Une bombe est sortie ce 14 Décembre : un développeur de la couche IPsec d'OpenBSD indique que le FBI a payé des développeurs libres pour mettre des backdoor qui permettent de regarder ce qui passe dans les échanges par VPN.
Les faits remonteraient à 2000/2001, et la couche IPsec a depuis été reprise dans d'autres systèmes d'exploitation...
Ceci vient d'être divulgué par Theo de Raadt qui a reçu un courriel d'un de ces développeurs, qui avait signé un NDA de 10 ans avec le FBI. Il n'a pas du tout vérifié la véracité de ce message, mais invite les développeurs à jeter un œil neuf à leur code pour s'en assurer.
Le site où j'ai pêché l'information :
http://www.phoronix.com/scan.php?page=news_item&px=ODkxM(...)
Le courriel publié par Theo :
http://permalink.gmane.org/gmane.os.openbsd.tech/22557
Journal Backdoor dans OpenBSD ?
15
déc.
2010
# Show us the code ?
Posté par dave . Évalué à 5.
Systemd, the bright side of linux, toward a better user experience and on the road to massive adoption of linux for the desktop.
[^] # Re: Show us the code ?
Posté par marahi . Évalué à 10.
[^] # Re: Show us the code ?
Posté par dave . Évalué à 10.
Systemd, the bright side of linux, toward a better user experience and on the road to massive adoption of linux for the desktop.
[^] # Re: Show us the code ?
Posté par DLFP est mort . Évalué à 6.
Et même propagée dans d'autres systèmes, sûrement très nombreux vu le code en BSD.
DLFP >> PCInpact > Numerama >> LinuxFr.org
[^] # Re: Show us the code ?
Posté par tuXico . Évalué à 0.
Quel désaveu !!!
[^] # Re: Show us the code ?
Posté par bubar🦥 (Mastodon) . Évalué à 10.
Et vu le nombres de boites fourguant des applicances sous (ou dérivé de OpenBSD), sans même que les clients ne soient au courant, je connais quelques ingénieurs réseaux qui doivent chier dans leur froc actuellement.
Mais perso je ne le prends pas pour un désaveu à l'égard d'OpenBSD, plutot une publicité formidable pour le FBI. Car arriver à coller des bouts de code qui ont l'air de rien lors des relectures, qui ne sont pas obfusqués, mais qui supportent donc un certain type "d'appel" permettant de mettre en route des fonctionnalités cachées, ce n'est plus que du code, c'est du grand art.
[^] # Re: Show us the code ?
Posté par Krunch (site web personnel) . Évalué à 10.
> qui ne sont pas obfusqués, mais qui supportent donc un certain type
> "d'appel" permettant de mettre en route des fonctionnalités cachées,
> ce n'est plus que du code, c'est du grand art.
C'est effectivement très joli à voir : http://underhanded.xcott.com/
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: Show us the code ?
Posté par reno . Évalué à 4.
Du grand art, oui, mais ce n'est pas impossible: il y a même un concour basé sur ce sujet: codé en C quelque-chose qui semble correct mais ne l'est pas.
La sémantique du C étant assez pourrie (variables non-itialisées par défaut, non-détection des débordements entier, des débordements de tableaux), les meilleures entrées dans le concours sont excellentes!
En Ada, ce serait déjà plus difficile..
[^] # Re: Show us the code ?
Posté par rewind (Mastodon) . Évalué à 3.
# Les chinois du FBI...
Posté par patrick_g (site web personnel) . Évalué à 10.
Bon pour l'instant c'est juste des mails donc il faut bien se garder de conclure quoi que ce soit. Je me doute que les devs OpenBSd vont soigneusement regarder leur code pour tout passer au peigne fin.
Si il s'avère qu'il y a bien une ou des backdoors ("a number of backdoors and side channel key leaking mechanisms") il faudra s'interroger sur le fait que ce soit resté présent dans le code depuis l'an 2000 sans que personne ne remarque quoi que ce soit.
Affaire potentiellement passionnante et trollifère !
[^] # Re: Les chinois du FBI...
Posté par jemore . Évalué à 10.
[^] # Re: Les chinois du FBI...
Posté par pasBill pasGates . Évalué à -10.
Mais bon, il faut encore attendre confirmation, pour l'instant ce n'est qu'un e-mail.
[^] # Re: Les chinois du FBI...
Posté par Maclag . Évalué à 10.
(et oui, le FUD, ça peut se faire dans tous les sens...)
Ici, il y a au moins une bonne chose à retenir: Theo de Raadt, malgré tout ce qu'on peut dire sur son caractère, continue à jouer la carte de l'ouverture et informe publiquement qu'il y a un souci potentiel.
C'est très respectable.
Microsoft en aurait-il fait autant ou aurait-on vu passer un patch corrigeant plusieurs vulnérabilités dont certaines non mentionnées?
Bref, le "mythe", comme tu dis, ce n'est pas que le code est sûr parce qu'il est ouvert, c'est il est plus sûr parce qu'il est ouvert. Un petit mot qui change tout!
[^] # Re: Les chinois du FBI...
Posté par pasBill pasGates . Évalué à -8.
(et oui, le FUD, ça peut se faire dans tous les sens...)
Ben ca aurait ete la meme chose, au final ici cela n'a ete decouvert que parce qu'une des personnes ayant participe a decide de parler.
Ici, il y a au moins une bonne chose à retenir: Theo de Raadt, malgré tout ce qu'on peut dire sur son caractère, continue à jouer la carte de l'ouverture et informe publiquement qu'il y a un souci potentiel.
C'est très respectable.
Tout a fait
Microsoft en aurait-il fait autant ou aurait-on vu passer un patch corrigeant plusieurs vulnérabilités dont certaines non mentionnées?
Ben c'est simple tu sais, quand on sort un patch, dans les 48h des centaines de gens l'ont desassemble et ont compris chaque ligne du code qui a change (c'est la raison pour laquelle on essaie de trouver les variantes de la faille originelle avant de sortir le patch, sinon les gens voient ce qui s'est passe, et vont a la peche dans la zone alentour), bref, cacher un changement dans un patch est chose impossible.
Bref, le "mythe", comme tu dis, ce n'est pas que le code est sûr parce qu'il est ouvert, c'est il est plus sûr parce qu'il est ouvert. Un petit mot qui change tout!
Tout a fait, mais ca reste un mythe.
[^] # Re: Les chinois du FBI...
Posté par JGO . Évalué à 10.
>> est plus sûr parce qu'il est ouvert.
> Tout a fait, mais ca reste un mythe.
Bof. Comme tu as constaté dans cette affaire, quand l'informateur envoie un mail à un chef de projet qui se trouve être une figure du libre, il se produit le suivant : « full-disclosure – we believe in it » ; ça fait partie du mode de pensée de ces gens.
Par comparaison, si l'informateur envoyait le mail à un chef de projet qui est un employé d'une boite proprio, cette personne a le choix d'ignorer le problème, ou de mentir à son informateur en disant qu'ils regardent attentivement, puis d'étouffer l'affaire. En admettant que l'information passe au manager, l'information étant « un type nous a dit qu'il y a 10 ans il a existé une vulnérabilité dans notre stack de sécurité IP, mais on ne sait pas ce que sait », il y a des chances pour que le manager dise d'oublier, ça a dû être découvert entre-temps, personne ne s'est plaint, personne d'autre n'est au courant, on ne veut pas donner mauvaise image du service ou autre raison du genre.
Je ne dis pas que tous les employés des boites proprio réagiraient comme ça, mais c'est une possibilité que je crois nettement moins probable chez les gens qui sont devenus leader de projets connus du libre. En conséquence de cette observation, le mode de développement ouvert ne peut conduire qu'à une meilleure prise en compte des failles.
[^] # Re: Les chinois du FBI...
Posté par pasBill pasGates . Évalué à 1.
Par comparaison, si l'informateur envoyait le mail à un chef de projet qui est un employé d'une boite proprio, cette personne a le choix d'ignorer le problème, ou de mentir à son informateur en disant qu'ils regardent attentivement, puis d'étouffer l'affaire
Ha, dans les 2 cas la personne qui est alertee a le choix d'etouffer ou pas la chose. Dans les 2 cas la personne qui alerte a le choix d'alerter d'autres personnes parties au projet ou pas.
Il n'y a aucune difference la dessus
[^] # Re: Les chinois du FBI...
Posté par JGO . Évalué à 5.
> ou pas la chose. Dans les 2 cas la personne qui alerte a le choix
> d'alerter d'autres personnes parties au projet ou pas.
