Journal des drm dans la cao

Posté par  .
0
25
mar.
2008
PTC qui vient juste d'abandonner le support de linux pour son logiciel pro engineer wildfire 4.0, malgré le fait que ce logiciel profitait grandement d'une meilleure gestion de la mémoire sur les gros assemblages, implante un système de drm "Pour une protection durable et dynamique de votre propriété intellectuelle"

http://www.ptc.com/WCMS/files/64778/fr/3055_DRM_WP_FR.pdf
  • # Bandes d'incompétents.

    Posté par  (site web personnel) . Évalué à 6.

    Mis à part que je n'ai rien compris à ton journal, je suis aller voir le pdf que tu pointes, et à la lecture de la première page du slide, ça sent bon les incompétents qui ne savent même pas traduire correctement le terme DRM, je cite "Gestion des droits numériques". Les DRM permettent une gestion numérique (c'est à dire réalisé par des ordinateurs) des droits, il ne traite pas tout à fait des droits sur les nombres (encore que...).
    • [^] # Re: Bandes d'incompétents.

      Posté par  . Évalué à 0.

      si j'ai bien compris, un logiciel de conception assisté par ordinateur implémentent les DRMS sur ses modèles créés par un concepteur.
      DRM (Digitals rights Management) veux bien dire "Gestion des droits numériques", si tu traduis mot à mot, donc rien de bien méchant à le traduire de cette façon
      • [^] # Re: Bandes d'incompétents.

        Posté par  (site web personnel) . Évalué à 5.

        Bah non, tu te trompes, ce n'est pas mot à mot qu'il faut traduire. En anglais quand tu as "adjectif1 adjectif2 nom", tu traduis en français par "nom adjectif1 adjectif2" et non pas "nom adjecif2 adjectif1".

        Voir DRM.
        • [^] # Re: Bandes d'incompétents.

          Posté par  . Évalué à 5.

          Deux choses rapides:
          - ici, c'est un schéma "adjectif nom1 nom2", pas "adjectif1 adjectif2 nom" puisque "rights" est un nom commun. Il faut bien prendre la phrase dans l'autre sens pour traduire du français à l'anglais.
          - traduire DRM par "gestion des droits numérique" est correcte, à condition de bien accorder le "numérique" (l'adjectif se rapporte à gestion, pas droits).
          • [^] # Re: Bandes d'incompétents.

            Posté par  . Évalué à 5.

            "traduire DRM par "gestion des droits numérique" est correcte"
            sauf que la traduction (officielle ?) de DRM est "mesures techniques de protection".
            Ça vaut ce que ça vaut, mais puisque le terme existe, il est dommage de ne pas l'employer (confusion volontaire auprès des clients ?).
            • [^] # Re: Bandes d'incompétents.

              Posté par  . Évalué à 10.

              d'un autre côté, "mesures techniques de protection" est un terme très vague qui peut parfaitement être utilisé pour les portes, les serrures, les airbags, ...

              C'est une traduction qui n'a pas la précision du terme original, ce qui est dommage car la référence à la nature numérique des protections est tout de même importante.

              De même, Digital Rights Management indique une notion de gestion et de droits, chose que "mesures techniques de protection" ne traduit pas non-plus.

              Bref, pour moi, "mesures techniques de protection" est un terme trop approximatif, et comme la langue française nous permet de refléter la nuance en utilisant "gestion de droits numérique", ou encore, "gestion numérique de droits", je ne vois pas de raisons de faire honneur à un traducteur flemmard et approximatif en se privant de cette nuance.
  • # Que logiciel ?

    Posté par  . Évalué à 2.

    autant , en CAO industriel, CATIA est inévitable, autant wildfire, jamais entendu parlé.
    Par contre, je ne vois pas en quoi un logiciel de CAO (donc professionnel) implémentant les DRM te dérange.
    En effet, les modèles sont en général ultra secret défense, et donc il est plutôt conseillé que les modèles ne se distribuent pas, au contraire de la musique, de la vidéo, qui a quand même pour objectif d'être audible/visible par le plus grand monde.
    Bref, les DRMS sur ce type de logiciel éviteront à l'avenir de se retrouver avec une Saxo en tout point identique à la 106 par exemple
    • [^] # Re: Que logiciel ?

      Posté par  . Évalué à 9.

      Je pense que déplacer le problème de la sécurité des fichiers dans un logiciel et une belle bêtise.

