Journal Code malveillant ?

Posté par  .
Étiquettes : aucune
0
24
mai
2005
Bonjour,

Un argument majeur en faveur du libre est que le code source étant ouvert, il est difficile d'y cacher du code malveillant.
OK. Mais dans la pratique, qui vérifie ?

Exemple, dans ma boîte, je veux faire installer VLC media player. Un trublion me demande narquois devant des dissailldorzes de lui certifier que cette application ne contient pas de code malveillant. Et là je suis "à poil"...

Votre avis ?
  • # Répartie

    Posté par  (site web personnel) . Évalué à 10.

    La prochaine fois tu lui demandes comment il fait pour vérifier la même chose quand il installe un appli proprio... :) Il peut pas, si là c'est vraiment critique, tu peux, c'est toute la différence.

    https://damien.pobel.fr

    • [^] # Re: Répartie

      Posté par  . Évalué à 8.

      Réponse du gars à mon avis :

      - Si il se révèle qu'il y a du code malveillant dans WMP, on peut taper sur Microsoft.
      - Si il se révèle qu'il y a du code malveillant dans Real Player, on peut taper sur Real Networks.
      - Si il se révèle qu'il y a du code malveillant dans VLC, on peut taper sur qui ?
      • [^] # Re: Répartie

        Posté par  . Évalué à 7.

        S'il s'avère que tu as eu le temps, les ressources et les compétences pour identifier ce code malveillant, tu peux soumettre un patch et recompiler ton appli tout seul non ? Ou taper sur les développeurs de VLC...
        • [^] # Re: Répartie

          Posté par  (site web personnel) . Évalué à 3.

          La GPL ne dit elle pas que le soft est livré sans garanties ?
          Donc se retourner contre les dev me semble un peu raté.
          • [^] # Re: Répartie

            Posté par  . Évalué à 4.

            Ben c'est pas une raison, on peut tapper quand même :D
            • [^] # Re: Répartie

              Posté par  (site web personnel) . Évalué à 3.

              Non seulement on peut taper quand même, mais dans tous les cas, la 'réputation' du projet entier s'en verra bien baissée =)
          • [^] # Re: Répartie

            Posté par  . Évalué à 4.

            Cela fait maintenant un certain temps que je n'a pasi installé
            de programme propriétaire mais je crois me souvenir qu'il y
            avait ce genre de chose dans les licences que j'avais lues.

            Parce que bon. Un serveur qui tombe (ça n'arrive jamais ça),
            ça peut représenter beaucoup de sous et j'imagine mal
            un distributeur deOS rembourser à chaque fois que ça arrive.
            • [^] # Re: Répartie

              Posté par  . Évalué à 2.

              Dans les licences comme l'EULA de Microsoft il est expliqué que si le logiciel te coupe un bras Microsoft ne peut en être tenu responsable, ça c'est ce qui est marqué dans la licence. Dans les faits tu portes plaintes, tu prouves la responsabilité et tu touches les sous.
          • [^] # Re: Répartie

            Posté par  . Évalué à 3.

            > La GPL ne dit elle pas que le soft est livré sans garanties ?

            Si, comme les licences propriétaire courantes.
          • [^] # Re: Répartie - Au rique de dire une grosse connerie

            Posté par  (site web personnel) . Évalué à 3.

            Il me semble avoir entendu en cours de droit, entre 2 reveils, que la notion d'absence de responsabilité n'etait pas valable en droit français, y compris pour les logiciels. Ceci posait d'ailleurs problème au niveau de la "validité" de la GPL.

            Quelqu'un pour infirmé (ou confirmé avec un peu de chance) ?
          • [^] # Re: Répartie

            Posté par  . Évalué à 2.

            Qu'il n'y ait pas de garantie sur du code qui fait (ou essaye de faire) ce qu'il dit faire, par exemple lire des videos dans le cas de vlc est une chose.

            Insérer volontairement du code ayant clairement un objectif malhonnête, comme logguer le clavier en l'envoyer quelque part sur Internet, ou relayer du spam, est autre chose, et licence GPL ou pas, l'auteur peut être poursuivi je pense.

            Pour en revenir à la différence entre LL et LP sur la sécurité, il suffit de citer la loi du plus grand nombre: "Étant donnés suffisamment d'observateurs, tous les bugs sautent aux yeux " qui peut aussi bien s'appliquer sous la forme "Étant donnés suffisamment d'observateurs, tous les fonctions malicieuses sautent aux yeux".

            Le fait que je n'ai pas personnellement relu les 6672856 lignes du noyau linux ne m'empêche pas d'avoir une confiance relative. (en tous cas bien supérieure à celle que je peux avoir dans un truc du genre wxyz.dll ...
      • [^] # Re: Répartie

        Posté par  (site web personnel) . Évalué à 9.

