Bonmidi* Nal,
Je viens de lire un article sur le monde à propos du THF, dont vous devez être un peu familier si vous suivez DLFP régulièrement, voir même si vous travaillez dans le THF.
Ce qui devait arriver arriva, donc : un courtier qui gère 15% du trafic américain (ce qui fait déjà 8 fois le volume du CAC40, et nous permet de relativiser un peu la grandeur actuelle de la France en passant), a été racheté pour 70% par ses concurrents et des banques «amies» après avoir été victime d'un bug qui lui a fait vendre pour 4,5 milliards d'actions en quelques minutes, provoquant en même temps la chute de 140 titres.
Le plus rigolo dans l'affaire ? Selon le président d'un groupe de gestion privée :
La technologie de Knight était très réputée, autant que le contrôle du risque de JPMorgan
Bien que je ne sois pas vraiment toujours d'humeur sceptique, là j'émets quand même quelques doutes sur l'utilité de provoquer des faillites voir de pouvoir ruiner des États («petits» comme la Côte d'Ivoire ou l'Islande certes, vu l'ampleur des pertes, mais quand même) en quelques minutes.
Toutes les actus sur le sujet sur Google.
*Je propose à tous les francophones d'adopter ce nouveau, beaucoup plus précis et aussi court que bonjour quand il est midi et qu'on ne mange pas (auquel cas on dit bon appétit, ou plutôt bon app'). Rapport à amarsissage qui a choqué du monde.
# Fight Club
Posté par stopspam . Évalué à 10.
A force d'entendre ces histoires de gros sous ou les banques peuvent faire plonger des économies, je rêve de plus en plus d'avoir la même fin que ce film.
[^] # Re: Fight Club
Posté par napster2core . Évalué à 4.
Ça serait drôle. je me demande comment les banques prendraient ça, faillites générales ? Renflouement par l'état ?
De plus un petit crash des serveurs avec un effacement des backups à côté ferait le travail, pas besoin de fabriquer de "savon" :P
Librement
Si tu ne sais pas demande, si tu sais partage !
[^] # Re: Fight Club
Posté par Sano . Évalué à 6.
Essayez de parler plus fort, Echelon est un peu dur de la feuille en ce moment.
*Sano*
[^] # Re: Fight Club
Posté par Marotte ⛧ . Évalué à 10.
Hé ho ! Echelon !!!
JO Londres 2012 bombe Allah akbar Israël Al-qaïda !
[^] # Re: Fight Club
Posté par windu.2b . Évalué à 3. Dernière modification le 07 août 2012 à 15:29.
oubliez ce que je viens d'écrire…
[^] # Re: Fight Club
Posté par gnuzer (site web personnel) . Évalué à 10.
eingousef !
[^] # Re: Fight Club
Posté par Lutin . Évalué à 6.
C'est lumineux !
[^] # Re: Fight Club
Posté par jay . Évalué à 1.
hint: supprime crises
[^] # Re: Fight Club
Posté par Nicolas Boulay (site web personnel) . Évalué à 4.
Tu lus sur l'histoire de la manipulation du Libor (le taux d'emprunt interbanquaire) ?
L'UE a enquêté sur des ententes entre banque pour manipulation sur les courts de produit financier. Ils ont trouvé qu'ils ont été jusqu'à manipuler l'indice de référence (Libor et Euribor). Un peu comme si des banque décidait de la valeur affichée du CAC40.
"La première sécurité est la liberté"
[^] # Re: Fight Club
Posté par khivapia . Évalué à 8.
Faut dire que pour considérer comme référence un taux annoncé par les banques elles-mêmes (et donc manipulable presque à l'envi) il faut vraiment être c*n.
[^] # Re: Fight Club
Posté par Nicolas Boulay (site web personnel) . Évalué à 3. Dernière modification le 08 août 2012 à 09:02.
En même temps, c'est les banques elle-mêmes qui proposent des taux pour leur prêt.
Un peu comme si le prix d'un objet dépendait de la personne qui pose la question à un vendeur.
"La première sécurité est la liberté"
[^] # Re: Fight Club
Posté par ckyl . Évalué à 8.
C'est pas la base du commerce ?
[^] # Re: Fight Club
Posté par Zenitram (site web personnel) . Évalué à 0.
Encore une comparaison foireuse dans le même style que copier une vidéo est voler.
Tu compares des choux et de carottes : pour un prêt, ce n'est pas le même "objet" (=le risque de non remboursement) qui est vendu, mais différents "objets" (ben oui, on regarde le risque!). Le prix est a peu près le même (comme pour un objet, il peut y avoir un peu de négo) pour le même risque.
[^] # Re: Fight Club
Posté par Nicolas Boulay (site web personnel) . Évalué à 8.
Le taux Libor donne une moyenne des taux interbancaire proposé par les banques. La manipulation du taux consiste donc à donner des infos différentes aux questionnaires du libor et à ses clients. Il s'agit donc bien du même objet, ton commentaire ne sert à rien.
"La première sécurité est la liberté"
[^] # Re: Fight Club
Posté par Dring . Évalué à 2.
Pas vraiment ; pour le calcul du libor, les banques doivent publier les prix auquel elles empruntent, pas celui auquel elles prêtent.
C'est très différent, et c'est d'ailleurs pour ça qu'une banque a fini par tricher. Avouer qu'elle empruntait à un taux plus élevé que les autres aurait montré un manque de confiance envers elle.
[^] # Re: Fight Club
Posté par zebra3 . Évalué à 10.
Ça m'a fait penser à une scène du dernier Batman que j'ai particulièrement apprécié (même si tout le film est excellent).
Je vais essayer de ne pas spoiler, mais on peut voir les méchants entrer braquer une bourse, où l'un des traders leur signale que ça ne sert à rien car il n'y a pas d'argent dans une bourse et qu'il n'y a donc rien à voler, ce à quoi leur chef lui répond « Ah oui ? Et qu'est-ce que vous faites tous ici ? ».
Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur
[^] # Re: Fight Club
Posté par yellowiscool . Évalué à 1.
Envoyé depuis mon lapin.
[^] # Re: Fight Club
Posté par 2PetitsVerres . Évalué à 7.
J'ai jamais vu quelqu'un mourir, si ça se trouve c'est la mort la plus réaliste de l'histoire du cinéma, et ce sont toutes les autres qui sont de la daube !
Tous les nombres premiers sont impairs, sauf un. Tous les nombres premiers sont impairs, sauf deux.
[^] # Re: Fight Club
Posté par Fabimaru (site web personnel) . Évalué à 4.
Spoiler: comme ça?
# \o/
Posté par Anonyme . Évalué à 10.
Comme l'information date de la semaine dernière, voilà l'article correspondant
Knight Capital Says Trading Glitch Cost It $440 Million
Le trading haute fréquence se gave déjà sur la ruine des états, en particulier les plus fragiles. La machinerie repose sur des déséquilibres temporaires anormaux, et cherche à en profiter au maximum, quitte à les provoquer. Dans un monde normal ça ne devrait même pas exister, alors bien fait pour leur tronche, ils se sont fait auto-piller par leur technologie de pillage.
[^] # Re: \o/
Posté par eastwind☯ . Évalué à 2.
pour le coup ton pseudo est la digne représentation de ton commentaire
[^] # Re: \o/
Posté par stopspam . Évalué à 3. Dernière modification le 08 août 2012 à 00:43.
Pour rester dans le thème, une vidéo assez sympa de chez Ted.
# C'est la faute aux indiens
Posté par Mildred (site web personnel) . Évalué à 4.
Selon une lecture un peu différente, c'est un épisode parmi d'autres d'une cyber-guerre entre l'Inde et les USA:
Il y a quelques semaines, l’Inde défiait les Etats-Unis en concluant un accord avec l’Iran: Gaz contre Gold. Passant outre l’interdiction donnée par l’Empire de commercer avec l’Iran, l’Inde a contourné l’interdit par un troc, gaz iranien contre or indien. Ce faisant, l’Inde mettait en pratique la politique monétaire que préconisent la Chine et les rebelles à l’hégémonie du Dollar.
Il y 1000 manières de faire la guerre sans réveiller la masse moutonnière. Le plus simple est d’utiliser l’arsenal existant. Israël et les Etats-Unis ont développé une série de virus informatiques pour attaquer les centrales iraniennes.