      Car tu peux partir du principe que le voleur qui a les fichiers avec ou sans DRM arrivera a l´ouvrir.
      .
      • [^] # Re: Que logiciel ?

        Posté par  . Évalué à 2.

        Ben la crypto en général, n'est pas la solution mais en fait partie
        Avoir une pki et de beaux certificats ne sert a rien si on laisse la CA dans une zone sensible, ou si tu ne l'as pas intégré dans la politique de sécu de ta boite.
        Idem pour un firewall
        etc...

        Enfin bref, le drm n'est surement pas la solution, voir peut même poser des problèmes d'interpolabilités, mais le drm peut faire partie d'une solution de sécurité pensée et refléchie par l'entreprise. L'idée n'est pas de déplacer le problèle, l'idée est d'en rajouter une couche
    • [^] # Re: Que logiciel ?

      Posté par  . Évalué à 1.

      Je suis assez d'accord, la il ne s'agit pas de restreindre l'utilisateur (tu peux écouter mais pas copier, ou alors tu peux écouter mais une seule fois), mais de limiter la diffusion d'une information.

      Si je fais un plugin gpg pour blender, pour que seule les personnes qui ont la clé puisse ouvrir le fichier, il n'y a pas vraiment de problème non ?
      Et si je divise mon fichier et que je crypte avec des clés differentes selon le niveau de confidentialité, pas de problèmes non plus ?

      Bon par contre j'imagine que le point ou ca va pas, c'est que le logiciel t'empeche d'enregistrer sans protection ou de faire des copier/coller, ca par contre j'ai des problemes (surtout parce que contrairement a l'autre approche, c'est hackable, et ca limite l'utilisateur de facon uniquement software).
    • [^] # Re: Que logiciel ?

      Posté par  . Évalué à 5.

      >Bref, les DRMS sur ce type de logiciel éviteront à l'avenir de se retrouver avec une Saxo en tout point identique à la 106 par exemple

      PSA: http://www.psa.fr/

      (et on a des Nissans proche des Renault \o/ surprise!)
      • [^] # Re: Que logiciel ?

        Posté par  . Évalué à 2.

        Oh, mais Citroen et Peugeolt sont deux marques différentes mise en concurrence entre elles, Souviens toi;: Peugeot Sport vs Citroen Sport, Gronholm, vs S. Loeb
        • [^] # Re: Que logiciel ?

          Posté par  . Évalué à 2.

          Sauf que les divisions sport des constructeurs sont en général des entités completement "séparées" du constructeur qui chapeaute. Pour donner un exemple que je connais un peu, Renault F1est entierement géré par Flavio Briatore. Les relations avec Renault SA se limitent grosso modo a une réunion tous les X mois pour dire "On a besoin de Y millions de $" et repartir avec un cheque.
          • [^] # Re: Que logiciel ?

            Posté par  . Évalué à 2.

            j'y ai bossé chez PSA entre 2002 et 2005 et je peux te dire, que ce sont deux marques msi en concurrence, sur le plan:
            du commerce (=> des concessions différentes) , du design (des directions différentes) , du sport (des teams différentes)
            Je e souviens encore des anciens "Citroen" (Velizy) qui ne parlait toujours pas aux anciens "Peugeot" (La Garenne) , c'était marrant
            • [^] # Re: Que logiciel ?

              Posté par  . Évalué à 2.

              euh, donc l'aspect sectoriel : des sous-traitant de rang 1 2 et 3 qui travaille pour différents clients qui peuvent être concurrents entre eux ne vous échappe pas? (d'une marque à l'autre le cendrier peut être identique, sisisisi).

              Parce que la marque, ça n'est pas les plans de la voiture (ceux-ci sont plutôt fait en coopération avec les sous-traitant de rang 1/2, voir pour certaines pièces entièrement par les sous-traitant de rang 1/2 avec un demerden sie sich).
              • [^] # Re: Que logiciel ?

                Posté par  . Évalué à 2.

                sauf que là, il s'agissait d'une faille dans le SI qui a permis à des designers de voler le boulot de l'autre service.
                Par contre, en effet, la direction des plate formes (ex DPTA) sont indépendant des marques et parfois ils ont des projets pour les deux marques (ce qui était le cas ici par avance).
                • [^] # Re: Que logiciel ?

                  Posté par  . Évalué à 3.

                  Designer comme dans PininFarina alors? Donc là oui d'accord, il y a grosse séparation des marques.

