Tu n'as pas du bien lire mon commentaire, ou alors je me suis mal exprimé : je disait justement que je pense impossible qu'une backdoor passe la barrière des tests et auditions.
Je ne vois vraiment que des avantages à la présence de la NSA. Cela permet de rassurer les entreprises qui hésiteraient à utiliser Linux (si la NSA y participe, cela doit être bien). On peut aussi penser, vu les moyens phénoménaux de la NSA, que la sécurité de Linux pourrait sensiblement augmenter.
Quant aux frissons, comment peut on imaginer que la NSA ajouterait une back-door ou quelque chose du genre sans que la communauté ne s'en apercoive ? L'auteur de la dépèche aurait-il trop regardé X-Files ?
Pas si restrictive que ça, puisque 100 mW de puissance donnent une portée d'une centaine de mètres. De plus la plupart des pays eurpoéens ont aussi une limite à 100 mW. Notons que la limite est de 500 mW aux USA.
Cette vision me paraît vraiment optimiste. En effet, même si Office 11 permet d'exporter ses documents en format XML, à mon avis tout le monde continuera d'utiliser le format .doc pendant encore bien longtemps. Je pense plutôt que l'intégration de XML dans office a pour but un effet d'annonce, pour promouvoir les futures applications .NET, fortes utilisatrices de web services et donc de XML.
Les clefs 128 bits utilisées pour les transactions CB par exemple sont des clefs symétriques (la même clef est utilisé pour le chiffrage que pour le déchiffrage), avec des algorithmes du genre DES qui consitent en gros à faire plein de XOR entre la clef et les données; les clefs dont le cassage des versions 1024 bits serait posssible sont des clefs asymétriques (clef privée pour chiffrer, clef publique pour déchiffrer), reposant sur le fait qu'il est difficile (donc long) de factoriser le produit de deux grands nombres premiers.
Ces deux types de clefs n'ont donc strictement rien à voir !
Parle t'on de cette taille uniquement pour les chiffrements asymetriques qui, si j'ai tout compris, implique presque tout le temps un brute force pour les casser ?
Oui exactement. Ce type de clef est basé sur le fait qu'il est très difficile de factoriser le produit de deux grands nombres premiers. Par exemple, si ma clef est 35, il n'est pas trop dur de voir que c'est 5*7. La polémique sur la taille des clefs consiste à savoir si quelqu'un peut factoriser un nombre de 1024 bits, avec quels moyens, etc.
Ils me semblent un poil parano chez PCFlank: le test me dit danger car mes ports 21 et 80 sont ouverts, la solution est d'installer un firewall. Ensuite il me dit que les ports sur lesquels ecoutent les troyans les plus repandus sont fermes mais visible, encore danger; conseil, il est urgent d'installer un firewall. Le meilleur pour la fin : mon browser accepte les cookies : danger; solution, installer un firewall...
Je sais pas si ils vendent des firewall (ca a pas l'air vu le site), mais en tout cas si je veux que des gens accedent mon serveur web il va bien falloir que je laisse le port 80 ouvert; ca ne fait pas de ma becane une passoire pour autant.
Dans la version anglaise du compte-rendu, la phrase est « Encourage strong user-level authentication for appropriate applications ». Ce qui ne veut en fait pas dire grand-chose de précis non plus.
Dans le contexte il me semble que ça signifie faire en sorte de pouvoir connaître de manière certaine l'origine d'une connection, les tribunaux ne pouvant pas faire grand chose s'il est possible qu'un utilisateur se fasse passer pour quelqu'un d'autre.
Pour reprendre un exemple connu, un mail simple est comme une carte postale (le postier peut la lire sans ton consentement), um mail chiffré est une lettre dans une enveloppe.
Cet exemple connu ne va justement pas dans le sens de ton argumentation : le fait que le postier puisse lire les cartes postales n'empêche pas des millions de vacanciers d'en envoyer. Autant je suis d'accord avec toi s'agissant des avis de sécutité, autant s'agissant des mails de tous les jours c'est un poil parano.