Une arme informatique, mise en place par George Bush et utilisée par Barack Obama. Ce n’est pas le scénario d’un nouveau James Bond, mais les informations bien réelles que révèlent nos confrères du New York Times. Selon les experts du programme “Stuxnet” qui ont développé le virus, cette attaque aurait permis de retarder de cinq ans la mise en place du programme nucléaire iranien. Moshé Yaalon, ministre israélien des affaires stratégiques a reconnu les faits : “il est justifié, pour quiconque considère la menace iranienne comme une menace significative, de prendre différentes mesures, y compris celle-là, pour la stopper.” D’autres virus informatiques ont été découverts depuis “Stuxnet”. Il y a eu “Flame” et plus récemment “Duqu”, des virus dérivés de Stuxnet et donc provenant des mêmes sources.
Deux jours après une cyber-attack contre les centrales nucléaires indiennes, l’un des plus gros intervenants du trading électronique de Wall-Street, Knight Capital Corp, voit son programme informatique prendre la main et semer le chaos dans les cotations de 140 actions sur le NYSE. Je parie votre hot-dog contre mon curry d’agneau, que Knight a fait développer ses programmes à l’étranger. La plupart des programmeurs se gardent une “porte de derrière”, une entrée secrète pour aller faire des corrections de programme. Microsoft a offert une porte aux services américains, qui en usent et en abusent. Que les indiens en fassent autant, me semble de bonne guerre. Puisse t’il mettre par terre JPM de la même façon… mais peut être, l’ont ils déjà fait … ?
Les logiciels de KNIGHT Capital Corporation ont été réalisés par la société Tradeworx, firme fondée en 1999 par Manoj Narang, spécialiste reconnu du nanotrading.
De l’aveu même de Manoj Narang, les logiciels ne s’intéressent pas aux fondamentaux, ni à une perspective d’une action à 3 ans ou 10 ans. Ils cherchent à anticiper le mouvement de l’action dans les millisecondes qui suivent. Les hommes sont trop lents pour saisir une opportunité, qui ne durera qu’une fraction de secondes. Le nanotrading en 2005 ne représentait que 30% des transactions à Wall Street, contre 70% en 2010.
Mais de temps à autres, un ordinateur va déraper et donner des ordres irrationnels faisant monter ou baisser un titre, les autres ordinateurs vont tous suivre le mouvement, créant des flash-krach.
Le 17 juillet, le gendarme de la bourse de NY, la SEC, a signé un contrat avec Tradeworx afin de suivre toutes les cotations et transactions en actions et en options sur les marchés américains (des Bourses aux Electronic Communications Networks, ces systèmes alternatifs de transactions). Depuis le Flash Krach du 6 mai 2010, la SEC se sentait dépassée par les traders à haute fréquence. Comme les études de Namex l’ont démontré, tous les jours, un épisode de quote stuffing affecte une valeur américaine. Le quote stuffing est cette pratique qui consiste à bourrer le carnet d’ordres de transactions à la hausse ou à la baisse, pour ensuite les annuler. Cela crée une fausse liquidité sur le titre et trompe les traders qui suivent ce mouvement. Bien sûr, cette pratique est illégale, mais elle est difficile à repérer sans un programme informatique adapté.
Manoj Narang est donc recherché par les gendarmes de la Bourse … non pas pour une éventuelle cyber-attack indienne subodorée par Menthalo, mais pour son savoir-faire en trading à haute fréquence.
Texte copié des sources suivantes:
[^] # Re: C'est la faute aux indiens
Posté par zerkman (site web personnel) . Évalué à 10.
Pas besoin de théorie du complot pour comprendre le phénomène. Les machines qui font du THF font automatiquement des transactions sur des fluctuations qu'elles anticipent ou qu'elles ont elles-mêmes provoquées. A tel point qu'une modification minime de l'algorithme ou d'un paramètre et c'est l'emballement, sans compter la réaction des concurrents d'à coté qui réagissent aussi aux micro-transactions que provoquent les machines. Si ces réactions ne sont pas bien anticipées, les conséquences sont imprévisibles.
[^] # Re: C'est la faute aux indiens
Posté par lapada . Évalué à 2.
Je n'y vois pas de théorie du complot. Ce que Mildred raconte a l'apparence de la rationalité, et demande seulement de croire qu'on a des États qui ne peuvent pas se blairer et se tirent dans les pattes par ordinateurs interposés. Knight ne serait qu'un dommage collatéral.
Les guerres entre États, ça arrive, même s'il n'y a pas mort d'homme à la clé, et qu'un État fasse exprès de déstabiliser l'économie du pays d'en face, autant que faire se peut, même simplement à titre d'avertissement, c'est tout à fait possible.
Je n'en sais trop rien si elle a raison ou pas, mais comparer son scénario avec les thèses sur les illuminatis, c'est y aller un peu fort. Après ça, c'est vrai que l'erreur est humaine et qu'il est peut-être plus simple de penser que ces machines sont mal-conçues à la base, sans aller chercher des histoires de guéguerres étatiques.
[^] # Re: C'est la faute aux indiens
Posté par exolin . Évalué à 9.
Suffit de lire le à propos:
[^] # Re: C'est la faute aux indiens
Posté par lapada . Évalué à 3.
Juste, mais je n'avais pas été voir le site avant de poster mon commentaire, j'avais juste lu ce que disait Mildred ;)
C'est vrai que le site fait un peu «le nouvel ordre mondial des méchants zionistes illuminatis mazonnikes tsiganes va bientôt nous tomber dessus. On vous aura prévenu !»
[^] # Re: C'est la faute aux padcheznous !
Posté par bubar🦥 (Mastodon) . Évalué à 4.
Ammo Dinestr Serbie Grêce Allemagne Belgique Suisse
GDrug Afghanistan Turquie Espagne WDrug Colombie Afrique PaysBas
Juif Françs-Maçons Communiste Rouge Keynes!
Oil Fuel Huile Vidange Congélateur Engrais GraissePorc
bon … un tit -10 ?
[^] # Re: C'est la faute aux padcheznous !
Posté par Maclag . Évalué à 4.
Echelon vient de planter. Encore un coup des Chinois du FBI! (c'est en fait un dpt contrôlé par les Indiens d'Iran)
-----------> [ ]
[^] # Re: C'est la faute aux indiens
Posté par Marotte ⛧ . Évalué à 5.
Ordre mondial ça me fait penser à ce rap :
(Keny Arkana - Ordre Mondial)
Les puristes me diront que Keny Arkana ça pue c'est trop mainstream, moi j'aime bien celle-là, et Cinquième soleil bien sûr.
[^] # Re: C'est la faute aux indiens
Posté par Octabrain . Évalué à 2.
C'est un peu The Orgamastron en version molle, quoi.
[^] # Re: C'est la faute aux indiens
Posté par Marotte ⛧ . Évalué à 2.
Ouai c'est un peu ça.
Keny Arkana c'est plus mou certes mais j'avais prévenu que c'était mainstream. Le cri animal du viking c'est nettement moins vendeur !
[^] # Re: C'est la faute aux indiens
Posté par jseb . Évalué à 3.
Sinon il y a Trust…
«T'as bien raison de faire tes trente-cinq heuuuures
Ton salaire c'est l'salaire de la peuuuuuur !»
(Trust, «bosser 7 heures»).
(je me suis permis d'adapter la chanson à la législation du travail actuelle).
nb: ceci est un extrait exercé dans le cadre du droit à la citation. «Les analyses et courtes citations justifiées par le caractère critique, polémique, pédagogique, scientifique ou d'information de l' œuvre à laquelle elles sont incorporées» (Art L. 122-5).
Je dis ça, parce qu'avec les deux chansons qui sont déjà passées en intégralité dans les commentaires, linuxfr.org va finir par fermer (suite à un sanglant procès avec les z'ayants-droits-dans-leurs-bottes).
Discussions en français sur la création de jeux videos : IRC libera / #gamedev-fr
[^] # Re: C'est la faute aux indiens
Posté par Marotte ⛧ . Évalué à 2.
J'ai cité l'intégralité des paroles des deux chansons mais toi tu as réalisé un travail dérivé ! ;)
[^] # Re: C'est la faute aux indiens
Posté par pasBill pasGates . Évalué à 0.
Il y a une difference entre imaginer un truc venu de nulle part, et se baser sur des elements concrets pour creer une theorie.
Stuxnet/Duqu/Flame venant d'un etat ? Il y a enormement d'elements concrets qui poussent dans cette direction (complexite de l'attaque, efficacite, objectifs du virus, …)
Un rapport entre les USA et l'Inde et ces histoires de trading ?
