Journal Davfi, le premier antivirus libre français.

Posté par  . Licence CC By‑SA.
Étiquettes :
-13
4
mar.
2013

NdM : conformément aux règles de modération du site, le contenu du journal a été supprimé car il s'agissait d'une recopie complète de l'article Davfi, l’intraitable antivirus français ?. Ne subsiste du contenu original que le lien ci-dessous.

http://www.generation-nt.com/davfi-premier-antivirus-100-francais-pour-android-windows-actualite-1702472.html

  • # Commentaire supprimé

    Posté par  . Évalué à 10.

    Ce commentaire a été supprimé par l’équipe de modération.

    • [^] # Re: Mouais

      Posté par  (site web personnel) . Évalué à 10.

      comme on a pu le voir avec le google à la française ou le cloud à la française.

      Encore que, Google à la française, faut le dire vite, Google il a son propre algo et il pompe pas les résultats des autres.

      Prochainement, je vous proposerai peut-être un commentaire constructif.

    • [^] # Re: Mouais

      Posté par  (site web personnel) . Évalué à 10. Dernière modification le 04 mars 2013 à 13:28.

      Donc, comme d'hab, ce n'est pas de la vraie innovation par des gens motivés et qui connaissent le sujet

      On peut sûrement reprocher des tas de trucs à son projet, mais pas ça. Éric Filiol est un des meilleures experts français en virologie. C'est quelqu'un de particulièrement motivé et qui connait son sujet (voir ses nombreux papiers dans MISC, ses travaux et ses conférences).

      • [^] # Re: Mouais

        Posté par  (site web personnel) . Évalué à 10.

        Ah aha ah.

        pardon.

        Donc motivé, sans doute. Qui connait son sujet, ça dépend fortement du sujet. Il a dit avoir cassé AES, mais en fait non ( cf http://eprint.iacr.org/2003/022.ps ) . Il a dit avoir cassé tor, mais en fait, non. Ou plutôt, l'attaque, c'est "si je rajoute assez de noeud compromis, le réseau est compromis". Comme dirait un collègue, "no shit sherlock". Mais c'est une attaque connu ( à savoir celle d'un attaquant global avec assez de noeuds ), et il a monté toute la sauce autour de ça en utilisant des choses complexes comme "utiliser un virus pour infecter les relais sous windows pour compromettre le code de tor par injection dans le process", ce qui est plus vendeur que "remplacer le binaire de tor via un exploit IE". Et j'invite les gens à lire ce post de blog, et à suivre les liens :
        https://blog.torproject.org/blog/rumors-tors-compromise-are-greatly-exaggerated

        Je pourrait aussi parler de perseus ou seclamav.

        Et en fait, plutot que de me répéter, j'ai déjà dit tout ce que je pense de Davfi sur le premier journal, avec déjà le même type de titre, fait par la même personne :
        https://linuxfr.org/users/vida18/journaux/davfi-le-premier-antivirus-open-source-made-in-france

        Et pour la petite histoire, mon commentaire a amené un des responsable du projet à venir me parler lors de l'Open WOrld Forum pour ce que j'ai personnellement pris pour des menaces, en me demandant d’arrêter sinon des choses seront mises en place. Après enquête rapide ( car bon, quand on connait vraiment du monde, ça va plus vite ), ce que j'ai compris, c'est surtout que quelqu'un a fait remarquer à quelqu'un de l'APRIL que le projet est pas si libre qu'on veut nous le faire croire, et qu'il y a eu discussion entre des gens de l'APRIL et le dit responsable, et il pense que c'est moi qui a tuyauté et donc sali la réputation du logiciel auprès de l'association. N'importe qui capable de lire les annonces va voir que le projet est pas clair du tout et que le qualifier de libre ou d'opensource, c'est juste un raccourci marketing. Ou alors va falloir revoir le jugement sur github et mac os x à ce niveau si il suffit d'avoir juste un morceau sous une licence potable pour que tout soit libre.

        Et vue qu'on a déjà bien entamé 2013 mine de rien, je trouve curieux de voir que les fiches de recrutements sont encore la depuis plus de 8 mois ( http://www.davfi.fr/recrutement.html ) et qu'il y a pour le moment que de la communication autour du projet. Peut être qu'il y a pas assez de personne pour mettre à jour le site. C'est vrai que 5 millions de cash, ça permet pas de payer un webmaster.

  • # un budget mi-public mi-privé

    Posté par  . Évalué à 9.

    Je viens de le voir ici

    et

    Le consortium prépare aussi un antivirus pour Windows, mais il ne sera pas terminé avant fin 2014. D'après Jérôme Notin : "Avec Microsoft, tout est lent et compliqué, nous avons du mal à obtenir les informations dont nous avons besoin. En fait, en ce moment, nous essayons surtout d'optimiser nos relations avec eux. De toute façon, Windows 8 est très fermé, nous ne pourrons pas intervenir en profondeur."

    Merci aux personnes qui mon aidé a trouvé des solutions pour essayer d’écrire sans faute d’orthographe.

    • [^] # Re: un budget mi-public mi-privé

      Posté par  . Évalué à 5.

      Si c'est pour suggérer que les administrations ne devrait pas être sous windows mais sous un système d'exploitation plus libre, ça me va.

      • [^] # Re: un budget mi-public mi-privé

        Posté par  . Évalué à 1.

        C'est exactement ce que je suggère. ;)

        Merci aux personnes qui mon aidé a trouvé des solutions pour essayer d’écrire sans faute d’orthographe.

      • [^] # Re: un budget mi-public mi-privé

        Posté par  . Évalué à 3.

        A moi ça m'irait mieux si au passage on ne jetait pas 5,5 millions par les fenêtres (sans mauvais jeu de mots bien entendu).

  • # Foutaises

    Posté par  (site web personnel) . Évalué à 10.

