TSelek a écrit 945 commentaires

Arreteuuuuh ! Un si beau post qu'il m'a bouffé !
Maintenant que tu as corrigé, ça marche !

10 ans entre la S-Box du DES spécifiée par la NSA et la justification mathématique suivant les connaissances publiques... (j'ai la flemme, templeet me bouffe les comments...)

Templeet has found a syntax error on the character 1, line 20 of template/linuxfr/comments_reply.send.txt

Non, Windows 2000 SP3 n'a pas été certifié CC EAL4. On ne peut pas dire ça, c'est proprement abusif. cf mon commentaire plus bas (il est assez gros pour ne pas le louper ;)

Tes maneuvres sont aussi élégantes que celles de ton patron devant les procès : en gros c'est trop compliqué pour que les gens comprennent, ils ne comprendront jamais pourquoi on est coupables. D'ailleurs en 2 pages, un peu plus bas, je ne fais qu'effleurer le sujet, tu as donc beau jeu à pratiquer le raccourcis, n'empeche que de ta part ça reste une arnaque intellectuelle.

J'ajoute (encore ...) que l'article du JDNet est une vraie m****, c'est même un scandale que de publier des choses pareilles et on comprend qu'on ne puisse pas apporter de commentaires à leurs news. La news chez IBM au moins est correcte...
On dirait qu'ils découvrent les CC qui existent depuis des années déjà, et qu'ils n'ont toujours pas compris que c'est un programme internationnal, les US avaient déjà les Yellow books et autres FIPS qui sont deprecated.

les specs de base des CC (en français ! comme quoi suffisait de savoir lire) http://www.ssi.gouv.fr/fr/confiance/methodologie.html(...)

la liste des produits certifiés en France (notez que ça s'arrete à EAL4+) http://www.ssi.gouv.fr/fr/confiance/certificats.html(...)

mais bon manifestement tout le monde n'est pas anti-américain en France, en tout cas pas le JDN pour qui hors des US pas de salut !

J'ajoute à propos de la contribution de NSA que c'est acceptable dans la mesure où ça concerne le process de dev (design, specs, docs) bref tant qu'on reste dans le domaine de la qualité qui sont des exigences des CC, ou des choses simples que l'on puisse analyser nous même. Par contre, les laisser améliorer les algos cryptos, là pas question ! Ils ont 10 ans d'avance en matière d'analyse crypto-mathématique théorique et là personne ne peut lutter...

Au delà de l'aspect propagandaire habituel repris par la news (non, le marketing c'est autre chose...), quelques remarques :

- les Critères Communs existent depuis un moment... la méthodologie d'évaluation est éprouvée au moins jusqu'au niveau EAL4, après... Donc ce n'est pas nouveau, du tout. Dans le LL, par contre, oui...

- les CC sont une méthodologie d'évaluation sécuritaire à vocation internationnale, d'où le nom, et c'est désormais une norme ISO. Le DCSSI français, le BSI allemand sont aussi impliqués, arretez de loucher sur le NIST ou la NSA avec des yeux ébahis sans aller voir http://www.ssi.gouv.fr/fr/index.html(...) ! C'est qu'il y a un shéma de "reconnaissance mutuelle", mon EAL que j'ai gagné en France, il est valable et reconnu aux USA !

- EAL1 à 7 correspond au niveau d'expertise mis en oeuvre pour apporter la preuve. la preuve de quoi au juste ? on se met d'accord sur un Profil de Protection, le PP, qui est générique. Par exemple le PP utilisé sur l'EAL4 de Windows 2000 SP 3 est un PP sur le controle d'accès. Donc ce profil ne s'interesse qu'à la partie login autrement dit. Que ce Windows soit une plateforme à virus, ça ne concerne pas ce PP en question. Qu'Henry choppe tout ce qui passe en ouvrant Outlook ou IE, le PP s'en fout completement !

- EAL4 correspond à un niveau où l'attaquant a accès au code. l'évaluateur dispose de toute les spécifications, le code et des documents d'assurances quand aux procédures suivies. Oui, ça ressemble pour partie à des process qualité.