- Personne, absolument personne a part des illumines sans source, n'a parle de cyber attaque contre les centrales indiennes
- Le seul lien dans cette histoire rocambolesque est que le gars qui a ecrit le logiciel de trading est indien. Super, il y en a plus d'un milliard dans le monde, ils sont tous espions ?
- Cette histoire de porte de derriere est totalement inventee et sans aucun element concret
- Aucune explication sur le benefice que l'Inde tirerait de cette attaque, meme en forme de represailles, car tout le monde sait que la bourse US a des systemes de detection qui bloquent les transactions en cas d'affolement. Bref, il est clair avant meme de lancer une attaque pareille qu'elle n'a aucune chance de succes a part pour tuer Knight, et tout le monde se fiche de Knight a part les actionaires et employes de Knight, ils n'ont aucune importance au niveau global pour les USA.
Bref, une enorme connerie.
[^] # Re: C'est la faute aux indiens
Posté par lapada . Évalué à 1.
Ok, relis plus haut, j'ai déjà dis que j'ai sans doute lu trop vite.
[^] # Re: C'est la faute aux indiens
Posté par modr123 . Évalué à 1. Dernière modification le 08 août 2012 à 12:57.
la societe gere 15% du trafic boursier et n'a aucune importance ?
assez pour que certains reinjecte 400Millions de dollards dedans…
quand aux indiens ils sont en tres grande partie en inde…
en plus l'indien est recherché pour aider les gendarmes de la bourse pas parce qu'il est responsable.
> Aucune explication sur le benefice que l'Inde tirerait de cette attaque, meme en forme de represailles, car tout le monde sait que la bourse US a des systemes de detection qui bloquent les transactions en cas d'affolement
source non parce que si tu parles du blocage quand l'action perds 10% alors que le thf se joue sur des varations bien plus petites …
la tu aurais pu voir un truc du genre ne sous traiter pas les parties sensibles a l'etranger, une sorte de protactionnisme deguisé , mais tu utilises des arguments aussi bas de gamme qu'eux.
[^] # Re: C'est la faute aux indiens
Posté par pasBill pasGates . Évalué à 0.
Tout a fait, aucune importance.
Apres leur bug, ils ont arrete leur trading pendant genre 48-72h, le marche a continue a fonctionner sans aucun probleme.
Ensuite, que la societe elle meme ait de la valeur, certainement. Mais cette societe n'a absolument aucune importance pour le marche boursier US globalement, elle peut disparaitre demain et tout continuera comme si de rien n'etait.
Que l'indien soit recherche, tout a fait, cela n'en fait pas un espion de son pays pour autant.
Pour les triggers, je parlais de http://www.advisorone.com/2012/06/01/sec-approves-rules-related-to-flash-crash , don't l'objectif est de limiter les mouvements boursiers massifs, pas forcement les petits mouvements de plein de stocks differents.
[^] # Re: C'est la faute aux indiens
Posté par khivapia . Évalué à 5.
sans compter la réaction des concurrents d'à coté qui réagissent aussi aux micro-transactions que provoquent les machines
Qui eût cru que Core War aurait encore du succcès de nos jours !
https://en.wikipedia.org/wiki/Core_War
[^] # Re: C'est la faute aux indiens
Posté par calandoa . Évalué à 2.
« A tel point qu'une modification minime de l'algorithme ou d'un paramètre et c'est l'emballement »
Je ne suis pas sûr de bien comprendre l'explication. On observe ce genre de ratage une fois tous les six mois (à la louche), donc :
- les algos/paramètres de THF sont modifiés une fois tous les six mois ?
- il y a des emballements tous les heures mais on nous le cache ?
- la relation de cause à effet que tu énonces est fausse ?
[^] # Re: C'est la faute aux indiens
Posté par zerkman (site web personnel) . Évalué à 5.
Mon propos est mal formulé. Je ne voulais pas dire qu'une modification mineure provoque systématiquement des emballements, ni que les emballements sont systématiquement en relation avec des modifications logicielles.
Juste que tout ceci fonctionne en équilibre très instable et que ce n'est pas étonnant que l'on puisse tomber sur ce genre de ratage de temps à autre.
Enfin voilà, pas besoin d'illuminatis ou de conspiration quelconque pour expliquer le phénomène.
[^] # Re: C'est la faute aux indiens
Posté par flan (site web personnel) . Évalué à 1.
Il y a parfois des bugs dont on se rend compte et dont on entend parler.
Il est tout à fait possible que pas mal d'algos (et leurs implémentations) soient franchement bugguées, mais que ça ne se sait pas. Si une boîte fait -1% ou -2% à cause d'un algo foireux, personne ne s'en rendra compte vu que tout le monde peut mettre ça sur l'aléatoire « normal » de la bourse. Par contre, quand elle fait -99%, c'est tout de suite un peu plus visible…
Tu peux avoir des bugs qui n'arrivent que quand n algos adverses (avec n grand, et chaque algo avec un comportement précis) se battent entre eux.
[^] # Re: C'est la faute aux indiens
Posté par Nicolas Boulay (site web personnel) . Évalué à 7.
Tu n'as jamais du coder de systèmes réactif ou asservi pour dire cela.
Le THF par définition a un très haut niveau de rétroaction. Donc, un algorithme peut bien se comporter dans un environnement donner et faire n'importe quoi dans certaine zone. C'est d'autant plus vrai qu'il est rapide, complexe (non linéaire), tenant compte de beaucoup de paramètres (et donc pas entièrement testé).
"La première sécurité est la liberté"
[^] # Re: C'est la faute aux indiens-lumineux
Posté par Badeu . Évalué à 5.
Oh mon dieu, encore un coup des illuminatis ! :o
Dire qu'ils ont déjà eu Lady Di, Michael Jackson et Michel Sardou !
[^] # Re: C'est la faute aux indiens-lumineux
Posté par Sano . Évalué à 6.
Oh mon dieu, Michel Sardou est encore mort ?
*Sano*
[^] # Re: C'est la faute aux indiens-lumineux
Posté par Badeu . Évalué à 0.
C'est dingue n'est-ce pas ?!
[^] # Re: C'est la faute aux indiens
Posté par Pierre Tramonson . Évalué à 7.
Ah merde, si j'avais su, je ferai comme eux maintenant. En plus ça a l'avantage de me donner les droits root sur la machine et de bypasser le firewall sans passer par une attaque de bruteforce sur son keylogger !
[^] # Re: C'est la faute aux indiens
Posté par Jerome . Évalué à 7.
Leur soft tournait via des macros dans openoffice.
Comme OpenOffice a un firewall integre, cette theorie ne tient plus la route !
[^] # Re: C'est la faute aux indiens
Posté par 2PetitsVerres . Évalué à 10.
Tu confonds avec les grecs !
Tous les nombres premiers sont impairs, sauf un. Tous les nombres premiers sont impairs, sauf deux.
[^] # Re: C'est la faute aux indiens
Posté par lapada . Évalué à 3.
Ça c'est bas, c'est viser en dessous de la ceinture ;)
[^] # Re: C'est la faute aux indiens
Posté par stopspam . Évalué à 2.
Pour mieux boucher le trou (de sécurité) ensuite.
[^] # Re: C'est la faute aux indiens
Posté par hitmanu . Évalué à 0.
et sécuriser leur trou de sortie.
Merci aux personnes qui mon aidé a trouvé des solutions pour essayer d’écrire sans faute d’orthographe.
[^] # Re: C'est la faute aux indiens
Posté par pasBill pasGates . Évalué à -1.
Duqu et Flame n'etaient pas derives de Stuxnet, ils n'avaient pas grand-chose a voir dans leur fonctionnement.
Ce qui ne veut evidemment pas dire qu'ils ne viennent pas d'une meme source…
[^] # Re: C'est la faute aux indiens
Posté par pasBill pasGates . Évalué à -4.
Ca m'apprendra a ne pas lire jusqu'a la fin…
La plupart des programmeurs se gardent une “porte de derrière”, une entrée secrète pour aller faire des corrections de programme. Microsoft a offert une porte aux services américains, qui en usent et en abusent
Prouves le. Le cas echeant, evites de raconter n'importe quoi…
[^] # Re: C'est la faute aux indiens
Posté par khivapia . Évalué à 7.
Il y a eu quand même de fortes suspicions avec la fameuse NSA_KEY au sujet de laquelle Microsoft n'a jamais fourni d'explications convenables.