                  (J'ai tendance à restreindre CAO à la conception de pièces mécaniques, d'ou le quiproquo (et à ne jamais être trop sûr de ce qu'on entend par designer))
                  • [^] # Re: Que logiciel ?

                    Posté par  . Évalué à 2.

                    je n'ai jamais dit que l'exemple pris était de la CAO, je dis que des DRM auraient pu éviter que la saxo soient la copie de la 106.
                    en l'occurence, il s'agissait plus de graphisme, de design.
                    Cela eviterat aussi des histoire comme celle de la Chinoise de l'UTC (j'ai oublié son prénom).
    • [^] # Re: Que logiciel ?

      Posté par  . Évalué à 2.

      "je ne vois pas en quoi un logiciel de CAO (donc professionnel) implémentant les DRM te dérange."

      Et bien par exemple on le transfert à un code de calcul pour voir si la projection des dessinateur a une viabilité ou pas.
      Certes il existe des fichiers d'exports mais quiconque a joué avec du STEP ou de l'IGES sait très bien à quel point ces formats sont mal supportés et ne permettent pas de récupérer les informations pertinentes issues de la CAO !
      Pro E était la dernière alternative à CATIA et de plus permettait de fonctionner sous Linux, c'est donc avec beaucoup de tristesse qu'il faut accueillir la nouvelle.
      Le domaine de la Conception Assistée par Ordinateur a toujours été très protectionniste et n'a jamais souhaité joué le jeu de l'opérabilité car chaque société éditrice de logiciel essaye plus ou moins d'imposer son monopole pour tuer l'autre et un des grands leviers est le format du fichier et l'absolue nécessité de posséder le logiciel pour profiter au mieux du dernier gadget fonctionnaliste ou de la dernière B-spline à la mode.
      Il n'y a et n'y aura jamais de consortium pour faire pression tant la concurrence joue avec les même carte et qu'aucun LL ne pourra rivaliser avec un de ces logiciels car bien que la masse critique d'utilisateurs est très grande, la proportion d'informaticiens est extrêmement faible, et c'est logiciels sont malgré toutes les critiques que l'on peut en faire d'une puissance phénoménale.
      En bref c'est un peu comme la reconnaissance vocale on en a pour très longtemps avant d'avoir quelque chose d'utilisable.

      Au passage si des gens on des informations sur des softs crédible pour la partie CAO en Open Source je suis preneur.
    • [^] # Re: Que logiciel ?

      Posté par  . Évalué à 3.

      non en fait l'astuce c'est que si tu ne renouvelle pas ta licence, tu n'a plus accès à tes fichiers. Comme ca pas de risque de fuite. Et puis si il y a un problème avec un fichier, tu peux l'envoyer chez eux pour qu'ils te le débloquent, et accèdent à toutes les infos confidentielles.
      Ils prennent vraiment les gens pour des cons. J'espère que ca leur retombera sur le coin de la gueule.
      • [^] # Re: Que logiciel ?

        Posté par  . Évalué à 2.

        Tu sais que souvent, pour les logiciels professionnels comme ceci, les licences sont géré sur un "serveur de licence" ( je me souviens de flexlm[1] ), et les demandes d'ajout sont souvent demandé par les clients qui ramène le plus d'argent à l'éditeur.


        [1]: http://en.wikipedia.org/wiki/Flexlm
        • [^] # Re: Que logiciel ?

          Posté par  . Évalué à 2.

          Je connais flexlm en tant qu'utilisateur de matlab et comsol, cependant cela n'a rien à voir avec les DRM niveau fichier, qui permettent de donner et de révoquer des droits aux utilisateurs, et aussi de faire des classes de droit en fonction du groupe (lecture/ecriture/visionnage de certaines données). Cependant je ne crois pas à la pertinence de ce type de schéma DRM étant donné que si la boite travaille pour un état ami, ils pourront toujours casser le DRM, et que si la confiance n'existe pas au sein d'une entreprise (on en revient toujours au facteur humain) ca ne sert à rien de bosser ensemble. De surcroit, pour faire parvenir des infos au client, pas besoin des plans complets, un pdf bien ficelé suffira. Les fabricants veulent introduire un niveau de complexité supplémentaire, inutile, potentiellement incompatible et destructeur de données, qui introduit aussi un niveau d'obfuscation empèchant l'échange des données entre programmes et la lecture de ce format par d'autres programmes, c'est tout bonnement du lock-in du consommateur, comme d'hab.
  • # Quel rapport ?