    J'ai arrêté de lire là :

    Chaque nouveau programme ou fichier qui s’installe sur un PC (ou smartphone) et demande à avoir accès à des zones sensibles de l’ordinateur devra passer à la moulinette d'algorithmes et autres ingrédients secrets qui permetteront à Davfi de faire le tri. Ce nouvel antivirus devrait, en outre, être partiellement “open source” (c’est-à-dire que certains modules du code source seront librement accessibles). Une approche qui permettrait aux futurs clients de Davfi de savoir ce que ce programme a sous le capot.

    • [^] # Re: Foutaises

      Posté par  (site web personnel) . Évalué à 10.

      Tu aurais du aller plus loin :

      “Une manière d’améliorer la confiance dans le produit”, assure Jérôme Notin, qui explique que seules certaines parties contenant les éléments les plus critiques au fonctionnement de Davfi resteront fermées aux regards extérieurs.

      Matthieu Gautier|irc:starmad

      • [^] # Re: Foutaises

        Posté par  (site web personnel) . Évalué à 4.

        J'avoue ne pas du tout comprendre cette partie, surtout venant d'Éric Filiol, qui n'est peut-être pas un libriste, mais qui n'est pas dupe de l'argument du code source fermé pour des raisons de sécurité.

        • [^] # Re: Foutaises

          Posté par  . Évalué à 4.

          Il n'est peut être pas seul décideur ou qu'il va utiliser des algorithmes qui ne sont pas ouverts.

          Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)

        • [^] # Re: Foutaises

          Posté par  (site web personnel) . Évalué à 2.

          Il y a peut-être certains contextes où il devient crucial d'avoir un coup d'avance ?

          • [^] # Re: Foutaises

            Posté par  (site web personnel) . Évalué à 10.

            On a vu à quel point ça marche d'avoir des coups d'avance avec les antivirus classiques déjà sur le marché.

            Ce qui compte, c'est pas d'avoir un coup d'avance, c'est d'avoir des ressources ( lire du pognon ). Je pense que dans ce cas, les attaquants ont plus de ressources depuis longtemps. Donc le fait de garder le logiciel caché, c'est juste pour ça, avoir des ressources en plus au lieu de se faire piller par les éditeurs antivirus ( même si la plus grande dissémination des idées permettraient une meilleur protection et un développement plus rapide, mais c'est le monde de la sécurité, la coopération rentre pas dans l'état d'esprit de la plupart, remplacé par une paranoia malsaine )

            • [^] # Re: Foutaises

              Posté par  . Évalué à 10.

              Donc le fait de garder le logiciel caché, c'est juste pour ça, avoir des ressources en plus au lieu de se faire piller par les éditeurs antivirus

              Et encore.
              Le problème dans le monde des antivirus n'est pas spécialement l'algorithmique. Tout le monde connait les algorithme qui protègent, et tout le monde connait les algorithmes qui vont vites.
              Seulement les algorithme qui vont vite ne protègent pas très bien, et les algorithmes qui protègent vont très très lentement.

              Typiquement l'approche pronnée par M Filiol ne fonctionne pas. Il s'agit d'isolation locale par pallier - comprendre une sorte de super sand-boxing dans lequel même les interactions entre un logiciel et ses plugins sont auscultées en permanence. (En tout cas c'est ce qu'il faudrait faire pour interdire tout ce qui n'est pas autorisé). On imagine très bien les problèmes de performance que cela peut poser. Ca revient ni plus ni moins qu'à venir intercaller une tranche de temps kernel space entre chaque échange userland. Rien qu'au niveau context-switch on prend une raclée. On ajoute à cela les problèmes de suivi de mémoire et de suivi d'execution (ben oui il va bien falloir détecter l'activité virale à un moment ou à un autre) Et on se prend un kernel space de plusieurs giga octects qui bouffe 60% du CPU en continu. Et encore là je vous fais grace des I/O et des pilotes à accès direct sur le matériel (Après tout qu'est-ce qui empêche un virus d'être écris en OpenCL de nos jours).
              Norton a essayé pendant des années d'utiliser ce type de méthode - c'est une des raisons pour laquelle ils ont pris pas mal de retard dans les années 2003-2009.

              L'autre approche consiste à garder en mémoire une liste de signatures et à les comparer à tout ce qui est 'nouveau'. Généralement dans ce genre de cas ce que l'antivirus appelle pompeusement "heuristique" n'est qu'un genre de filtre baysien* basé sur l'activité d'un programme surveillé. De même que votre antispam assimile Viagra avec V1agRa - le filtre assimile Virus avec V1ruS.

              Ce qui vaut de l'argent donc dans un anti-virus, plus que les algorithmes à proprement parler, ce sont les petites optimisations de gauche et de droite qui permettent de décider entre "on continue l'analyse" et "Méchant virus on bloque tout". Un peu comme les jeux de ponderation Baysien. Les pools de signatures et la façon dont elles sont indexées vaut aussi pas mal d'argent. Mais même avec un très bon pool de virus très bien indexé et des algorithmes de détection avancés, sans les optimisations et la ponderation d'analyse votre logiciel ne vaut pas grand chose (Par exemple ClamAV a de très bon algo de détection, une base de signatures très solide et … )

              • [^] # Re: Foutaises

                Posté par  (site web personnel) . Évalué à 2.

                Et on se prend un kernel space de plusieurs giga octects qui bouffe 60% du CPU en continu.

                Cela dépend du niveau de sécurité voulu. Une plus grande sécurité peut être à se prix. Si coût de protection < coût des dommages, alors c'est intéressant. Pour le grand public, ça l'est certainement moins.

      • [^] # Re: Foutaises

        Posté par  (site web personnel) . Évalué à 10.

        Oui, j'ai bien vu ça en fait, mais en tout cas, le titre du journal est complètement foireux.

    • [^] # Re: Foutaises

      Posté par  . Évalué à 9.

      Ça se sentait dès le second paragraphe :

      […] son projet de nouvel antivirus 100 % français et largement open source.

      Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)

    • [^] # Re: Foutaises

      Posté par  (site web personnel) . Évalué à 4.

      L'ingrédient secret c'est la poudre verte, nul besoin de voir ce qu'il y a "sous le capot" (à part du marketing et du vent).

  • # Révolutionnaire !

    Posté par  (site web personnel) . Évalué à 10.

    Oui, bon, ça peut être révolutionnaire et tout actuellement, vu qu'on n'en verra pas le bout du code avant la fin de l'année pour les smartphones et l'an prochain pour le reste. Les paroles ne sont pas chères…

    Prochainement, je vous proposerai peut-être un commentaire constructif.

  • # Ça a l'air rigolo

    Posté par  (site web personnel) . Évalué à 10.

    Je vois cela d'ici:

    “d’interdire tout ce qui n’est pas permis”. Chaque nouveau programme ou fichier qui s’installe sur un PC (ou smartphone) et demande à avoir accès à des zones sensibles de l’ordinateur devra passer à la moulinette d'algorithmes et autres ingrédients secrets qui permettront à Davfi de faire le tri.

    Les collègues de bureau:
    "-Le programme tente d'accéder à 0HX8E…
    - Cliques sur OK.

    -Le programme tente de lire …
    - Cliques sur OK.

    -Le programme tente de …
    - Bon tu cas nous prendre la tête longtemps? Cliques sur OK."

    Cela me rappelle Vista avec les installation de programme, l'écran noir avant la case de validation…

    PS: Toute ressemblance avec une conversation ayant déjà eu lieu est purement fortuite :)

    • [^] # Re: Ça a l'air rigolo

      Posté par  . Évalué à 10.

      Sinon tu as la méthode chinoise (je dis chinoise parce que observée, en ce qui me concerne, pour la première fois en Chine, et apparemment très répandue):
      Tu as toujours un Windows cracké, tu utilises pleins de merdes qui clignotent de partout, même ton IE "genuine" est empaqueté sous 3 ou 4 couches d"optimiso-embellissseur-cafetière".
      Toutes les minutes, tu as 2 ou 3 pop-up qui apparaissent, et environ le double de page IE qui s'ouvrent à côté.

      Ils ont développé un réflexe très naturel: ils appuient sur entrée avant de lire ne serait-ce que le titre de la fenêtre qui vient d'apparaître, et quand l'ordi rame vraiment trop, ils commencent une session de fermeture de pages parasites.

      Et pour les messages d'erreur, je rappelle que Vista c'est rien à côté de l'ultime outil de débogage à fond bleu qui t'informait qu'une erreur a été détectée dans l'offset 0xFF3C4, information ô combien précieuse à l'utilisateur de base comme au développeur chevronné (c'est ainsi que le rapport de plantage conclura que "la cause de l'incident, c'est manu qu'a éternué trop fort!").

      • [^] # Re: Ça a l'air rigolo

        Posté par  (site web personnel) . Évalué à 3.

        Ils ont développé un réflexe très naturel: ils appuient sur entrée avant de lire ne serait-ce que le titre de la fenêtre qui vient d'apparaître,

        Et ça fait quoi d'appuyer sur Entrée ?

        • [^] # Re: Ça a l'air rigolo

          Posté par  . Évalué à 5.

          Va savoir! Au bon vouloir du brave gars qui a codé le site, mais visiblement les "fournisseurs" ont trouvé le filon parce que entre autre, ça gicle la fenêtre, et c'est l'effet principal recherché par l'utilisateur, et des fois c'est des vrais messages systèmes, mais à quoi bon les traiter différemment?
          Y'a beaucoup de "votre PC est peut-être infecté, voulez-vous le scanner maintenant?" (enfin pour ce qu'on m'en dit, vu que je ne lis pas assez bien le Chinois, et visiblement ils ne lisent pas trop non plus ce qui leur tombe dessus).

          Je crois que je n'ai jamais vu autant de virus et autres malwares que sur les PC domestiques chinois. C'est plus des virus, ce sont juste des parasites: ils s'en accommodent très bien.

          Encore une fois, je dis "Chinois", mais je n'ai aucun doute que ce n'est pas un trait particulier au pays, on trouve aussi des gens qui comprenennt ce qu'ils ont sous les doigts et devant les yeux hein! C'est juste que comme ils sont très nombreux, c'est une cible très intéressante!

          • [^] # Re: Ça a l'air rigolo

            Posté par  . Évalué à 3.

            J'ai constaté le même comportement. Et les serveurs de notre université, des scientific linux, étaient très mal configurés, pas très a jour, tous les ports ouverts (pourquoi y-a-t-il autant de MySQL ?), bref, du joli ! ;)

            D'ailleurs on avait un serveur de formatage pour les clefs USB qu'on échangeait, notamment pour aller sur les PC d'impression. C'était assez marrant !

            En tout cas, on comprend pourquoi le cours du botnet chinois est si bas…

  • # Encore?

    Posté par  . Évalué à 10.

    Ça fleurait déjà bon le pipeau, l'appeau à subventions et la tentative de refourguer un produit douteux aux administrations sous prétexte de "made in France" à l’époque:

    http://linuxfr.org/users/vida18/journaux/davfi-le-premier-antivirus-open-source-made-in-france#comment-1365803

    Et pour le côté technique, ça rappelle fortement viguard et tout ce qui s'en est ensuit a l’époque.

  • # ...

    Posté par  . Évalué à 10.

    Interdire tout ce qui n’est pas permis

    Si je comprends bien, il invente les "permissions d'accès aux fichiers"…

  • # AV

    Posté par  . Évalué à 9. Dernière modification le 04 mars 2013 à 13:40.

    “Un principe qui correspond à une logique économique pour permettre aux éditeurs de vendre des mises à jours de leurs logiciels censés protéger les ordinateurs”, assure Éric Filiol.