        Dans sans sources il est impossible de prouver qu'il y a du code malveillant dans une appli proprio. Et si tu t'amuses à faire du reverse-engineering tu risques même de te prendre un procès !
        • [^] # Re: Répartie

          Posté par  (site web personnel) . Évalué à 1.

          typo : "Dans sans sources" -> "Sans les sources"

          En plus on m'a demandé de relire mon message... Désolé.
        • [^] # Re: Répartie

          Posté par  . Évalué à 1.

          • [^] # Re: Répartie

            Posté par  (site web personnel) . Évalué à 1.

            Oui, mais non : la faille de guillermito, c'est qu'il utilisait un logiciel piraté. (ils ont cherché pas mal avant de trouver cet argument contre lui, et ils auraient cherché n'importe quoi, d'accord, mais bon... le reverse ingeenering est "légal" si tu payes tes licences)

            il est cependant évident qu'entre lire le source et lire le binaire, la mise en dévidence de code malveillant est plus ou moins facile :-)

            ps : je garde une pensée émue pour le procès, vraiment pas de bol, ce type... il devient meilleur développeur de la boite, met en évidence plein de trucs et propose des patchs... puis se fait emm...
      • [^] # Re: Répartie

        Posté par  (site web personnel) . Évalué à 8.

        Si il se révèle qu'il y a du code malveillant dans WMP, on peut taper sur Microsoft.
        Tu est sûr ? Pour ce que j'en sais, il y a du code que je considèrerais "malveillant", pour des raisons de DRM, et c'est explicité dans la licence.

        Peut être est-ce pareil dans RealPlayer... si ça tente quelqu'un de vèrifier.

        De toutes manière, va faire la différence entre une backdoor et une "erreur de distraction", surtout dans un binaire. Sans parler même de l'inoccuité de ce qui ressemble de près ou de loin à de la justice pour Microsoft.

        Si il se révèle qu'il y a du code malveillant dans VLC, on peut taper sur qui ?
        De ce point de vue, les deux modes de développement sont identiques et contiennent la même clause de déni de responsabilité. Reste à voir ce qu'elle vaudrait devant la loi.
        • [^] # Re: Répartie

          Posté par  . Évalué à 0.

          "Reste à voir ce qu'elle vaudrait devant la loi."

          de toutes facon les lois ( en france du moins) prévale sur totes els clause d'un contrat. un contrat marque "je vous donne le droit de me tuer si j vous renbourse pas." ca vaut rien du tout , même signe et approuvée .. apres j'ai pas fait droit donc faut chercher dans le bon code.
      • [^] # Re: Répartie

        Posté par  . Évalué à 3.

        Taper, taper... est-ce bien civilisé ?
      • [^] # Re: Répartie

        Posté par  (site web personnel) . Évalué à 2.

        Sauf si la licence dit que tu doit accepter ce code malveillant (j'y inclus nos espion en bit)
        • [^] # Re: Répartie

          Posté par  . Évalué à 3.

          " si la licence dit que tu doit accepter ce code malveillant "

          erreur: si le code malveillant fait des choses illegal, ben ca reste illegal , licence accepter ou pas.
          • [^] # Re: Répartie

            Posté par  (site web personnel) . Évalué à 4.

            HAMA la collecte de données personnelles n'est pas toujours illégale, même non nominative, et pourtant je trouve cela plutot malveillant.
      • [^] # Re: Répartie

        Posté par  . Évalué à 10.

        >Réponse du gars à mon avis :
        >
        >- Si il se révèle qu'il y a du code malveillant dans WMP, on peut taper sur >Microsoft.
        >- Si il se révèle qu'il y a du code malveillant dans Real Player, on peut taper sur >Real Networks.

        ben la gars relira 100x l'eula MS ou il est stipule clairement que MS garanti ses logiciels qu'ils sont "conforme pour l'essentiel a la description qui figure dans la documentation ecrite qui accompagne le produit"
        "Dans l'hypothèse où le Produit ne serait pas conforme à la présente garantie, Microsoft pourra soit (a) réparer ou remplacer le Produit soit (b) rembourser le prix que vous avez payé."
        De plus : ""Vous reconnaissez que la garantie ci-dessus constitue votre seule garantie pour le Produit et tous services d'assistance."
        Et : "Limitation de responsabilité ­ Dans toute la mesure permise par la réglementation applicable et sauf stipulation contraire dans la Garantie Microsoft, Microsoft et ses fournisseurs ne pourront en aucun cas être tenus responsables de tous dommages de quelque nature que ce soit (notamment les pertes de bénéfices commerciaux, interruptions d'activité, pertes d'informations commerciales ou toute autre perte pécuniaire) résultant de l'utilisation ou de l'impossibilité d'utiliser le Produit, même si Microsoft a été prévenue de l'éventualité de tels dommages."

