleurs) qui est posté sur un site de webnews. Je ne sais pas quelle est la réputation du site knowckers.org.

Bon toujours est-il que l'article évoque le système d’exploitation chinois Kylin qui est censé être un truc ultra-sécurisé qui résiste à la CIA et à la NSA. C'était basé sur du FreeBSD 5.3 mais l'article parle d'une bascule ultérieure vers Linux.

Là ou ça devient plus amusant c'est que le journaliste parle ensuite du cas de l'Europe. Pour éviter que les gouvernements européens ne fassent le même choix d'indépendance que la Chine, Microsoft a créé son "Government Security Program" (aussi appelé "vous pouvez voir un code source mais pas le modifier ni le compiler") puis son "Security Cooperation Program" (aussi appelé "partagez entre vous les infos sur les failles"). Cela a marché assez bien puisque 18 pays européens sont partenaires du "Government Security Program" mais la France a choisi, comme souvent, l'indépendance et à lancé le projet SINAPSE (Solution Informatique à Noyau Avancé pour une Sureté Elevée).
C'est Mandriva qui est chargé de coordonner le projet depuis 2004 mais rien n'en est encore vraiment sorti. Il semble que ce soit très long de construire un OS sécurisé.

A noter que l'article se termine sur un paragraphe ("Linux, le nouveau standard ?") qui contient une série de trolls d'un fort beau gabarit et qui seraient dignes de figurer sur linuxfr un vendredi :

- "contrairement à une idée largement répandue, une distribution Linux standard comme Mandriva (ou Ubuntu) n’est pas intrinsèquement plus sûre que, par exemple, Windows Vista, qui possède plus de composants de protection (ASLR, DEP, stack et heap protection".

- "Le choix de Mandriva, la seule distribution française de Linux, comme base du système d’exploitation SINAPSE s’explique aisément, mais il existe aujourd’hui des distributions beaucoup plus robustes du point de vue de la sécurité, comme Hardened Gentoo".

- "Linux possède aussi sa part de problèmes de sécurité (...) Une alternative séduisante pourrait alors être OpenBSD".

En définitive, et malgré ses raccourcis et ses trolls, l'article est assez informatif et il propage les bonnes idées : Un code source ouvert est plus sûr à long terme; Des alternatives à Microsoft existent; En matière de sécurité étatique l'indépendance est à privilégier.
On ne peut que souhaiter que les décideurs politiques aient l'occasion de lire cet article afin de leur remettre les idées en place.
  • # du flou...

    Posté par  . Évalué à 9.

    Bon toujours est-il que l'article évoque le système d’exploitation chinois Kylin qui est censé être un truc ultra-sécurisé qui résiste à la CIA et à la NSA.

    Ah, et comment le savent-ils ?
    Quand la CIA et la NSA décident d'attaquer un système (à supposer qu'ils le fassent régulièrement, pour de vrai, sur des systèmes tiers plutôt que sur des équipements de test dans leurs labos), ça m'étonnerait qu'ils envoient un message pour dire « Bonjour, nous sommes la CIA et la NSA, ne vous étonnez pas si l'IP 1.2.3.4 vous fait des trucs bizarres dans le troufignon vendredi prochain, on essaie juste de hacker vos systèmes ».

    C'est le même problème qu'avec les algos de crypto : on présume en général que la NSA a dix ans d'avance sur les cryptanalystes du civil en matière de cassage de codes, mais on ne sait pas réellement ce qu'elle est capable de faire concrètement.

    (on remarquera que cette nécessité du secret est l'exact inverse de la dissuasion nucléaire, dont l'existence a besoin d'être publique ou publiquement reconnue afin d'être efficace)

    contrairement à une idée largement répandue, une distribution Linux standard comme Mandriva (ou Ubuntu) n’est pas intrinsèquement plus sûre que, par exemple, Windows Vista, qui possède plus de composants de protection (ASLR, DEP, stack et heap protection".

    Je ne vois pas en quoi c'est un troll, sauf si la démonstration du contraire est triviale (l'est-elle ?).
    Certes, en général, tout ce qui ne va pas dans le sens de la promotion du gentil logiciel libre se voit affubler du qualificatif honni par le militant servile.
    • [^] # Re: du flou...

      Posté par  . Évalué à 10.

      Un troll affirme une chose sans arguments, ou avec un argument fallacieux (exemple totalement au hasard : une comparaison quantitative là où on s’attend plutôt à voir une comparaison qualitative).

      Un troll utilise le sophisme, par exemple (toujours totalement pris au hasard;), lancer une affirmation et l’estimer juste tant que le contraire n’a pas été démontré.
      • [^] # Re: du flou...

        Posté par  . Évalué à 3.

        Un troll utilise le sophisme, par exemple (toujours totalement pris au hasard;), lancer une affirmation et l’estimer juste tant que le contraire n’a pas été démontré.

        En l'occurence une affirmation raisonnable est effectivement de considérer que X et Y sont aussi sûrs l'un que l'autre jusqu'à preuve du contraire. C'est ce que dit le soi-disant troll et je constate que tu ne l'as pas réfuté (ni l'auteur de la dépêche, d'ailleurs).

        Ceci dit, on voit bien la technique rhétorique qui consiste à passer au niveau méta et pérorer sur la définition du troll, plutôt que de répondre à la question sous-jacente : Vista est-il, oui ou non, « intrinsèquement » aussi sûr qu'une distrib standard telle que Mandriva ou Ubuntu ? Manifestement, ça agace de ne pas être capable de répondre et on se défoule/défausse en traitant l'auteur de troll. C'est amusant finalement pour quelqu'un qui se targue de débusquer les sophismes.
        • [^] # Re: du flou...

          Posté par  (site web personnel) . Évalué à 4.

          Vista est-il, oui ou non, « intrinsèquement » aussi sûr qu'une distrib standard telle que Mandriva ou Ubuntu ?

          Tu sais que cette question n'a pas beaucoup de sens?
        • [^] # Re: du flou...

          Posté par  . Évalué à 9.

          Non, une affirmation raisonnable est de dire « je n’en sais rien ».

          Je n’en sais rien. (Je ne suis pas compétent dans le domaine, et me garde bien de faire des affirmations concernant le niveau non-meta.)
          • [^] # Re: du flou...

            Posté par  . Évalué à 10.

            Par contre ce que je sais, c'est que Vista intègre (intégrait ?) un système d'auto-exécution du contenu d'une clé usb, et qu'un stagiaire utilisant Vista sur son portable m'a donc installé un virus sur ma clé USB.

            Lui conseillant de vérifier son ordinateur de bureau également, il a remarqué qu'il était également criblé de virus.

            Je n'ai jamais vu ce genre de chose sur une distribution linux "standard".

            Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it

            • [^] # Re: du flou...

              Posté par  (site web personnel) . Évalué à -5.

              Je ne dis pas que tu as tord ou raison, cependant ton raisonnement est le suivant : tu prends un exemple et tu voudrais (volontairement ou non) la faire passer pour vérité.

              Dire : Vista a une faille via l'auto exécution du contenu d'une clé usb ==> Vista est moins secure qu'un linux "standard"

              est très loin d'être une démonstration :)
              • [^] # Commentaire supprimé

                Posté par  . Évalué à 6.

                Ce commentaire a été supprimé par l’équipe de modération.

              • [^] # Re: du flou...

                Posté par  . Évalué à 7.

                on dit souvent que la sécurité globale d'un système se mesure à partir de son maillon le plus faible.

                À partir du moment où un système a une telle faille (exécution automatique de autorun.inf sur un support réinscriptible), et qui s'est avérée conduire à l'installation et la propagation de virus, je me permets de me sentir plus en sécurité sous linux que sous vista, ce qui ne veut pas dire que pour un ensemble d'attaques données (par exemple par le réseau, là où on parle d'attaque physique), vista ne sera pas forcément plus impacté que linux. Mais cela reste à démontrer là aussi.

                Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it

        • [^] # Re: du flou...

          Posté par  (site web personnel) . Évalué à 1.

          En l'occurence une affirmation raisonnable est effectivement de considérer que X et Y sont aussi sûrs l'un que l'autre jusqu'à preuve du contraire.

          Une affirmation raisonnable est conduite par la raison donc elle est juste. Après tu peux jouer sur le double sens de raisonnable est dire que tu voulais parler de « bon sens ».

          Et tu bloques sur un problème, les affirmations de bon sens ne viennent pas de la raison mais du monde des opinions et des aprioris. Et c'est effectivement une des bases du sophisme « tout le monde sait que sous Linux il n'y a pas de virus, ce qui montre que c'est un système sûr et efficace ».
    • [^] # Re: du flou...

      Posté par  . Évalué à 9.

      Parce que l’article admet implicitement le postulat « ajouter des couches de sécurité complexes les unes sur les autres améliore la sécurité », ce qui est loin d’être évident (OpenBSD, au hasard ;))
      • [^] # Re: du flou...

        Posté par  (site web personnel) . Évalué à 2.

        Si les couches sont indépendantes, cela marche (NX_bits, randomisation d'adresse, protection de la pile par canary, etc...).