    Posté par  (site web personnel) . Évalué à 5.

    Je ne vois pas pourquoi ils ne pourraient pas avoir de DRM sous Linux ?

    Sinon, par rapport à d'autres commentaires, leurs clients qui tiennent à la confidentialité de leurs données ont intérêt à ne pas relacher leur sécurité actuelle en se reposant sur les DRMs.
    Si une information vaut cher, la concurrence mettra cher pour l'avoir, et le mieux est qu'elle ne mette même pas la main sur les données - même cryptées.
    Sinon, relire les MISC sur les failles de sécurité, matérielles... et humaines...

    Votez les 30 juin et 7 juillet, en connaissance de cause. http://www.pointal.net/VotesDeputesRN

    • [^] # Re: Quel rapport ?

      Posté par  . Évalué à 6.

      Ca me fait marrer ces entreprises qui misent leur sécurité sur les DRM, parce que dans ce cas là, ils disent qu'on peut distribuer les fichiers DRMisés à des partenaires auxquels on n'a pas vraiment confiance (fuite de la part d'un employé, etc ...). Mais dans le schéma présent, _toute_ la sécurité repose sur la confiance en PTC ! Puisque c'est eux qui détiennent les "secrets" du DRM. Bref, un seul acteur à corompre afin de pouvoir lire tous les fichiers produits par leur "wildfire" ....
      Les DRM ne résolvent pas les problèmes, ils ne font que les déplacer en changeant qui a le pouvoir sur les données qu'ils "protègent" ... Et bien sûr, ça ne sera pas vous !
      • [^] # Re: Quel rapport ?

        Posté par  . Évalué à 1.

        c'est eux qui détiennent les "secrets" du DRM. Bref, un seul acteur à corompre afin de pouvoir lire tous les fichiers produits par leur "wildfire" ....
        Les DRM ne résolvent pas les problèmes, ils ne font que les déplacer en changeant qui a le pouvoir sur les données qu'ils "protègent" ... Et bien sûr, ça ne sera pas vous !


        Ah bon, tu vois ou que PTC a une cle permettant de dechiffrer n'importe quel fichier encrypte par leur DRM ?
        • [^] # Re: Quel rapport ?

          Posté par  (site web personnel) . Évalué à 4.

          Si PTC est une société US, ça m'étonnerais qu'une certaine agence gouvernementale n'ait pas un point d'accès quelque part. Espionnage économique oblige.

          Votez les 30 juin et 7 juillet, en connaissance de cause. http://www.pointal.net/VotesDeputesRN

          • [^] # Re: Quel rapport ?

            Posté par  . Évalué à 1.

            Quel genre de point d'acces ? Si l'algo qu'ils utilisent est standard et sur, tu as la cle et tu peux verifier l'encryption tout seul. Que la societe soit US ou egyptienne ou australienne n'y change rien. Quand a espionner a distance, il est tellement facile de detecter des communications de ce genre (eh oui, meme encryptees) sur un reseau que ca te donne facilement 0 chances de passer inapercu.
            • [^] # Re: Quel rapport ?

              Posté par  (site web personnel) . Évalué à 3.

              Par exemple mettre dans le serveur de droits l'identification l'identité d'un client qui peut (discrètement) tout lire. Ensuite l'agence en question peut aller chez un sous-traitant, pour qui les communications sont a-priori normales (et en plus cryptées), et récupérer ce qu'elle veut. La société qui fait confiance dans son système de protection n'y verra que du feu.

              Bon, tout ça n'est que purement théorique, mais à l'ère de la reconversion de la susdite agence à l'espionnage industriel / économique (intelligent ou non)...

              Votez les 30 juin et 7 juillet, en connaissance de cause. http://www.pointal.net/VotesDeputesRN

        • [^] # Re: Quel rapport ?

          Posté par  . Évalué à 4.

          Bah, dans ce "livre blanc", ils parlent surtout de DRM "classiques" avec format proprio et systèmes de protection a deux francs. Dans tout le document, il n'y a que 2 fois le mot "cryptage" (donc en plus ils font une faute), qui est employé très vaguement. Donc franchement, pour moi c'est surtout leur DRM dont ils font la pub, et ce n'est surement pas du chiffrement individuel.
          • [^] # Re: Quel rapport ?

            Posté par  . Évalué à 1.