> Il n'y a aucune difference la dessus
Tu as raison, mais les personnes qui travaillent un bon moment dans le libre, en particulier les leaders connus, sont sélectionnés pour penser que la publication est une bonne chose. Je ne pense pas avoir besoin de te pointer les pages utiles chez OpenBSD ou Debian. La philosophie généralement partagée, c'est qu'il faut communiquer les problèmes, au moins dans un premier temps sur une mailing-list interne. C'est une obligation éthique retenue sur plusieurs projets. Or les gens qui contribuent sur de longues périodes à de tels projets, voire les créent ou en gravissent les échelons, s'engagent de la sorte parce qu'ils sont plus ou moins en accord avec a philosophie du projet. Quand ils ne sont pas en accord avec la philosophie du libre ou les règles du projet, ils vont ailleurs ou se font éjecter.
Au contraire, les gens qui posent candidature chez Microsoft ne sont pas sélectionnés sur le critère de compatibilité avec l'état d'esprit de vouloir communiquer le plus possible et publier ouvertement le plus possible. Or si les gens ne sont pas sélectionnés sur ce critère, il est probable qu'un nombre non négligeable aura d'autres priorité.
[^] # Re: Les chinois du FBI...
Posté par pasBill pasGates . Évalué à 2.
Il y a des dizaines de milliers de projets libre, c'est cet ensemble qu'il faut voir
Au contraire, les gens qui posent candidature chez Microsoft ne sont pas sélectionnés sur le critère de compatibilité avec l'état d'esprit de vouloir communiquer le plus possible et publier ouvertement le plus possible. Or si les gens ne sont pas sélectionnés sur ce critère, il est probable qu'un nombre non négligeable aura d'autres priorité.
Publier ouvertement non, etre honnete et strict au niveau de l'ingeniere par contre certainement, sans oublier qu'au final on a tous notre fierte en tant qu'ingenieurs, de la meme maniere que les devs qui font du libre.
Croire que juste parce que tu fais du proprio alors tu passes tous les trucs sous le tapis est completement faux et legerement insultant hein...
[^] # Re: Les chinois du FBI...
Posté par Tonton Th (Mastodon) . Évalué à 10.
Dans le monde de l'informatique "marchande", tu as trop souvent un directeur marketing (qui a promis le machin au client) qui commande un directeur technique (qui voudrait bien faire de la technique propre) qui commande un chef de projet (qui veut garder sa place, parce qu'il fait chaud au bureau) qui impose au c0d4z de ne pas se focaliser sur les tests unitaires parce que "ça prend du temps, et faut livrer, là, de suite, laisse tomber !".
C'est la vraie vie des PME, ça.
[^] # Re: Les chinois du FBI...
Posté par El Titi . Évalué à 8.
Ben c'est simple tu sais, quand on sort un patch, dans les 48h des centaines de gens l'ont desassemble et ont compris chaque ligne du code qui a change (c'est la raison pour laquelle on essaie de trouver les variantes de la faille originelle avant de sortir le patch, sinon les gens voient ce qui s'est passe, et vont a la peche dans la zone alentour), bref, cacher un changement dans un patch est chose impossible.
Mais pourquoi cacher le code alors ?
Des bonnes volontés vous aident et vous faites tout pour leur mettre des bâtons dans les roues.
Quel hypocrisie !
Justifier la sécurité par la revue de code d'autrui et dans le même temps en faire des délinquants.
[^] # Re: Les chinois du FBI...
Posté par pasBill pasGates . Évalué à 1.
Justifier la sécurité par la revue de code d'autrui et dans le même temps en faire des délinquants.
J'ai justifie ca par la revue de code d'autrui par desassemblage ? Non j'ai dit que cela arrive.
On a des milliers et des milliers de gens dans et hors de MS qui ont permission de lire le code qui le lisent aussi, notamment une grande partie des gouvernements de cette planete.
[^] # Re: Les chinois du FBI...
Posté par El Titi . Évalué à 2.
J'ai justifie ca par la revue de code d'autrui par desassemblage ? Non j'ai dit que cela arrive.
1 commentaire plus haut:
Ben c'est simple tu sais, quand on sort un patch, dans les 48h des centaines de gens l'ont desassemble et ont compris chaque ligne du code qui a change
Laisse tomber, tu t'es foiré sur ce coup là !
[^] # Re: Les chinois du FBI...
Posté par pasBill pasGates . Évalué à 0.
[^] # Re: Les chinois du FBI...
Posté par galactikboulay . Évalué à 8.
[^] # Re: Les chinois du FBI...
Posté par pasBill pasGates . Évalué à -3.
Quand a une histoire de doute, c'est pas tres important au final que le code soit ouvert ou pas, quand t'as des jouets genre IDA Pro, le code binaire desassemble devient incroyablement facile a lire.
[^] # Re: Les chinois du FBI...
Posté par galactikboulay . Évalué à 8.
Pour le désassemblage, j'utiliserais pas le terme "incroyablement facile" (surtout si tu n'as pas de table de symboles). Avoir le code source facilite quand même largement le travail d'audit.
En tout cas, je souligne aussi l'attitude de Theo de Raadt, qui si il est parfois un peu brut de décoffrage, a joué la transparence totale.
[^] # Re: Les chinois du FBI...
Posté par DLFP est mort . Évalué à 2.
DLFP >> PCInpact > Numerama >> LinuxFr.org
[^] # Re: Les chinois du FBI...
Posté par pasBill pasGates . Évalué à -1.
a) Se faire de l'argent avec des societes genre TippingPoint
b) Se faire de la pub car ils sont consultants securite
c) Ils bossent au KGB/NSA/Chinois/... et ont un boss qui veut savoir ce que Mme Clinton a fait au lit avec Bill (c'est a dire rien)
d) Ils bossent pour la mafia ou autres criminels
e) Rarement, ils font ca pour se marrer
[^] # Re: Les chinois du FBI...
Posté par DLFP est mort . Évalué à 5.
Ta diversion est gentille, ça ne change pas le fait que c'est dix fois plus dur.
DLFP >> PCInpact > Numerama >> LinuxFr.org
[^] # Re: Les chinois du FBI...
Posté par pasBill pasGates . Évalué à -1.
[^] # Re: Les chinois du FBI...
Posté par zebra3 . Évalué à 7.
Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur
[^] # Re: Les chinois du FBI...
Posté par campagnard . Évalué à 7.
[^] # Re: Les chinois du FBI...
Posté par moules . Évalué à 10.
majoritaires parce qu'on est mieux » mais « on est mieux parce qu'on est
majoritaires ».
[^] # Re: Les chinois du FBI...
Posté par pasBill pasGates . Évalué à 1.
[^] # Re: Les chinois du FBI...
Posté par Krunch (site web personnel) . Évalué à 3.
Tu utilises quoi comme BIOS libre ?
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: Les chinois du FBI...
Posté par DLFP est mort . Évalué à 9.
Ce n'est pas parce que ton système n'est pas assurément 100% sécurisé qu'il ne faut pas essayer. Sinon autant laisser la porte de mon appartement grande ouverte parce que de toute façon des gens savent crocheter la serrure.
DLFP >> PCInpact > Numerama >> LinuxFr.org
[^] # Re: Les chinois du FBI...
Posté par moi1392 . Évalué à 8.
Mme Clinton coucherait avec Bill Gates? Ça c'est de l'info de première importance! Même wikileaks n'a pas fait mieux.
[^] # Re: Les chinois du FBI...
Posté par ʭ ☯ . Évalué à -2.
⚓ À g'Auch TOUTE! http://afdgauch.online.fr
[^] # Re: Les chinois du FBI...
Posté par niconoe . Évalué à 2.
[^] # Re: Les chinois du FBI...
Posté par Frank-N-Furter . Évalué à 2.
Depending on the time of day, the French go either way.
[^] # Re: Les chinois du FBI...
Posté par 2PetitsVerres . Évalué à 2.
Tous les nombres premiers sont impairs, sauf un. Tous les nombres premiers sont impairs, sauf deux.
[^] # Re: Les chinois du FBI...
Posté par moi1392 . Évalué à 0.
Tu ce que tu peux en déduire c'est qu'aucune personne qui l'aurait publié n'a rien vu. Il est tout à fait possible des des organisations/gouvernement s'en soient rendu compte et qu'ils utilisent en interne une version corrigée et n'aient rien annoncé pour pouvoir se servir eux aussi de la faille.
PS: t'es fâché avec les accent? ou t'as un problème de configuration de clavier qui crée des caractères illisible à la place des accents?
[^] # Re: Les chinois du FBI...
Posté par cram51 . Évalué à 6.
Mais c'est illégale ... Alors comment faire pour ne pas se retrouver complètement en dehors de la loi ?
J'imagine le tableau :
- y a un problème dans votre code : y un une faille
- super merci ... mais comment vous le savez ?
- Bein j'ai desassemblé.