        Par contre, les couches qui ne sont pas directement prévus pour faire une protection totale ne servent pas (en étant root sous chroot on peut faire un mount ou des mkdev, on peut sortir d'une VM par les IO, etc...)

        "La première sécurité est la liberté"

        • [^] # Re: du flou...

          Posté par  . Évalué à 1.

          Certaines options de grsecurity permettent de renforcer les chroots.
          Et d'autres options permettent de renforcer la sécurité générale des serveurs.
          • [^] # Re: du flou...

            Posté par  (site web personnel) . Évalué à 3.

            J'ai toujours du mal à comprendre la mode des VM, le but d'un OS cela a toujours été la séparation entre application. Pourquoi rajouter des couches de VM ? :/

            "La première sécurité est la liberté"

            • [^] # Re: du flou...

              Posté par  (site web personnel) . Évalué à 1.

              Réponse courte : et bien parce que c'est la mode ?

              Ou sinon un des buts de certains (la plupart ?) des OS c'était plus de faire croire à un programme qu'il est sera exécuté de la même façon que s'il est seul sur la machine, pour faciliter sa conception (enfin au début). Je ne pense pas que cela entraîne forcément une volonté de cacher à un processus qu'il peut avoir des collègues sur la même machine.
    • [^] # Re: du flou...

      Posté par  . Évalué à 4.

      Pareil, j'ai du mal à voir en quoi c'est un troll, de même que pour les deux autres points.

      Mandriva et ubuntu ne sont pas des distributions dont la sécurité est la priorité, si vista intègre de base des fonctionalités comme W^x son affirmation tient la route.

      De même pour hardened gentoo qui intègre tout de même quelques fonctionalités intéréssantes ( propolice , pax/grsec etc...)

      Quand à openbsd, il y a t'il vraiment besoin d'argumenter :) ?
      • [^] # Re: du flou...

        Posté par  . Évalué à 8.

        Ben d'ailleurs, au risque de relancer le troll, pourquoi est-ce que pour ce genre d'OS, OpenBSD n'est-il pas plus populaire?

        Après tout, ça sert à quoi qu'ils se décarcassent si au final ils ne sont pas jugés mieux placés que les autres pour fournir une bonne base de travail?

        Pour Vista, c'est peut-être un préjugé un peu hâtif, mais il faut bien dire que MS nous a habitué à des produits à la sécurité douteuse depuis bien longtemps.

        D'ailleurs, tout le monde est d'accord pour dire que moins il y a de code, et moins il y a de faille potentielle, et pour moi Vista part justement avec un gros désavantage, c'est qu'il a besoin d'une chiadée de trucs et machins de sécurité.
        M'enfin je suis pas expert, alors vaudrait peut-être mieux que je la ferme.

        En même temps, si je clique sur envoyer, là, c'est trop tard :-[

        OUPS!
        • [^] # Re: du flou...

          Posté par  . Évalué à 5.

          Amha OpenBSD c'est bien mais pas pour tout. Que le système de base soit fiable est une chose, mais il ne règle pas tous les problèmes. Tous les logiciels dans l'espace utilisateur réintroduisent plein de vulnérabilités, donc il faut bien avoir des mécanismes pour réduire les risques. L'équipe d'OpenBSD ne peut pas s'occuper d'auditer le code de xorg, gnome, kde, etc. Donc oui ça peut être un solution dans certains cas de figure si on se contente de la configuration d'origine, mais loin d'être la solution miracle.
          Il est aussi intégriste au niveau de l'intégration de blobs, ce qui limite grandement son utilisation sur bien du matériel, donc peu adapté pour les environnements de bureau.
          C'est un système que j'utilise et que j'aime beaucoup, mais je comprends bien les problèmes qu'il pourrait rapidement poser (et/ou ne pas résoudre) pour un déploiement massif dans des environnements très variés.
          • [^] # Re: du flou...

            Posté par  (site web personnel) . Évalué à 1.

            Pour l'infrastructure peut-être ? Genre DNS, routeur ou autre. J'imagine qu'il est trop lent pour faire serveur de fichier, de mail ou autre.

            "La première sécurité est la liberté"

            • [^] # Re: du flou...

              Posté par  (site web personnel) . Évalué à 3.

              >>> J'imagine qu'il est trop lent pour faire serveur de fichier, de mail ou autre.

              Ben ça doit dépendre de la charge mais bon OpenBSD, même s'il n'est pas aussi rapide sur les multiprocesseurs, s'en sort honorablement.

              Le vrai problème c'est le support assez limité en durée. Les entreprises veulent installer un bidule et que ce soit supporté pendant très longtemps pour ne pas avoir à s'emmerder à tout réinstaller/revalider. Avec OpenBSD il faut suivre la cadence des sorties d'OS car le support n'est pas garanti aussi longtemps que pour d'autres OS.
              • [^] # Re: du flou...

                Posté par  . Évalué à 3.

                Le vrai problème c'est le support assez limité en durée. Les entreprises veulent installer un bidule et que ce soit supporté pendant très longtemps pour ne pas avoir à s'emmerder à tout réinstaller/revalider. Avec OpenBSD il faut suivre la cadence des sorties d'OS car le support n'est pas garanti aussi longtemps que pour d'autres OS.
                Pour préciser un peu : La dernière version 4.5 est sorti le 1er mai et sera supporté jusqu'au 1er mai 2010. Mais attention : seul le système de base est supporté, ce n'est pas le cas des packages (tout ce qui est userland). Les packagesont d'ailleurs rapidement obsolètes et la seule manière d'être à jour est de suivre -current (la version de développement).
                Et oui je pense que c'est un gros problème pour les entreprises qui n'ont pas quelqu'un qui suive un minimum l'actualité openbsd.
                • [^] # Re: du flou...

                  Posté par  (Mastodon) . Évalué à 8.

                  cela-dit, on n'aime pas l'entendre mais il y'a des tonnes d'entreprises (une majorité ?) qui de toute façon n'updatent pas leurs machines (ou le minimum) se couvrant derrière l'apparente sécurité fournie par les firewalls.
                • [^] # Re: du flou...

                  Posté par  . Évalué à 4.

                  > Et oui je pense que c'est un gros problème pour les entreprises qui n'ont pas quelqu'un qui suive un minimum l'actualité openbsd.

                  la bonne blague, elles n'ont qu'à acheter du support à une SSLL ou autre.

                  ah oui mais là il faut raquer et d'un coup elles font la gueule. bouh !
                  • [^] # Re: du flou...

                    Posté par  . Évalué à 0.

                    C'est le genre de theorie qui revient tout le temps ca, trouver une SSLL pour assurer le support de la vieille distrib.

                    Qq'un ici pour me montrer une SSLL qui offre un support correct d'une vieille distrib ? J'en ai jamais vu.
                    • [^] # Re: du flou...

                      Posté par  . Évalué à 3.

                      C'est sûr que trouver du support RedHat ou Novell pour pas cher doit être plus simple que pour OpenBSD surtout que le gain de ce dernier ne doit pas être simple à justifier à la hiérarchie.
                      • [^] # Re: du flou...

                        Posté par  . Évalué à -3.

                        Meme Redhat ou Novell, j'ai pas encore vu une seule SSLL qui offre le support d'une distrib...
                        • [^] # Re: du flou...

                          Posté par  . Évalué à 2.

                          Plutot que cacher ce post, ca vous dirait de montrer une SSLL qui le fait ?
                          • [^] # Re: du flou...

                            Posté par  (site web personnel) . Évalué à 4.

                            ça vous dirait de montrer une SSLL qui le fait ? (le support de linux)
                            http://www.google.fr/search?hl=fr&ie=UTF-8&oe=UTF-8&(...)

                            et tu as les professional services de chacun des éditeurs de distrib' comme Red Hat, Mandriva, Novell (tu devrais le savoir)... En "pas SSLL", tu as un "petit" comme Oracle aussi...
                            Des hébergeurs tels que OBS (Orange Business Services) proposent aussi des services sur Debian (j'ai rencontré leur filiale OLM qui avait l'air sympathique). Un "petit" comme Hewlett Packard propose quelques distributions pour ses Proliant http://h18004.www1.hp.com/products/servers/linux/linuxcommun(...)
                            Je ne parlerai pas de Free / OVH / Gandi qui proposent des services sur du GNU/Linux, ah bah si je l'ai fait en fait...

                            Mandriva Linux a une offre OEM, retenue par EMTEC par exemple pour son Gdium

                            Franchement, passe en France aux Solutions GNU/Linux, tu te rendras compte combien ta question est inepte :)

                            Dans le monde AIX, il y a Bull je crois qui travaille de concert avec IBM.

                            Dans le monde Windows, bah j'ai l'impression que Microsoft est bien isolé en revanche :/ (hormis leurs larbins^Wesclaves^WOEM constructeurs qui font de la vente liée à leur matos, même si beaucoup commencent à se rebiffer, z'ont dû en avoir marre de pas réussir à trouver le bugzilla ouvert et soumettre leurs patchs).
                            • [^] # Re: du flou...