            Tu sais, le DRM classique en general c'est du cryptage. Ce n'est rien d'autre que du cryptage avec l'ajout d'un serveur qui regarde si tu as le droit de lire le fichier et si oui file la cle au soft pour decrypter le document (ou fait le decryptage de lui-meme et envoie ca).
            Ce qui est proprietaire d'habitude, c'est le bordel ajoute : les differents types de permissions, communication avec le serveur, tentatives de protections du soft pour eviter de pouvoir lire le document en RAM, etc... mais le cryptage en lui-meme utilise d'habitude un algo standard.
            • [^] # Re: Quel rapport ?

              Posté par  (site web personnel) . Évalué à 7.

              C'est plutôt du chiffrement. Les clés sont d'ailleurs fournies, ce qui permet de déchiffrer le contenu. Encore, les clés ne seraient pas fournies, ce serait du décryptage effectivement.

              'fin bon, les DRM c'est tout de même s'embêter à construire une porte blindée, lourde et tous ses inconvénients, en laissant les clés en permanence accessibles à tout le monde.
            • [^] # Re: Quel rapport ?

              Posté par  . Évalué à 2.

              Ouai alors après on peut débattre de ce que sont les DRM "en général", mais j'en ai vu pas mal qui n'utilisaient pas du tout de chiffrage.
              Si c'est du chiffrage, comme tu dis, le soft "demande à un serveur", donc du moment que t'as corrompu PTC (et donc leur serveur), tu peux avoir les clés de n'importe qui. Et comme indique baud123, de toutes façons, même avec du chiffrage, on te file le contenu chiffré _et_ la clé. Toute la sécurité est basée sur le système qui permet de stocker la clé et déchiffrer "discrètement" le contenu (i.e. utiliser une méthode proprio). Bref, au final, tout repose sur le secret. La clé de chiffrage c'est juste histoire de faire joli pour le marketing. On en revient toujours aux mêmes arguments qu'avaient présenté je ne sais plus quel mec connu à ta boite il y a quelques années ...
              • [^] # Re: Quel rapport ?

                Posté par  . Évalué à 2.

                Mais de nouveau, ou as tu vu que c'est PTC qui gere le serveur ?

                Le produit c'est l'ensemble : le client DRM et le serveur.
                Le serveur est installe chez Peugeot, le client chez tous les gens qui ont besoin de lire le document. PTC n'entre nulle part dans l'histoire la, c'est comme ca que fonctionne le systeme DRM d'Office et tous les autres, le proprietaire du contenu gere le serveur de droits.
                • [^] # Re: Quel rapport ?

                  Posté par  . Évalué à 3.

                  OK, admettons que le serveur est géré par celui qui l'achète.
                  Comment empêcher les clients de copier/utiliser les données comme ils veulent, sachant qu'ils ont les documents _et_ les clés pour les déchiffrer, tout ça dans un logiciel proprio ? Dont le mécanisme de déchiffrage est forcément un truc "secret", puisque le client a déjà tout pour lire le document (données + clés) ? Et bien on utilise un DRM à deux francs. Et le client qui a corrompu PTC, comme il a déjà le document et les clés, et bien il fait ce qu'il veut des données "protégées".
                  Bref, tout se rapporte à la confiance en l'éditeur.
                  • [^] # Re: Quel rapport ?

                    Posté par  . Évalué à 1.

                    Comment empêcher les clients de copier/utiliser les données comme ils veulent, sachant qu'ils ont les documents _et_ les clés pour les déchiffrer, tout ça dans un logiciel proprio

                    Les clefs ils les recoivent du serveur.

                    Quand a utiliser/copier les donnees, c'est pour l'instant la ou le bat blesse niveau DRM, les solutions sont assez bancales.

                    Et bien on utilise un DRM à deux francs. Et le client qui a corrompu PTC, comme il a déjà le document et les clés, et bien il fait ce qu'il veut des données "protégées".

                    Je ne vois vraiment pas en quoi corrompre PTC va changer quoi que ce soit. Tu as besoin de PTC pour quoi exactement ? Pouvoir copier les donnees alors que tu n'etais autorise qu'a les lire ? Pas besoin de PTC pour ca mon cher, un simple appareil photo suffit...
                    • [^] # Re: Quel rapport ?

                      Posté par  . Évalué à 3.

                      Je n'aime pas du tout ta manière de changer la problématique de départ exprès pour que ça aille dans le sens ou tu peux avoir raison.