    Mais cette approche ne serait qu'une vaste plaisanterie, d’après ce spécialiste, enseignant en cybersécurité, qui ne tient pas ses concurrents en très haute estime. “Aujourd’hui, mes étudiants peuvent écrire en quelques minutes un virus qui ne sera décelé par aucun antivirus disponible sur le marché”, assure Éric Filiol. D’où le projet Davfi dont la philosophie doit être “d’interdire tout ce qui n’est pas permis”

    :)

    Mais bon, comme on l'a déjà fait remarquer, ça pue c'est pas libre.

    même s’il existera une version - moins complète et gratuite - pour les particuliers.

    En AV pas révolutionnaire mais libre il y a ClamAV et d'ailleurs je ne savais pas mais il y a un produit proprio pour Windows basé sur ClamAV.

    The core ClamAV library is utilized in Immunet 3.0, powered by ClamAV, which is a fast, fully featured Desktop AV solution for Windows.

    • [^] # Re: AV

      Posté par  (site web personnel) . Évalué à 3.

      Sauf que ClamAV, en plus d'être du « interdire ce qui est explicitement interdit », ça ne fait pas de l'analyse active en temps réel. C'est juste bon à scanner des pièces jointes sur un serveur de mail.

      • [^] # Re: AV

        Posté par  . Évalué à 4.

        Si j'en crois le site de clamav :

        Supports on-access scanning (Linux and FreeBSD only)

        Après c'est peut-être pas à l'antivirus de faire du firewalling ou de l'antiphishing.

        Je suis tout à fait d'accord sur la nécessité d'utiliser une liste blanche plutôt qu'une noire. J'ai un vague souvenir de programmes sous Windows qui faisait ça à l'époque. C'est relou au début mais c'est effectivement la meilleure méthode.

        • [^] # Re: AV

          Posté par  (site web personnel) . Évalué à 4.

          Mais comme c'est relou, tu perds de l'argent tout de suite ( quelqu'un pour la maintenir, perte de productivité ) plutôt que d'en perdre potentiellement en cas d'attaque.

          Donc c'est un bête calcul statistique, avoir 10% de chance de perdre 1000 euros par rapport à 100% de chances d'en perdre 500, par exemple.

          Et encore, la, je parle en terme purement monétaire, mais si jamais à cause de la liste blanche, tu ne donnes pas l'argent à temps pour un malade et qu'il meurt, on sort totalement du cadre monétaire, et personne ne prends jamais en compte ce genre de perte. Et en général, on se focalise sur le coté exceptionnel de l'attaque, en oubliant totalement les soucis à long terme ( exemple, les mesures de sécurité dans les aéroports ).

          • [^] # Re: AV

            Posté par  . Évalué à 1.

            Mais comme c'est relou, tu perds de l'argent tout de suite ( quelqu'un pour la maintenir, perte de productivité ) plutôt que d'en perdre potentiellement en cas d'attaque.

            J'aurai plutôt dit que la liste blanche à un coût en temps élevé au début, puis une courbe qui tends vers 0.
            L'alternative étant un coût nul au début, et, au fur et à mesure de l'exécution de malwares (qui peuvent être des scripts via le navigateur internet, par exemple) une courbe qui monte (ralentissement de la machine, pour cause de saturation des ressources) jusqu'a l'explosion, explosion pouvant causer la perte de données sensibles.

            Bon, je suis pas sûr que la partie de ton message que j'ai citée est ironique ou pas, alors je préfère réagir… et puis j'ai pas envie de taffer donc bon, faut que je m'occupe…

  • # .

    Posté par  . Évalué à 10.

    Personnellement je ne trouve pas le personnage crédible. Il s'est déjà illustré plusieurs fois avec des déclarations fracassantes sans rien derrière à ma connaissance.

    Je cite Wikipedia :

    En 2003, Eric Filiol publie une cryptanalyse du standard de chiffrement AES. Son analyse est réfutée par plusieurs chercheurs.

    En 2011, il annonce la mise au point d'une attaque remettant en cause l'intégrité du réseau TOR, sans toutefois annoncer véritablement la faille utilisée, ce qui a poussé le projet à expliquer sur un post de blog que l'attaque était déjà connue.

    Pour Tor, on peut lire ça :

    http://www.revoltenumerique.herbesfolles.org/2011/10/25/piratage-du-reseau-tor-a-quel-jeu-joue-eric-filiol/

    On y apprends que

    le chercheur refuse de leur donner plus d’information avant la « tant attendue » conférence « Hackers to Hackers » des 29 et 30 octobre à São Paulo au Brésil.

    A ma connaissance, il n'a jamais précisé ses propos.

    En ce qui concerne le fond de cette nouvelle histoire, je suis également très dubitatif. Quand je lis ça :

    ces programmes ont pour vocation “de permettre tout ce qui n'est pas interdit”

    Les antivirus n'ont pas attendu M. Filiol pour utiliser des approches heuristiques. Un de mes softs métier à un jour été détecté par Bit Defender comme un malware (avec déplacement des binaires dans la zone de quarantaine). A la mise à jour suivante, tout était rentré dans l'ordre. Ce soft est faiblement diffusé (très cher :p) et n'a très probablement jamais été dans les mains de bit defender. Donc j'en conclus que leur antivirus ne se contente pas de regarder si le binaire est connu…

    De plus :

    Ce nouvel antivirus devrait, en outre, être partiellement “open source” (c’est-à-dire que certains modules du code source seront librement accessibles). Une approche qui permettrait aux futurs clients de Davfi de savoir ce que ce programme a sous le capot. “Une manière d’améliorer la confiance dans le produit”, assure Jérôme Notin, qui explique que seules certaines parties contenant les éléments les plus critiques au fonctionnement de Davfi resteront fermées aux regards extérieurs.

    Ça m'a l'air d'être une vaste blague de plus… Ce qui me chagrine le plus c'est que c'est payé par nos impôts.

    • [^] # Re: .

      Posté par  (site web personnel) . Évalué à 3.