- Mais c'est illégale ! On vous envoie la police et on va vous demander des sous pour violation de licence. Mais merci pour votre contribution.
:D
[^] # Re: Les chinois du FBI...
Posté par pasBill pasGates . Évalué à -1.
Quand a ton scenario, ca fait plus de dix ans qu'on nous rapporte de temps en temps des failles comme ca, j'ai encore vu personne aller en prison pour ca, au contraire ils finissent tous avec un acknowledgement dans le bulletin ce qui aide leur carriere.
[^] # Re: Les chinois du FBI...
Posté par peikk0 . Évalué à 5.
[^] # Re: Les chinois du FBI...
Posté par pasBill pasGates . Évalué à 0.
[^] # Re: Les chinois du FBI...
Posté par Tonton Th (Mastodon) . Évalué à 3.
[^] # Re: Les chinois du FBI...
Posté par hocwp (site web personnel) . Évalué à 5.
[^] # Re: Les chinois du FBI...
Posté par zebra3 . Évalué à 3.
Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur
[^] # Re: Les chinois du FBI...
Posté par cram51 . Évalué à 3.
J'ai peut etre mal compris ce qui est marqué dans le cluff mais moi j'avais compris que non. C'est interdit un point c'est tout. Maintenant il faudrait que je le relise, j'ai peut etre effectivement loupé un point important. Cela dit n'ayant aucune envie d'aider un système que je n'utilise plus, je ne vais pas perdre mon temps à ca. (et de toutes facons, encore faudrait il que j'en ai les compétences. Ce qui est loin d'être le cas.)
>J'ai encore vu personne aller en prison pour ca,
Encore heureux. :D Mon sénario est une caricature. Mais je trouve qu'il montre bien l'absurdité de la situation : les gens voulant aider doivent se mettre dans l'illégalité pour le faire ... ( si, comme je le dit juste au dessus, c'est bien moi qui ai raison concernant le cluff)
[^] # Re: Les chinois du FBI...
Posté par pasBill pasGates . Évalué à 2.
[^] # Re: Les chinois du FBI...
Posté par Moonz . Évalué à 10.
[^] # Re: Les chinois du FBI...
Posté par cram51 . Évalué à 6.
Comme ca, celui qui fait chier, s'il est asser petit, on agite le drapeau du procès et il s'écrase en se disant : "j'ai raison mais j'ai pas moyen de payer un procès et si en plus je le perd, je suis mort"
[^] # Re: Les chinois du FBI...
Posté par pasBill pasGates . Évalué à 2.
[^] # Re: Les chinois du FBI...
Posté par Sébastien B. . Évalué à 2.
[^] # Re: Les chinois du FBI...
Posté par pasBill pasGates . Évalué à 0.
[^] # Re: Les chinois du FBI...
Posté par dinomasque . Évalué à 4.
N'eut-il pas été plus avantageux que Microsoft mutualise ce second coût pour fournir à tous ses clients en France des contrats conformes au droit français ?
BeOS le faisait il y a 20 ans !
[^] # Re: Les chinois du FBI...
Posté par pasBill pasGates . Évalué à -1.
[^] # Re: Les chinois du FBI...
Posté par dinomasque . Évalué à 4.
BeOS le faisait il y a 20 ans !
[^] # Re: Les chinois du FBI...
Posté par Gniarf . Évalué à 6.
donc euh "ça s'est pas vu pendant 20 ans c'est que tout va bien" en gros non.
[^] # Re: Les chinois du FBI...
Posté par zebra3 . Évalué à 3.
Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur
[^] # Re: Les chinois du FBI...
Posté par pasBill pasGates . Évalué à 1.
XP au cours de sa carriere : probablement 400-500 millions au moins
Tu ajoutes a ca Office, Exchange, SQL Server, Win95, etc...
La part de la France la-dedans ? Certainement au moins 5% je dirais --> 400 millions de licences de par le monde = 20 millions en France hein, et MS en a vendu largement plus de 400 millions...
[^] # Re: Les chinois du FBI...
Posté par briaeros007 . Évalué à 3.
Microsoft se vantait d'avoir vendues plein de licence "vista", pourtant une tonnes de personnes étaient sous XP.
En imposant de force leur licence sur les nouveaux pcs, ils vendaient une licence vista. Et pas grave si le gars derrière foutait son os.
Plus marrant encore: dans de grand groupes, ils achètent des pcs avec une licence OEM valide (dernièrement j'ai vu passer des portables avec un seven pré installé itou itou).
Ok ca fait une licence...
Sauf que derrière, la dsi fout leur souche windows ... XP \o/
[^] # Re: Les chinois du FBI...
Posté par pasBill pasGates . Évalué à 1.
Le nombre de licences Vista etait de loin inferieur aux licences XP, regardes meme aujourd'hui, avec 250 millions vendues pour 7, il est a 20% , et il a deja depasse Vista pourtant.
Plus marrant encore: dans de grand groupes, ils achètent des pcs avec une licence OEM valide (dernièrement j'ai vu passer des portables avec un seven pré installé itou itou).
Ok ca fait une licence...
Sauf que derrière, la dsi fout leur souche windows ... XP \o/
Ah ca, des idiots il y en a partout hein...
[^] # Re: Les chinois du FBI...
Posté par briaeros007 . Évalué à 1.
Il met tout dans le domaine public maintenant ?
(oui je te taquine là ;) )
[^] # Re: Les chinois du FBI...
Posté par pasBill pasGates . Évalué à 2.
[^] # Re: Les chinois du FBI...
Posté par cram51 . Évalué à 2.
Pour ma culture, c'est quoi ce truc la ?
[^] # Re: Les chinois du FBI...
Posté par pasBill pasGates . Évalué à 2.
[^] # Re: Les chinois du FBI...
Posté par briaeros007 . Évalué à 3.
Et ce n'est pas comme si des doubles compatibilités n'existaient pas, alors des doubles contrats , voir des clauses non écrites, ca peut exister aussi...
[^] # Re: Les chinois du FBI...
Posté par patrick_g (site web personnel) . Évalué à 10.
Bah non. Même si ça se confirme ça ne pourra pas remettre en cause le fait qu'avoir un code ouvert donne un code plus sûr puisque qu'on ne pourra toujours pas comparer avec le code non ouvert. On se saura pas si, même avec cette backdoor, le code est "plus" ou "moins" sûr que celui de Windows par exemple.
Cela remettra juste en cause le fait que ça donne un code complètement sûr (mais personne n'avais jamais prétendu ça de toute façon).
[^] # Re: Les chinois du FBI...
Posté par pasBill pasGates . Évalué à 4.
La pratique : Des failles ont ete (si c'est avere) inserees dans le code il y a 10 ans, et en 10 ans personne n'a rien vu
Bref, on va dire que la theorie est tres tres loin de la pratique hein. Ce qui est possible ne vaut rien si cela n'est jamais applique et prouve.
Et on ne va pas me dire que c'etait un bout de code anodin, on parle d'IPSEC, un composant de securite, il y a pas grand chose de plus important a auditer qu'un composant de ce type dans un OS.
[^] # Re: Les chinois du FBI...
Posté par galactikboulay . Évalué à 10.
Code proprio, backdoor énorme (username: admin, password: !admin). Est-ce que ça pourrait arriver dans un OS libre ? Peut-être, mais avec une probabilité largement moindre je pense.
[^] # Re: Les chinois du FBI...
Posté par pasBill pasGates . Évalué à -1.
Tu paries que cela est possible dans un soft libre obscur ?
[^] # Re: Les chinois du FBI...
Posté par Tonton Th (Mastodon) . Évalué à 4.
Laquelle appliance permettrait quand même d'être très près de nombreuses données potentiellement de grande valeur.
[^] # Re: Les chinois du FBI...
Posté par pasBill pasGates . Évalué à -1.
[^] # Re: Les chinois du FBI...
Posté par gnumdk (site web personnel) . Évalué à 10.
Du code sans importance, j'en écrit souvent, et tu t'imagines même pas le nombre de personne qui lisent mon code, le nombre de mail avec patch ou proposition de faire le patch...
Donc, bref, le code source ne permet pas de rendre un soft sans faille/backdoor/... Mais ca aide, c'est sur...
[^] # Re: Les chinois du FBI...
Posté par Gniarf . Évalué à 10.
t'es nouveau, ici, toi, non ?
[^] # Re: Les chinois du FBI...
Posté par pasBill pasGates . Évalué à 1.
Insere une backdoor dans ton code (de maniere discrete donc, pas avec un gros BACKDOOR ecrit au dessus), regarde combien de temps cela prend avant que quelqu'un s'en rende compte.
[^] # Re: Les chinois du FBI...
Posté par galactikboulay . Évalué à 4.