                              Posté par  . Évalué à 2.

                              Non tu n'as toujours rien montre.

                              Je veux voir une SSLL qui offre le support d'une distrib en matiere de patchs et autres.

                              C'est a dire :

                              a) Ils connaissent le code et sont capable de le corriger
                              b) Ils gerent et maintiennent le code
                              b) Ils ont une matrice de tests consequente pour s'assurer de la qualite des patch

                              Ca n'a absolument rien a voir avec filer du support pour regler des problemes de config et autres, car ca c'est ce que la majorite des boites font.

                              Tu remarqueras que ni Free, ni OVH, ni Gandi, ni Orange Business Service ne font de patchs.

                              Des societes de services qui font du support simple, il y en a des milliers pour tous les OS, y compris Windows.

                              Des boites qui font des patchs et de la maintenance d'OS par contre, c'est une tout autre histoire.
                              • [^] # Re: du flou...

                                Posté par  . Évalué à 2.

                                idealx faisait ça à un époque, pour la SLES
                                depuis que c'es devenu opentrust, je ne sais pas si ils continuent, ni même si ils font encore du libre
                              • [^] # Re: du flou...

                                Posté par  (site web personnel) . Évalué à 4.

                                Tu mélanges un peu tout.

                                Une boite ne fera pas la maintenance d'une distrib en entier. Cela n'a pas d'intérêt pour la boite qui la paye, mais ferait évoluer les logiciels qui posent problème.

                                Une distrib est infiniment plus gros que ce qui est livré avec Windows. Dans le cas d'un support, cela revient à faire évoluer de version, un logiciel utilisé et gérer proprement les dépendances, voir inclure des patch spécifiques développé par quelqu'un autour du projet en question mais pas de la SSLL ou de la distrib. Cela peut aussi être un patch de logiciel et cela se fait tout les jours pour des ajouts de fonctionnalité, notamment dans le domaine des appli web. Mais on revient dans la prestation plus simple.

                                "La première sécurité est la liberté"

                    • [^] # Re: du flou...

                      Posté par  . Évalué à 3.

                      Hmm... Au hasard, Red Hat France ?

                      Par exemple, la RHEL 2.1 ES qui date de mai 2003 sera supportée jusqu'en mai 2010.
                      C'est quand même pas mal pour une vieille distrib, sachant que 3 générations sont sorties depuis. Et on ne peut pas dire que les gens de chez RH soient des neuneus niveau support.

                      Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur

                      • [^] # Re: du flou...

                        Posté par  . Évalué à -4.

                        certes, mais sorti de RH, le support dure quand meme pas tres longtemps.

                        compare ta RHEL 2.1 au support de XP par MS...
                        C'est comparable.
                        Maintenant, compares a ce que font les autres distros.
                        • [^] # Re: du flou...

                          Posté par  . Évalué à 3.

                          Non, ce n'est pas comparable, car RHEL (quelque soit la version) n'est pas en situation de monopole.

                          MS a voulu son monopole, il l'a eu, à lui d'assumer le support maintenant. Je ne vais pas les plaindre, pour une fois que le public a fait un choix sciemment (celui de ne pas utiliser Vista).

                          Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur

                      • [^] # Re: du flou...

                        Posté par  . Évalué à -1.

                        C'est pas ce dont je parles.

                        La theorie qui revient tout le temps dans le libre est :

                        Meme si la boite meurt ou arrete le support, tu peux engager une SSLL pour faire le support et autre.

                        J'attends toujours de voir une SSLL qui propose ce genre de services... La tu me sors Redhat, en juin 2010, quelle societe sera la pour assurer le support ?

                        C'est pas une critique de Redhat hein, je veux juste voir une application pratique de cette theorie qui revient tout le temps.
                        • [^] # Re: du flou...

                          Posté par  . Évalué à 7.

                          Et Sinon pour le support de W2000 ou 3.1, de MS-DOS, on fait comment ?

                          Quoique la même question s'applique aussi à XP et Vista d'ailleurs.
                          • [^] # Re: du flou...

                            Posté par  . Évalué à 1.

                            Pour le support de Windows 2000 c'est simple, tu viens chez nous, on a toujours le support de Windows 2000, on fait meme encore le support NT4 d'ailleurs.

                            Le jour ou tu me trouveras une boite qui fait le support pour une distrib de 1996 tu m'appelles...
                            • [^] # Re: du flou...

                              Posté par  (site web personnel) . Évalué à 6.

                              Tu ne te satisfaits pas de Redhat comme réponse pour qui fait le support Redhat (« et si Redhat fait plus de support ? »), et quand on te demande qui fera le support Windows tu réponds Microsoft ?

                              Normalement c'est bientôt que toi ou un de tes fans dit qu'on te moinsse parce qu'on veut pas voir la vérité que tu nous assènes.
                              • [^] # Re: du flou...

                                Posté par  . Évalué à 3.

                                ben d'un autre cote, microsoft ne ressort pas au quotidien qu'un des avantages d'utiliser les produits MS, c'est que si MS meurt, alors quelqu'un d'autre pourra reprendre le support.
                                Au contraire, ils vendent exactement l'inverse, a savoir un interloctueur clairement identifie, et avec les reins tellement solide qu'on peut supposer que le jour ou ils disparaitront, l'immense majorite de leurs client sera en train de faire la manche ou de laver des pare brises au feu rouge.

                                En l'occurence, je voudrais bien savoir quelle boite est assez folle ou arnaqueuse pour pretendre pouvoir assurer le support/maintenance au niveau du code d'une distrib complete.
                                • [^] # Re: du flou...

                                  Posté par  . Évalué à 9.

                                  ben d'un autre cote, microsoft ne ressort pas au quotidien qu'un des avantages d'utiliser les produits MS, c'est que si MS meurt, alors quelqu'un d'autre pourra reprendre le support.

                                  Ben c'est sur, vu que quand ils ont tué leur service de musique, personne a repris le support des serveurs .

                                  Comme quoi, on peut s'appeler ms et dropper quand même des projets avec des clients dessus.
                                  • [^] # Re: du flou...

                                    Posté par  (site web personnel) . Évalué à 2.

                                    Genre le projet de liaison HF entre écran et ordinateur où ils ont laissé tomber leur partenaire après qq milliards d'investissement.

                                    "La première sécurité est la liberté"

                                  • [^] # Re: du flou...

                                    Posté par  . Évalué à -1.

                                    toujours aussi expert en "on m'a mouche, mais je reponds quand meme completement a cote de la plaque pour pas perdre la face" toi...

                                    MS section OS sous departement "support" et MS section "vente d'entertainment" c'est pas vraiment la meme chose.
                                    Bon, je sais, pour toi, c'est pareil, ya marque MS dessus, bouh caca, vilain, pas beau, mechant.

                                    Remarque, on a de la chance dans notre malheur, on a evite le "mais heu!!! d'abord office 2007 arrive pas a lire un document de office 2003, chat bite, perche", pour une fois on a un truc un peu nouveau.
                                    • [^] # Re: du flou...

                                      Posté par  . Évalué à 2.

                                      je vais avoir du mal a "perdre la face" vu que je ne suis pas intervenu sur ce topic avant.
                                      Et a part essayer d'être agressif avec les gens (et sortir des conneries), tu as des arguments ?

                                      Bon, je sais, pour toi, c'est pareil, ya marque MS dessus, bouh caca, vilain, pas beau, mechant.
                                      Tu parle de la capacité d'une coporation a faire du support.
                                      Je te réponds dessus.
                                      Et la tu me dis "oula non c'est pas la même division"...
                                      tu es sur que c'est moi qui répond à coté de la plaque?

                                      pour une fois on a un truc un peu nouveau.
                                      En ce qui te concerne, j'ai bien peur que ce commentaire soit au même niveau que tes commentaires précédents, niveau assez peu elevé.
                              • [^] # Re: du flou...

                                Posté par  . Évalué à 0.

                                Je me satisfais personnellement tres bien de Redhat, je trouves meme qu'ils font du bon boulot(c'est pour ca qu'ils sont la ou ils sont d'ailleurs).

                                Mais regulierement ici on me sort que le LL c'est super plus mieux parce que n'importe qui peut faire le support et la maintenance, je demande donc a voir un exemple en pratique, c'est tout.
                            • [^] # Re: du flou...

                              Posté par  . Évalué à 2.

                              Pour XP et NT4, il n'y a plus de support officiel
                              Le support étendu est de 2 ans.
                              http://www.01net.com/editorial/307002/poste-de-travail/le-su(...)

                              Pour NT4 ca a donc dù s'arreter en 2007
                              http://www.zdnet.fr/actualites/informatique/0,39040745,39197(...)

                              Mais tu es mieux placé et peut-être que tu dis vrai.
                              Le support est payant et sûrement dissuasif, mais tu peux peut-être nous communiquer les tarifs.
                              En cumulant avec tous les clients qui payent on doit largement couvrir les frais de maintenance
                              Avec un tel budget, peut-être qu'une SSLL serait prête à prendre en charge le support d'une distrib.