- Tout le monde peut écrire un PP, il faut après que les acteurs concernés incluant évaluateurs et certificateurs le valident. Si un PP s'appelle PP Access Control, je peux très bien juger que les principes mis en oeuvre sont désuets ou insuffisants et re-écrire mon propre PP qui si il est meilleur se fera sans doute valider à son tour.

- Ensuite à partir d'un PP (ou de plusieurs, ou de fractions de PP), on instancie une Cible de Sécurité, la ST, qui elle n'est plus générique mais correspond à un produit. Dans la ST de Windows 2000 SP 3 par exemple, MS a très bien pu enlever les points qui la genait dans le PP Access Control. Dans la certif NT précédente, ils n'avaient pas hésiter à enlever le réseau,ce qui montre bien comment on peut arnaquer les gens en leur disant "on a un certif !". Oui, mais sur quel périmètre ? Si cette certif ne reste plus valable dès que je rajoute un périph indispensable (une carte réseau...), ou que je lance une application, ça veut dire quoi ? Oui, on parle bien de bluff. D'autant plus que la ST a du forcer (déjà pourquoi SP3, heing ? inutile de me répondre....) des paramètres dans le Windows 2000 SP3, style la config qu'on ne trouve nul part ailleurs ! Oui, Henry n'a pas de mot de passe, son login est automatique et il a les droits administrateurs... Donc sa config sort de la cible, l'EAL4 n'a plus de sens sur son poste, pauvre Henry, lui qui croyait avoir un truc certifié ! Et croire qu'il puisse exister en production un Windows avec les réglages requis par la ST, on peut toujours être naïf...

- le NIST est maitre des certifs FIPS (spec de methos, certifications), la NSA est cliente en tant que demandeuse de garantie quant à la sécurité de ses propres systèmes (imaginez qu'on puisse pirater Echelon ! quel hacker ne reve pas d'aller lire les mails à GWBush ;)

- le NIST est le certificateur aux USA par exemple. sauf qu'il faut payer un labo pour faire l'évaluation en elle même. Ca coute très cher, ça dure longtemps (Windows 2000 -> certif en 2003 ;), au final il y a un lien financier de plus en plus fort entre l'évalué et l'évaluateur...

- il y a un process de maintenance, autrement dit les menaces sont re-évaluées en permanence et un certif peut tomber à tout moment (en gros c'est mort au bout de 2/3 ans automatiquemen). Au premier patch c'est mort ! Paradoxal non ? On vous dit que c'est certifié sécuritaire, puis qu'il faut patcher dès qu'un correctif sort. PAF ! Au premier patch, la certification n'a plus de sens... ou alors il faudrait repasser l'évaluation à chaque patch, et vu qu'il leur a fallu 3 ans sur Windows pour évaluer juste une partie... on comprend qu'ils se sentent mal pour apporter la preuve de la sécurité sous Windows ! d'ou le lobbying juridique...

- MSUSA, l'anté-LINUXFR, aka pbpg, est un évangéliste payé pour surfer les forums francophones et y repandre le FUD MS. Il n'y a pas de raison honnête que quelqu'un d'aussi bien informé que lui se permette de commettre l'amalgame "Windows 2000 SP3 a une certif EAL4 PP Access Control" (déjà là on précise pas la ST qui peut être réductrice...) et "Windows 2000 est EAL4" (et on a déjà parler du pack SP3 si courrament pas appliqué, chez MS lui même... cf Kitetoa pour les excuses bidons...). Ca correspond soit à une faute professionnelle relevant de la plus grande incompétence soit une menterie effrontée relevant du FUD classique, discipline qui, sous le terme fallacieux de marketing, recoit de MS plus de budget que le developpement lui même. Or il est impossible que pbpg soit si idiot que ça pour se tromper. Par contre il vous trompe, exactement comme à pour but ce programme d'évluation sur Windows qui n'a aucun sens.