        Donc cote responsabilite en cas de code malveillant qui provoque des degats -> DTC !

        Pour les autres, c'est du cas par cas et du meme acabit ...

        Donc pour moi, cette histoire de responsabilite est du vent. Par contre, il est possible de certifier qu'une appli libre est "saine" et de maniere independante mais comme dit plus haut, ca coute cher... par contre, pour le LP, y'a que la "confiance"... hum

        Imbolcus
        A vot' service
        • [^] # Re: Répartie

          Posté par  . Évalué à 1.

          oui, et personnellement je fait plus confiant a des gens qui montre leur boulot (j 'entend par la le code source) et donc ou il est possible de trouve le code malveillant qu'a une grosse entreprise certe repute mais quasi-intouchable par les moyen qu'il ont ( surtout vu le nombre d'avocat qu'il ont) de plus , microsoft c'est deja fait remarque pour avoir mis du code pas trses joli (voir les petit espion un peu partout)


          "tiens , pourkoi WMP essaie de se connecter au net pour lire mon DVD ? , il a tous les codec pourtant .... (du cote de la carte rezo : "send(MS, titre_du_dvd , Num_licence);"
      • [^] # Re: Répartie

        Posté par  (site web personnel) . Évalué à 10.

        - Si il se révèle qu'il y a du code malveillant dans WMP, on peut taper sur Microsoft. (...) on peut taper sur qui ?
        Voilà ce que je lui aurais sorti :
        Dans les faits, tape-t-il sur MS, Oracle ou RNetworks chaque fois qu'il se fait trouer par un virus ou par une attaque sur des produits de cette boite ? Pourtant ça doit arriver bien plus souvent que l'inclusion volontaire par les développeurs de code malveillant dans un produit quelconque, proprio ou non. A-t-il porté plainte lorsque MS a limité en taille le formatage des FAT32 avec WinXP ? Pourtant c'est une limitation cachée de Windows XP qui n'existait pas sur les anciennes versions et qui sert a forcer l'utilisation de NTFS, forçant ainsi l'utilisation de win 2000 et supérieurs : une sale manoeuvre qui a aussi une dimension marketting.
        Et il parle de taper sur eux en cas de forte présomption de présence de code malveillant ? Hohoho.ogg

        Ensuite, pourquoi un développeur ou un groupe de développeurs de logiciels libres serait plus tenté qu'une grosse société de mettre du code malveillant dans un logiciel ? Il y a même eu des fortes présomptions d'espionnage sur des logiciels phares de grandes sociétés...
        Au hasard : est-il capable de prouver que la fameuse NSA Key de Windows n'est pas un Hoax ? Ou encore que MS n'utilise pas les stats de windows update a des fins peu recommendables comme fournir aux chinois du FBI des informations stratégiques sur l'infrasructure informatique de ta boite ? Que les trous de sécu d'Oracle 9 (Unbreakable :) ) ne sont pas des backdoors demandées par ces mêmes chinois du FBI ?
        J'imagine qu'il existe des problèmes similaires chez RN, HP et autres grandes marques.
        Bref, qu'est-ce qui lui permet d'affirmer qu'une grosse boite est plus sincère qu'un groupe de développeurs libres ?

        Et puis, une présomption ne suffit pas pour taper sur les gens. Au niveau de la preuve, utiliser du proprio compilé interdit généralement d'aller chercher des preuves sans entamer d'abord une procédure légale car la plupart des licences interdisent d'étudier le fonctionnement du programme.
        Question : s'il ne peut rien prouver, comment va-t-il faire pour taper sur quelqu'un ? Il va prendre le risque d'accuser sur une simple présomption ?
        Un logiciel libre lui permettra de s'assurer que ses présomptions sont fondées avant même d'entamer la procédure, il pourra même corriger la faille avant le dénouement d'un éventuel procés.

        Le point fort du libre est justement dans ce qu'il critique : les choses sont vérifiables et tu n'as pas d'illusoire assurance de garantie. On même garder ses habitudes de diffusion de responsabilité dans la nature, le seul problème c'est que là le boss les prend en pleine poire.
        Rappel de la phrase magique : "c'est la faute à microsoft et a leur logiciels pourris, patron, si vous voulez améliorez les choses adressez vous à eux moi je peux rien faire de plus".
        Version LL : "c'est la faute aux p'tits gars de VCL et a leur logiciel pourri, patron, si vous voulez améliorer les choses, adressez vous à eux ou à une boite pour améliorer le code, moi je ne peux rien faire de plus avec les moyens que vous me donnez".
      • [^] # Re: Répartie

        Posté par  . Évalué à 3.