                              Il faut donc comparer, ce qui est comparable.
                              Il y a n distrib linux avec des parts de marché cumulées infimes par rapport à W$.

                              Si ca devenait rentable, nul doute que tu aurais ton exemple.
                              Le pragmatisme, les entreprises non philanthropes, ... ce sont des chose qui te sont familières en général.

                              Bref, le fait qu'il n'y ait pas d'exemple n'implique pas que ce ne soit pas faisable.

                              Et y a t'il seulement eu une demande client de ce type d'ailleurs ?
                              Une SSLL ne va pas proposer un service qui n'intéresse personne.
                              • [^] # Re: du flou...

                                Posté par  . Évalué à 1.

                                Mais tu es mieux placé et peut-être que tu dis vrai.
                                Le support est payant et sûrement dissuasif, mais tu peux peut-être nous communiquer les tarifs.


                                Vu que je suis dans le team qui s'en occupe, oui je pense savoir ce qui se passe :+)

                                Oui en support etendu, ca devient payant, les prix je ne les connais pas car ils sont negocies.

                                En cumulant avec tous les clients qui payent on doit largement couvrir les frais de maintenance
                                Avec un tel budget, peut-être qu'une SSLL serait prête à prendre en charge le support d'une distrib.


                                Peut-etre qui sait, mais on n'arrete pas de me dire que le LL c'est super baleze parce que tu peux, en attendant j'attends toujours de voir un cas pratique...

                                Si ca devenait rentable, nul doute que tu aurais ton exemple.
                                Le pragmatisme, les entreprises non philanthropes, ... ce sont des chose qui te sont familières en général.


                                C'est EXACTEMENT pour cela que j'en parles... parce que ca coute extremement cher.
                                Nous on peut, parce qu'on a de toute facon toute l'infrastructure et les connaissances vu qu'on a tous les autres OS a maintenir et qu'on a maintenu l'OS en question pendant des annees.

                                Une SSLL par contre, c'est une toute autre histoire.

                                Bref, le fait qu'il n'y ait pas d'exemple n'implique pas que ce ne soit pas faisable.

                                Certainement, cependant tu en conviendras qu'il est dur de dire que c'est faisable et un reel avantage alors que depuis le temps personne ne l'a fait.

                                Et y a t'il seulement eu une demande client de ce type d'ailleurs ?
                                Une SSLL ne va pas proposer un service qui n'intéresse personne.


                                Vu la propension des entreprises a ne pas toucher leurs machines sauf absolument necessaire, c'est certainement qqe chose qu'elles veulent. On a pas decide d'offrire ce support NT4 par hasard.
                                • [^] # Re: du flou...

                                  Posté par  . Évalué à 4.

                                  Une SSLL par contre, c'est une toute autre histoire.

                                  Bref, le fait qu'il n'y ait pas d'exemple n'implique pas que ce ne soit pas faisable.

                                  Certainement, cependant tu en conviendras qu'il est dur de dire que c'est faisable et un reel avantage alors que depuis le temps personne ne l'a fait.

                                  Et y a t'il seulement eu une demande client de ce type d'ailleurs ?
                                  Une SSLL ne va pas proposer un service qui n'intéresse personne.

                                  Vu la propension des entreprises a ne pas toucher leurs machines sauf absolument necessaire, c'est certainement qqe chose qu'elles veulent. On a pas decide d'offrire ce support NT4 par hasard.


                                  Une SSLL peut reprendre le boulot si RH meurt, car ce sera sans doute plus cher que RH, il faut donc que RH meurt pour que ton exemple existe.

                                  « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

                                • [^] # Re: du flou...

                                  Posté par  (site web personnel) . Évalué à 3.

                                  Là ou tu es out, c'est que, une distrib, c'est avant tout un package de logiciel, la plus part des patchs et autres améliorations dépendant de projet externes.

                                  "La première sécurité est la liberté"

                                  • [^] # Re: du flou...

                                    Posté par  . Évalué à 1.

                                    Je suis pas du tout out, il est evident qu'aujourd'hui, un utilisateur commercial d'une distrib Linux va quasiment tout le temps chez sa distrib pour avoir une resolution de son probleme par un patch.

                                    Le jour ou sa distrib arrete le support ou meurt, qui va lui offrire ce support ? Les projets externes ne sont pas interesses le plus souvent a supporter les anciens softs.

                                    Bref, ce mythe qu'il est possible de remplacer le support patchs de la distrib par une autre societe, il ne s'est jamais realise en pratique.
                                    • [^] # Re: du flou...

                                      Posté par  (site web personnel) . Évalué à 2.

                                      Il n'est pas réalisé car inutile pour l'instant, cela ne veut pas dire que c'est impossible.

                                      Le logiciel obsolète dans sa version d'une distrib peut facilement passer à une version plus récente par un contributeur de la distribution en question. Il suffit juste de faire un backport propre.

                                      "La première sécurité est la liberté"

                                      • [^] # Re: du flou...

                                        Posté par  . Évalué à 0.

                                        Lorsque tu es sur une ancienne distrib et qu'elle n'est plus supportee, ta boite va contacter les 3253 contributeurs de la distrib pour le support ? Permet moi d'en douter enormement.

                                        C'est un probleme reel, et le LL n'a visiblement pas de meilleure solution que le proprio.
                                        • [^] # Re: du flou...

                                          Posté par  . Évalué à 3.

                                          Présentement, depuis le début de la discussion, je me demande s’il existe un cas dans l’industrie où il est nécessaire d’utiliser une ancienne distribution (entière !?).
                                          • [^] # Re: du flou...

                                            Posté par  . Évalué à 2.

                                            Je peux te donner une liste de societes ayant des serveurs datant de l'an 1000 et qui refusent tout simplement de les toucher car ils marchent, que leur fonctionnement est essentiel et qu'ils n'ont meme pas envie d'essayer de migrer sauf si ils n'ont plus le choix.

                                            Ils ne migreront que si ils y sont forces avec un revolver sur la tempe. Ces gens la sont ceux qui nous paient pour le support NT4 depuis des annees.
                                        • [^] # Re: du flou...

                                          Posté par  (site web personnel) . Évalué à 4.

                                          C'est pas possible tu le fais exprès...

                                          Dans la vrai vie, tu as un site web par logiciel qui propose toutes les différentes version. Si tu as de la chance, elle sont déjà packagé pour les nouvelles versions de la distrib, dans ce cas, il faut faire un backport.

                                          Si le patch n'existe pas, tu peux toujours récupérer les sources et payer qqun pour résoudre le problème. (les sources sont dispos, cela change du proprio...) Cela devient un bête problème de correction de logiciel écrit par d'autre et cela ne change rien du tout du fait que cela provient d'une distrib.

                                          Je vais t'apprendre un truc, ce n'est même pas les distrib qui développent le noyau Linux, dingue, non ?

                                          "La première sécurité est la liberté"

                                          • [^] # Re: du flou...

                                            Posté par  . Évalué à 1.

                                            Dans la vrai vie, tu as un site web par logiciel qui propose toutes les différentes version. Si tu as de la chance, elle sont déjà packagé pour les nouvelles versions de la distrib, dans ce cas, il faut faire un backport.

                                            Si le patch n'existe pas, tu peux toujours récupérer les sources et payer qqun pour résoudre le problème. (les sources sont dispos, cela change du proprio...) Cela devient un bête problème de correction de logiciel écrit par d'autre et cela ne change rien du tout du fait que cela provient d'une distrib.


                                            T'as un probleme avec le kernel Linux, voire une ancienne version d'OOo.

                                            Trouves moi UNE SSLL qui a l'infrastructure de test necessaire pour ces softs(je t'aide: le nombre de tests qu'on a pour Office se compte en millions).

                                            Eh oui, il n'y en a aucune, hors ces gens restent sur des vieux softs pour la stabilite, va leur dire que ton patch est totalement non teste, tu verras leur tete.

                                            La valeur ajoutee des distrib c'est ca : integration, test et support.
                                            • [^] # Re: du flou...

                                              Posté par  . Évalué à 3.

                                              En ce qui concerne le noyau il existe des plate-formes de test libres. Dans le genre petite société de service proposant ce genre de chose il y a IBM avec LTP.
                                              • [^] # Re: du flou...

                                                Posté par  . Évalué à -1.

                                                C'est principalement du unit testing, tu fais comment le stress et performance testing ? Faut des gros systemes.

                                                Tu fais comment les tests de regressions pour la compatibilite ? Faut tout un tas de softs, les automatiser, acheter ceux qui sont pas gratuits, rafraichir la liste de temps en temps, ...

                                                etc...

                                                Je crois que vous etes tres tres loin de vous rendre compte du boulot et des ressources que la maintenance d'un OS demande.

                                                IBM, ils font LTP, ca veut pas dire qu'ils offrent la maintenance d'OS.
                                                • [^] # Re: du flou...

                                                  Posté par  . Évalué à 3.