Pour résumer, une image simple : évaluer un OS à un niveau EAL4 sur un PP aussi réduit, c'est comme naviguer sur un bateau dont la proue est une moitié de super-tanker et dont la poupe est une moitié de pédalo !

Tout ça est d'un ridicule...

les miloufs comme tu dis, de nos jours soit ils sont en haillons soit ils sont en avion, alors le camouflage... à part pour les défilés...

il s'agit surtout de frapper les esprits et codifier un esprit de corps, après les gouts et les couleurs... Et dans les facs, surtout aux USA, ils n'ont pas de jolies tenues aussi ?

Dans la veine le ridicule ne tue pas, on pourrait ajouter :
- les gendarmes et leur costume bleu
- les chairs-à-canons et leur joli kaki
- les soutanes d'éclésiastes ou de magistrats
- les tenues des Miss France
- ...

(Ca vous choque ? Moins que St Ignucius ? Et pourtant...)

Enfin bref tout ce qui utilise l'apparat pour se hausser au dessus du vulgus pecum. Alors on peut pouffer sur les tenues à RMS, mais alors pourquoi commencer par lui et respecter les autres sus-cités ?

Tu peux toujours mettre ton joli costume trois-pièces et monter au front toi-même :p)

Celui qui réduit le LL à un seul de ses "représentants" (de commerce ?), celui là risque bien de rater l'important.

Bah, et dans "politique de sécurité", "politique de déploiment" ou "politique de mise à jour" ça te gène encore ?

Donc si ça te gène tant que "politique" et "ll" soient dans la même phrase, c'est bien que le problème vient de toi... ne confondrais tu pas "politiques" avec "élus" ?

Oui, mais le vrai problème est que les gens qui ont l'expertise dans ce domaine, et ils sont plutôt nombreux en France, ont tous signé des accords de non-divulgation ou de confidentialité vu qu'on ne vous laissera jamais entrer dans la partie sans avoir l'assurance que vous allez rester bien muet.

Donc les gens qui peuvent parler ne savent pas et ceux qui savent ne peuvent pas parler...

Humpich, ce qu'il a découvert, des tas de gens le savaient depuis longtemps, les cryptologues employés par le secteur public l'avaient même publié, et ce avant même que la carte CB ne soit lancée...

Bien que parfaitement convaincu de l'interêt de la démarche, je me pose encore quelques questions :

- comment arriver à une workstation basée sur f-cpu ?
qui va concevoir la M/B ? il faudrait en toute logique une free-M/B...
comment le faire en contournant les brevets intel et autres ?
faudrait des bus PCI/USB/AGP... sous licences ?
est-ce votre intention ? ou vous vous limitez au point suivant ?
- sera-t-il alors réduit aux SOC/ASIC ?
faudra-t-il s'appeller ST ou Philips pour avoir la possibilté de l'utiliser ?
autrement dit les utilisateurs ne seront-ils que des fondeurs ou de riches sponsors ?
- comment sera-t-il fondu ? le sera-t-il sous forme de CPU ? CPU+CPLD ?
devra-t-on se résigner aux FPGA ?

à 1 million le run de fonderie... nous sera-t-il vraiment accessible à nous petits lusers ?
quelles sont vos intentions, au delà de concevoir un modèle VHDL d'un CPU de qualité, au delà de la réduction des frais R&D de nos (très) chers fondeurs ?

C'est plutôt le signe sain que cette équipe ne perd pas de temps à faire de l'astrologie, qui comme chacun sait ne marche pas dans le cadre de tels developpements : vous avez déjà vu un projet livré en tant voulu ? Si oui c'est probablement que vous êtes encore à l'école et pas en milieu professionnel.

Comme le dit si bien la FAQ les hackers expliqués aux managers, pour un vrai hacker prévoir le temps qu'il faudra à résoudre un problème équivaut à résoudre ce problème.

Cai vrai, il y a 10 ans on appellait ça PLL, Phase Lock Loop. Now on a des DPLL, encore plus numérique quoi. Bref on sort ce qu'on veut, à condition que les technos de fab permettent un certain mix numérique/analogique sur la puce.