[^] # Re: Les chinois du FBI...
Posté par pasBill pasGates . Évalué à 1.
[^] # Re: Les chinois du FBI...
Posté par lolop (site web personnel) . Évalué à 5.
"""
Et je n'me suis pas rendu compte que la seule chose qui compte
C'est l'endroit où c'qu'elle tombe
"""
Votez les 30 juin et 7 juillet, en connaissance de cause. http://www.pointal.net/VotesDeputesRN
[^] # Re: Les chinois du FBI...
Posté par moules . Évalué à 2.
>
> Et je n'me suis pas rendu compte que la seule chose qui compte
>
> C'est l'endroit où c'qu'elle tombe
>
> """
Boris Vian <3 (pour ma confiture).
[^] # Re: Les chinois du FBI...
Posté par reno . Évalué à 1.
https://launchpad.net/ubuntu/+bug/34606
[^] # Re: Les chinois du FBI...
Posté par daimrod . Évalué à 5.
(---->[])
[^] # Re: Les chinois du FBI...
Posté par Le Pnume . Évalué à 10.
[^] # Re: Les chinois du FBI...
Posté par pasBill pasGates . Évalué à 6.
[^] # Re: Les chinois du FBI...
Posté par Geo Vah . Évalué à 2.
La Théorie c’est quand ça ne marche pas mais que l’on sait pourquoi.
La Pratique c’est quand ça marche mais qu’on ne sait pas pourquoi.
Quand la théorie rejoint la pratique ça ne marche pas et on ne sait pas pourquoi.
[^] # Re: Les chinois du FBI...
Posté par Tonton Th (Mastodon) . Évalué à 2.
Conclusion :
For the first tests, always use a scratch monkey.
[^] # Re: Les chinois du FBI...
Posté par ZeroHeure . Évalué à 6.
Avec du code fermé, en théorie je dois faire confiance à Microsoft pour corriger le code quand la porte dérobée est découverte.
Avec du code ouvert, en pratique je peux vérifier qu'ils ont bien corrigé le code.
Même si tu n'as pas tout à fait tort: il est évident qu'il faut un bon niveau de code pour vérifier ou auditer un code source et qu'en pratique on fait confiance aux développeurs et à la communauté. Effectivement se pose un problème de confiance (si ça se trouve Théo est payé par les russes pour déstabiliser.. :-). Mais je pense que cet incident va permettre de changer nos pratiques.
"La liberté est à l'homme ce que les ailes sont à l'oiseau" Jean-Pierre Rosnay
[^] # Re: Les chinois du FBI...
Posté par dave . Évalué à -2.
Et si la faille/backdoor était ailleurs que dans le code concerné ?
Dans le compilateur C ? Dans une ligne de sed planquée au fin-fond d'un Makefile ?
Comment savoir si une backdoor ne peut pas être intégrée au code source, entre la phase de linkage, compilation, et non directement dans le code source.
De plus, je me dis que le fonctionnement un peu opaque du développement des BSD n'est pas pour facilité la confiance des utilisateurs.
Clairement, je préfère le modèle du Bazar où tout le monde peut contribuer, que celui où quelques développeurs, fussent-ils développeurs de logiciels libre sous licence BSD, ont la mainmise sur tout le système.
Systemd, the bright side of linux, toward a better user experience and on the road to massive adoption of linux for the desktop.
[^] # Re: Les chinois du FBI...
Posté par psychoslave__ (site web personnel) . Évalué à 3.
[^] # Re: Les chinois du FBI...
Posté par ecyrbe . Évalué à 1.
[^] # Re: Les chinois du FBI...
Posté par patrick_g (site web personnel) . Évalué à 7.
Je ne comprends pas cette phrase. En quoi le dev d'OpenBSD est-il opaque ? Tout est sur les serveurs donc tout le monde peut lire et relire le code.
C'est d'ailleurs pour ça que Theo a forké NetBSD à l'origine. Il voulait un modèle de dev complètement transparent.
[^] # Re: Les chinois du FBI...
Posté par jice (site web personnel) . Évalué à 2.
si c'est avéré je serai le premier à être d'accord avec toi, sinon c'est comme dire "hypothèse : selon les informations de untel, windows enverrait vos mots de passe et codes de CB à un tiers. cela reste à confirmer. conclusion : c'est incroyable que microsoft fasse des trucs comme ça, ils sont trop nuls, et les éditeurs d'antivirus aussi, etc.".
bref, tu ne peux pas construire une conclusion sur un chateau de sable...
[^] # Re: Les chinois du FBI...
Posté par DLFP est mort . Évalué à 4.
En revanche, tu n'as aucun moyen de voir si un code fermé est sûr.
DLFP >> PCInpact > Numerama >> LinuxFr.org
[^] # Re: Les chinois du FBI...
Posté par bubar🦥 (Mastodon) . Évalué à -1.
Il s'agit (il me semble ?) d'une translation sémantique : utiliser le verbe "donner" à la place du verbe "permettre", dans la phrase : >(...) avoir le code ouvert donne un code plus sur...
Avoir le code ouvert ne donne pas un code plus sûr. Il permet d'avoir un code plus sûr. C'est indiscutable, ça. Maintenant vient se greffer dessus forcément la problématique de l'organisation du travail sur un code ouvert. L'exemple ssl dans Debian, et celui ci dans OpenBSD, s'ils ne sont pas comparables en termes d'impacts ni de techniques, le sont sur ce point là : celui de l'organisation.
limite troll, mais pas d'intention ici :
Il est bien plus difficile de travailler sur un code ouvert que sur un code fermé. Mais c'est une difficulté indispensable aujourd'hui, dans les relations entre partenaires. Et c'est, ou cale devrait être, la plue-value indispensable d'une distribution à vocation commerciale : une relecture totale et complète du code. (donc pour faciliter la tache, un énorme travail directement en amont, avec et pour les projets). Ce que fait Redhat.
Enfin, là ça va être du moinssage sévère : c'est une backdoor du FBI, donc perso je m'en fiche comme de ma première chemise tant qu'elle n'est exploitable que par eux. Tout comme je me fiche d'une backdoor de la DST dans une box d'un fai par le biais d'un firmware sur une puce sagem. RAB. Ce sont pas des ennemis ces gens là, hein !
[^] # Re: Les chinois du FBI...
Posté par patrick_g (site web personnel) . Évalué à 10.
Si tu t'appelles EADS je doute que tu puisses considérer le FBI comme des copains et une backdoor créée par eux comme inoffensive.
C'est un coup à se faire piquer des infos sur les propositions commerciales sur le contrat des ravitailleurs de l'US Air Force ça ;-)
[^] # Re: Les chinois du FBI...
Posté par bubar🦥 (Mastodon) . Évalué à -1.
[^] # Re: Les chinois du FBI...
Posté par psychoslave__ (site web personnel) . Évalué à 3.
[^] # Re: Les chinois du FBI...
Posté par Victor STINNER (site web personnel) . Évalué à 10.
http://fr.wikipedia.org/wiki/Porte_d%C3%A9rob%C3%A9e#Affaire(...)
(je viens de modifier l'article pour ajouter HP MSA2000 et Cisco Unified Videoconferencing et ajouter des détails sur la tentative de backdoor Linux)
On voit par exemple qu'une backdoor a existé dans le logiciel propriétaire Interbase durant 7 ans, et la backdoor a été trouvée lors de l'ouverture du code source par son éditeur.
Au contraire, il y a eu la backdoir introduite dans le noyau Linux a été détectée en un jour à peine ! Pourtant la faille est très difficile à remarquer, même pour un programmeur C entrainé. Si j'ai bien compris, ce n'est pas les 2 lignes ajoutées à kernel/exit.c qui ont mis la puce à l'oreille, mais une incohérence entre le dépôt officiel (BitKeeper) et le miroir CVS. La faille a été introduite sur le serveur CVS en se faisant passer par David S. Miller (davem) et non pas dans le dépôt officiel (qui offrait une meilleur sécurité).
Ahem, ça contredit complètement que tu racontes pasBill pasGates.
[^] # Re: Les chinois du FBI...
Posté par Volnai . Évalué à 1.
Il faudrait peut-être vérifier l'info. J'ai lu que certaines personnes ayant un MSA2000 expliquent que c'est le login/pass par défaut, et qu'il est parfaitement possible de le changer...
[^] # Re: Les chinois du FBI...
Posté par Victor STINNER (site web personnel) . Évalué à 3.
« Update 11:23AM EST 12/15/2010 - SecurityWeek has received a statement from HP on the issue: "HP identified a potential security issue with the HP StorageWorks P2000 G3 only. This does not impact HP’s MSA line of storage solutions. HP has identified an immediate fix for this issue and is rapidly informing customers of the solution." »
http://www.securityweek.com/backdoor-vulnerability-discovere(...)