Le générateur d'aléa cryptographique de Windows (utile pour générer des clefs notamment de session) a longtemps été pourri jusqu'à l'os d'un point de vue crypto http://eprint.iacr.org/2007/419 Difficile de croire que les ingénieurs de Microsoft soient mauvais pourtant. Sans compter une autre attaque dont je ne retrouve pas le lien qui montrait que suivant la langue du système, l'entropie du générateur d'aléa était variable (par exemple : locale iranienne, hop, 1 octet d'aléa vrai même si ça passe tous les tests statistiques possibles).
De plus la NSA ne se prive pas pour marcher la main dans la main de nombreux industriels américains https://en.wikipedia.org/wiki/Room_641A ou encore (plus ancien) avec IBM http://www.cypherspace.org/adam/hacks/lotus-nsa-key.html Pourquoi ne le ferait-elle pas avec Microsoft ?
Enfin la NSA a les deux volets (sécurisation et attaque). Elle a bossé avec Microsoft pour sécuriser mieux windows 7. Pourquoi le partenariat se serait limité à un seul volet ? D'autant que Windows est tellement répandu qu'il y a beaucoup d'information à récupérer en compromettant la sécurité de Windows, et le métier principal de la NSA c'est justement d'espionner).
Bref ce ne sont pas des preuves à proprement parler (c'est le boulot des services secrets de ne pas se laisser incriminer quand ils interviennent ; d'autant que les failles qu'ils laissent peuvent facilement se faire passer pour une erreur involontaire, comme dans le Underhanded C Contest http://underhanded.xcott.com/ ), c'est un faisceau de présomptions concordant comme on dit dans le jargon.
Bref ne faites pas confiance à Windows (ni à tout système trop fermé).
[^] # Re: C'est la faute aux indiens
Posté par fearan . Évalué à 5.
Ni même un système binaire dont il est impossible de reproduire le binaire identique à partir des sources; et même là il faudrait être certain que le code n'a pas de bug exploitable sur la machine où il est installé.
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
[^] # Re: C'est la faute aux indiens
Posté par pasBill pasGates . Évalué à 2.
1) NSA KEY:
Fortes suspicions ? De qui ? Avec quoi comme element concret ? Absolument rien si ce n'est ces caracteres. Tout le monde a les binaires, c'est pas si dur que ca a desassembler et comprendre pour qui le veut, t'as remarque qu'aucun gouvernement n'a arrete d'utiliser Windows apres ca ? Pourtant nombre d'entre eux avaient les sources.
Je t'invites a lire l'avis de Bruce Schneier sur cette anerie : http://www.schneier.com/crypto-gram-9909.html#NSAKeyinMicrosoftCryptoAPI
2) J'aimerais bien voir cette attaque qui change selon la langue du systeme sans explication correcte (au hasard les limites legales des pays concernes)
3) Je te confirme, la NSA bosse avec nous, ils font des tests et autres sur Windows comme ils font sur Linux et autres
4) Pourquoi la NSA serait limite a un seul volet ? Je te retourne la question, pourquoi est-ce que MS accepterait de prendre un risque tellement enorme pour son business ? Comment feraient ils pour cacher ca au milliers de developpeurs de nationalite etrangere qui bossent dans Windows, y compris dans le team crypto, au dizaines de gouvernements qui voient les sources et les changements, etc… ?
Il n'y a aucun faisceau concordant, il n'y a que des conneries. Il n'y a as RIEN prouvant que cette NSA KEY existe, absolument rien, ca fait 10 ans que les binaires avec cela sont la, personne n'a trouve cette cle.
Ces histoires de NSA ayant ses entrees dans Windows sont de meme sans aucun element concret, rien que des suppositions sans fondement.
[^] # Re: C'est la faute aux indiens
Posté par zebra3 . Évalué à 4.
Ça ne veut rien dire. C'est pas parce qu'ils peuvent voir des sources que ce sont celles-ci qui sont utilisées pour compiler le produit final.
Pour en être sûr, il faudrait fournir les sources avec les moyens de les compiler et de déployer et utiliser le résultat.
Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur
[^] # Re: C'est la faute aux indiens
Posté par ckyl . Évalué à 7.
Le plus marrant c'est de supposer que le complot NSA/MS est terrible, avec des mecs qui trouent les modules de crypto, livrent les sources modifiées même en interne, tout en réussissant à ce que personne ne parle en plus de 10 ans. Et de l'autre qu'il livre un clé nommée: NSAKEY…
Faudrait choisir, ils sont super forts ou super cons ?
[^] # Re: C'est la faute aux indiens
Posté par claudex . Évalué à 3.
Sans m'avancer sur ce sujet, le fait que le nombre de personne bossant sur les composants de Windows soit composer de plus de trois personnes permet d'imaginer qu'ils puissent être les deux à la fois.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: C'est la faute aux indiens
Posté par Moogle . Évalué à 10.
En même temps, si je voulais planquer une backdoor dans Windows, j'éviterais de l'appeler NSA_KEY, c'est un peu trop voyant.
B1GB00B5 serait quand même plus fun.
[^] # Re: C'est la faute aux indiens
Posté par pasBill pasGates . Évalué à -2.
Et tu crois qu'on ne le fait pas ? Ils sont pas stupides non plus, ils ont largement assez de gars dans la securite pour savoir ca.
[^] # Re: C'est la faute aux indiens
Posté par khivapia . Évalué à 5.
t'as remarque qu'aucun gouvernement n'a arrete d'utiliser Windows apres ca ?
Aucun gouvernement de pays avancé ne fait reposer ses secrets sur Windows. Cf par exemple http://www.spyworld-actu.com/spip.php?article12404 où la sécurité repose sur des trucs particuliers. Une fois en interne d'un réseau sécurisé, le gouvernement pourrait par contre utiliser n'importe quel gruyère ça maintiendrait un bon niveau de sécurité.
Avec quoi comme element concret ?
Ben une clef privée, en double, qui s'appelle NSA, qui est retirée en urgence à la première mise à jour.
Et Microsoft qui ne donne aucun élément concret sur l'utilisation de cette clef cryptographique qui puisse convaincre le moindre cryptologue non chevronné (en gros niveau master 1 max).
lire l'avis de Bruce Schneier sur cette anerie
Tiens j'ai oublié un truc à dire plus haut : le virus Flame se fait passer pour une mise à jour windows, avec toutes les signatures et certificats par Microsoft que ça implique. C'est justement ce que préconisait Bruce Schneier dans l'article que tu cites :-)
Le même Schneier un peu ailleurs : Microsoft a implémenté un générateur d'aléa proposé par le NIST (et donc la NSA) qui est très suspect (moins efficace, propriétés mathématiques cachées possibles permettant de le compromettre) https://www.schneier.com/blog/archives/2007/12/dual_ec_drbg_ad.html
Pour le 2) je suis sûr de l'avoir vu mais n'ai pas réussi à retrouver les liens (j'ai purgé une boîte mail récemment) oublions-le si tu veux.
Comment feraient ils pour cacher ca
Comme je disais ci-dessus : en faisant passer ça pour des erreurs de programmation, en les masquant bien, comme dans le underhanded C contest.
En crypto c'est vraiment facile : il suffit d'un calcul faux pour retrouver une clef privée RSA par exemple, et il est très facile de faire un calcul cryptographique qui soit faux pour une entrée bien précise et que personne ne remarque (par exemple une entrée qui soit à la taille limite, ou une condition de boucle pas complète, bref quelque chose qui ressemble à une erreur telle que tout développeur en écrit 10 fois par jour).
(C'est valable pour le hardware aussi, ce n'est pas pour rien si les anglais se méfient de Huawei et que celui-ci répond "ah oui oups mais on l'a pas fait exprès").
pourquoi est-ce que MS accepterait de prendre un risque tellement enorme pour son business ?
Pour les mêmes raisons qu'IBM a accepté avec Lotus Notes peut-être ? Un soutien à l'export par le gouvernement américain, et hop. Au hasard : http://www.01net.com/editorial/539640/tunisie-le-cable-wikileaks-qui-charge-microsoft/ (même si ça ne concerne pas directement Microsoft).
suppositions
Bien sûr ni Microsoft ni la NSA ne reconnaîtront jamais avoir collaboré pour pouvoir espionner les
pigeonsclients de Microsoft. On ne peut faire que des suppositions mais on peut les étayer par des éléments concrets et tangibles. Elles ne sont donc pas sans fondements.[^] # Re: C'est la faute aux indiens
Posté par CHP . Évalué à 2.