        Ouais, c'est clair, d'ailleurs, quand il y a des gros bug dans windows, tu tappe sur microsoft...

        Et microsoft, eux...

        Ben il s'en fouttent.
    • [^] # Re: Répartie

      Posté par  . Évalué à 3.

      C'est la réponse réflexe. Mais elle ne suffit pas car le FUD est lancé.

      Je n'ai effectivement aucun moyen de m'assurer de l'innocuité d'un LL sauf à payer très cher un expert pour auditer le code source.
      On reste donc dans le subjectif, avec des raisonnement du genre de ceux-ci :
      * une entreprise qui vit de la vente d'un logiciel proprio prends un grand risque en incluant du code malveillant : que cela vienne à se savoir, et c'est leur gagne pain qui saute.
      * si un tel problème est relevé sur un logiciel propriétaire, tu as une personne morale contre qui te retourner juridiquement ; ce n'est pas le cas des LL.
      • [^] # Re: Répartie

        Posté par  . Évalué à 10.

        Je ne crois pas qu'en France un dev de logiciel libre puisse se prévaloir d'une quelconque imunitée devant la loi si il est prouvé que son logiciel contient des morceaux dont le but affiché est de voler des informations privés/faire exploser un disque dur/effacer le répertoire p0rn du narquois.
        • [^] # Re: Répartie

          Posté par  . Évalué à 1.

          si c'etait le cas, fodrai faire les virus sous licence GPL!!!


          hein koi mon programme a detruit votre disque dur? ben tant pis c'est livrée sans ganratie .....
      • [^] # Re: Répartie

        Posté par  . Évalué à 1.

        si un tel problème est relevé sur un logiciel propriétaire, tu as une personne morale contre qui te retourner juridiquement ; ce n'est pas le cas des LL.

        Mouahahahha, mouah, mouahahahah !

        Ca va comme réponse ?

        Les gens qui pensent vraiment que le LP c'est la sécurité + un interlocuteur et que le LL c'est tout l'inverse pratique tout à fait l'oxymore sans s'en rendre compte :)
        • [^] # Re: Répartie

          Posté par  (site web personnel) . Évalué à 2.

          Cela me rappelle à la SNCF ou il y avait un newsgroup interne de support avec MS France. Une personne avait remarqué que la machine plantait après 40 ouverture/fermeture de word par un script et que c'était très constant.

          Réponse du tech MS :
          "- En effet..."

          Cela se passe de commentaires.

          "La première sécurité est la liberté"

      • [^] # Re: Répartie

        Posté par  . Évalué à 5.

        > tu as une personne morale contre qui te retourner juridiquement

        Pourquoi parles tu de procès ? Le but de ta boîte est d'utiliser un logiciel sain, pas de faire des procès, j'imagine.

        Dans le cas d'un LP, si vraiment tu démontrais (mais comment ?) qu'il y a des backdoor ou autre, le procès est effectivement la seule échappatoire. Mais pour un LL, que compterais tu y gagner ? Si tu as les moyens de trouver des failles, tu as aussi le moyen de les corriger, et ce beaucoup plus vite qu'un procès.
        De toute façon les auteurs ne se sont engagés en aucune manière à ce que le logiciel remplisse une quelconque tâche, ou ne fasse pas telle autre. La plupart du temps, ta boîte n'aura même pas payé pour utiliser ce logiciel. Alors un procès...
      • [^] # Re: Répartie

        Posté par  . Évalué à 6.

        allez, scoops :

        *sous des pretextes de protections et autres mesures anti-piratage, la plupart des logiciels propriétaires incluent des trucs et des machins qui finissent par être incompatibles les uns avec les autres, pour des motifs mystérieux, et sans trop de recours possible (à part un "ben réinstalle Windows et que le dernier soft, cong"). exemple de mémoire, Diablo 2 sur une machine plantait au démarrage sur une machine de test depuis l'installation de produits Embarcadero (outils pour bases de données, donc franchement rien à voir, s'pas ?)


        *on a parlé de garanties ici ou là, mais pratiquement aucun logiciel classique n'est garanti. tu n'as pas de garantie contractuelle qu'ils ne vont pas s'effacer de ton disque demain à 15 heures. aucune.

        si tu réclames un contrat de vente qui mentionne des garanties fortes, engagements, pénalités en cas de soucis, tu vas voir ton interlocuteur faire un grand sourire et s'excuser quelques minutes pour revenir avec une très jolie cravate parce que le tarif ne sera pas le même du tout. si tu es un particulier ou une toute petite société, il secouera juste la tête sans prendre la peine d'aller changer de cravate.

        c'est un peu pareil que l'accès internet avec un débit garanti. ça existe, c'est autrement plus cher que l'accès internet "normal", donc même si tu en voulais vraiment, tu vas sûrement te rabattre sur la version pour monsieur tout le monde.