T'es sûr qu'on peut le modifier ? Pourquoi HP considère ça comme une faille de sécurité et va proposer un correctif dans ce cas ?
[^] # Re: Les chinois du FBI...
Posté par Volnai . Évalué à 1.
Je ne suis sur de rien, je n'ai pas de MSA sous la main. Mais j'ai lu ici et là des infos contradictoires sur le sujet, c'est pour ça que je suggérais de vérifier l'info. Ça me paraissait un peu tôt pour le mettre comme un fait avéré dans wikipedia, surtout compte tenu de la gravité du truc. D'ailleurs ce n'est toujours pas très clair : on parlait de MSA2000 au début, et maintenant HP part sur les P2000. Et je n'ai toujours pas vu de communiqué officiel de la part d'HP (bon j'ai pas trop cherché), que des infos de seconde main.
[^] # Re: Les chinois du FBI...
Posté par Victor STINNER (site web personnel) . Évalué à 4.
J'ai mis à jour l'article Wikipédia pour indiquer le modèle exact : http://fr.wikipedia.org/wiki/Porte_d%C3%A9rob%C3%A9e#HP_Stor(...)
[^] # Re: Les chinois du FBI...
Posté par pasBill pasGates . Évalué à 1.
Faut pas deconner quand meme, le code etait du genre :
if (blabla->uid = 0)
{
}
C'est un bug evident, et il n'a pas ete trouve par revue de code, mais du fait qu'il y avait une difference entre CVS.
Ahem, ça contredit complètement que tu racontes pasBill pasGates.
Du tout non, ca montre simplement que :
a) Tout le monde est capable de trouver une modification non attendue au code (devine quoi, si quelqu'un change mon composant ici, au prochain sync je le verrai a coup sur)
b) Tout le monde est capable de cacher des backdoors, meme le proprio
[^] # Re: Les chinois du FBI...
Posté par Tonton Th (Mastodon) . Évalué à 3.
{
}
Un vrai codeur paranoïaque écrit toujours
if (0 == blabla->uid)
[^] # Re: Les chinois du FBI...
Posté par galactikboulay . Évalué à 2.
[^] # Re: Les chinois du FBI...
Posté par lolop (site web personnel) . Évalué à 3.
Votez les 30 juin et 7 juillet, en connaissance de cause. http://www.pointal.net/VotesDeputesRN
[^] # Re: Les chinois du FBI...
Posté par Victor STINNER (site web personnel) . Évalué à 5.
Il arrive tellement souvent qu'on se trompe (écrire a=b au lieu de a==b dans un if), que les compilateurs devraient générer une erreur. Sauf que beaucoup de programmes utilisent une assignation dans un if pour économiser une ligne ... Je trouve ça malsain d'économiser une ligne, ça rend le code plus difficile à relire et donc à maintenir.
La grammaire de Python interdit une assignation dans un test : « if a=b: ... » génère une SyntaxError.
[^] # Re: Les chinois du FBI...
Posté par fabien . Évalué à 1.
while(item=getNextItem())
{
}
tu proposes quoi ?
[^] # Re: Les chinois du FBI...
Posté par Moonz . Évalué à 1.
for(item = getNextItem(); item; item = getNextItem()) {
}
[^] # Re: Les chinois du FBI...
Posté par moules . Évalué à 3.
[^] # Re: Les chinois du FBI...
Posté par Moonz . Évalué à 3.
Ben oui : en C, ce genre de répétition est courant, et pas toujours évitable (dans cet exemple du while oui). Si je suis en C, c’est que je me suis préparé à avoir ce genre de répétitions très légèrement irritantes parce que dans le contexte les avantages du C surpassent ce léger inconvénient.
[^] # Re: Les chinois du FBI...
Posté par moules . Évalué à 2.
[^] # Re: Les chinois du FBI...
Posté par Moonz . Évalué à 2.
float *data;
int width, height;
float avg = 0;
int pos, x, y;
for(y = 0, pos = 0; y < height; ++y, pos += pitch) {
for(x = 0; x < width; ++x, ++pos) {
moy += data[pos];
}
}
avg /= width * height;
for(y = 0, pos = 0; y < height; ++y, pos += pitch) {
for(x = 0; x < width; ++x, ++pos) {
data[pos] -= avg;
}
}
(oui, je sais, tu peux faire une macro, mais c’est encore plus moche)
[^] # Re: Les chinois du FBI...
Posté par moules . Évalué à 2.
pointeur de fonction qui va faire l'opération souhaitée pour chaque pixel !
[^] # Re: Les chinois du FBI...
Posté par Moonz . Évalué à 2.
[^] # Re: Les chinois du FBI...
Posté par moules . Évalué à 2.
utiliser les mêmes techniques de factorisation suivant la fréquence de
répétition, ce qui est répété, etc.
Et après effectivement, l'utilisation du point d'exclamation dans mon précédent
commentaire montrait que c'était dit avec un peu d'ironie, dans le sens où c'est
un peu overkill. Il y a effectivement des moments où ça complexifie plus
qu'autre chose de chercher à tout prix à éviter de réécrire deux fois le même
bout de code.
[^] # Re: Les chinois du FBI...
Posté par windu.2b . Évalué à 1.
[^] # Re: Les chinois du FBI...
Posté par daimrod . Évalué à 2.
Comme dans for (i = 0; ; ++i) {...} hein, tu n'initialises pas a -1.
[^] # Re: Les chinois du FBI...
Posté par moules . Évalué à 2.
implique d'écrire deux fois cette assignation, c'est laid.
[^] # Re: Les chinois du FBI...
Posté par zebra3 . Évalué à 3.
C'est bien la preuve que l'open source c'est mieux, ça n'aurait pas été possible avec du propriétaire.
CQFD.
Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur
[^] # Re: Les chinois du FBI...
Posté par pasBill pasGates . Évalué à 2.
La meme chose se serait produite chez nous.
[^] # Re: Les chinois du FBI...
Posté par briaeros007 . Évalué à 4.
D'ici là que le type qui c'est occupé de cette partie dans le temps a été muté/viré/démissionné... au bout de 10 ans.
Là, un type* un peu à cheval sur la sécu peut aller tout seul faire sa propre idée, retrouver les modifs etc...
Et on peu savoir ce qui a été fait (pas de mise à jour "obscure" qui corrige des bugs mais on sait pas lesquels), et donc ensuite vérifier quel a pu etre notre risque passé, quels infos ont pu fuiter etc...
*personne physique ou morale
[^] # Re: Les chinois du FBI...
Posté par boq . Évalué à 5.
If anything, the collaborative model we use should _decrease_ trust,
except, well, unless you compare it to the other model -- corporate
software -- where they don't even start from any position of trust.
[^] # Re: Les chinois du FBI...
Posté par herodiade . Évalué à 2.
Un mythe ? revenons au faits avérés alors.
L'attitude permise par la nature libre et non lucrative du projet est pourtant ici plutot responsable, et plus "securisante" que ce que pourrait se permettre une boite commerciale faisant du proprio. TdR envoie un mail pour faire part d'une incertitude, et suggère indirectement au grand public d'auditer. Il peux réagire ainsi parce que, entre autres :
o Il n'a pas de comptes à rendre à des actionnaires fachés par les rumeurs.
o Alerter le public : parce que le source étant dispo, les gens peuvent participer à l'audit.
o L'interet d'OpenBSD reste d'inciter les gens a auditer le code. Trojan ou pas, ça fera peut-être des contributions.
Dans la même situation, Bill Gates aurait-il caché le mail sous son tapis de souris (au risque de laisser les failles non corrigées) ou alerté le grand public ?
C'est tout ce qu'on peux dire à partir des seuls éléments factuels dont nous dispons (le mail de TdR),
PS: celà étant, je ne suis pas optimiste :
o OpenBSD restera entaché par le doute. On ne pourra pas prouver qu'il n'y a pas, ou plus de trojan, même si on ne trouve rien.
o Il est à craindre que pendant quelques temps, à chaque bug corrigé, le soupçon pèse sur auteur du bug.
o Si l'accusation était vérifiée, le plus attristant et choquant ne serait pas l'impureté du code d'OpenBSD (osef un peu au fond), mais d'avoir la preuve tangible qu'une grande institution américaine se serait permis ce genre d'intrusions (et supposer les utilisations que l'institution aurait pu faire d'une telle faille... super pour les libertés individuelles).
[^] # Re: Les chinois du FBI...
Posté par Frank-N-Furter . Évalué à 6.
Un backdoor.
Dans IPSec.
Tu t'es vu quand t'as bu?