Quant au respect de la vie privée et des libertés individuelles, je crois qu'à force de les invoquer à tout va, on noie le fait que ce sont des choses extrèmement importante à défendre.
«Bref on peut faire tout et n'importe quoi autour
des designs patterns alors pour moi il n'y a
ni norme ni standard.»
Non ! comme te l'a fait remarquer Bobert, «il s'agit d'expliquer en quoi un modèle peut répondre à une problématique, et en quoi la problématique et le modèle sont universels». Le bouquin du gof décrit les problématiques qui reviennent régulièrement pour les programmeurs ainsi que les modèles qui leur répondent; tes factories sont très jolies mais je doute qu'elle soit souvent utiles, et tu n'as pas expliqué à quels problèmes elle répondent.
A la lecture de projet de loi, deux détails m'achèvent.
Si les négotiations entre les fabriquants de matériels et les majors n'aboutissent pas terme du délai prévu par le SSSCA (de 12 à 18 mois), c'est le secrétaire d'état au commerce (un seul homme donc !!) qui a le dernier mot pour fixer les standards de sécurité (cf § 104 d). Or tout le monde sait que les majors financent les diverses campagnes électorales américaines bien plus que l'industrie informatique.
Plus fort encore, (cf § 107) le même secrétaire d'état au commerce est autorisé à exempter de la loi antitrust un participant aux négotiations !!!! Si ça c'est pas inclus pour faire plaisir aux gros (au gros ?) éditeurs de logiciels...
Le plus grave c'est que tout ceci risque de débarquer chez nous : les constructeurs de matériel fabriqueront-ils leurs produits en double, une version pour le marché américain, une autre pour le reste du monde ? Rien n'est moins sûr, sauf si nos chers dirigeants daignent se pencher sur le problème.
Et pour ceux qui se demandent ce que cet loi changerait pour les logiciels libres, eh ben entre autres utiliser GNU/Linux deviendrait illégal aux USA.
Bref, plus le temps passe et plus les libertés progressent...
[^] # Re: Pourquoi des frissons ?
Posté par Spadone Pascal . En réponse à la dépêche IBM, Oracle et Red Hat planchent sur la sécurité de Linux. Évalué à 4.
# Pourquoi des frissons ?
Posté par Spadone Pascal . En réponse à la dépêche IBM, Oracle et Red Hat planchent sur la sécurité de Linux. Évalué à 10.
Quant aux frissons, comment peut on imaginer que la NSA ajouterait une back-door ou quelque chose du genre sans que la communauté ne s'en apercoive ? L'auteur de la dépèche aurait-il trop regardé X-Files ?
[^] # Re: WI-FI légalisé en France
Posté par Spadone Pascal . En réponse à la dépêche WI-FI légalisé en France. Évalué à 10.
# Re: XML libere la bureautique
Posté par Spadone Pascal . En réponse à la dépêche XML libere la bureautique. Évalué à 10.
[^] # Re: j'en ai oublié un
Posté par Spadone Pascal . En réponse à la dépêche Fork d'OpenBSD. Évalué à 10.
Les clefs 128 bits utilisées pour les transactions CB par exemple sont des clefs symétriques (la même clef est utilisé pour le chiffrage que pour le déchiffrage), avec des algorithmes du genre DES qui consitent en gros à faire plein de XOR entre la clef et les données; les clefs dont le cassage des versions 1024 bits serait posssible sont des clefs asymétriques (clef privée pour chiffrer, clef publique pour déchiffrer), reposant sur le fait qu'il est difficile (donc long) de factoriser le produit de deux grands nombres premiers.
Ces deux types de clefs n'ont donc strictement rien à voir !
[^] # Re: 1024, 2048, etc
Posté par Spadone Pascal . En réponse à la dépêche Fork d'OpenBSD. Évalué à 7.