        *certains éditeurs sont des multinationnales avec une filliale ou au moins des bureaux en France, là tu peux effectivement avoir un interlocuteur à qui parler et que tu peux espérer menacer par avocats interposés. pour de nombreux éditeurs plus petits, tu auras juste un importateur ou revendeur à la Sunbelt ou SOS Developers, au mieux tu seras remboursé du prix de ton achat.

        si tu achètes en direct aux US (ou en Russie si les US te paraissaient sans danger), ça sera moins cher mais tu n'auras cette fois plus aucun recours en cas de conflit technique ou commercial.
  • # re

    Posté par  . Évalué à 2.

    au pire tu lui repond que personne ne peut garantir qu'un binaire n'est pas plombe, a moins de l'avoir produit a la main (mouhaha la bonne blague).

    cf les histoires des premieres versions de gcc qui reconnaissaient le code de gcc et introduisait le code permettant de repliquer le plombage dans le binaire produit.
    • [^] # Re: re

      Posté par  (site web personnel) . Évalué à 4.

      c'était pas gcc.

      "La première sécurité est la liberté"

      • [^] # Re: re

        Posté par  . Évalué à 1.

        c'etait quel compilo alors?
        parce que je me rappelle d'avoir entendu cette histoire avec gcc..
        • [^] # Re: re

          Posté par  (site web personnel) . Évalué à 5.

          Rien de moins que le CC original de Ken Thompson.
          • [^] # Re: re

            Posté par  . Évalué à 0.

            bon, ben j'a dit une connerie, mea culpa; meat coule plus. :)
          • [^] # Re: re

            Posté par  . Évalué à 1.

            Je ne suis pas sûr qu'un compilateur ait réellement fait cela. C'est simplement dans un article (de mémoire: "On trusting trust") que cette possibilité de véroler discrètement était présentée.

            Snark
            • [^] # Re: re

              Posté par  . Évalué à 2.

              si je crois que c'est veridique et avant je crois qu'il y avait eu le login backdoorer (ou si on entrait un utilisateur specifique on passait root).
    • [^] # Re: re

      Posté par  (site web personnel) . Évalué à 2.

      GCC avait du code malvaillant ?
      C'est quoi cette histoire? (J'adore les histoires)

      C'etait un GCC piraté, c'était fait exprés ?
      • [^] # Re: re

        Posté par  . Évalué à 1.

        Attention, vu que j'ai deja confondu gcc avec cc, je vais peut etre dire une betise.
        pour ce que j'en avais compris, le code n'etait pas vraiment malveillant, c'etait juste une demonstration du fait que le fait d'avoir les sources, meme du compilo, n'est pas une garantie forte de l'absence de backdoors dans le binaire utilise.

        la source : un site serieux (genre universitaire ou un truc du genre) trouve lors d'un butinage documentaire qui remonte a l'epoque des mes cours de compil', donc ya de ca quelques annees deja.
        • [^] # Re: re

          Posté par  . Évalué à 2.

          Tu parles de ça j'imagine ?

          "Reflections on Trusting Trust" par Ken Thompson
          http://www.acm.org/classics/sep95/(...)


          The moral is obvious. You can't trust code that you did not totally create yourself. (Especially code from companies that employ people like me.) No amount of source-level verification or scrutiny will protect you from using untrusted code. In demonstrating the possibility of this kind of attack, I picked on the C compiler. I could have picked on any program-handling program such as an assembler, a loader, or even hardware microcode. As the level of program gets lower, these bugs will be harder and harder to detect. A well installed microcode bug will be almost impossible to detect.
          • [^] # Re: re

            Posté par  . Évalué à 1.

            j'ai lu cet article recemment, ca m'avait effectivement fait pense a cette histoire de compilo plombe, mais ce n'est pas celui dont je parle, il mentionne explicitement qu'un compilo repute (apparement cc) etait volontairement plombe par son distributeur dans le but de montrer ce point.
    • [^] # Re: re

      Posté par  (site web personnel) . Évalué à 3.

      même pas. si tu écris de l'assembleur tu ne prémunis pas contre les malveillances du programme d'assemblage. et si tu produis tes instructions mchine à la main (ce qui est déjà ultrachiant, au passage), tu ne te prémunis pas contre la malveillance au niveau micro-code. et au niveau micro-code (mais déjà je connais pas grand monde capable de charger du micro-code), malveillance au niveau du dessous (je sais pas comment il faut l'appeler, niveau fonderie ? niveau transistors ?). et à ce niveau-là, il n'y a pas grand monde capable de faire son propre CPU pour s'en prémunir.
      • [^] # Re: re

        Posté par  . Évalué à 7.