Ah ??? Le premier truc qu'on m'a appris, c'est pourtant de ne PAS faire confiance à l'interne.
[^] # Re: C'est la faute aux indiens
Posté par khivapia . Évalué à 2.
Oui bien sûr, mais c'est moins facile d'accès que si les passoires sont en frontal à l'extérieur.
[^] # Re: C'est la faute aux indiens
Posté par pasBill pasGates . Évalué à 0.
Ben une clef privée, en double, qui s'appelle NSA, qui est retirée en urgence à la première mise à jour.
Tu me montres le patch ou on l'a retiree en urgence ?
Tiens j'ai oublié un truc à dire plus haut : le virus Flame se fait passer pour une mise à jour windows, avec toutes les signatures et certificats par Microsoft que ça implique. C'est justement ce que préconisait Bruce Schneier dans l'article que tu cites :-)
Super, tu as compris comment ce truc fonctionne au moins ? Tu sais ce qu'ils ont du faire pour que ca marche sur les dernieres releases de Windows ? Ils ont du creer une collision sur le certif afin de recreer un autre certificat, utilisant une methode inconnue jusqu'a maintenant. Le certificat tel quel ne leur permettait pas de faire quoi que ce soit sur les OS recents.
En crypto c'est vraiment facile : il suffit d'un calcul faux pour retrouver une clef privée RSA par exemple, et il est très facile de faire un calcul cryptographique qui soit faux pour une entrée bien précise et que personne ne remarque (par exemple une entrée qui soit à la taille limite, ou une condition de boucle pas complète, bref quelque chose qui ressemble à une erreur telle que tout développeur en écrit 10 fois par jour).
(C'est valable pour le hardware aussi, ce n'est pas pour rien si les anglais se méfient de Huawei et que celui-ci répond "ah oui oups mais on l'a pas fait exprès").
C'est super tout ca, tu me lances une belle theorie, mais tu n'as toujours absolument aucun element permettant de changer cela en theorie FONDEE. Je peux te poser exactement la meme theorie pour Linux.
De la meme maniere, tu nous expliques comment on peut etre super subtil pour cacher une faille et donc ne pas nous faire confiance, et dans le meme temps tu nous parles d'une cle appelee "NSAKEY", tu te moques de qui serieusement ?
Pour les mêmes raisons qu'IBM a accepté avec Lotus Notes peut-être ? Un soutien à l'export par le gouvernement américain, et hop. Au hasard : http://www.01net.com/editorial/539640/tunisie-le-cable-wikileaks-qui-charge-microsoft/ (même si ça ne concerne pas directement Microsoft).
Quel soutien a l'export ? Tu crois que MS avec son monopole a besoin d'un soutien a l'export ? Tu vis sur quelle planete pour croire ca ?
Bien sûr ni Microsoft ni la NSA ne reconnaîtront jamais avoir collaboré pour pouvoir espionner les pigeons clients de Microsoft. On ne peut faire que des suppositions mais on peut les étayer par des éléments concrets et tangibles. Elles ne sont donc pas sans fondements.
Le jour ou tu auras des elements tangibles oui, pour l'instant tu n'as absolument rien. Que des theories sans rien de solide derriere
[^] # Re: C'est la faute aux indiens
Posté par khivapia . Évalué à 3. Dernière modification le 09 août 2012 à 10:00.
Tu me montres le patch ou on l'a retiree en urgence ?
Pas retirée, renommée, mea culpa. Par contre il y a 1 chance sur 17000 et quelques que les trois lettres NSA aient été choisies au hasard… Microsoft communique sur sa collaboration avec la NSA en 2010-2011 pour Windows 7, mais travaillait déjà avec eux sans en parler avant ?
Sinon il y a pas mal de détails ici https://fr.wikipedia.org/wiki/NSAKEY (et d'ailleurs Bruce Schneier que tu citais plus haut ne comprenait pas plus la raison d'une "clef de sauvegarde", explication qui n'a convaincu personne).
Ils ont du creer une collision sur le certif
Enfin ce n'est pas comme si ça faisait longtemps qu'on sait que MD5 est une merde de nos jours. C'est quoi, depuis fin 2008 que la communauté académique a réussi à falsifier un certificat utilisant MD5 (https://linuxfr.org/users/near/journaux/md5-considered-harmful-today certes pas tout à fait de la même façon, mais en utilisant de base le fait que MD5 n'a plus vraiment de sécurité), et en 4 ans Microsoft, avec toute son expertise en matière de sécurité, a encore laissé traîner des certificats basés sur MD5 ?? Soit ils sont nuls, soit ils l'ont fait exprès, et dans tous les cas ils peuvent dire "oups désolé on ne l'a pas fait exprès". Ou alors ils ont un processus industriel extrêmement rigide qu'en 4 ans ils ne peuvent pas corriger des défauts aussi énormes.
Même Verisign n'utilisait plus MD5 en 2008 !
Et sinon ce n'est que récemment que les dernières releases de windows sont sorties, si ça marche facilement sur les précédentes…
on peut etre super subtil (…) et dans le meme temps tu nous parles d'une cle appelee "NSAKEY"
Ben la clef NSA_KEY a été trouvée dans une version de Windows livrée avec symboles de débugage, ce qui ressemble à une erreur.
De plus, Windows est très étudié et la moindre faille est immédiatement rapportée sur le web. Si on veut se garder la possibilité de toujours pouvoir corrompre le système, il faut qu'il y ait plein de failles soigneusement camouflée, de sorte qu'une faille trouvée en laisse toujours d'autres à disposition.
Je peux te poser exactement la meme theorie pour Linux.
Ou même pour un BIOS. Tiens d'ailleurs Coreboot est même un gros argument de vente maintenant, pour tout ce qui est station de travail sécurisée, cf http://www.secunet.com/fileadmin/user_upload/Download/Printmaterial/Factsheets/deutsch/sn_SINA_Workstation_H_FS_D.pdf
Au moins Linux il y a moyen de d'étudier, de modifier, de recompiler et s'assurer que le binaire correspond aux sources, et enfin de réutiliser. C'est quand même bien plus facile de cacher des failles logiques dans un binaire que dans un code source.
Quel soutien a l'export ? Tu crois que MS avec son monopole a besoin d'un soutien a l'export ?
Tu as lu le lien que j'ai donné ? Je me suis trompé, il ne concerne pas Windows mais d'autres technologies de Microsoft. Microsoft ne domine pas dans plein d'autres marchés que les OS, dans lesquels d'"amicales" pressions de l'ambassade américaine pourraient largement améliorer ses affaires.
De la même façon avec les DRM : l'ambassade a fait pression sur le gouvernement français pour que les mécanismes de DRM ne doivent pas être fournis à l'administration française http://www.pcinpact.com/news/60696-wikileaks-hadopi-dadvsi-dcssi-surveillance.htm
Ça sert à ce que des technologies américaines (dans lesquelles Microsoft a un fort intérêt) ne soient pas dévoilées à une administration française pour contrôle…
De la même façon c'est le gouvernement américain qui a fait largement pression sur les membres de l'ISO pour qu'ils acceptent le format de Microsoft comme standard dans la bureautique… Tu ne vois pas que le gouvernement américain soutient les entreprises américaines ? Quel intérêt aurait Microsoft à ne pas collaborer avec eux ???
tu auras des elements tangibles oui
Résumons :
Microsoft utilise des pratiques crypto pour le moins discutables
-> une clef maître en double (NSA_KEY) sans aucune justification cryptographique
-> un générateur d'aléa peu efficace mais connu pour être troué rien que par la NSA (Dual_EC_DRBG )
-> utilise encore des certificats basés sur MD5 en 2012
-> Le chiffrement sous Excel et Word a pendant longtemps été naze http://www3.ntu.edu.sg/home/wuhj/research/msoffice/microsoft.pdf
-> mots de passe stockés avec un hash sans sel
-> …
Les industriels de l'informatique américains ont un historique avéré de collaboration avec les agences d'espionnage américaines (IBM, AT&T, le canadien RIM collabore même avec tous les pays…).
Microsoft a tout intérêt à collaborer avec les services d'espionnage américains.
Microsoft collabore avec les services d'espionnage américains pour (au moins) sécuriser leurs produits.