      Moi, je me souviens d'un outil de protection contre la copie appliquait sur le client windows de mon employeur, qui avait été détecté comme un virus chez ~30% des clients ( enfin chez 1 client ), parce qu'il utilisait justement le même genre de technique vielle d'il y a 10/15 ans ( virus polymorphe, qui se décode à la volée avec une clé, etc ) pour éviter la copie. Dieu merci, l’ingénierie à la rescousse, on a juste tenté de recompiler jusqu'à ce que ça passe, vu que contacter l'éditeur d'antivirus, c'était pas vu comme viable par le management.

  • # ClamWin

    Posté par  . Évalué à -5.

    J'espère vraiment que ça va donner quelque chose. Sur Windows ClamWin évolue trop lentement et n'a toujours de protection résidente.

    • [^] # Re: ClamWin

      Posté par  (site web personnel) . Évalué à 10.

      bah, suffirait pour les gens de davfi de bosser sur clamav directement au lieu de repartir de 0 en se disant "je fait mieux que tout le monde".

      Ah non, on me dit qu'il s'agit d'un antivirus sur la base de clamav :
      http://pro.clubic.com/it-business/securite-et-donnees/actualite-449556-securite-davfi-projet-antivirus-francais-open-source.html

      Bien sur, faire un projet libre, ça impliquerais de suivre les bonnes pratiques, comme "envoyer les patchs pour publication et revue auprès des externes", et pas "coder dans notre coin puis faire un produit semi proprio". Enfin, tant que Davfi ne tente pas de poser des brevets à l'étranger sur ses "innovations" ça devrait aller. Ça serait quand même un truc qui risquerait de ternir sa réputation auprès des libristes, ça. Et ça serait un peu nulle de l'avoir dit dans un événement du libre un jour à quelqu'un.

    • [^] # Re: ClamWin

      Posté par  . Évalué à 2.

      Sous windows, tu peux le coupler avec clamsentinel

  • # SELinux ?

    Posté par  (site web personnel) . Évalué à 8.

    Je suis pas expert en sécurité et je vais probablement dire une bêtise mais:

    Ça s'approcherait pas de SELinux (et autre système du même genre) ?

    De ce que j'en comprend, SELinux se base sur des droits pour limiter le champs d'action des programmes (ie: tel soft peut accéder à tel type de fichiers, sinon refus).

    Davfi fera probablement des analyses plus poussées que juste regarder si un soft accède à telle zone mémoire. Mais est-il envisageable (techniquement du moins) que SELinux soit étendu pour faire ce genre d'analyse ? Ou est-ce que ça n'a rien à voir ?

    Matthieu Gautier|irc:starmad

    • [^] # Re: SELinux ?

      Posté par  (site web personnel) . Évalué à 10.

      selinux peut le faire, en mettant des labels sur les process, les utilisateurs, les ports réseaux, etc. Tu peux même aller à la granularité d'une base de données postgresql, ie, j'ai le droit de lire les données de tel base, mais pas tel autre.

      C'est tout le cœur des modèles de sécurité comme :
      https://en.wikipedia.org/wiki/Bell%E2%80%93LaPadula_model

      La façon dont les distribs utilisent selinux, c'est plus pour s'assurer que le processus toto n'a le droit d'utiliser que le port 80 et aucun autre, ou n'a le droit de faire que tel appel systéme, ou lire tel fichier avec tel label. Ça ne protège pas de tout ( par exemple, un serveur apache compromis va toujours avoir accès à ton certificat privé ), mais ça bloque pas mal d'attaque ( par exemple, ton serveur apache, même en root, va pas pouvoir piquer la clé ssh du serveur avec un politique selinux par défaut, sauf erreur de ma part ).

      Si le but de davfi est de faire une sandbox, il y a déja plein de projet sur ça, basé sur apparmor, sur selinux, sur seccomp, etc. Chercher arkose, glimpse, libvirt-sandbox, ou voir les différentes présentations sur chrome, sur la séparation de privilège.

      Si l'idée, c'est de faire comme viguard, alors des outils libres existent déjà depuis 5 ans :
      http://events.ccc.de/congress/2008/Fahrplan/events/3002.en.html
      Et en cherchant un peu, tu va tomber sur des choses comme dirtbox, ou ce genre de post de blog :
      http://nuald.blogspot.fr/2010/10/shellcode-detection-using-libemu.html

      • [^] # Re: SELinux ?

        Posté par  . Évalué à 8.

        Tu peux même aller à la granularité d'une base de données postgresql, ie, j'ai le droit de lire les données de tel base, mais pas tel autre.

        On peut même aller jusqu'aux colonnes.

        « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

        • [^] # Re: SELinux ?

          Posté par  . Évalué à 6.

          Ce qu'il faudrait, c'est un logiciel libre 100% made in France qui pousserait la granularité au niveau ligne.

          Compte tenu de l'enjeu que ça représente en matière de sécurité, on comprendrait que les parties contenant les éléments les plus critiques restent fermées aux regards extérieurs.

          • [^] # Re: SELinux ?

            Posté par  (site web personnel) . Évalué à 3.

            Tu veux dire coder par des aveugles ?

            • [^] # Re: SELinux ?

              Posté par  . Évalué à 10.

              Ça ne va pas assez loin.
              Il faut qu'en plus d'être aveugles, ils soient atteints du syndrome de Korsakoff (perte de mémoire court-terme… entre autre!!), et qu'ils bossent en rotation, pour les empêcher de laisser une trace utilisable pour eux-mêmes.

              La première partie de ce projet d'envergure militaire, ce sera de trouver des codeurs aveugles tombés dans l'alcolisme (ce qui favorise l'émergence du syndrome de Korsakoff).
              3M€ et 2ans seront réclamés à l'État afin d'identifier ces individus… ou les créer pour faire plus militaire sans scrupule au nom du pragmatisme et de la raison d'État.