                                                  C'est principalement du unit testing, tu fais comment le stress et performance testing ? Faut des gros systemes.
                                                  Heuu IBM ils ne sont pas à la rue tout de même.
                                                  Pour le reste ils contribuent au développement du noyau (bien évidement entre autre pour leurs services et matériel) estimé à pas loin de 10% du total des contributions en 2008, donc à priori ils ont les compétences et l'infrastructure en interne. D'ailleurs intégrant ce systèmes sur leur matériel les tests sont un des points clé de leurs contributions.
                                                  • [^] # Re: du flou...

                                                    Posté par  . Évalué à 6.

                                                    Non mais là pBpG essaie de prouver par A+B que seul Microsoft a les moyens de maintenir un OS. Et Linux est juste développé par l’opération du saint esprit, s’il équipe une bonne part des machines les plus puissantes de la planète (pas du tout stressées les machines…) c’est aussi par l’opération du saint esprit. Manifestement il y en a qui s’en sortent très bien sans Microsoft, alors pBpG aura bon montrer qu’ils ont la plus grosse, son argumentation tombe un peu à l’eau…
                                                    • [^] # Re: du flou...

                                                      Posté par  . Évalué à -1.

                                                      Faudra penser a apprendre a lire plutot que sortir ce que tu veux entendre. J'ai meme dit clairement que Redhat faisait du tres bon boulot.

                                                      On remarquera que j'ai demande depuis le debut UN exemple de SSLL qui offre la maintenance d'une distrib apres que son support par l'editeur ait cesse(cad Redhat/Mandriva/Novell/...) et je n'ai toujours pas ma reponse, alors que c'est un des arguments favori des pro-LL: la possibilite d'avoir le support apres la mort de l'editeur, fin du support officiel.

                                                      Bref, c'est de nouveau une theorie qui en pratique s'envole en fumee.
                                                      • [^] # Re: du flou...

                                                        Posté par  (site web personnel) . Évalué à 3.

                                                        Personne ne cherche à maintenir une "distrib" mais les softs utilisées par le client, un OS windows est très très loin de fournir ce qui est contenu dans une distrib.

                                                        "La première sécurité est la liberté"

                                                  • [^] # Re: du flou...

                                                    Posté par  . Évalué à -1.

                                                    La partie d'IBM qui fait le developpement Linux ce n'est pas IBM Global Services.

                                                    Moi je regardes IBM Global Services, je ne vois nulle part une offre de support de distrib...

                                                    Oui IBM a largement les ressources vu le monstre que c'est, ca ne veut pas dire qu'ils sont interesses ou meme qu'ils trouvent cela rentable.

                                                    Bref, passons les theories, en pratique, toujours pas une seule SSLL qui le fait...
                                                    • [^] # Re: du flou...

                                                      Posté par  (site web personnel) . Évalué à 2.

                                                      Ce n'est pas en répétant 10x la même chose que cela devient vrai...

                                                      "La première sécurité est la liberté"

                                                    • [^] # Re: du flou...

                                                      Posté par  (site web personnel) . Évalué à 3.

                                                      Et d'ailleurs, je suis une grosse boite qui tourne sous une vieille mandriva, je sais très bien que je peux aller les voir et qu'ils me feront tout ce que je veux selon la taille du chèque (comme MS quoi...)

                                                      "La première sécurité est la liberté"

                                                      • [^] # Re: du flou...

                                                        Posté par  . Évalué à 1.

                                                        Une societe utilise un OS appele Linux, cet OS contient un certain nombre de paquets essentiels au fonctionnement du systeme (kernel, libc, shell, etc...)

                                                        Ces softs la doivent etre maintenu pour garder les serveurs en etat de fonctionnement.

                                                        Un mythe courrament repandu dans le monde Linux est :

                                                        Si la boite qui fait la distrib arrete le support ou meurt, n'importe qui d'autre peut le reprendre et le faire(patchs, etc...).

                                                        Realite aujourd'hui : Il n'y a aucune societe qui offre ce support. Ca fait un moment que je demande un exemple, personne n'en a donne un seul.

                                                        Alors oui je suis sur que Mandriva le fera, mais Mandriva c'est l'editeur de la distrib, ca ne correspond pas au mythe repandu.
                                                        • [^] # Re: du flou...

                                                          Posté par  (site web personnel) . Évalué à 2.

                                                          Tu peux payer n'importe quel contributeur qui connait un peu le système de package, tu peux aller voir les anciens employés, les partenaires.

                                                          Et puis si le système de package est trouvé trop complexe tu peux toujours utiliser un truc compiler à la main.

                                                          Le fait qu'il n'y a pas d'exemple et personne n'ont plus pour se plaindre ne prouve absolument pas que cela n'est pas faisable. Quand on cherche à contre dire une théorie, on cherche un contre-exemple, pas un exemple !

                                                          "La première sécurité est la liberté"

                                                          • [^] # Re: du flou...

                                                            Posté par  . Évalué à 1.

                                                            Tu peux payer n'importe quel contributeur qui connait un peu le système de package, tu peux aller voir les anciens employés, les partenaires.

                                                            Aucun de ceux-ci ne te fournira un patch correctement teste car ils n'en ont pas les moyens (tu penses que tu contributeur a une licence Oracle pour tester son patch du kernel avec ? un systeme avec 8 CPUs ou plus pour tester la montee en charge ?).

                                                            Le fait qu'il n'y a pas d'exemple et personne n'ont plus pour se plaindre ne prouve absolument pas que cela n'est pas faisable. Quand on cherche à contre dire une théorie, on cherche un contre-exemple, pas un exemple !

                                                            Ca ne prouve pas que ce n'est pas faisable, non. Ca prouve juste que c'est un avantage qui n'existe qu'en theorie car depuis 10 ans que Linux est en entreprise ca n'a jamais ete fait.
                                                            • [^] # Re: du flou...

                                                              Posté par  (site web personnel) . Évalué à 2.


                                                              Aucun de ceux-ci ne te fournira un patch correctement teste car ils n'en ont pas les moyens (tu penses que tu contributeur a une licence Oracle pour tester son patch du kernel avec ? un systeme avec 8 CPUs ou plus pour tester la montee en charge ?).


                                                              C'est ce que utilise le client qui paye ? Non ? Alors on s'en tape.


                                                              Ca ne prouve pas que ce n'est pas faisable, non. Ca prouve juste que c'est un avantage qui n'existe qu'en theorie car depuis 10 ans que Linux est en entreprise ca n'a jamais ete fait.


                                                              Tu prouves juste que cela n'est pas démontré. La belle affaire. Cela ne veut pas dire que cela n'est pas fait. Je pense plutôt que les boites se débrouillent par elle-même et préfère gérer leur propre merde elle-même.

                                                              "La première sécurité est la liberté"

                                                              • [^] # Re: du flou...

                                                                Posté par  . Évalué à 1.

                                                                C'est ce que utilise le client qui paye ? Non ? Alors on s'en tape.

                                                                La boite utilise certainement la pile reseau, elle utilise certainement le kernel, la libc, etc...

                                                                Ca en fait des bouts a tester, et cela quel que soit le client...

                                                                Tu prouves juste que cela n'est pas démontré. La belle affaire. Cela ne veut pas dire que cela n'est pas fait. Je pense plutôt que les boites se débrouillent par elle-même et préfère gérer leur propre merde elle-même.

                                                                Moi je crois surtout qu'elles migrent car elles y sont forcees (a une version superieure, a un autre OS, une autre distrib, ...), tout comme avec Windows.
                                                                • [^] # Re: du flou...

                                                                  Posté par  (site web personnel) . Évalué à 2.

                                                                  La boite utilise certainement la pile reseau, elle utilise certainement le kernel, la libc, etc...

                                                                  Mais tu es idiot... non tu le fais exprès.

                                                                  Tu ne voie pas la différence entre faire une campagne de test pour les machines utilisées par un client et faire une campagne de test pour tout type de machine ? Tu as à l'air de bosser dans le test ne me fait pas croire que tu ne fais pas la différence entre les 2 situations !

                                                                  En plus, sous Linux, il n'y a pas ou très de corrections kernel qui cassent la libc ! Il n'y a que MS pour faire des interactions pareils. De plus, tu oublis sciemment que par delà la vie de la distrib, les projets évoluent et les bugs ont déjà été corrigés.


                                                                  Moi je crois surtout qu'elles migrent car elles y sont forcees (a une version superieure, a un autre OS, une autre distrib, ...), tout comme avec Windows.


                                                                  Dans certain cas, oui, cela revient moins chère, c'est évident.

                                                                  "La première sécurité est la liberté"

                                                                  • [^] # Re: du flou...

                                                                    Posté par  . Évalué à 1.

                                                                    Tu ne voie pas la différence entre faire une campagne de test pour les machines utilisées par un client et faire une campagne de test pour tout type de machine ? Tu as à l'air de bosser dans le test ne me fait pas croire que tu ne fais pas la différence entre les 2 situations !

                                                                    Moi je fais parfaitement la difference.