Le grand public va prendre un bouquin sur le C, puis coder pendant une petite dizaine d’années histoire de ce construire les skills qui vont bien, et au passage se taper quelques textes bien chiants sur les réseaux, la crypto, et ensuite il va peut être pouvoir envisage d’auditer le code.
Faudrais voir a revenir sur terre, le logiciel libre garanti les libertés du codeur, pas de l’utilisateur lambda qui veut juste faire coucou a sa famille qui ce trouve a l’autre bout du monde, envoyer un mail de rupture, faire coucou sur facebook, et mater un film de boule.
Depending on the time of day, the French go either way.
[^] # Re: Les chinois du FBI...
Posté par houra . Évalué à 0.
- vérifier les entêtes et les retours des fonctions
- vérifier les headlers
tout en cherchant les incohérences.
ouaip en gros, facile.
le plus compliqué est de récupérer le code source.
le " grand public " , s'il voulait s'atteler à la tâche, finirait ptet moins con que les sempiternelles remarques sur " Mme Michu " qui justifient tout et n'importe quoi de la part de commerciaux ras-la-paquerette .
Sans rire, des codeurs qui sont capables de faire une revue de code C, il en existe des dizaines de milliers dans le monde, et :
- regarder le source d'IPSec
ou plutôt ( pas le chien ) :
- regarder les diffs de certaines dates
c'est vraiment pas la mer à boire.
et effectivement, le fait qu'un grand nombre de dév regardent le code permet de vérifier, même si, aux vues des mails en réponse, je suis de plus en plus certain que cette affaire n'est là que pour empêcher l'enquête sur les atteintes à la liberté d'expression lorsque TDR a clairement pris position contre la guerre en Irak.
Ces individus, en sortant ces conneries, veulent masquer toute enquête sur les raisons du retrait de la subvention d'OpenBSD pour la prise de partie de TDR à l'époque.
Sedullus dux et princeps Lemovicum occiditur
[^] # Re: Les chinois du FBI...
Posté par Moonz . Évalué à 3.
Une faille réseau, ça peut être quelque chose de bien plus subtil qu’un code évidemment faux, ça peut être un algorithme correctement implémenté mais mathématiquement faible. La faille DNS qui a fait du bruit il y a quelques temps en est un excellent exemple : le code fait ce qu’on lui demande (pas de bug ni de faille dans le bug lui-même), mais c’est ce qu’on lui demande qui peut être problématique.
[^] # Re: Les chinois du FBI...
Posté par Nicolas Boulay (site web personnel) . Évalué à 3.
C'est plutôt des "tests unitaires" avec un bon taux de couverture qu'il faudrait.
"La première sécurité est la liberté"
[^] # Re: Les chinois du FBI...
Posté par Moonz . Évalué à 6.
> La faille DNS était une faille de spec.
C’est bien ce que je dis : un code correct au regard de la spec peut très bien introduire une vulnérabilité.
Il faut voir que tu as souvent plusieurs algorithmes pour implémenter une spec. Quand la spec te dit « prenez un nombre aléatoire », tu as plusieurs manières de faire.
Mais certains algorithmes qui respectent la spec peuvent introduire des failles. L’exemple de debian et OpenSSL. En gros, la spec elle dit, « générez un nombre aléatoire. ». La version de debian a fait comme ça (c’est imagé hein) :
srand(getpid()); rand()
Ça respecte la spec. Un relecteur qui connaît le C, qui a la spec sous les yeux, il dira : OK, pas de faille introduite. Mais il y en a une : l’entropie de getpid() n’est pas assez grande.
On est encore là dans un cas simple, mais c’est juste pour dire que sans compétences en sécurité des réseaux et des chiffrements, non, un programmeur C lambda n’est pas forcément capable de reconnaître une faille ou une backdoor en regardant le code. Et même quelqu’un ayant de telles compétences risque d’avoir du mal si c’est plus évolué que srand(getpid()), sauf à faire une analyse en profondeur du code (ce qui prend du temps et/ou de l’argent).
[^] # Re: Les chinois du FBI...
Posté par Nicolas Boulay (site web personnel) . Évalué à 1.
C'est très facile de faire un test pour prouver que ton générateur est suffisant.
Ce n'est pas parce que tu as un nombre aléatoire que tu ne peux pas faire de tests. De plus, la plus part des nombres sont pseudo-aléatoires donc tu peux tout à fait reproduire un test en fixant la graine.
"La première sécurité est la liberté"
[^] # Re: Les chinois du FBI...
Posté par Guillaume Denry (site web personnel) . Évalué à 8.
Tu crois qu'analyser le code d'une stack IPSec, d'un générateur de nombres aléatoires devant garantir un certain taux d'entropie, que tout ça "n'est pas la mer" à boire pour des codeurs C ?
T'es développeur pro ?
[^] # Re: Les chinois du FBI...
Posté par Gniarf . Évalué à 0.
[^] # Re: Les chinois du FBI...
Posté par Littleboy . Évalué à 5.
[^] # Re: Les chinois du FBI...
Posté par Frank-N-Furter . Évalué à 3.
Depending on the time of day, the French go either way.
[^] # Re: Les chinois du FBI...
Posté par houra . Évalué à 2.
T'es développeur contre ?
Sedullus dux et princeps Lemovicum occiditur
[^] # Re: Les chinois du FBI...
Posté par briaeros007 . Évalué à 3.
Mais je sais que je ne peux pas le faire, je n'ai pas assez d'expérience (et ca m'intéresse pas trop).
Je sais conduire une voiture (mais si mais si), pourtant je battrais jamais sébastien loeb.
Il ne suffit pas d'avoir une légère connaissance technique pour réussir à faire.
[^] # Re: Les chinois du FBI...
Posté par houra . Évalué à 1.
Si personne ne court , combien ?
Zéro.
Sedullus dux et princeps Lemovicum occiditur
[^] # Re: Les chinois du FBI...
Posté par Guillaume Denry (site web personnel) . Évalué à 2.
[^] # Re: Les chinois du FBI...
Posté par Frank-N-Furter . Évalué à 2.
Depending on the time of day, the French go either way.
[^] # Re: Les chinois du FBI...
Posté par Gniarf . Évalué à 6.
[^] # Re: Les chinois du FBI...
Posté par houra . Évalué à 3.
Sedullus dux et princeps Lemovicum occiditur
[^] # Re: Les chinois du FBI...
Posté par DocteurCosmos . Évalué à 5.
[^] # Re: Les chinois du FBI...
Posté par psychoslave__ (site web personnel) . Évalué à 6.
Cela est du aux symboles identiques utilisés pour des sens différents, quelques exemples :
* a = b et a == b
* a & b, a && b, a = &b
* int *a, a = *b, a = b * c
C'est surtout un problème de perception visuel, sauf à sciemment se concentrer, on ne lie pas en déchiffrant symbole par symbole, mais par groupe, comme on lit des mots et pas une succession de lettres. Si en plus un commentaire à coté vient renforcer ce biais cognitif en te confortant dans l'idée que l'incantation de C que tu vois là fait bien ce que tu imagines, t'as encore moins de chance de la détecter.
Je doute que Dennis Ritchie avait ces problématiques cognitives en tête quand il à conçu C. À moins qu'il ait été payé par la NSA pour pondre un langage qui permettrait justement d'introduire facilement des backdoors grâce à sa syntaxe ambiguë (pour l'humain, s'entend).
Une syntaxe moins susceptible d'entraîner l'erreur pourrait être, par exemple à la place des usages du &:
* a and b (et logique)
* a & b (et logique bit à bit)
* a = @b (adresse de b)
Mais bon, maintenant c'est trop tard. :)
[^] # Re: Les chinois du FBI...
Posté par galactikboulay . Évalué à 4.
- La manipulation de buffers et de chaines de caractères (avec les erreurs de calcul sur
des longueurs de buffers, l'utilisation de fonctions dangereuses comme strcpy et autres...)
- La gestion du signed/unsigned
- Le traitement des erreurs
Pas tellement des problèmes de syntaxe.
[^] # Re: Les chinois du FBI...
Posté par psychoslave__ (site web personnel) . Évalué à 3.
[^] # Re: Les chinois du FBI...
Posté par Thomas Douillard . Évalué à 3.
C'est particulièrement bête quand la machine est potentiellement capable de limiter ces problèmes, ou le langage par construction ou une sémantique adaptée.
[^] # Re: Les chinois du FBI...
Posté par Zenitram (site web personnel) . Évalué à 2.
Est-ce unique à C?
En PHP, on a le droit a:
a = b et a == b et a === b
Et c'est un langage très utilisé...
[^] # Re: Les chinois du FBI...
Posté par oao . Évalué à 8.
[^] # Re: Les chinois du FBI...
Posté par Axioplase ıɥs∀ (site web personnel) . Évalué à 2.