                      Le problème de départ est : sur le joli PDF fourni dans ce journal, PTC raconte (pour résumer) que grâce à leur DRM, dans un contexte où l'externalisation est du plus en plus utilisée, on peut envoyer des fichiers à des sous-traitants auxquels on ne fait pas confiance en ne leur donnant que les "droits" strictements nécessaire à leur travail.

                      Donc :

                      Les clefs ils les recoivent du serveur.
                      Et ça change quoi ? Le client a la clé quand même ...

                      Quand a utiliser/copier les donnees, c'est pour l'instant la ou le bat blesse niveau DRM, les solutions sont assez bancales.
                      Ce n'est pas bancal, c'est "defective by design" ! Un ordinateur est fait pour copier/manipuler de l'information. Le seul moyen de l'en "empêcher" c'est de "cacher" sa méthode en utilisant une méthode "secrète". Bref, du DRM bête et méchant.
                      Quant à ton "pour l'instant", je pense que tu fais allusion à TCPA ? Alors là, oui, effectivement, ce sera possible, mais personnellement, je n'ai pas envie d'acheter une machine qui n'est pas sous mon contrôle.

                      Je ne vois vraiment pas en quoi corrompre PTC va changer quoi que ce soit. Tu as besoin de PTC pour quoi exactement ? Pouvoir copier les donnees alors que tu n'etais autorise qu'a les lire ? Pas besoin de PTC pour ca mon cher, un simple appareil photo suffit...
                      C.f. l'introduction de ce commentaire, n'essaye pas de dévier de la problématique : faire une photo d'une pièce, oui ça se fait depuis des lustres, et je pense même qu'aujourd'hui ça ne sert plus à grand chose. Par contre, avoir tout le source du fichier de modélisation, pour n'avoir qu'à le filer à une machine qui va tout faire toute seule ensuite, ça c'est plus intéressant.
                      En gros, t'essayes de minimiser les conséquences d'un truc que t'essaye de défendre depuis le début, sauf que tu t'es rendu compte que c'est bidon .... (enfin, je pense que tu le sais, mais que tu aimes bien avoir des trolleurs en face de toi parce que tu sais qu'ils auront des arguments bidons ... mais quand il faut vraiment débattre, je ne vois pas en quoi tu peux justifier la présence d'un DRM pour la "protection", c'est simplement absurde, et tout le monde le sait)
                      • [^] # Re: Quel rapport ?

                        Posté par  . Évalué à 2.

                        Et ça change quoi ? Le client a la clé quand même ...

                        Oui et non. La cle est sur la becane du client, mais encryptee, protegee de differentes manieres (dont aucune n'est sure a 100%).
                        Alors oui, le gars qui veut _vraiment_ la cle y arrivera(sauf si leur systeme de DRM est pourri auquel cas ce sera facile), les autres n'essayeront pas.


                        Quant à ton "pour l'instant", je pense que tu fais allusion à TCPA ? Alors là, oui, effectivement, ce sera possible, mais personnellement, je n'ai pas envie d'acheter une machine qui n'est pas sous mon contrôle.


                        Toi je comprends(et encore, la machine est sous ton controle, t'es libre de ne pas acceder a des fichiers DRM). Le sous-traitant qui veut le contrat de Peugeot je pense qu'il sera un peu plus ouvert par contre :+)

                        En gros, t'essayes de minimiser les conséquences d'un truc que t'essaye de défendre depuis le début, sauf que tu t'es rendu compte que c'est bidon .... (enfin, je pense que tu le sais, mais que tu aimes bien avoir des trolleurs en face de toi parce que tu sais qu'ils auront des arguments bidons ... mais quand il faut vraiment débattre, je ne vois pas en quoi tu peux justifier la présence d'un DRM pour la "protection", c'est simplement absurde, et tout le monde le sait)

                        Minimiser quoi ? Je te signales que PTC ne controle rien dans l'histoire et c'est tout. Je te dis depuis le debut ( http://linuxfr.org/comments/916636.html#916636 ) que les protections sur le document une fois decrypte ne sont que des tentatives. Faudrait penser a abaisser ta tension mon cher.
                        • [^] # Re: Quel rapport ?

                          Posté par  . Évalué à 3.

                          La cle est sur la becane du client, mais encryptee,
                          Ben déja si elle est encryptée c'est sur que c'est bien : personne pourra la déchiffré vu que meme la personne qui l'a chiffré à pris une valeur aléatoire.
                          Reste le brute force (sauf si OTP).