Les services d'espionnage américains ont tout intérêt à collaborer avec Microsoft pour récupérer du renseignement vu la large diffusion de leurs technologies. Mais ils n'ont pas intérêt à ce que ça se sache
Les failles informatiques et spécialement cryptologiques sont faciles à cacher et ont une "plausible deniability" élevée (cf par exemple Huawei).
De mon côté j'additionne 2 et 2 : ils auraient fait exprès ils ne s'y seraient pas pris autrement.
À l'inverse : pour laisser traîner des failles, il suffit d'une collaboration entre la NSA et un unique employé de Microsoft (ce n'est pas forcément une collaboration ouverte et complète de toute la société).
De même avec Intel et AMD pour les CPUs d'ailleurs : quelques portes logiques en plus et hop un calcul qui avec certaines entrées bien précises donne un accès Ring 0…
[^] # Re: C'est la faute aux indiens
Posté par René Quirion . Évalué à 3.
Windows XP à Windows Seven (je n'ai pas essayé pour Windows 8) sont toujours fournis avec les symbols de debug (mais pas les autres produits comme Office), ce n'est donc pas une erreur de leur part: http://support.microsoft.com/kb/311503 .
[^] # Re: C'est la faute aux indiens
Posté par pasBill pasGates . Évalué à 1.
Pas retirée, renommée, mea culpa. Par contre il y a 1 chance sur 17000 et quelques que les trois lettres NSA aient été choisies au hasard… Microsoft communique sur sa collaboration avec la NSA en 2010-2011 pour Windows 7, mais travaillait déjà avec eux sans en parler avant ?
a) Voila, on ne l'a pas retiree, et tous les gouvernements continuent a utiliser Windows. Et si, ils utilisent Windows pour tout un tas de choses critiques. Tu crois que les desktops dans les ministeres ou tout un tas de documents confidentiels sont rediges, lus, … tournent sous quoi ?
Pour la collaboration, ca fait des annees que c'est public ! http://www.nsa.gov/ia/_files/os/winvista/Windows%20Vista%20FAQs.pdf
Pour le nom : http://www.privacytimes.com/NewWebstories/msft_denies_9_9.htm
Manager Scott Culp. He told Wired News that the key was added to signify that it had been submitted to NSA as part of the export control process and passed NSA encryption standards.
Tout ce que tu montres la, c'est que tu ne connais rien a ce sujet, et tu le transformes en raison d'imaginer un complot.
Ben la clef NSA_KEY a été trouvée dans une version de Windows livrée avec symboles de débugage, ce qui ressemble à une erreur.
Idem, tu ne sais pas de quoi tu parles, ce n'est pas une erreur, on livre les symboles de debuggage public depuis des siecles et on le fait toujours.
De plus, Windows est très étudié et la moindre faille est immédiatement rapportée sur le web. Si on veut se garder la possibilité de toujours pouvoir corrompre le système, il faut qu'il y ait plein de failles soigneusement camouflée, de sorte qu'une faille trouvée en laisse toujours d'autres à disposition.
Super theorie qui ne demontre absolument pas que MS ait fait quoi que ce soit dans ce domaine.
Tu as lu le lien que j'ai donné ? Je me suis trompé, il ne concerne pas Windows mais d'autres technologies de Microsoft. Microsoft ne domine pas dans plein d'autres marchés que les OS, dans lesquels d'"amicales" pressions de l'ambassade américaine pourraient largement améliorer ses affaires.
Super theorie qui ne demontre absolument pas que MS ait fait quoi que ce soit dans ce domaine.
De la même façon avec les DRM : l'ambassade a fait pression sur le gouvernement français pour que les mécanismes de DRM ne doivent pas être fournis à l'administration françaisehttp://www.pcinpact.com/news/60696-wikileaks-hadopi-dadvsi-dcssi-surveillance.htm
Super, aucun rapport avec ce dont on parle ici, parce que les DRM n'ont jamais ete un systeme de securite. Aucun gouvernement n'a jamais ete bloque par les DRMs, ni meme les particuliers d'ailleurs.
De la même façon c'est le gouvernement américain qui a fait largement pression sur les membres de l'ISO pour qu'ils acceptent le format de Microsoft comme standard dans la bureautique… Tu ne vois pas que le gouvernement américain soutient les entreprises américaines ? Quel intérêt aurait Microsoft à ne pas collaborer avec eux ???
C'est un gros gag, montre moi ou le gouvernement US a fait pression !
Ton resume est une franche rigolade, tu nous listes tout un tas de trucs ou MS aurait un interet. Eh, MS aurait un interet a faire tuer Larry Page, Sergey Brin, etc… Tu penses qu'ils ont empoisonne Steve Jobs ?
Tu n'as absolument RIEN de solide, tu as un tas de choses fausses, que j'ai indique ici meme, et tu supputes a tort et a travers. Simplement le fait que MS ait un interet a faire X ne signifie pas qu'ils vont le faire. Il y a des millions de choses illegales que MS pourrait faire et qu'ils ne font pas. Tu oublies d'ailleurs totalement de definire pourquoi MS n'aurait PAS interet a le faire, probablement car ca arrange ton raisonnement.
[^] # Re: C'est la faute aux indiens
Posté par khivapia . Évalué à 0.
Tu n'as absolument RIEN de solide, tu as un tas de choses fausses,
Je reprends ce que j'ai de solide et que j'avais résumé au bas de mon post :
Microsoft utilise des pratiques crypto pour le moins discutables
-> une clef maître en double (NSA_KEY) sans aucune justification cryptographique
-> un générateur d'aléa peu efficace mais connu pour être troué rien que par la NSA (Dual_EC_DRBG )
-> utilise encore des certificats basés sur MD5 en 2012
-> Le chiffrement sous Excel et Word a pendant longtemps été naze http://www3.ntu.edu.sg/home/wuhj/research/msoffice/microsoft.pdf
-> mots de passe stockés avec un hash sans sel
-> …
Les industriels de l'informatique américains ont un historique avéré de collaboration avec les agences d'espionnage américaines (IBM, AT&T, le canadien RIM collabore même avec tous les pays…).
Ci-dessous et dans mes posts plus haut, des faits avérés montrent que le gouvernement américain a aidé Microsoft à vendre ses produits (Tunisie). D'autres montrent que Microsoft a demandé de l'aide au gouvernement américain (OpenXML et le Brésil), et que la recommandation à sa hiérarchie du personnel de l'ambassade américaine, qui dépend du gouvernement, était de le soutenir.
Et tu voudrais nous faire croire que Microsoft ne collabore pas avec le gouvernement américain et réciproquement ?
Y compris négocier avec la NSA en vue de compromettre la sécurité ?
Exemple concret : un générateur d'aléa aux mauvaises performances dont toute la communauté académique sait qu'il est troué pour la NSA uniquement
Exemple concret : depuis 1978 on sait qu'il faut un sel pour les mots de passe, et Microsoft n'en met que depuis les années 2000 ??
Supposition : la NSA_KEY dont l'usage n'a jamais été précisé et qui ne correspond à aucune pratique cryptographique standard comme le rappelait Bruce Schneier.
Deux explications sont possibles :
* soit les développeurs Microsoft (tu n'es pas visé…) sont des branques en sécurité informatique (ça fait depuis 1978 qu'on sait qu'il faut saler les mots de passe par exemple, curieusement Windows ne le fait que depuis les années 2000)
* soit Microsoft a été régulé par la NSA de la même façon que les clefs trop courtes du DES (56 bits alors qu'on aurait déjà pu faire 128) : une sécurité moyenne, mais que la NSA sait casser. Il y a alors eu négociation entre Microsoft et la NSA pour qu'ils puissent exporter (fait avéré, c'est une explication pour la NSAKEY que tu m'as toi-même citée) et la négociation amène à une collaboration fructueuse pour les deux parties (le gouvernement américain aide Microsoft à gagner des marchés (fait avéré) et réciproquement Microsoft collabore avec la NSA (supposition fortement probable au vu de tous ce qu'on fait les autres industriels)).
Peut-être y a-t-il un peu des deux. Mais la deuxième explication est tout à fait possible (j'ai cité deux trois techniques) et de mon point de vue probable (le gouvernement américain ne s'est jamais privé de faire ce genre de choses).
Maintenant pour répondre point par point sur tes remarques (histoire de continuer le troll) :
ce n'est pas une erreur, on livre les symboles de debuggage public depuis des siecles et on le fait toujours.
Alors pourquoi s'être empressé de renommer la NSA_KEY ? Pourquoi ne pas avoir donné d'explications convaincantes sur son utilisation si ce n'est pas un problème ? L'article que tu cites précise bien que "le doute persiste…".