        Ouais et puis même si tu fais ton processeur, qui te dis qu'il n'y a pas des transistors malveillants ? Bon, je fabrique mon transistor, qui me dit que mon fournisseur de silicium ne m'en fournit pas du malveillant ? Aller hop, je récupère moi-même le sable pour faire du silicium. Et qui me dit que la plage ne contient pas du sable malveillant ? Qui me dit que la planète Terre n'est pas malveillante ? Et si l'Univers était malveillant, comment faire ?

        Bon, je suis un peu fatigué (j'ai assez mal veillé), je sors ->[]
  • # business model de SSLL

    Posté par  . Évalué à 3.

    A mon avis, ça doit être dans les cordes d'une SSLL de faire cette certification, de sorte que ta société puisse se "tourner contre quelqu'un" le jour où elle découvre qu'on l'a trompée.

    Et ça devrait coûter moins cher qu'un logiciel propriétaire, non ?
    • [^] # Re: business model de SSLL

      Posté par  (site web personnel) . Évalué à 4.

      Non, car certifier du code, c'est très coûteux. Les logiciels propriétaires (genre media player etc.) ne sont pas certifiés, mais comme dit plus haut la confiance s'établit sur la logique de « c'est leur gagne pain, et sinon ils vont morfler au tribunal ». Le mieux serait peut-être qu'une SSLL vende une version à peine modifiée de certains logiciels, auquel cas on peut retomber dans la logique du gagne pain et du tribunal.
  • # Bon

    Posté par  . Évalué à 10.

    La 1ère chose à faire c'est de péter la gueule du troublion :)
    ça règle pas le problème mais ça laisse du temps pour réfléchir.

    Si il est trop balèze tu pisse dans son réservoir ou tu lui crève ses pneus.
  • # introduction du code

    Posté par  . Évalué à 3.

    les auteurs d'un logiciel libre n'ont normalement pas intérêt à mettre du code malveillant.
    Donc la confiance accordé aux auteurs est un premier paramètre.

    Une personne extérieur peut introduire un code malveillant si elle pirate le serveur de source. Donc il faut que les codes soit tous signé numériquement, ce qui est la tendance petit à petit avec l'histoire du noyau.

    Donc la sécurité est égale à la confiance que l'on a envers les auteurs.
    et moins si la politique de sécurité est pourri. Dans le cadre professionnel je ne compile jamais moi même les appli pour les serveurs, j'utilise les paquets compilé et signé numériquement de la distrib, pour être 100 % couvert

    Le problème n'est pas tellement la compétence pour auditer mais la possibilité de certifier qui compile quel code.
    • [^] # Re: introduction du code

      Posté par  (Mastodon) . Évalué à 2.

      Donc la sécurité est égale à la confiance que l'on a envers les auteurs.


      Ca implique de faire confiance sur deux points, et le deuxieme est moins evident que le premier:
      - d'une part il faut que les auteurs principaux n'introduisent pas eux-meme de code malicieux ;
      - d'autre part il faut qu'ils n'introduisent pas de code malicieux par megarde en validant un patch externe sans en verifier toutes les consequences.

      Pour des petits patches, c'est assez facile de s'assurer qu'ils ne sont pas dangereux, mais pour des patches plus gros, il y a un risque.
      • [^] # Re: introduction du code

        Posté par  . Évalué à 3.

        "d'autre part il faut qu'ils n'introduisent pas de code malicieux par megarde en validant un patch externe sans en verifier toutes les consequences."

        ce n'est plus un code malveillant, mais un bug à ce moment ou une erreur, mais si la personne est l'auteur, elle se rendra compte à un moment de la maladresse.

        De plus si tu utilises des outils de versionnement adaptés au projets et que tu es rigoureux ( ce qui fait partie de la confiance et du crédit que l'on accorde à un auteur), les patchs ne seront pas gros, et il priviligiera des changements atomique.

        Pour revenir au problème du code propriétaire, sans le code source, tu ne peux juger du sérieux de l'auteur (le code c'est une procherie ou pas), et un projet open source tu sais les outils qui sont utilisés, ce qui n'est pas toujours le cas d'un logiciel propriétaire.

        En fait on pense souvent à la transparence du code, mais c'est la transparence des auteurs de la méthode de travail qui garantie le logiciel
        • [^] # Re: introduction du code

          Posté par  (Mastodon) . Évalué à 3.