              La deuxième phase du projet sera de trouver un moyen de leur faire coder un truc cohérent alors qu'aucun d'entre eux ne se souvient pourquoi il est là au début de leur rotation, et sans aucune idée du pourquoi ni comment du code écrit par le précédent codeur. Cette phase requiert environ 12M€ et 7.5ans (d'après un algorithme pas fini… d'ailleurs si on pouvait lui filer un petit coup de pouce pour améliorer la prédictabilité de la roadmap? un p'tit 2.4M€ sur 6mois pour torcher le boulot quoi!)

              La troisième phase sera de leur faire coder des choses non seulement cohérentes, mais suivant un cahier des charges défini par la hiérarchie, sachant qu'il est impensable qu'ils aient des réunions où ils pourraient obtenir des informations sur leur responsable et autres gars de la "hiérarchie" et qu'ils ne se souviennent pas du dernier coup de fil reçu. Cette phase nécessitera 7M€ sur 2ans ans d'étude.

              À cela s'ajouteront les frais divers du marketing pour convaincre un Président de la République, un ou plusieurs Ministres, et autres personnes bien placées. Le budget prévu et de 8.36C€ (vous noterez le C€, unité que vous ne connaissez sans doute pas, il s'agit de "Custom Unit €, soit en #100k€ pour la version officielle, et en #100M€ pour la version bancaire suisse) incluant les conférences au Qatar. Le délai prévu dépend beaucoup des élections. (À ce sujet on a une machine à voter to-ta-le-(je)-ment sécurisée, ça vous intéresse?)

              Et quand le projet sera enfin arrivé en fin de phase 3, on se félicitera, et… et… ah ben zut! Plus personne ne se souvient ce que le logiciel est censé faire… par contre, l'administration a signé pour 7MM€ de licences. Voilà un chiffre prometteur et représentatif de l'intérêt porté à cet ambitieux projet révolutionnaire*!

              *révolutionnaire: littéralement, quand le peuple le saura, il y a aura une révolution…

              • [^] # Re: SELinux ?

                Posté par  (site web personnel) . Évalué à 6.

                Les trois premières phases sont faciles à mettre en place, c'est un projet Java en SSII. Pour la suite il faut une SSII cotée en bourse, et dirigée par un centralien proche du pouvoir en place.

    • [^] # Re: SELinux ?

      Posté par  (site web personnel) . Évalué à 6.

      Mais est-il envisageable (techniquement du moins) que SELinux soit étendu pour faire ce genre d'analyse ? Ou est-ce que ça n'a rien à voir ?

      Linux isole déjà les processus entre eux. On peut ensuite partager la mémoire avec SHM et les droits Unix ou SELinux peuvent choisir qui a le droit d'y accèder.

      Pour ensuite faire du contrôle d'accès d'un process à sa propre mémoire et utiliser le contrôle d'accès SELinux, ça a été le sujet de mon mémoire de master. La réponse est oui, c'est possible et non c'est pas trop lent. Mais y'a encore un bon paquet de boulot pour bien comprendre la gestion de la RAM dans Linux pour garantir que ça marche.

  • # Un énième antivirus made in France

    Posté par  . Évalué à 4.

    J'ai chercher un peut et j'ai trouver ICI et LA

    Quelle que chose me dit qu'il a pomper copier coller le code habituelle des antivirus et qu'il n y a rien de nouveaux.

    Et ce qui me fait peur c'est

    A terme, Davfi compte produire un antivirus pour les serveurs fonctionnant sous Linux.

    ce qui risque a terme d'ouvrir des portes pour les virus.

    Merci aux personnes qui mon aidé a trouvé des solutions pour essayer d’écrire sans faute d’orthographe.

    • [^] # Re: Un énième antivirus made in France

      Posté par  (site web personnel) . Évalué à 1.

      Et ce qui me fait peur c'est

      A terme, Davfi compte produire un antivirus pour les serveurs fonctionnant sous Linux.

      ce qui risque a terme d'ouvrir des portes pour les virus.

      L'antivirus sera compatible Linux, ça ne veut pas dire qu'il sera installe par défaut avec tous les noyaux. Je ne pense pas que Linus acceptera qu'un quelconque antivirus soit livre par défaut avec le noyau.

    • [^] # Re: Un énième antivirus made in France

      Posté par  . Évalué à 2.

      Quelle que chose

      Quelque chose.

      Toi y'en a pas progressé beaucoup l'orthographe ! ;)

  • # le virus corse à l'envers.

    Posté par  . Évalué à 10.

    le virus corse vous demande poliment de supprimer tous vos fichiers.
    l’antivirus à la française vous demande poliment de pas installer n'importe quoi sur votre ordinateur.
    révolutionnaire.

    • [^] # Re: le virus corse à l'envers.

      Posté par  . Évalué à 1.

      Dans le même registre Il y a eu le virus Belge.

      Vous avez un e-mail !!!
      Cher internaute,
      Vous venez de recevoir un virus informatique belge.
      Comme nous ne sommes pas très avancés
      technologiquement, ceci est un virus manuel.
      S'il vous plaît, effacez tous les fichiers de votre
      disque dur et envoyez ce mail à tous ceux que
      vous connaissez.
      Merci beaucoup de nous aider.

      Merci aux personnes qui mon aidé a trouvé des solutions pour essayer d’écrire sans faute d’orthographe.

      • [^] # Re: le virus corse à l'envers.

        Posté par  . Évalué à 3.

        Eet mmeerrrrdeeee.

      • [^] # Re: le virus corse à l'envers.

        Posté par  . Évalué à 6.

        C'est n'importe quoi ce virus!

        Si tu effaces tous les fichiers de ton ordi, tu fais comment pour envoyer le mail?
        Et ben tu peux pas! Le virus ne peut donc pas se propager et c'est comme à la télé: y'a pas de pandémie.

        Du coup, je n'ai eu aucune crainte d'infection même quand j'ai commencé à effacer tous mes fichiers!