                                                                    Tu changes un element dans le kernel, tu m'expliques comment tu valides que ton changement n'a pas d'impact sur les elements du dessus ? Tu pries ? Tu te contentes de faire tourner la machine pendant 5 jours et voir si elle explose ? Desole mais c'est pas de la validation ca.

                                                                    En plus, sous Linux, il n'y a pas ou très de corrections kernel qui cassent la libc ! Il n'y a que MS pour faire des interactions pareils. De plus, tu oublis sciemment que par delà la vie de la distrib, les projets évoluent et les bugs ont déjà été corrigés.

                                                                    Serieusement, tu as deja fait du test ?

                                                                    Tu sais comment que ton patch casse qqe chose si tu fait pas la validation ? C'est exactement a ca qu'elle sert cette validation !

                                                                    Quand a MS et ce genre d'interactions, je te suggeres d'eviter ce genre de sarcasmes, surtout avec moi car je connais profondemment les 2 systemes...
                                                                    • [^] # Re: du flou...

                                                                      Posté par  (site web personnel) . Évalué à 2.

                                                                      Tu changes un element dans le kernel, tu m'expliques comment tu valides que ton changement n'a pas d'impact sur les elements du dessus ? Tu pries ?

                                                                      Non tu as un design propre...

                                                                      La validation (enfin le design for test) c'est aussi ne pas avoir à faire toutes les combinaisons d'interactions pour être sûr d'avoir tout les bugs potentiel. Cela s'appelle la modularisation.

                                                                      Tu sais comment que ton patch casse qqe chose si tu fait pas la validation ? C'est exactement a ca qu'elle sert cette validation !

                                                                      Je n'ai pas dis de ne pas faire, apprend à lire, je parle de le faire uniquement dans les conditions utiles aux clients (tu parlais de test avec Oracle ou sur 8 cpus).

                                                                      Mais je voix que tu n'as toujours pas compris cette phrase :"Tu ne voie pas la différence entre faire une campagne de test pour les machines utilisées par un client et faire une campagne de test pour tout type de machine ?"

                                                                      Et oui, je fais du test, et dans un domaine où un bug peut tuer.


                                                                      Quand a MS et ce genre d'interactions, je te suggeres d'eviter ce genre de sarcasmes, surtout avec moi car je connais profondemment les 2 systemes...


                                                                      Toi connaitre profondément Linux ? Cela remonte à combien d'année !

                                                                      Mais j'adore ta vénération pour le gras et le lourd de ta boite. C'est pas comme si les faits ont montré que 1) Ms est super lent pour sortir un correctif, ce qui fait que la fenètre d'exposition à une faille critique est la plus large dans le domaine des navigateur 2) MS a déjà refusé de corriger des failles de sécurité car c'était trop couteux. Je suis désolé mais ce n'est pas du tout une réussite.

                                                                      "La première sécurité est la liberté"

                                                                      • [^] # Re: du flou...

                                                                        Posté par  . Évalué à 1.

                                                                        Non tu as un design propre...

                                                                        La validation (enfin le design for test) c'est aussi ne pas avoir à faire toutes les combinaisons d'interactions pour être sûr d'avoir tout les bugs potentiel. Cela s'appelle la modularisation.


                                                                        Tout a fait, maintenant tu regardes un OS grand public comme on parle de Linux, pour qu'il fonctionne il faut que glibc, shell, plusieurs drivers, X probablement, nombre de softs dont plusieurs proprios, etc... tournent
                                                                        Alors ca sera peut-etre par Oracle sur 8 CPUs non, ca pourrait etre une appli metier dont personne n'a jamais entendu parler qui communique via une connection Token Ring ou autre truc bizarroide.
                                                                        Pour ce qui est du kernel, le nombre d'elements qui interagissent avec sont tellement nombreux qu'il n'y a que de tres rares cas ou un simple test localise suffit, et la SSII ne va pas attendre que le cas se produise pour commencer a creer toutes ces suites de tests, sinon le client va mettre 1 an a recevoir son patch, et je doutes que ca lui plaise vu qu'il paie pour.

                                                                        Toi connaitre profondément Linux ? Cela remonte à combien d'année !

                                                                        Mais qui t'a dit que j'ai arrete d'y toucher ? Ce n'est plus mon systeme principal, ca veut pas dire que je ne l'utilise plus et ne m'y interesse plus. Je n'ai certes plus aucun interet a tester le dernier petit soft a la con qui apparait pour Gnome ou KDE, mais mon interet pour l'OS lui-meme d'un point de vue design n'a pas vraiment change.

                                                                        Mais j'adore ta vénération pour le gras et le lourd de ta boite. C'est pas comme si les faits ont montré que 1) Ms est super lent pour sortir un correctif, ce qui fait que la fenètre d'exposition à une faille critique est la plus large dans le domaine des navigateur 2) MS a déjà refusé de corriger des failles de sécurité car c'était trop couteux. Je suis désolé mais ce n'est pas du tout une réussite.

                                                                        1) IE est visiblement plus lent que d'autres oui, il fait aussi visiblement des patchs pour bien plus de gens (IE5,6,7,8)
                                                                        2) MS n'a jamais refuse de corriger un probleme pour une question de cout, on a refuse de corriger un probleme lorsque la solution etait pire que le mal ce qui est tout autre chose (au hasard quand tu reecris la moitie du truc, tes chances de casses un tas de trucs sont sacrement elevees)
                                                • [^] # Re: du flou...

                                                  Posté par  (site web personnel) . Évalué à 1.

                                                  On sait que ton employeur est spécialiste du gros, du lourd et du surtout pas orthogonal histoire de rester vaguement compatible avec des générations de bugs depuis NT.

                                                  Dans le monde du libre on essait de rester simple histoire de se simplifier la vie à la base. Quand il y a bug sur une lib de base, on n'est pas censé le contourner mais la corriger, car a la version suivante, le code sera cassé.

                                                  "La première sécurité est la liberté"

                                            • [^] # Re: du flou...

                                              Posté par  . Évalué à 4.

                                              (je t'aide: le nombre de tests qu'on a pour Office se compte en millions)

                                              Si tu supporte OOo pour une boite, tu n'as pas besoin de faire des millions de tests mais seulement ce que la boite a besoin.

                                              « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

                                              • [^] # Re: du flou...

                                                Posté par  . Évalué à 1.

                                                Tout a fait.

                                                Maintenant fait une liste de ce dont disons Bank of America a besoin...
                                                • [^] # Re: du flou...

                                                  Posté par  . Évalué à 4.

                                                  oui, et ? elle sera longue ? ca sera plus cher, c'est tout.
                                                  • [^] # Re: du flou...

                                                    Posté par  . Évalué à 1.

                                                    Tout a fait, mais il y a un point de pivot ou ca devient tellement cher que la societe decide de migrer plutot que payer le support.

                                                    Et pour une SSLL qui n'a pas les ressources, pas l'infrastructure, qui doit commencer de zero, le cout est enorme, ce qui va probablement le rendre prohibitif pour le client.

                                                    (Sans parler de la confiance qu'aura le client dans une SSLL qui n'a jamais fait un boulot de ce genre precedemment)
                                            • [^] # Re: du flou...

                                              Posté par  (site web personnel) . Évalué à 2.

                                              Il y en as pourtant plein, notamment pour tout ce qui est driver dans l'embarqué, c'est même courant.

                                              De plus, une SSII devrait faire les tests pour la configuration du client pas pour tous les systèmes existants.

                                              "La première sécurité est la liberté"

                                              • [^] # Re: du flou...

                                                Posté par  . Évalué à 0.

                                                Il y en a plein ?

                                                Ben donnes des exemples alors ! Ca fait des jours que je le demande, personne n'est fichu de les donner.

                                                Notes, je demandes pas pour l'embarque, je demandes pour des serveurs et/ou desktops.
                                                • [^] # Re: du flou...

                                                  Posté par  (site web personnel) . Évalué à 2.

                                                  Désolé mon domaine, c'est l'embarqué, et je peux dire que toutes les boites qui travaillent avec Linux mettent un moment ou un autre le nez dans l'OS.

                                                  "La première sécurité est la liberté"

                                                  • [^] # Re: du flou...

                                                    Posté par  . Évalué à -1.

                                                    J'en suis certain, ils le font meme pour WinCE maintenant qu'ils le peuvent, ca veut pas dire pour autant qu'ils ont les moyens et ressources pour tester la chose correctement...
                                                    • [^] # Re: du flou...

                                                      Posté par  (site web personnel) . Évalué à 3.

                                                      Correctement == comme le fait MS ?

                                                      Genre quand ils mettent trois plombes pour corriger une faille IE ?

                                                      "La première sécurité est la liberté"

                                                      • [^] # Re: du flou...

                                                        Posté par  . Évalué à 1.

                                                        Et si plutot que jouer sur les mots tu repondais a la question ?

                                                        Ils ont des suites de test pour tous les elements cles du systeme ? Non

                                                        Ils ont le materiel necessaire pour tester les patchs ? Probablement pas

                                                        etc...
                                                        • [^] # Re: du flou...

                                                          Posté par  (site web personnel) . Évalué à 2.