                          Supposons que tu ais dis chiffré. (ah oui tu m'a pris la tête un moment parce que j'avais osé faire une généralisation équivalente etc..., pas de raison que je t'ennui pas aussi).

                          Bon donc on a un fichier F en clair, une fonction de chiffrement C , et une clé k.
                          Tu nous dis qu'on transmet d'un coté
                          C_k(F)=X.
                          On envoi X au client
                          La je suis d'accord
                          Ensuite tu nous dis qu'on encryptechiffre la clé
                          Donc qu'on fait
                          C_k'(k) = X2
                          on envoie X2 au client
                          Cool, on a un X2, et un nouveau secret.
                          Et on fait quoi avec k' ? on l'encrypte chiffre a nouveau et on envoie X3 ?


                          protegee de differentes manieres (dont aucune n'est sure a 100%).
                          Si OTP. Même si je pense pas que c'est ce qu'ils utilisent XD

                          Alors oui, le gars qui veut _vraiment_ la cle y arrivera
                          Ben il est evident que le gars qui veut le fichier en clair veut _vraiment_ la clé.
                          Ce DRM il est censé protégé contre quoi ? L'espionnage industriel.
                          L'espionnage industriel c'est du niveau 2 ("knowledgeable insiders"), voir 3(funded organizations) !
                          Donc on a un DRM qui protège ... mais pas contre les attaquants probables. Ca c'est un système qui a été bien conçu!


                          Le sous-traitant qui veut le contrat de Peugeot je pense qu'il sera un peu plus ouvert par contre
                          Comme il est plus ouvert avec le ".doc" . Mettre un couteau sous la gorge pour que quelqu'un accepte une solution mauvaise techniquement et qui pourrait avoir énormément de répercussion, c'est pas ce que j'appelle "faire preuve d'ouverture" mais plutot "etre pris par les couilles".
                          Mais je suis sur que le sous traitant de peugeot est ouvert de savoir qu'il doit
                          CHANGER ENTIEREMENT SON PARC pour faire plaisir a des gens qui savent pas bosser et avoir des politiques de sécu claire et efficace.
                          Sans compter qu'avoir un "pc" entièrement FIPS 140.2 level 4, c'est tellement moins cher qu'une workstation de base (suis même pas sur que ca existe!)



                          Enfin pour le plaisir, je vais citer une phrase sur les certifs EAL :
                          "An EAL rating is meaningless without first evaluating the security target and protection profile documentation".


                          Je rappelle : les attaquants sont de niveau 2 ou 3!
                          • [^] # Re: Quel rapport ?

                            Posté par  . Évalué à 1.

                            Ensuite tu nous dis qu'on encryptechiffre la clé
                            Donc qu'on fait
                            C_k'(k) = X2
                            on envoie X2 au client
                            Cool, on a un X2, et un nouveau secret.
                            Et on fait quoi avec k' ? on l'encrypte chiffre a nouveau et on envoie X3 ?


                            Non, ce que je dis c'est que la cle, une fois recue par le client, est chiffree en RAM et dechiffree uniquement au moment de l'utiliser (puis effacee).
                            C'est pas une methode sans trous(si t'as du temps et un bon debugger/desassembleur et tu aimes l'ASM tu pourras intercepter la cle au bon moment) mais elle augmente la difficulte d'avoir la cle.

                            Ben il est evident que le gars qui veut le fichier en clair veut _vraiment_ la clé.
                            Ce DRM il est censé protégé contre quoi ? L'espionnage industriel.


                            Moi j'ai un point de vue different, ce systeme est la pour eviter que les fichiers soient dissemines en clair et facilement interceptes, il n'est pas la pour empecher une entite ayant des moyens lourds d'y avoir acces.

                            Mais je suis sur que le sous traitant de peugeot est ouvert de savoir qu'il doit
                            CHANGER ENTIEREMENT SON PARC pour faire plaisir a des gens qui savent pas bosser et avoir des politiques de sécu claire et efficace.
                            Sans compter qu'avoir un "pc" entièrement FIPS 140.2 level 4, c'est tellement moins cher qu'une workstation de base (suis même pas sur que ca existe!)


                            J'ai du mal a voir pourquoi il faudrait changer tout le parc, certaines machines peut-etre, mais pas tout le parc.
                            Sans parler du fait que ce n'est probablement pas tous les documents envoyes par Peugeot qui seront proteges de cette maniere, mais seulement les plus sensibles.