Et si, ils utilisent Windows pour tout un tas de choses critiques. Tu crois que les desktops dans les ministeres ou tout un tas de documents confidentiels sont rediges, lus, … tournent sous quoi ?
Tiens ben à ton tour de me montrer dans quel pays de premier rang, en dehors des USA & du Royaume-Uni, des documents classifiés sont sur des réseaux protégés par des machines tournant sous Windows. J'ai de mon côté montré un lien qui montre qu'en France au moins les réseaux sensibles semblent protégés par un système spécifique.
Et pas de pays où la sécurité n'en est qu'à ses balbutiements hein, genre un pays peu développé :)
[ma théorie sur laisser plusieurs failles] Super theorie qui ne demontre absolument pas que MS ait fait quoi que ce soit dans ce domaine.
Pourtant c'est bien ce que Microsoft a fait pour plein de fonctions de sécurité…
[lien ambassade] Super theorie qui ne demontre absolument pas que MS ait fait quoi que ce soit dans ce domaine.
Le lien Wikileaks montrait pourtant clairement que l'ambassade US avait fait pression pour que Microsoft obtienne un marché. C'est donc dans l'intérêt de Microsoft de collaborer avec le gouvernement US.
aucun rapport avec ce dont on parle ici, parce que les DRM
C'était une illustration du fait que le gouvernement américain sait être très persuasif et donc que considérer qu'il peut largement aider Microsoft à dominer le monde (:-p) est réaliste.
[OpenXML] montre moi ou le gouvernement US a fait pression !
http://www.cablegatesearch.net/cable.php?id=07SAOPAULO1001
Tu me diras que ce n'est pas le gouvernement qui a fait pression, n'empêche que la recommandation de l'ambassade (donc de l'administration américaine) à sa hiérarchie (administrative toujours) est d'aider Microsoft ("better results than Microsoft alone."). En langage non diplomatique, ça veut dire faire pression et ce n'est pas nouveau que le gouvernement américain fasse pression sur d'autres États.
D'ailleurs ce câble illustre bien que Microsoft a demandé au gouvernement américain de faire pression. Il y a donc des domaines dans lesquels Microsoft fait des choses.
pour la collaboration, ça fait des années que c'est public http://www.nsa.gov/ia/_files/os/winvista/Windows%20Vista%20FAQs.pdf
Et tu cites un document qui concerne Windows Vista alors que l'affaire de la NSA_KEY date de NT 4 en disant que "ça fait des années que c'est connu" ?? Là tu me déçois :-) À l'époque l'affaire a fait du bruit…
Eh, MS aurait un interet a faire tuer
Alors là tu baisses dans la mauvaise foi :-) Quel intérêt aurait le gouvernement américain à assassiner des patrons d'entreprises florissantes américaines ? la collaboration, c'est utile pour les deux hein…
Et accessoirement :
* c'est vachement plus dur d'assassiner un grand patron sans laisser de traces que de faire et exploiter des failles informatiques (il y a plus de hackers que d'assassins) et le gouvernement américain n'a aucun intérêt à se faire pincer à assassiner des gens
* tu crois vraiment que les grandes entreprises ont un Bus Factor de 1 ? http://en.wikipedia.org/wiki/Bus_factor
[^] # Re: C'est la faute aux indiens
Posté par pasBill pasGates . Évalué à 0.
-> une clef maître en double (NSA_KEY) sans aucune justification cryptographique
Et tu en sais quoi ? Que tu ne la connaisse pas ne signifie pas qu'elle n'existe pas !
http://www.zdnet.com/ms-denies-giving-american-nsa-key-3002073476/
Instead, Windows NT security product manager Scott Culp said the company was merely complying with federal rules imposed by the US Commerce Department and NSA to meet export control requirements. Culp said the keys have been used for years to verify the digital signatures of partner companies using its crypto application programming interface (API), and to verify that they're export approved. "They're in there because that's how we comply with export controls that the NSA is overseeing," he said.
-> un générateur d'aléa peu efficace mais connu pour être troué rien que par la NSA (Dual_EC_DRBG )
Tu me fais bien marrer ! http://www.wired.com/politics/security/commentary/securitymatters/2007/11/securitymatters_1115
2 chercheurs ont parle de faiblesses dans cet algo : Dan Shumow et Niels Ferguson
Tu sais ou ils bossent ces 2 gars ? Chez Microsoft sur le composant crypto ! C'est quoi ta version du complot maintenant ? Ils ont fait expres de devoiler des faiblesses pour cacher autre chose que Microsoft a fait ?
-> utilise encore des certificats basés sur MD5 en 2012
Oh mon dieu, on a eu un bug, c'est surement un complot. Et Debian et leur bug openssl, ils bossent pour la NSA aussi ?
-> Le chiffrement sous Excel et Word a pendant longtemps été naze http://www3.ntu.edu.sg/home/wuhj/research/msoffice/microsoft.pdf
Super, et ? Tu crois qu'il y a un gouvernement qui utilise ca pour y mettre des trucs secret ? Sans parler qu'on l'a corrige, mais visiblement tu t'attends a ce qu'on ne fasse jamais d'erreurs.
-> mots de passe stockés avec un hash sans sel
Lesquels ? Selon quel algo utilise ? De nouveau, tu nous sors des trucs que toute entreprise s'interessant un minimum a la securite, ce qui inclut tous les gouvernements, connait, et on a de la documentation leur expliquant comment faire pour faire les choses proprement.
Bref, absolument rien de furtif et cache.
Le lien Wikileaks montrait pourtant clairement que l'ambassade US avait fait pression pour que Microsoft obtienne un marché. C'est donc dans l'intérêt de Microsoft de collaborer avec le gouvernement US.
Et il est de leur interet financier de ne pas s'aliener la planete entiere bien plus que de collaborer avec la NSA, mais ca ca te passe au dessus de la tete visiblement
Et tu cites un document qui concerne Windows Vista alors que l'affaire de la NSA_KEY date de NT 4 en disant que "ça fait des années que c'est connu" ?? Là tu me déçois :-) À l'époque l'affaire a fait du bruit…
Tu lis ce que tu ecris ? Tu me parles de MS ne parlant de collaboration avec la NSA que depuis Windows 7, je te demontres par A+B que tu as tort.
[^] # Re: C'est la faute aux indiens
Posté par khivapia . Évalué à 1. Dernière modification le 10 août 2012 à 11:09.
(NSAKEY) _Et tu en sais quoi ?
Ben c'est l'avis de Schneier dans le lien que tu avais donné plus haut et d'autres cryptologues. Aucun protocole cryptographique ne fait jamais appel à deux clefs maîtres d'une autorité de certification par exemple.
Sinon qu'ils se justifient : dire 'ah oui mais ce n'est pas grave' c'est louche. Surtout avec des clefs de cette importance.
ou ils bossent ces 2 gars ? Chez Microsoft sur le composant crypto !
Ben du coup Microsoft avait en plus la publi avant tout le monde (donc bien avant CRYPTO à l'été 2007, mettons début 2007 avec le temps de soumission).
Alors pourquoi Microsoft a-t-il alors quand même implémenté et laissé cet algo inefficace et troué ("If you know the secret numbers, you can completely break any instantiation of Dual_EC_DRBG") à la fin de 2007 ? sachant qu'en interne ils savaient donc depuis au moins 6 mois que le seul usage était que la NSA puisse écouter ?
(MD5) Oh mon dieu, on a eu un bug,
Sauf que ça a mis plus de 4 ans à être corrigé et ce n'est pas comme si la faille était connue depuis peu. MD5 est troué depuis la fin des années 1990. Les hackers s'en servent pour faire de faux certificats depuis 2008. Microsoft travaille avec la NSA d'un côté pour sécuriser son OS et de l'autre laisse passer un trou aussi énorme ? De qui se moque-t-on ? En sécurité informatique, la première chose qu'on regarde c'est la sécurité des algorithmes cryptographique.
De son côté Debian a corrigé la faille dès que publiée, ils n'ont pas mis 4 ans.
mots de passe stockés avec un hash sans sel
Cite-moi en entier : depuis 1978 on sait qu'il faut un sel. Jusqu'au début des années 2000 LMHASH était encore l'implémentation par défaut pour les mots de passe, sans sel, avec en plus la franche rigolade qu'un mot de passe de 15 caractères a autant de sécurité qu'un mot de passe de 7 caractères (à un bit près) ! C'est une blague quand même. Même Unix/même Linux utilisait un sel depuis le début des années 80/90.