Une PLL quoi. Un quartz, un VCO, une boucle...

DVD-Audio et SA-CD.

Bon, le temps que le marché se décide, on aura une autre problématique de normes avec le multi-canal...

Heing ? Kesque tu dis ? J'entends rien à ce que tu dis !

On parle de chaines HiFi, or elles sont encore en analogique, enfin l'essentiel non ? Un échantillonage ? On m'aurait mis un ampli-numérique dans ma boiboite à l'insu de mon plein grè ? Quelle compression, moi qui honnie les mp3 et tout codec destructif ? Et mes vynils alors !

Je dis que tous les outils de mesure audio sont axés sur des concepts liés aux ondes sinusoïdales pures et constantes très éloignées de la nature même de la musique. Autrement dit ce n'est pas ce qu'on peut décomposer de la musique en transformées que des mesures sur régimes stationnaires aient un sens. D'ailleurs jusqu'à aujourd'hui on a jamais fait mieux que l'oreille. On compose, joue et écoute mieux que les machines, voila.

Merde alors, et dire que je passe des heures devant ce putain d'écran par jour, donc je détruis mes yeux ? Ah ben oui, fatigue occulaire, de la même façon qu'un système audio pourri amène une fatigue auditive.

Sauf que les fréquences dont tu parles sont des harmoniques et que par essence ce sont des fréquences multiples de la fréquence de base et donc montent en fréquence d'où dépassement du spectre reproduit d'où avenement des sampling à 96 KHz plutôt que 48 KHz.

Enfin bon, moi je dis ça je dis rien...

<ironique>Nan cai pas vrai ?</ironique>

La définition du "HiFi" date des années 1960...

Il n'existe aucun système de mesure objectif quand à la qualité "subjective" d'une chaine de reproduction sonore, les industriels étant obnubilés par Fourrier alors que la musique est fondamentalement dynamique quand les transformées de Fourrier sont appliquées à des régimes constants masquant tout effet transitoire, et que notre écoute est fondamentalement subjective, d'où le concept "psycho-acoustique" !

Et dire que certains d'entre vous se moquent des audiophiles alors qu'ils sont à la HiFi ce que les hackers sont au software...

Non, la bande n'est pas limitée parce que c'est de la musique électronique, et au contraire en numérique on raffole des "harmonizers" qui gonflent pas vraiment le son (pour ça on a plutôt des étages à tubes analogiques) mais lui donnent un certain brillant, un certain piqué que les MP3 ne peuvent pas avoir.

\o/ comme les flux broadcasts sont concernés, c'est toutes les télés qu'il faut stopper ! La télé vous ment, la télé vous spolie, la télé vous nique les oreilles !

[-1] et je vais manger...

Et il a parfaitement raison.
C'est aux fabriquants ou aux consommateurs de demander plus de transparence ?
Fermons notre geule et nous aurons dans nos assiettes des OGM sans même le savoir, alors je ne mangerai pas de ton jambon.

Oui, les ingés de la concurrence savent faire le lien entre features et méchanismes internes, ils sortent des mêmes écoles, utilisent les mêmes outils et ont les mêmes fournisseurs.
Oui, il ne s'agit que de specs d'interface, et pas de réalisation.
Oui, ce qui est touchy dans la réalisation est de toute façon décrit dans les brevets qui sont à la fois une protection juridique et une source intarissable d'infos pour la concurrence...

C'est pas parce que c'est de la hi-tech qu'il faut rester baba devant et accepter tout et n'importe quoi !

Non, il a raison, au boot le PC démarre en mode 8086.... Il cherche les BIOS mappés sur les cartes ISA 8 bits puis 16 bits... etc.

Regardez donc où se situe lEEPROM du BIOS sur un shéma d'archi de chipset... Sur un bus 8 bits...

Il init tout son BIOS compatible jusque RFM/RLL que Linux ignorera avec raison.

Pis après il passe en mode pentiumeuh !