Parce qu'après avoir audité ton code (ou l'avoir fait audité par quelqu'un en qui tu as confiance), tu crois vraiment que tu vas recommencer un audit tous les ans à Noël ?
Si tu ne détectes rien de louche après audit, ben, tu assumes que ça marche comme il faut…
[^] # Re: Les chinois du FBI...
Posté par kursus_hc . Évalué à 2.
# Dites moi...
Posté par pasBill pasGates . Évalué à 10.
Sur ce, je -->[]
[^] # Re: Dites moi...
Posté par El Titi . Évalué à 10.
[^] # Re: Dites moi...
Posté par Dorian . Évalué à 4.
« En fait, le monde du libre, c’est souvent un peu comme le parti socialiste en France » Troll
[^] # Re: Dites moi...
Posté par Victor STINNER (site web personnel) . Évalué à 2.
Je suppose que pasBill pasGates fait référence à ça.
[^] # Re: Dites moi...
Posté par zebra3 . Évalué à 4.
Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur
# Légalité du procédé?
Posté par Maclag . Évalué à 5.
Après tout, il s'agit d'un sabotage en bonne et due forme, mais comment le caractériser?
-Il faut d'abord prouver que la faille a été introduite volontairement. Ceci est admis puisque le dév responsable s'est dénoncé.
-Ensuite, il faut prouver que le FBI a bien "commandé" ces failles. Probablement déjà plus difficile...
-Enfin, quand un développeur est autorisé à commiter sur un projet libre, est-il lié par un contrat moral ou assimilé ou est-il accepté aux risques et périls du projet?
En tant qu'employé d'une entreprise, il y aurait certainement des suites, mais pour un bénévole?
[^] # Re: Légalité du procédé?
Posté par pasBill pasGates . Évalué à -1.
[^] # Re: Légalité du procédé?
Posté par Maclag . Évalué à 2.
[^] # Re: Légalité du procédé?
Posté par dyno partouzeur de drouate . Évalué à 4.
Autant tu peux très bien dire que tout logiciel est probablement sujet à des bugs et que tu ne garantis pas les conséquences d'un tel bug (mais il y a quand même des limites du genre négligence ou best effort par rapport à ce qu'on est en droit d'espérer).
Mais de là se protéger derrière ce genre de licence pour espérer ne pas être rendu responsable d'actes délictueux voire criminels perpétrés en toute connaissance de cause, il y a un monde.
[^] # Re: Légalité du procédé?
Posté par psychoslave__ (site web personnel) . Évalué à 4.
Et que devrait-on dire aussi des gens qui vendent des armes ? Que je sache ils ne sont pas responsable des usages qui en sont fait.
[^] # Re: Légalité du procédé?
Posté par lasher . Évalué à 2.
Si tu dis « je ne suis pas responsable de ce que mon programme peut faire à ton ordinateur » (et qu'il fait frire ton disque dur), ben tu peux demander réparations, parce que (par exemple hein) le programme était censé être un simple driver de carte son (et dans ce cas, pourquoi le driver touche-t-il au DD ?). Ça ne veut pas forcément dire que tu seras indemnisé/que tu auras gain de cause, parce que l'erreur peut se trouver plus « bas » dans la chaîne. Par exemple,j'ai souvenir d'une version de Mandrake/Mandriva qui rendait certains modèles de lecteurs CD-ROM inutilisables. Mandrake utilisait un bit pour demander au lecteur de se préparer à écrire quelque chose, et si le lecteur ne faisait pas graveur, alors une erreur se produisait, sinon la distrib savait qu'elle avait affaire à un graveur. C'était une exploitation astucieuse des standards. Sauf qu'un des fabricants de lecteurs-pas-graveurs de CD-ROM a eu l'idée géniale d'utiliser ledit bit pour activer la réécriture du firmware (mise à jour etc). Et du coup, paf le lecteur.
Dans ce cas, Mandrake n'est pas en cause, c'est le constructeur qui n'a pas respecté les standards (ou peut-être même les normes). Donc il y a bien un responsable, et ce n'est pas le mec qui a fait le soft.
Concernant les virus, les machins de rootkit et autres, de ce que j'ai cru comprendre, c'est effectivement considéré comment étant une « arme numérique »... Donc oui, celui qui étudie ça dans son coin a sans doute des comptes à rendre du point de vue de la loi (mais je suis pas juriste, tout ça). Tout autant que ceux qui utilisaient SSH au lieu de SSF à l'époque où les méthodes de chiffrement étaient encore limitées en France ...
[^] # Re: Légalité du procédé?
Posté par windu.2b . Évalué à 3.
Le NDA est un début de preuve : s'ils ont signé un contrat, c'est que le FBI a passé une commande. Ça ne dit sans doute pas noir sur blanc sur quoi ils ont travaillé, ni les backdoors qu'ils devaient ajouter, mais ça enlève l'excuse "ah mais non, on n'a jamais rien demandé à ce développeur, d'ailleurs on le connait pas !" pour le FBI.
[^] # Re: Légalité du procédé?
Posté par bubar🦥 (Mastodon) . Évalué à 2.
[^] # Re: Légalité du procédé?
Posté par zebra3 . Évalué à 2.
Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur
[^] # Re: Légalité du procédé?
Posté par marahi . Évalué à 3.
S'il y a NDA c'est qu'il y a contrat, avec des signataires, donc des noms, donc des personnes responsables et justiciables. Il ne s'agit pas ici de saboter un programme dans un but bien précis comme arrêter une personne particulière ou une organisation criminelle. Il s'agit du monde entier qui est potentiellement visé, tout le monde est coupable. Le pire, c'est qu'il y a quand même des administrations américaines qui utilisent OpenBSD pour gérer des données plus ou moins sensibles (probablement l'Armée US aussi ?), donc autant de cibles faciles pour des pirates ou des gouvernements plus ou moins chanceux, talentueux ou bien renseignés. Soit les gens du FBI qui ont fait ça sont complètement cons ou inconscients ou les deux (ça aurait été une agence de renseignement, on aurait compris mais là il s'agit du FBI, en théorie ce sont des civils dont le but est de protéger les civils et pas d'aller plus loin que ça), soit le jeu en valait vraiment la chandelle et que cela dépasse le cadre de simple utilisation de OpenBSD, un système d'exploitation à la diffusion plutôt confidentielle, en comparaison avec les mastodontes du marché.
Une chose est sûre, on n'est à l'abri nulle part et sur aucun OS, libre ou propriétaire.
[^] # Re: Légalité du procédé?
Posté par shbrol . Évalué à 0.
Et bien entendu, le contractant du FBI a mis son vrai nom sur le contrat...
[^] # Re: Légalité du procédé?
Posté par marahi . Évalué à 2.
On parle bien du FBI, pas de la CIA (qui a d'autres prérogative et qui est un peu au dessus des lois), et les États-Unis, on est d'accord, ce n'est pas un pays parfait, loin de là, mais ce n'est pas la Chine non plus. le Bureau Fédéral doit respecter les lois fédérales et à moins que les lois ne l'y autorise eh bien comme dans tous les pays qui se veulent libres et démocratiques, si le FBI a fait ça il doit en rendre des comptes devant la justice de son pays.
Mais voyons le bon côté des choses, si c'est illégal - je l'espère pour le peuple américain et pour la justice et la démocratie dans le monde - alors il y a probablement un bon paquet de fric à se faire pour le projet OpenBSD, de quoi se financer pour au moins une dizaine d'année.
[^] # Re: Légalité du procédé?
Posté par Krunch (site web personnel) . Évalué à 1.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: Légalité du procédé?
Posté par dinomasque . Évalué à 3.
Les plus rigoureux pourront aller vérifier cette affirmation sur Légifrance ou bien se contenter de croire Wikipédia.
BeOS le faisait il y a 20 ans !
[^] # Re: Légalité du procédé?
Posté par windu.2b . Évalué à 4.
"Enfin, s’agissant d’une infraction délictuelle, la prescription est de trois ans, le point de départ étant fixé au jour de la commission des faits eu égard à son caractère instantané. Mais au regard de la nature occulte de cette infraction, la jurisprudence a reculé ce point de départ « au jour où le délit est apparu et a pu être constaté dans les conditions permettant l’exercice de l’action publique » (Cass.crim10/08/1981).
Il en résultait une imprescriptibilité de l’infraction, ce qui a été fortement critiqué.
La Cour de cassation a, en conséquence, modifié sa jurisprudence dans un arrêt rendu par la Chambre criminelle en date du 5 mai 1997. Elle y énonce que « la prescription de l’action publique du chef d’abus de biens sociaux court, sauf dissimulation, à compter de la présentation des comptes annuels par lesquels les dépenses litigieuses sont mises à la charge de la société »."