        ------------>[ ]

        • [^] # Re: le virus corse à l'envers.

          Posté par  . Évalué à 2.

          Mais si ça marche, la preuve je

        • [^] # Re: le virus corse à l'envers.

          Posté par  . Évalué à 2.

          Ah, mais, sous linux, si tu suis la procédure (et donc, si tu ne fermes pas ton logiciel te servant à consulter/envoyer des courriels) tu n'auras point de souci à aider ce virus à se répliquer :) (il m'est arrivé une fois de désinstaller un logiciel que j'étais en train d'utiliser, d'oublier l'avoir désinstallé, de me servir de mon logiciel, de le fermer, et de pas comprendre pourquoi bash-completion trouvait plus la commande… Ca s'est fini dans un grand moment de solitude. Ca tombe bien, je suis en général seul devant mon PC :p )

  • # Une blague

    Posté par  (site web personnel) . Évalué à 10.

    Je sais que c'est mal de se moquer de gens qui travaillent dur, mais l'article est juste exceptionnel.

    En outre, DAVFI devrait également proposer son propre marché d'applications. Un marché dont les applications auront
    été vérifiées, et qui pourra être " nettoyé " en les amputant de quelques fonctions. Un exemple est donné à ce
    niveau avec l'application Angry Birds qui collecte des données de géolocalisation du joueur, une fonction qui
    pourrait être supprimée par DAVFI."

    Donc en gros, DAVFI va aussi se lancer dans les appstores, et pour cela, va modifier les applications clientes. Est ce qu'ils savent que ç'est sans doute une violation de la licence de faire ce genre de choses ?
    Ou alors, ça va juste faire ce que fait :
    http://f-droid.org/repository/browse/?fdcategory=System&fdid=fr.keuse.rightsalert&fdpage=3

    Ou juste automatiser http://intrepidusgroup.com/insight/2010/05/lock-down-your-android-apk-permissions/

    Une version pour Windows de DAVFI ne devrait pas se rendre disponible avant 2014. L'environnement moins ouvert de
    Microsoft comparé à Android nécessitant davantage de travail et de coordination avec la firme de Redmond. Dans ce
    sens, l'antivirus se présentera comme un logiciel à installer, et non un OS globalement sécurisé comme pour Android.

    La, on lit entre les lignes "on va faire un os basé sur android sécurisé", sauf qu'il va toujours avoir besoin de discuter avec les OEMs, pour éviter les soucis style "oups, on a un driver avec un accès en lecture écriture sur toute la mémoire". Bien tenté mais non.

    Le premier antivirus français devrait voir le jour dans le courant de cette année

    non, viguard est le premier ( http://reflets.info/davfi-le-premier-antivirus-francais-on-va-vous-rafraichir-la-memoire/ ). Donc c'est le 2eme, si il sort un jour.

    Jêrome Notin, directeur de Nov'It et coordinateur du projet a partagé un avis bien tranché sur les solutions
    antivirales aujourd'hui déployées : " Leur conception n'a pas changé depuis dix ans, alors qu'en face, les
    créateurs de virus ont fait beaucoup de progrès ".

    EN fait non. Des solutions d'IDS ont été mises en place, les outils d'analyses protocolaires existent de plus en plus ( genre, ceux que Qosmos a écrit ), et des approches de MAC ( selinux, etc ) sont déployés de plus en plus depuis 10 ans. Des outils d'analyses de malwares basé sur l'émulation ont été mis en place ( cf le lien du 25c3 que j'ai donné, ou le fonctionnement de viguard, des outils come systrace sur netbsd ), des outils de surveillances réseaux aussi ( exemple prelude, et autre outils de corrélation ). Des protections en profondeurs au niveau des OS ont également été mise en place, etc, etc. Ou le système de signature pour éviter les drivers moisis ( dans le cas de windows ), ou la mise en place du controversé secureboot.

    En fait, le simple fait de voir que Norton vends maintenant un bundle "firewall + proxy filtrant + analyse de virus" montre bien que les éditeurs se sont adaptés. Les éditeurs font de la recherche, proposent des produits, des solutions ailleurs, et la montée des appstores est aussi une conséquence. En fait, dans la mesure ou le code des antivirus est fermé, je vois pas comment on peut affirmer que ça n'a pas changé depuis.

    je vais arrêter de commenter, le niveau journalistique est si bas que je vais atterrir en Nouvelle Zélande si je creuse plus.

    • [^] # Re: Une blague

      Posté par  . Évalué à 6.

      Oui, et le coup de 'je bloque tout ce qui n'est pas connu et n'autorise que ce qui est explicitement autorisé', ça ne serait pas le fonctionnement de bit9?
      https://www.bit9.com/

      C'est mal de se moquer, mais ils se sont fait pirater. La raison? Ils n'utilisent pas leurs propres produits sur leurs serveurs, et n'ont donc pas pu empêcher un pirate de leur voler leur clé de signature. Le pirate a donc pu signer du malware et le faire exécuter sur des machines protégées par Bit9 :-)

      • [^] # Re: Une blague

        Posté par  (site web personnel) . Évalué à 2.

        C'est aussi le comportement par défaut d'un firewall correctement mis. C'est aussi le fonctionnement de selinux quand tu es un utilisateur confiné. Et autant pour le firewall, ça a fini par rentrer dans l'esprit des gens ( et encore ), autant pour selinux, ça a du mal. Donc j'imagine parfaitement le temps d'adaptation pour l'administration française.

    • [^] # Re: Une blague

      Posté par  (site web personnel) . Évalué à 3.

      Donc en gros, DAVFI va aussi se lancer dans les appstores, et pour cela, va modifier les applications clientes. Est ce qu'ils savent que ç'est sans doute une violation de la licence de faire ce genre de choses ?