(Word/Excel) Super, et ?
Ben la faille en question (réutiliser le même IV pour deux chiffrements différents) que le moindre étudiant sait qu'elle est monstrueuse. Non, il n'y a pas de mot pour la qualifier : réutiliser un IV est une aberration cosmique. Donc soit chez Microsoft ce sont des branques en sécurité, soit ils l'ont fait exprès. Et comme tu justifie il y a une plausible deniability typique de toute opération des services secrets (sauf l'assassinat de Ben Laden, là quand même :)
En tout cas c'est le genre de faille qui est assez discrète mais très intéressante pour une agence d'espionnage : elle donne une illusion de sécurité mais il y a toujours quelqu'un d'intéressant qui va l'utiliser en pensant se protéger.
Tu me parles de MS ne parlant de collaboration avec la NSA que depuis Windows 7
Ah non où ai-je parlé de ça ? Je parle de collaboration avec la NSA depuis que Microsoft a du succès et notamment à l'export.
Et puis tu ne me précise toujours pas où les gouvernements de pays avancés font reposer la sécurité de documents classifiés sur Windows en dehors des USA et du Royaume-Uni :-)
[^] # Re: C'est la faute aux indiens
Posté par pasBill pasGates . Évalué à -4.
Ben c'est l'avis de Schneier dans le lien que tu avais donné plus haut et d'autres cryptologues. Aucun protocole cryptographique ne fait jamais appel à deux clefs maîtres d'une autorité de certification par exemple.
Mais cette cle n'a rien a voir avec un protocole cryptographique, elle est la pour signer les module cryptographiques.
Sinon qu'ils se justifient : dire 'ah oui mais ce n'est pas grave' c'est louche. Surtout avec des clefs de cette importance.
Louche ? Mais lis ce que tu ecris depuis le debut ici, si on change de couleur de cheveux tu trouves ca louche !
Ben du coup Microsoft avait en plus la publi avant tout le monde (donc bien avant CRYPTO à l'été 2007, mettons début 2007 avec le temps de soumission).
Alors pourquoi Microsoft a-t-il alors quand même implémenté et laissé cet algo inefficace et troué ("If you know the secret numbers, you can completely break any instantiation of Dual_EC_DRBG") à la fin de 2007 ? sachant qu'en interne ils savaient donc depuis au moins 6 mois que le seul usage était que la NSA puisse écouter ?
Tu as visiblement completement loupe le fait qu'il est OFF PAR DEFAUT ! Donc, que sauf a vraiment le vouloir, tu ne l'utiliseras pas. Quand a pourquoi il est la, c'est pour respecter les standards gouvernementaux US.
Sauf que ça a mis plus de 4 ans à être corrigé et ce n'est pas comme si la faille était connue depuis peu. MD5 est troué depuis la fin des années 1990. Les hackers s'en servent pour faire de faux certificats depuis 2008. Microsoft travaille avec la NSA d'un côté pour sécuriser son OS et de l'autre laisse passer un trou aussi énorme ? De qui se moque-t-on ? En sécurité informatique, la première chose qu'on regarde c'est la sécurité des algorithmes cryptographique.
Le jour ou tu t'occuperas d'une societe enorme avec des centaines de produits differents tu arriveras a te rendre compte des choses qui passent entre les gouttes, d'ici la je te laisse a imaginer des histoires de complot.
De son côté Debian a corrigé la faille dès que publiée, ils n'ont pas mis 4 ans.
Le truc est que tu n'as absolument rien compris a la faille dans Flame. La faille n'etait pas forcement l'algo MD5, la faille c'etait que le certificat lui-meme existait avec certains flags. Le jour ou on a vu ca, on a fait comme Debian : on a corrige immediatement et on a tout revoque.
Cite-moi en entier : depuis 1978 on sait qu'il faut un sel. Jusqu'au début des années 2000 LMHASH était encore l'implémentation par défaut pour les mots de passe, sans sel, avec en plus la franche rigolade qu'un mot de passe de 15 caractères a autant de sécurité qu'un mot de passe de 7 caractères (à un bit près) ! C'est une blague quand même. Même Unix/même Linux utilisait un sel depuis le début des années 80/90.
Super, quel rapport avec tes histoires de complot ? Tu nous parles du debut des annees 2000, a une epoque ou la securite etait un truc franchement inconnu on est en 2012.
Sinon si tu veux me parler de Unix/Linux, tu veux que je te parles de NFS, utilise partout et qui etait un fromage a trou, et qui l'est reste pendant des annees ? C'est un coup de la NSA ca aussi ?
Ah non où ai-je parlé de ça ? Je parle de collaboration avec la NSA depuis que Microsoft a du succès et notamment à l'export.
Je reprends ta phrase : Microsoft communique sur sa collaboration avec la NSA en 2010-2011 pour Windows 7, mais travaillait déjà avec eux sans en parler avant ?
Et je t'ai prouve par A+B qu'ils en parlent depuis longtemps, ce qui reduit en poussiere une autre de tes nombreuses suspicions non fondees.
[^] # Re: C'est la faute aux indiens
Posté par Marotte ⛧ . Évalué à 4.
Bah oui, pour le maintenir ce monopole pardi !
[^] # Re: C'est la faute aux indiens
Posté par 2PetitsVerres . Évalué à 3.
Quand bien même ce serait une backdoor, Microsoft a beau être une grosse boîte, elle ne représente pas la plupart des programmeurs, et de loin.
Tous les nombres premiers sont impairs, sauf un. Tous les nombres premiers sont impairs, sauf deux.
[^] # Re: C'est la faute aux indiens
Posté par Marotte ⛧ . Évalué à 3.
Oui mais ses programmeurs programment les programmes, et surtout l'OS, que 90% de la planète utilise.
[^] # Re: C'est la faute aux indiens
Posté par mornik . Évalué à 3.
En même temps sur les machines IBM Mainframe, tu as une étiquette pour te prévenir de l'existence de cette porte. Certes elle n'est pas dérobée car officielle, mais sa présence était (est ?) une obligation pour avoir l'autorisation d'exporter ton système dans le reste du monde.
Bon nombre de système sont aussi connecté en permanence chez le fabricant (certaines baies de disques) pour surveiller l'état de santé du hardware et effectuer les changement le cas échéant.
Ce dernier commentaire n'est pas là pour dire que tous ces accés sont utilisé par le FBI de la NSA du KGB. C'est juste pour dire que parfois, passer un firewall d'entreprise, c'est juste prévu dans les clauses du contrat.
# En effet.
Posté par Axioplase ıɥs∀ (site web personnel) . Évalué à 3.
Oui, quand on travaille dans le THF, c'est utiles d'être un peu familier avec :)
Cela dit, c'est pas fastoche non plus, le code du THF, et les bugs ne pardonnent pas. Il faut avoir une approche pas mal défensive pour pallier les risques de programme qui s'emballe…
[^] # Re: En effet.
Posté par lapada . Évalué à 1.
Merci pour ton commentaire ;) De facto, c'est ce qu'on voit, à propos des bugs. Le problème est que jouer avec de l'argent, c'est aussi souvent jouer avec des vies …
[^] # Re: En effet.
Posté par Memiks (site web personnel) . Évalué à 2.
En fait même si les algorithmes de "Trading" sont fait pour faire de l'argent, ils sont SURTOUT fait pour NE PAS passer d'ordre lorsque ceux ci ne vérifient pas les critères de l'algorithme.
c'est un algorithme par le vide, on prend les ordre que l'on POURRAIT passer et ensuite on supprime tous ceux qui ne suivent pas le critères 1
puis tous ceux qui ne suivent par le critères 2 etc…
tout simplement car vous travaillez:
1) avec de l'argent, et pas le votre celui du client
2) vous êtes lié à des règles qui sont établis pas la police de la bourse
donc oui les banques "biaises" le système mais les algorithme sont plus que sur "en général" et cet exemple nous le prouve … :/ d'accord je sors --> []
[^] # Re: En effet.
Posté par Axioplase ıɥs∀ (site web personnel) . Évalué à 3.
Il y a aussi le critère "l'état du marché a changé depuis que j'ai passé mon ordre, je dois donc l'annuler avant qu'il soit exercé".
Et aussi, si les banques ont des clients, de nombreux fonds n'en ont pas et jouent donc leur propre argent.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.