                                                          Évidemment que si, en général, il teste sur leur plateforme. Le développement concerne soit la création de drivers (de "module") (tout ceux qui font des appliances réseaux ou des set top box), soit le fait de faire des drivers de plateforme (TI, WindRiver,...), soit de réduire la taille global du kernel (FreeElectron).

                                                          Ensuite, il existe un tas de patch plus ou moins officiel rajouté selon les occasions comme le patch temps réel. Mais j'ai entendu des boites réécrire la pile réseau pour des raisons de perf (routeurs), ou encore des boites faire des patchs kernel pour avoir les timer haute résolutions (bien avant que cela soit intégré dans le noyau) (baie de simulation temps réel)

                                                          Tout ces gens là teste pour sa propre plateforme, pas besoin de gros bousin. Si ils ont envie que cela remonte mainstream, il passe par le LKML. Mais la, on parle de développement, pas de maintenance d'une vieille version.

                                                          "La première sécurité est la liberté"

                            • [^] # Re: du flou...

                              Posté par  . Évalué à 2.

                              Je n'en suis pas certain, mais cela ne m'étonnerait pas qu'à partir du moment où tu payes, Red Hat refuse de te faire le support d'un de ses produits, même obsolète. À vérifier, mais je ne vois pas pourquoi il ne le ferait pas.

                              Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur

                              • [^] # Re: du flou...

                                Posté par  . Évalué à 1.

                                Question d'infrastructure, ressources et autres, a un moment on ne le faisait pas non plus.
                        • [^] # Re: du flou...

                          Posté par  . Évalué à 2.

                          Je n'ai jamais vu quelqu'un utiliser cet argument à l'échelle d'une distrib pour le LL, et c'est vrai que c'est idiot. A celle d'un soft, là, c'est effectif, et ça s'est souvent vu.

                          Pour la maintenance à long terme, il y a des distribs corporate, et là, il faut (comme pour MS) compter sur la maison mère.
                • [^] # Re: du flou...

                  Posté par  . Évalué à 3.

                  une question comme cela, pourquoi la France par exemple ne réutilise pas (tout en l'améliorant), le travail de SElinux ?

                  Même si comme dit dans l'article, "une nouvelle uniformité autour de Linux signifierait que la découverte d’une vulnérabilité dans ce noyau aurait un impact très important sur de multiples infrastructures nationales", si c'est pour faire un ènième dérivé de Linux, le problème soulevé restera le même. Alors quitte à faire du Linux quand même, pourquoi ne pas reprendre la base de SElinux ?

                  Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it

                  • [^] # Re: du flou...

                    Posté par  . Évalué à 2.

                    A noté, un grand nom de l'espionnage américain se penche sérieusement sur les machines virtuels pour gérer les différentes accréditations.

                    Actuellement c'est une machine par accréditation, chacun sur leur réseau. Pour éviter cela, ils penchent a faire un hyperviseur bien sécurisé pour faire des machines virtuelles plutot que physiques.

                    C'était paru dans un article sur le ternet.


                    Enfin, que même pour le renseignement, il y a plusieurs classes de machines, et toutes ne sont pas amené a gérer des documents ayant plusieurs niveaux de securité, ou différentes catégories (projets).

                    bref, il faut voir les besoins qu'ont les personnes pour étudier la réponse qu'il est possible d'apporter.
                    Pour l'instant, on ne sait pas grand chose malheureusement /o\
      • [^] # Commentaire supprimé

        Posté par  . Évalué à 7.

        Ce commentaire a été supprimé par l’équipe de modération.

        • [^] # Re: du flou...

          Posté par  . Évalué à 3.

          sous les distributions linux toujours de quoi faire et la plupart du temps par défaut

          Tu devrais lire les liens que tu as copié :)
      • [^] # Re: du flou...

        Posté par  (site web personnel) . Évalué à 9.

        >>> Mandriva et ubuntu ne sont pas des distributions dont la sécurité est la priorité, si vista intègre de base des fonctionalités comme W^x son affirmation tient la route.

        Sauf que ASLR est entré dans le noyau Linux de base dès la version 2.6.12 (juin 2005 donc bien avant Vista qui est sorti en janvier 2007).
  • # Sinapse

    Posté par  (site web personnel) . Évalué à 10.

    Tout d'abord concernant ce journal C'est Mandrivle qui est chargé de coordonner le projet depuis 2004 mais rien n'en est encore vraiment sorti., non ce n'est pas Mandriva qui coordonnait le projet, c'est Bertin Technologies. Mandriva n'est qu'un des participants au consortium.

    Et sinon l'auteur de l'article ne sait visiblement pas du tout ce qu'est cet Sinapse:

    Afin d’atteindre en si peu de temps un haut niveau de sécurité (Common Criteria EAL-5), il fût décidé de modifier un noyau Linux, en l’occurrence fourni par Mandrake.

    Non la sécurité n'est pas mise dans le noyau. Le noyau Linux n'intervient pas dans l'obtention de cette sécurité.

    Par exemple http://linuxfr.org/~manouche/17753.html donne déjà plus d'infos comme « De son côté, Jaluna développera le système d'exploitation. Cette start-up dispose déjà d'un micronoyau qui permet à plusieurs systèmes d'exploitation de partager le même processeur. » où la suite qui explique qu'il y aura des applications avec différentes accreditations qui tourneront en même temps avec garantie de séparation des données et de communication que dans le bon sens (pas de sortie de données confidentielles).

    Ou aussi le communiqué de presse en 2004 qui disait entre autres Consortium partners envision that hardware partitioning and virtualization technology will play a key role in designing future open operating system security solutions. Les slides présentés à Solutions Linux en 2008 disaient aussi que c'est des OS virtualisés si je me souviens bien.

    C'est au niveau du micro noyau que la sécurité est gérée. Le noyau Linux est virtualisé et on ne lui fait pas confiance, ses accès au disques, au réseau, au buffer du clavier, aux devices USB... sont filtrés pour garantir le cloisonnement des differents niveaux de sécurité.

    Le choix de Mandriva, la seule distribution française de Linux, comme base du système d’exploitation SINAPSE s’explique aisément, mais il existe aujourd’hui des distributions beaucoup plus robustes du point de vue de la sécurité, comme Hardened Gentoo.

    Du coup ceci est n'importe quoi.
    • [^] # Re: Sinapse

      Posté par  . Évalué à 3.

      Je suis d'accord et en même temps pas d'accord :
      - Considérer que le noyau n'intervient pas dans la sécurité est à mon sens une erreur : plus tu laisse de fonctionnalités active en compilant ton noyau, plus tu as de failles potentiel (ne commencer pas à crier au mensonges, c'est un principe de base de la sécurité, on parle de faille POTENTIEL). Alors, tu ne me fera pas croire que ton noyau virtualisé n'est pas optimisé. En plus, tu le dit un peu plus loin dans ton commentaire...
      - Ensuite, oui, les commentaires peuvent être considéré comme des trolls, d'ailleurs, l'auteur du journal l'écrit bien.

      Sinon, effectivement, l'article sur lequel est basé ce journal manque de sources...les tiennes ont l'aire plus fiable...
      • [^] # Re: Sinapse

        Posté par  (site web personnel) . Évalué à 6.

        l'article sur lequel est basé ce journal manque de sources...les tiennes ont l'aire plus fiable

        En même temps il est développeur kernel chez Mandriva, on peut difficilement faire plus fiable comme source ;-)
      • [^] # Re: Sinapse

        Posté par  (site web personnel) . Évalué à 4.

        Pterjan vient de te dire que rien de confidentiel sera géré par Linux, trou ou pas trou, on s'en fout en l'occurrence, c'est Jaluna qui gère.

        "La première sécurité est la liberté"

  • # SIN quoi ?!

    Posté par  . Évalué à 7.

    » projet SINAPSE (Solution Informatique à Noyau Avancé pour une Sureté Elevée).

    Pouhahahahahahah, :'-)
    Mais bordel! je suis sûr qu'il existe un département spécial dans les sous-sols des ministères pour trouver des acronymes et des noms tous aussi débile les uns que les autres :'-)
    Sinon, c'est pas possible d'avoir fait un nom aussi idiot et aussi à rallonge juste pour faire le jeu de mot «SINAPSE»!

    Allez je me lance !

    SINAPSE: « Solution Intrinsèque et Numériquement Arriéré Pour une Salamandre Élevée (à l'air libre) »
    • [^] # Re: SIN quoi ?!

      Posté par  . Évalué à 2.

      Si ça t'amuse, tu peux te demander pourquoi l'entité chargée de donner la fessée aux mauvais usagers de l'assainissement non-collectif s'appelle le SPANC (Service Public d'Assainissement Non-Collectif). Ou pourquoi le fichier informatisé des voies utilisé par les impôts est le FANTOIR (ce qui ne veut pas dire grand chose en dehors de Fichier ANnuaire TOpographique Initialisé Réduit) et était autrefois RIVOLI (Répertoire Informatisé des VOies et LIeux-dits).