      Tant mieux, comme ça il sera encore plus simple de défendre une future affaire Guillermito. Pourquoi n'aurais-je pas le droit de décompiler votre "antivirus" pour montrer qu'il est moisi, puisque vous le faites avec les binaires tiers que vous scannez.

      A mais non suis-je bête, il n'y aura jamais de code donc de binaire à décompiler.

    • [^] # Re: Une blague

      Posté par  . Évalué à 5.

      Je crois que sans le dire, le monsieur vise des marchés très particuliers: la défense, les autres institutions publiques sensibles, peut-être aussi les grosses entreprises (un peu naïves).

      Je doute qu'il croie vraiment se faire une place auprès d'Apple ou Google chez le grand public avec ses dépôts d'applis à lui.

      On devrait plutôt imaginer des systèmes totalement verrouillés répondant à un appel d'offre, genre "Galaxy N version Marché public", avec un nombre d'applis restreint, la surcouche de monsieur, et un apps-android.defense.gouv.fr L'appareil serait réservé à certains fonctionnaires dans le cadre de leur travail.

      On peut supposer aussi que les constructeurs en profitent pour "charger un peu la barque" pour ces versions "spéciales".

      Et tant qu'ils y sont, ils devraient commander des téléphones nouvelle génération à Alcatel et Sagem (souveraineté oblige, mais les téls seront en fait conçus en Corée et fabriqués en Chine ou Asie du sud-est, business oblige…).

      Montebourg en profitera pour y mettre des autocollants "savoir-faire Français" devant les caméras, ce qui déclenchera immédiatement une alerte violation de l'intégrité physique du téléphone qui effacera instantanément toutes ses données.

      Bref, on a pas fini de passer pour des cons…

      • [^] # Re: Une blague

        Posté par  (site web personnel) . Évalué à 2.

        Je pense qu'il y a en effet un marché, vu que Apple propose ça depuis grosso modo le début de l'iphone. Ensuite, je sais aussi qu'il y a déjà thales ( ou un autre du même genre ) qui a bossé sur un système Android à destination des militaires en opération ( si je me souviens bien ), et c'était en effet la catastrophe.

        Faire un appstore, ça peut se faire sans souci, f-droid est la, l'infra est dispo, donc la valeur ajouté est assez facile à trouver, c'est dans la mise en place du service. C'est bien, c'est une rente continue, un système de souscription qui marche pas trop mal pour certains éditeurs.

        Ensuite, on me dit aussi que ça parle d'android car une des personnes qui bossent dans le labo, Valentin Hamon, chercheur dans le labo de Eric Filliol, serait assez fan du dit système. D'un point de vue de la recherche, je ne peux que lui donner raison, Android concentre tout ce qui qu'il faut :
        - du code rushé par les OEMs pour réduire le TTM time to market )
        - une incitation forte à attaquer, vu le nombre d'info persos et la capacité à monétiser ça simplement ( faire 200 coups de fils au téléphone rose, ça rapporte plus vite que louer un bot net )
        - un marché de la sécurité quasi inexistant
        - un système assez ouvert pour fouiller, avec assez de code pour comprendre, et assez de code fermé moisi pour des failles

        et c'est à la mode.

        Mais je pense que c’est quand même se diversifier fortement et risquer de pas finir le projet par cause de budget limité. Je comprends bien qu'il faut rester créatif pour attirer des talents, et qu'un cadre trop rigide ( voir militaire ) va vite les faire partir ( surtout vu que c’est moins bien payé qu'un taf dans le privé et en général un chouia plus administratif et rébarbatif, et qu'il est toujours temps de revenir dans le public plus tard dans sa carrière, après avoir vu des choses ailleurs ).

  • # MAVZI (MultideskOS antivirus Zino Implementation)

    Posté par  (site web personnel) . Évalué à 10.

    Couplé à Zino et à MultideskOS, ce futur anti-virus sera sans doute très prometteur sur le papier.

    Surtout si c'est moitié open source, moitié proprio, ça prendra le meilleur des deux monde : l'ouverture de l'open source, et le code sécurisé (car non lisible par n'importe quel pirate) du logiciel proprio :)

    Je vais de ce pas l'installer sur un parpaing, qui par défault « interdit d'exécuter tout ce qui n’est pas permis », ça fera la paire.

    En clair, équipé de Davfi, l’Iran n’aurait pas vu son programme nucléaire ralenti par le virus Stuxnet.

    heu, ça comme argument, c'était plutôt top, surtout pour un produit occidental. « Équipé de MAVZI, Ben Laden n'aurait pas été arrêté par la CIA » c'en est un autre ?

    « I approve of any development that makes it more difficult for governments and criminals to monopolize the use of force. » Eric Raymond

  • # Une précision…

    Posté par  . Évalué à 9.

    Pour rendre à César ce qui est à César, le journal est un gros copié/collé d’un article de France24 : Davfi, l’intraitable antivirus français ?

  • # Davfi, le premier antivirus libre français.

    Posté par  . Évalué à 7.

    Donc en gros, c'est du pipi de chat. C'est pas le premier français, il n'est pas libre, c'est que du vent et de la gonflette verbale sans code derrière, sans réel concept, et sans base technique fiable. C'était donc super intéressant :-)

  • # Une précision de plus

    Posté par  (site web personnel) . Évalué à 2.

    Je suis tombé sur ça, ou un des developpeurs du projet rappelle des bases.
    http://cvo-lab.blogspot.fr/2013/02/davfi-mise-au-point.html

    Par exemple, le projet ne va pas révolutionner grand chose, contrairement à ce que disent les journalistes.

    Et il reproche aux entités commerciales de ne pas jouer le jeu en gardant les samples jalousement. J'espére donc que le projet Davfi, une fois qu'il aura du code et des malwares, va faire le contraire et publier l'un et l'autre, afin que non seulement l'état, mais également tout un chacun puisse en bénéficier. Il est évident que faire le contraire serait un peu hypocrite, bien plus que les sociétés privés qui elles n'ont pas de vocation à la philanthropie.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.