Oui exactement. Ce type de clef est basé sur le fait qu'il est très difficile de factoriser le produit de deux grands nombres premiers. Par exemple, si ma clef est 35, il n'est pas trop dur de voir que c'est 5*7. La polémique sur la taille des clefs consiste à savoir si quelqu'un peut factoriser un nombre de 1024 bits, avec quels moyens, etc.
[^] # Re: A propos de PC Flank
Posté par Spadone Pascal . En réponse à la dépêche Les pirates s'attaquent à l'OpenSource. Évalué à 10.
Je sais pas si ils vendent des firewall (ca a pas l'air vu le site), mais en tout cas si je veux que des gens accedent mon serveur web il va bien falloir que je laisse le port 80 ouvert; ca ne fait pas de ma becane une passoire pour autant.
__
[^] # Re: une question
Posté par Spadone Pascal . En réponse à la dépêche Adieu à l'anonymat sur la toile. Évalué à 10.
Dans le contexte il me semble que ça signifie faire en sorte de pouvoir connaître de manière certaine l'origine d'une connection, les tribunaux ne pouvant pas faire grand chose s'il est possible qu'un utilisateur se fasse passer pour quelqu'un d'autre.
[^] # Re: Faudra m'expliquer...
Posté par Spadone Pascal . En réponse à la dépêche Sortie de GPG 1.0.7. Évalué à 6.
Cet exemple connu ne va justement pas dans le sens de ton argumentation : le fait que le postier puisse lire les cartes postales n'empêche pas des millions de vacanciers d'en envoyer. Autant je suis d'accord avec toi s'agissant des avis de sécutité, autant s'agissant des mails de tous les jours c'est un poil parano.
Quant au respect de la vie privée et des libertés individuelles, je crois qu'à force de les invoquer à tout va, on noie le fait que ce sont des choses extrèmement importante à défendre.
[^] # Re: Hum... [première partie]
Posté par Spadone Pascal . En réponse à la dépêche Comprendre les Design Patterns. Évalué à 3.
des designs patterns alors pour moi il n'y a
ni norme ni standard.»
Non ! comme te l'a fait remarquer Bobert, «il s'agit d'expliquer en quoi un modèle peut répondre à une problématique, et en quoi la problématique et le modèle sont universels». Le bouquin du gof décrit les problématiques qui reviennent régulièrement pour les programmeurs ainsi que les modèles qui leur répondent; tes factories sont très jolies mais je doute qu'elle soit souvent utiles, et tu n'as pas expliqué à quels problèmes elle répondent.
# Incroyable
Posté par Spadone Pascal . En réponse à la dépêche SSSCA, 5 lettres pour un cauchemard. Évalué à 10.
Si les négotiations entre les fabriquants de matériels et les majors n'aboutissent pas terme du délai prévu par le SSSCA (de 12 à 18 mois), c'est le secrétaire d'état au commerce (un seul homme donc !!) qui a le dernier mot pour fixer les standards de sécurité (cf § 104 d). Or tout le monde sait que les majors financent les diverses campagnes électorales américaines bien plus que l'industrie informatique.
Plus fort encore, (cf § 107) le même secrétaire d'état au commerce est autorisé à exempter de la loi antitrust un participant aux négotiations !!!! Si ça c'est pas inclus pour faire plaisir aux gros (au gros ?) éditeurs de logiciels...
Le plus grave c'est que tout ceci risque de débarquer chez nous : les constructeurs de matériel fabriqueront-ils leurs produits en double, une version pour le marché américain, une autre pour le reste du monde ? Rien n'est moins sûr, sauf si nos chers dirigeants daignent se pencher sur le problème.
Et pour ceux qui se demandent ce que cet loi changerait pour les logiciels libres, eh ben entre autres utiliser GNU/Linux deviendrait illégal aux USA.
Bref, plus le temps passe et plus les libertés progressent...