Cf. ici : http://www.avocats-picovschi.com/la-reforme-de-l-abus-de-bie(...)
# Et si ?
Posté par Tonton Th (Mastodon) . Évalué à 9.
Dans le compilateur C ? Dans une ligne de sed planquée au fin-fond d'un Makefile ?
[^] # Re: Et si ?
Posté par octane . Évalué à 10.
La faille de sécurité, ça peut être un piège logique, indétectable lors de la lecture de code.
Prenons un exemple: le WEP. Sur la papier, ça se tient, le code est correct. Néanmoins, une erreur logique fait leaker un bout de la clé WEP à chaque paquet envoyé. Au final, bam, on lit ce qui se passe.
S'il se passe la même chose avec les VPNs, c'est problématique. Imaginons que chaque paquet fasse leaker un bout de clé car une obscure opération de hachage au fin fond d'un bout de code d'un include oublié dans un coin de disque un peu poussiéreux au fond d'une cave qui (bon j'arrête), et que cette fonction de hachage soit moisie.
-Le code est bon
-Les revues de code passent
-une recherche bourrin de faille ne donne rien.
Celui qui connait la faille peut, à un coût en calcul raisonnable, lire les données en clair -> Profit.
J'avais lu aussi que le FBI/NSA adorait péter les fonctions de génération aléatoires. Et ça c'est effectivement puissant. Tout passe, tout fonctionne, mais en quelques minutes de calcul, tu déchiffres absolument tout. (Non je ne parlerai pas de debian).
[^] # Re: Et si ?
Posté par palm123 (site web personnel) . Évalué à 2.
Et tout dépend de l'époque, il y a quelques années, des DSI expliquaient fièrement que tout était archi-sécurisé chez eux, ils avaient du WEP. Aujourd'hui ce genre de déclaration fait doucement marrer.
ウィズコロナ
[^] # Re: Et si ?
Posté par moules . Évalué à 8.
> Et tout dépend de l'époque, il y a quelques années, des DSI expliquaient
> fièrement que tout était archi-sécurisé chez eux, ils avaient du WEP.
> Aujourd'hui ce genre de déclaration fait doucement marrer.
Effectivement, maintenant tu as un DSI qui te dit « On a un parc de serveurs
ultra-sécurisé avec de l'OpenBSD », on te rit au nez.
[^] # Re: Et si ?
Posté par modr123 . Évalué à 1.
[^] # Re: Et si ?
Posté par DLFP est mort . Évalué à 5.
(plus sérieusement : pourquoi ? si ton système est bien, tu n'as pas besoin de le cacher pour être sécurisé)
DLFP >> PCInpact > Numerama >> LinuxFr.org
[^] # Re: Et si ?
Posté par Krunch (site web personnel) . Évalué à 7.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: Et si ?
Posté par zebra3 . Évalué à 5.
Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur
# ça allait fuiter...
Posté par liberforce (site web personnel) . Évalué à 5.
[^] # Re: ça allait fuiter...
Posté par Nicolas Blanco (site web personnel) . Évalué à 10.
# "Reflections on Trusting Trust"
Posté par ®om (site web personnel) . Évalué à 5.
http://cm.bell-labs.com/who/ken/trust.html
http://en.wikipedia.org/wiki/Backdoor_%28computing%29#Reflec(...)
blog.rom1v.com
[^] # Re: "Reflections on Trusting Trust"
Posté par khivapia . Évalué à 2.
On trouve parfois de drôle de trucs apparemment: http://it.slashdot.org/story/10/12/14/2032209/Hidden-Backdoo(...)
[^] # Tu retardes..
Posté par reno . Évalué à 3.
En utilisant un autre compilateur, on peut trouver le probleme:
http://www.dwheeler.com/trusting-trust/dissertation/html/wheeler-trusting-trust-ddc.html
[^] # Re: Tu retardes..
Posté par Nicolas Boulay (site web personnel) . Évalué à 3.
"La première sécurité est la liberté"
[^] # Re: Tu retardes..
Posté par El Titi . Évalué à 2.
Tu y'as pensé ?
Ils sont PARTOUT !
[^] # Re: Tu retardes..
Posté par 2PetitsVerres . Évalué à 8.
Tous les nombres premiers sont impairs, sauf un. Tous les nombres premiers sont impairs, sauf deux.
[^] # Re: Tu retardes..
Posté par Nicolas Boulay (site web personnel) . Évalué à 2.
"La première sécurité est la liberté"
# Et si le mail était faux ?
Posté par Misc (site web personnel) . Évalué à 7.
( celui de gregory perry ) ?
Y a pas de trace de signature GPG ni rien.
[^] # Re: Et si le mail était faux ?
Posté par Krunch (site web personnel) . Évalué à 2.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: Et si le mail était faux ?
Posté par Thomas Douillard . Évalué à 3.
# Il y a bien une faille
Posté par Denis Montjoie (site web personnel) . Évalué à 3.
<spender> you see that n--,buf++ change in 2001? :P
<spender> was the difference between always using only the first byte of entropy for its PRNG, and using the whole buffer that it was supposed to :p
Le commit avec la faille http://www.openbsd.org/cgi-bin/cvsweb/src/sys/dev/rnd.c.diff?r1=1.35;r2=1.36
Et le correctif http://ftp.openbsd.org/pub/OpenBSD/patches/2.8/common/017_rnd.patch
Donc en gros la faille a ete presente 1 an.
[^] # Re: Il y a bien une faille
Posté par Quzqo . Évalué à 2.
En outre, Jason Wright (au moins) n'est, à priori, pas responsable du commit.
[^] # Re: Il y a bien une faille
Posté par Victor STINNER (site web personnel) . Évalué à 4.
http://www.openbsd.org/cgi-bin/cvsweb/src/sys/dev/rnd.c
Revision 1.36: Thu Apr 13 13:48:29 2000 UTC (10 years, 8 months ago) by mickey
En 2000, son adresse mail était mickey@akula.com et sa signature était « paranoic mickey (my employers have changed but, the name has remained) ».
[^] # Re: Il y a bien une faille
Posté par FReEDoM (site web personnel) . Évalué à 4.
Pourquoi ? Cela fait 10 ans qu'il attend pour sortir ça de son chapeau pourquoi n'a -t-il pu, si il est de bonne foi, étayer ses propos ?
Le fameux Jason réponds aujourd'hui et si il n'est pas coupable des faits qui lui sont reprochés doit l'avoir bien en travers de la gorge... D'ailleurs, il l'exprime bien dans son mail. Pourquoi monsieur De Raadt ne l'a pas contacté pour qu'il est un droit de réponse ou au moins un moyen de s'expliquer et lui démontrer sa bonne foi... Theo est pourtant quelqu'un de très diplomate tout le monde le sait :)
Tout ça ressemble plus a des chamailleries de psychotiques. Espérons que des faits viennent étayer ou détruire ces évènements.
# ça ramène moins sa gueule chez Gcu-Squad !
Posté par Vincent (site web personnel) . Évalué à 6.
[^] # Re: ça ramène moins sa gueule chez Gcu-Squad !
Posté par Frank-N-Furter . Évalué à 8.
Depending on the time of day, the French go either way.
[^] # Re: ça ramène moins sa gueule chez Gcu-Squad !
Posté par Prae . Évalué à 6.
Mais vu qu'on est pareil à la squad, tu pourras passer sur le stand gcu de SL2011 avec ta bière et on en discutera tous sans problème.
(ps: prévois les capotes, pinpin en manque en ce moment..)
[^] # Re: ça ramène moins sa gueule chez Gcu-Squad !
Posté par FReEDoM (site web personnel) . Évalué à 2.
L'ignorant affirme, le savant doute, le sage réfléchi.
Aristote
[^] # Re: ça ramène moins sa gueule chez Gcu-Squad !
Posté par Victor STINNER (site web personnel) . Évalué à 4.
[^] # Re: ça ramène moins sa gueule chez Gcu-Squad !
Posté par Tonton Th (Mastodon) . Évalué à 10.
Fait péter ton screenshot d'abord.
[^] # Re: ça ramène moins sa gueule chez Gcu-Squad !
Posté par zebra3 . Évalué à 4.
Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur
# Bounty
Posté par Thierry Thomas (site web personnel, Mastodon) . Évalué à 2.
[http://maycontaintracesofbolts.blogspot.com/2010/12/openbsd-(...)]
À vos loupes !
# Acronyme openBSD
Posté par Lebas Sébastien . Évalué à 9.
(Et je vais aller tout de suite prendre l'air, en plus avec la clim foireuse d'ici ça me fera du bien ;) )
# grave quand mêmesi c'est juste
Posté par coucou78 . Évalué à -1.
est-ce un hoax ?
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.