          «ce n'est plus un code malveillant, mais un bug à ce moment ou une erreur»

          Il est tout à fait envisageable qu'un méchant pirate propose un patch en apparence positif mais qui ajoute une vulnérabilité... et dans ce cas c'est malveillant. On peut avoir confiance en la bonne volonté des auteurs principaux, mais peut-on avoir confiance en tous les contributeurs qui ont un jour proposé un patch ?

          Bien sûr, si l'intégration des patches externes est soigneusement contrôlée, ça diminue les risques.
          • [^] # Re: introduction du code

            Posté par  . Évalué à 2.

            Pour intégrer le patch dans la branche principal, c'est l'auteur qui le fait, donc il vérifie.

            Les commits ne doivent être fait que par des personnes de confiance, regarde ce qui se passe au niveau du noyau.

            • [^] # Re: introduction du code

              Posté par  . Évalué à 2.

              http://kerneltrap.org/node/1584(...)

              Facile à dire... Encore plus facile à laisser passer. Dès que les patchs dépassent les 400 lignes il devient très difficile d'assurer qu'il n'en fait pas un petit peu trop. La c'est grossier, mais pourquoi pas simplement faire en sorte que le patch remplisse un structure de donnée de telle façon que ca dérange une fonction un peu plus loin dans le graphe d'appel...

              Avec deux ou trois relecteurs pour chaque patch on limite les risques mais combien de projets peuvent se le permettre ?

              Et même si le patch n'est pas mal intentionné j'ai encore refusé un patch y'a 15 jours d'un mec qui voulait bien faire mais qui avait introduit une faille sans le vouloir....
              • [^] # Re: introduction du code

                Posté par  . Évalué à 2.

                Un patch de 400 ligne n'est plus un patch

                Un patch doit se cantonner une modification atomique.

                Cela revient à ce que je dis, la sûreté du code dépend beaucoup de la méthode de travail.
                • [^] # Re: introduction du code

                  Posté par  . Évalué à 3.

                  Tiens j'ajoute une grosse modification dans un soft en ce moment, support réseau, pour le moment mon patch fait dans les 2500 lignes...

                  Atomique ne veut pas dire petit. Une grosse modification ou une nouvelle fonctionnalité demande un gros patch c'est aussi simple que ca. Tu peux t'amuser a découper tes patchs en 12 au final tu as toujours 2500 lignes de code à lire et à parfaitement comprendre. Sans compter qu'il faut *REELEMENT* faire l'effort de lire chaque caractère, bien souvent nos yeux voient ce qu'ils veulent ou sont habités à voir.

                  Ok souvent a partie qui communique avec le reste de l'appli est assez petite mais pas insignifante non plus.
                  • [^] # Re: introduction du code

                    Posté par  . Évalué à 2.

                    Atomique ne veut pas forcément dire petit mais certainement pas un ajout de fonctionnalités. Pour un ajout de fonctionnalité autant créer un e sous branche. Mais même si on ne travaille pas de la même façon, ta remarque reste judicieuse

                    Dans le cadre de l'ajout d'une fonctionnalité, les choses sont plus compliquées.

                    Quel organisation peut-être mis en place pour garantir la qualité ?

                    Mettre un des auteurs avec le contributeur, comme un parrainage ? Mais le contributeur peut être meilleur que l'équipe des auteurs.

                    Obliger les contributeurs à versionner le code et à mettre à disposition le conteneur pour qu'il y est un droit de regard de la communauté au fur et à mesure du développement ?

                    C'est intéressant comme point, car il est vrai que auditer un code quand ce n'est pas le sien ... pas facile. Ou alors il faut fixer des normes de développement très strictes.
  • # Réponse idiote

    Posté par  . Évalué à 10.

    Ben, tu lui certifies, çà te coute rien.

    Enzo
    • [^] # Re: Réponse idiote

      Posté par  . Évalué à 7.

      Oui et s'il met ta parole en doute tu lui refile l'intégralité du code en lui disant d'un air snobe : "Ba si, regarde c'est pourtant clair que ça risque rien".
      ...
      Maintenant, casser la gueule du trublion comme indiqué ci-dessous, ça ne coute rien non plus...
  • # Winzip par exemple

    Posté par  (site web personnel) . Évalué à 3.

    Demande lui si il sait si Winzip (que toute entreprise a utilisé ou utilise encore) a du code malveillant.
    Et demande lui ce qu'il compte faire si c'est le cas.

    L'association LinuxFr ne saurait être tenue responsable des propos légalement repréhensibles ou faisant allusion à l'évêque de Rome, au chef de l'Église catholique romaine ou au chef temporel de l'État du Vatican et se trouvant dans ce commentaire

  • # C'est deja arrivé

    Posté par  . Évalué à 6.