                            Mais sinon on est bien d'accord que ce systeme n'est qu'une barriere, pas un mur.
                            • [^] # Re: Quel rapport ?

                              Posté par  . Évalué à 3.

                              ce systeme est la pour eviter que les fichiers soient dissemines en clair et facilement interceptes,
                              C'est le but d'une politique de sécurité ça, pas d'un DRM.
                              Si tu considère qu'un fichier "risque d'être disséminé", tu as clairement un problème de sécurité.
                              Qui est intéressé par ces schéma ?
                              Les gens qui font de l'espionnage industriel. Niveau 2/3 à nouveau.
                              Donc si ton doc est disséminé, même chiffré, c'est "game over, try again".

                              il n'est pas la pour empecher une entite ayant des moyens lourds d'y avoir acces.
                              Si tu es prêt à payer plein pot; a faire chier tes sous traitants pour qu'ils se mettent à jour etc... pour les DRM, c'est pas pour éviter que la PME du coin te pique tes schéma... en tout cas j'espère pas.

                              Bref une solution technique qui ne répond pas au problème existant (mais en créer d'autres).

                              J'ai du mal a voir pourquoi il faudrait changer tout le parc, certaines machines peut-etre, mais pas tout le parc.
                              Tout le parc qui est censé supporter ce fichier. Et comme on est en sécu, et qu'il faut prémunir tout risque , il faut aussi changer tout système interconnecté sur lequel des données pourrait s'échanger en clair (c'était une des volontées de TCPA , n'est ce pas ?)
                              Ce qui en vient le plus souvent à changer tout le parc, ou une grande partie.
                              Si tu as beaucoup de chance "juste la machine outil" nécessaire ...

                              quand tu vois que quand tu achete une ram pour un cisco tu paye 10* le prix du marché (parce qu'il y a le sticker cisco dessus), tu te dis que le firmware d'une telle machine ca doit être loin d'être donné.

                              Mais sinon on est bien d'accord que ce systeme n'est qu'une barriere, pas un mur.
                              Pour une fois qu'on est d'accord sur quelque chose \o/
                    • [^] # Re: Quel rapport ?

                      Posté par  . Évalué à 4.

                      Tiens, ton commentaire me fais penser à autre chose : j'ai lu le MISC de ce mois-ci, qui contient un article sur les "attaques offensives" en entreprise (et pas seulement orienté informatique). Une manière d'affaiblir son adversaire, c'est d'occuper toutes ses ressources, et j'ai un peu l'impression que c'est ce que tu fais ici (bon OK, tu va dire que je suis parano ...). Franchement, le temps que tous les libristes passent à rabacher les même choses que tu connais pertinemment, c'est d'autant moins de temps à coder. Bon, je ne parle pas des trolleurs, hein ...
                      • [^] # Re: Quel rapport ?

                        Posté par  (site web personnel) . Évalué à 4.

                        ah nan, ce n'est pas parce que tu n'es pas parano qu'il n'est pas après toi hein :D
                      • [^] # Re: Quel rapport ?

                        Posté par  . Évalué à 3.

                        Une manière d'affaiblir son adversaire, c'est d'occuper toutes ses ressources, et j'ai un peu l'impression que c'est ce que tu fais ici (bon OK, tu va dire que je suis parano ...). Franchement, le temps que tous les libristes passent à rabacher les même choses que tu connais pertinemment, c'est d'autant moins de temps à coder. Bon, je ne parle pas des trolleurs, hein ...

                        Le truc justement tu vois c'est que les gars qui trollent serieusement ici, quasiment aucun d'eux n'est un codeur.
                        Les codeurs eux ont d'habitude la tete plus posee et sont plus realiste quand a ce qu'un logiciel peut faire, comment, ...

                        Quand a occuper les ressources, c'est sympa de me donner autant d'importance mais je doutes que repondre a mes commentaires sur LinuxFR soit si important que cela empeche les gens qui le veulent de coder... Et puis tant qu'on y est, je pourrais vous retourner la pareille hein, si il n'y avait pas autant d'aneries sur MS, je pourrais moi aussi passer plus de temps a coder :+)
  • # Et l'autre traduction aussi

    Posté par  . Évalué à 7.

    Et Moi qui pensais que DRM voulais dire "Digital Restrictions Management" , traduit en français par Gestion de Restrictions Numériques ..

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.