      C'est une sorte de mode chez nous, c'est souvent drôle. J'espère juste qu'ils ne dépensent pas des années de commission pour ça (comme pour déterminer le nom du Stade de France), mais bon. Ça reste bon enfant.
      • [^] # Re: SIN quoi ?!

        Posté par  . Évalué à 0.

        Et bien perso, j'aime bien! On comprend tout de suite de quoi il sagit!

        Ça fait plaisir de voir qu'on ne cède pas au "tout anglais" parce que c'est tendance ou pour s'approprier les succès, codes des autres!
    • [^] # Re: SIN quoi ?!

      Posté par  . Évalué à 1.

      Solution Intermédiaire Non Agrée Pour les Sales Extrémistes
    • [^] # Re: SIN quoi ?!

      Posté par  . Évalué à 2.

      Voir aussi HERISSON : http://www.pcinpact.com/actu/news/49822-systeme-herisson-sur(...) (très sympathique d'ailleurs ce projet)
  • # SYNAPSE ? Comme dans le film

    Posté par  . Évalué à 4.

    Geek (comme tout le monde ici) je me souviens d'un film (ANTITRUST) qui était une pseudo parodie de Microsoft contre des jeunes libristes où le réseau déployé par le Super Méchant aka super bilou s'appelais ... SYNAPSE ...

    Quelqu'un pour confirmer ?
    • [^] # Re: SYNAPSE ? Comme dans le film

      Posté par  (site web personnel) . Évalué à 4.

      Celui ou le héros se fait b... avoir par une hackeuse qui est en fait la fille de Billou ?

      "La première sécurité est la liberté"

    • [^] # Re: SYNAPSE ? Comme dans le film

      Posté par  (site web personnel) . Évalué à 0.

      félicitations ! il fallait se remémorer ce détail. et sinon rappelez-vous le message du film :

      "attention aux allergies alimentaires, la cacahouète, c'est le mal"

      x--->[]


      Concernant les représentations allusives à Microsoft et Bill Gates, le porte-parole de Microsoft, Jim Cullinan a déclaré : « A partir des bandes d'annonce, nous ne pouvions pas dire si le film était au sujet d'AOL ou d'Oracle ».


      http://fr.wikipedia.org/wiki/Antitrust_(film)

      T'as le bonjour de JavaScript !

  • # Plus d'infos sur SINAPSE

    Posté par  . Évalué à 7.

    Re-
    j'ai fait un petit tour du web, enfin plutôt une vue à la jumelle depuis la terrasse de quelqu'un qui est mon ami, pour chercher davantage d'infos sur SINAPSE. Citations entre guillemets françaises, le reste est mon résumé (faillible, errare humanum est).

    *** Source 1
    L'article de Don Julio (déjà signalé par Pascal Terjan plus haut) : http://linuxfr.org/~manouche/17753.html de 2005 nous apprend que 5 entreprises participent :
    - Bertin Technologies, qui « coordonne les développements et assure l'évaluation EAL-5. »
    - Surlog, qui « fournit les moyens pour évaluer la sécurité des logiciels. »
    - Jaluna, qui « développera le système d'exploitation », qui possède déjà « un micronoyau qui permet à plusieurs systèmes d'exploitation de partager le même processeur. »
    - MandrakeSoft, qui « apporte une distribution Linux et animera, en outre, le club d'industriels qui pourra, sous certaines conditions, utiliser le code et contribuer à renforcer la sécurité du SE par leurs développements. »
    - Oppida (faute de frappe dans l'article), qui « se charge de l'évaluation au standard ISO 15408 Common Criteria. »

    Je note que toutes les références sont liées au militaire : « armée », « ministère de la défense », « applications militaires », « DGA », « secret défense et confidentiel défense ».
    Les certifications CC et EAL-5 sont présentées comme des objectifs du projet.
    Les motivations présentées sont l'indépendance vis-à-vis de Microsoft et la réduction des coûts supplémentaires engendrés par les problématiques de sécurité.
    La question finance est aussi abordée, avec une prévision initiale de 7 millions de dollars sur trois ans (2004 -> 2007 ?)

    Comme noté en plusieurs endroits, MandrakeSoft -> Mandriva et Jaluna -> VirtualLogix.

    *** Source 2
    La page [Nos] Valeurs de Mandriva, http://www.mandriva.com/enterprise/fr/societe/valeurs cite SINAPSE comme classé CC et EAL5, on peut donc supposer que le système a bien été certifié. Ce qui n'implique pas forcément qu'il soit terminé ou même utilisable :-|

    *** Source 3
    Un article de NetEco, http://www.neteco.com/49617-le-ministere-de-la-defense-passe(...) , donne que le commanditaire est le Ministère de la Défense lui-même.

    *** Source 4
    Un article d'Indexel, http://www.indexel.net/article/un-linux-ultra-securise-pour-(...) , cite comme objectif du projet de pouvoir se passer des Unix propriétaires sécurisés, trop coûteux.

    L'article dit que le système « introduira notamment les notions de virtualisation et de partitionnement hardware pour une meilleure compartimentation du système », ce qui n'est pas radicalement nouveau par rapport aux questions de classification des données évoquées dans le journal de Don Julio, mais qui donne une idée de la méthode employée : il ne s'agit pas d'une séparation superficielle des informations, mais bien d'une séparation dès le niveau du noyau.

    *** Source 5
    Le CV de Jérôme Carrère, [PDF] http://jerome.carrere.free.fr/CV/cv.pdf , cite la « DGA/SPOTI » comme participant au projet. SPOTI = "Service des Programmes d'Observation, de Télécommunication et d'Information", qui semble être installé à Issy-les-Moulineaux. Mais j'ai pas trouvé à valoriser davantage cet indice, hélas.

    *** Source 6
    Un communiqué de presse du site de Surlog, [PDF] http://www.surlog.com/Communs/Presse/fr/OS-EAL5/Sinapse-PR-F(...) , résume le projet en 5 pages.
    On en apprend un peu plus sur le rôle de Mandriva, qui « va faire des contributions et adapter sa distribution Linux, et stimuler la communauté opensource autour des futurs résultats du projet, qui seront publiés sous une licence opensource à la fin du projet. »

    (original : "Mandrakesoft will contribute and adapt its Linux distribution, and stimulate the open source community around the future results of the project, which will be released under an open-source license following project completion.")

    NB : Pour ce qui est du noyau, la licence, ce sera bien GPL obligatoirement, non ?

    Le communiqué dit que les utilisateurs ne seront pas seulement militaires et que les grands entreprises seront « invitées à se joindre au projet en tant qu'associés (associates), à exprimer leur besoins et à interagir avec l'équipe de développement. »

    (original : "Major industry players worldwide will be invited to join the project as associates, express their requirements, and interact with the development team.")

    Le communiqué fait ensuite de très courtes présentations ("communication corporate") des cinq entreprises participant.

    *** Source 7
    Un avis d'attribution de marché public donne des infos plus officielles, http://www.klekoon.com/Joce/JOCE_3_Detail.asp?ID_joce=230053 :
    - le marché a été attribué le 20 août 2004 ;
    - la valeur total estimée est de € 7 177 920 ;
    - le marché est attribué à Bertin Technologies, qui semble donc être le point central du projet.

    *** Source 8
    Une autre entrée de journal de DLFP, http://linuxfr.org/2004/09/23/17269.html , de Kalimero, ajoute une chose que je n'avais pas encore vue ailleurs : la part des 7 millions d'euro attribuée à Mandriva serait de 1 million.

    *** Source 9
    Un document hors-sujet, plutôt académique, "Safety and Security UndeR Focal", [PDF] www-spi.lip6.fr/~jaume/description_ssurf.pdf , cite Bertin Technologies et informe simplement au passage que le système de contrôle d'accès à plusieurs niveaux a été développé avec l'aide de la méthode/du logiciel Coq.
    - Fanf de DLFP en parlait justement dans un des journaux précédents : http://linuxfr.org/2004/09/23/17269.html#476822
    - http://fr.wikipedia.org/wiki/Coq_(logiciel) et http://en.wikipedia.org/wiki/Coq

    Voilou pour ma part, si quelqu'un en trouve davantage, je suis curieux^W^W^W^W preneur.
    • [^] # Re: Plus d'infos sur SINAPSE

      Posté par  . Évalué à 4.

      Pour nous, simples mortels, il y a également un projet publique lancé par l'ANSSI (anciennement DCSSI): le projet SEC&SI (à prononcer "sexy").

      la on est dans le full disclosure, le but étant de fournir un linux sécurisé et ergonomique pour madame michu (sous linux), en mettant en concurrence (pour la gloire, pas pour le fric, ce qui peut laisser planer des doutes sur l'implication des acteurs) 3 organismes: la fac d'orsay, l'ENS Ulm et LIFO.

      Le principe est que chaque concurrent propose une solution et attaque celle des autres, le tout de manière itérative pendant quelque chose comme 2 ans.

      On peut suivre (de très loin) la dessus: http://secsi.adullact.net/
      Si quelqu'un à un meilleur pointeur pour suivre l'histoire, je suis preneur !

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.