    Lors du passage de proprio a libre du code d'interbase de borland ...

    http://news.zdnet.com/2100-9595_22-527115.html?legacy=zdnn(...)

    Dam
  • # CRC HASH et companie

    Posté par  (site web personnel) . Évalué à 2.

    Verifier si les CRC et où les différentes hashages/signatures du développeur auteur du paquet sont conformes au référence présente sur le site de l'auteur.

    C'est pas du 100% sure, on a déjà vu des ftp hackés et des clefs CRC modifiés mais bon c'est rare et ca passe pas forcement inapercu

    • [^] # Re: CRC HASH et companie

      Posté par  . Évalué à 2.

      une signature gpg si elle est largement diffusé et reconnu peut faire l'affaire.

      Tu peux signer tous les patchs un par un et si il y a un intru dans les signature, tu le vois vite
  • # Journal Public ?

    Posté par  (site web personnel) . Évalué à -3.

    Je vais faire mon rabat-joie, mon ch*ant, tout ce que vous voulez ...
    Mais lorsque l'on a assez de "points" sur linuxfr pour poster un journeau public dans la page, et pas (seulement) dans la colonne de gauche. Il apparaît également dans le flux RSS alors que les autres non.

    Quand on poste le journal, on doit choisir si le journeau est public "interessera la communauté". Si le sujet est trop loin de GNU/Linux ou du sujet de linuxfr en génaral, le journal devrait être posté en "privé". Ce journal, à mon humble avis, aurai du être posté en privé ... Cela n'aurai pas empéché que les visiteurs répondent ... (D'ailleurs, je crois que les journaux sont de plus en plus visités, le rythme de nouvelles ayant tendance à baisser)

    Voila, je poste ici mon mécontentement à poster à tort et à travers des journeaux publ
    • [^] # Re: Journal Public ?

      Posté par  (site web personnel) . Évalué à 2.

      Oulgha, je me reponds a moi meme car je me suis trompé de journal :(

      Excusez moi, je trouve au contraire que ce journal pouvait être public ...
      Mea culpa, errare humanum est :/
    • [^] # Re: Journal Public ?

      Posté par  . Évalué à 2.

      et bien grâce à toi je sais maintenant où se situe la distinction privé public.

      Merci

      P.S. : Peut-être que comme moi il ne le savait pas
    • [^] # Re: Journal Public ?

      Posté par  . Évalué à 1.

      « Voila, je poste ici mon mécontentement à poster à tort et à travers des journeaux publ»

      Des journeaux publo ?
  • # Ne pas faire confiance au logiciel ?

    Posté par  . Évalué à 2.

    Le mieux ne serait pas de ne pas faire confiance au logiciel, quel qu'il soit ? Si vous prenez par exemple différents OS, différents matériels pour faire du firewalling, différents logiciels pour faire diverses taches de différents éditeurs, vous diminuez les risques d'exploitation d'un «plombage» non ?
  • # Logiciel gratuit contre logiciel commercial

    Posté par  . Évalué à 3.

    La solution est simple : un logiciel gratuit pose pas mal de problèmes dans le cadre d'un usage professionnel. Alors utilise une version commerciale de ce logiciel libre. Son éditeur sera en mesure de certifier à ton entreprise qu'aucun code malveillant n'y est présent (ton entreprise pourra dans le cas contraire se retourner contre l'éditeur).

    Tu aura un avantage supplémentaire par rapport à un logiciel propriétaire gratuit ou commercial : la possibilité d'aller voir directement dans le code source en cas de besoin.

    BeOS le faisait il y a 20 ans !

    • [^] # Re: Logiciel gratuit contre logiciel commercial

      Posté par  . Évalué à 2.

      Depuis quand une structure commerciale s'engage sur ce genre de chose ?
      • [^] # Re: Logiciel gratuit contre logiciel commercial

        Posté par  . Évalué à 2.

        Elle s'y engage implicitement.
        Si une société édite un logiciel contenant du code "malveillant", elle se rend coupable d'intrusion dans le système informatique de ses clients.

        En commercialisant le logiciel, la société endosse la responsabilité des dommages intentionnels causés par le logiciel.

        BeOS le faisait il y a 20 ans !

        • [^] # Re: Logiciel gratuit contre logiciel commercial

          Posté par  . Évalué à 2.

          donne un exemple réel de ce que tu avances, une jurisprudence en France pourrait me convaincre, ou une licence engagent explicitement la responsabilité de l'éditeur.

          Si je suis sceptique c'est parce que les licences désengage toute responsabilités de l'éditeur. Donc pour que ce tu dises soi vrai, il faut que un procès rende illégale les licences qui sont en cours actuellement. Mais c'est possible.

          Mais je reste sceptique

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.