For the first time, the giant software maker is acknowledging the help of the secretive agency [...] The agency said it has helped in the development of the security of Microsoft's new operating system [...] to protect it from worms, Trojan horses and other insidious computer attackers.Et une traduction approximative:
Pour la première fois, l'éditeur géant admet avoir bénéficié de l'aide de la discrète agence [...] L'agence a dit qu'elle a aidé dans le développement de la sécurité du nouveau logiciel d'exploitation de Microsoft [...] pour le protéger contre les vers, chevaux de Troie et autres attaques d'ordinateur insidieuses
Je sais pas pour vous, mais je me sens vraiment rassuré ... de ne plus avoir de Windows...
à lire en entier (ça vaut le clic) sur:
http://www.washingtonpost.com/wp-dyn/content/article/2007/01(...)
et merci à:
http://www.reseaux-telecoms.net/actualites/lire-du-code-nsa-(...)
Pour l'info.
# Ils ont recyclés SELinux?
Posté par neriki (site web personnel) . Évalué à 5.
[^] # Re: Ils ont recyclés SELinux?
Posté par galactikboulay . Évalué à 3.
# recherche public
Posté par marseillais (site web personnel) . Évalué à 3.
Donc si je ne me trompe pas n'importe qu'elle américain devrait pouvoir taper a la porte de chez microsoft et dire :
"bonjour je voudrais voir le travail de la nasa dans votre code source. Vous embétez pas a l'imprimer mettez moi ca sur mon disque dur portable je regarderais a la maison!"
Je suppose donc que je me trompe. Mais ou?
Ensuite pour le journal je vois pas en quoi c'est plus effrayant que d'avoir microsoft tout seul. C'est fermé on sait pas ce qu'il y a dedans dans tout les cas. Donc de toute façon si la NSA voulait des info récupérée par windows vista je pense qu'elle aurait pas besoin d'avoir son propre code mais juste a demander.
[^] # Re: recherche public
Posté par cxente . Évalué à 2.
entre autre là : NSA != Nasa
http://fr.wikipedia.org/wiki/National_Security_Agency
[^] # Re: recherche public
Posté par marseillais (site web personnel) . Évalué à 1.
c'est donc bien gouvernementale et je reste sur mon interrogation.
[^] # Re: recherche public
Posté par briaeros007 . Évalué à 3.
Leur budget suis un trajet spécifique et surtout, ils ont la capacité de déposer à l'upsto (l'office américains des brevets) des brevets...
Non rendu public et n'espirant jamais.
Si une personne arrive à trouver cela par ses propres moyens , alors le brevet est rendu public, et la nsa, a compter de cette date , bénéficie du brevet.
En clair, meme si il y a violation de la gpl, il n'y aura pas violation de la gpl parce que le gouvernement sortira 'défense nationale' ou autre.
[^] # Re: recherche public
Posté par mickabouille . Évalué à 1.
Suis-je trop naïf?
[^] # Re: recherche public
Posté par NeoX . Évalué à -1.
aux etats-unis cela reste à confirmer.
[^] # Re: recherche public
Posté par fork_bomb . Évalué à 3.
# mmmh
Posté par slubman (site web personnel, Mastodon) . Évalué à 2.
La NSA, n'est ce pas cette agence qui est à l'origine de SELinux (qui intégré entre autre à Fedora) ?
Il ne semble pas (à l'heure actuelle) y avoir de soucis (accès cachés) dans ce qu'ils ont publié, pourquoi en serait-il autrement avec Windows ?
[^] # Re: mmmh
Posté par galactikboulay . Évalué à 10.
[^] # Re: mmmh
Posté par marseillais (site web personnel) . Évalué à 1.
[^] # Re: mmmh
Posté par Aurélien Bompard (site web personnel) . Évalué à 3.
Moi non plus, mais mon entourage est petit, et non-informaticien. Cela dit je suis totalement convaincu que les gens de chez Red Hat au moins on jeté un coup d'oeil dedans, vu qu'ils participent au développement et qu'ils ont basé un gros morceau de la sécurité de leur produit phare dessus.
Je sais qu'il y a des gens assez actifs sur SELinux chez Gentoo, et dans une moindre mesure chez Debian auss (Erich Schubert)
L'ouverture du code fait TOUTE la différence par rapport à ce qui est annoncé dans ce journal. Ce n'est plus une question de "leur fais-je confiance ou pas".
[^] # Re: mmmh
Posté par galactikboulay . Évalué à 2.
[^] # Re: mmmh
Posté par pasBill pasGates . Évalué à -3.
[^] # Re: mmmh
Posté par z a . Évalué à 2.
[^] # Re: mmmh
Posté par marseillais (site web personnel) . Évalué à 1.
Sinon pour XV j'ai confondu avec NV le driver Nvidia ou l'on peut lire ici qu'il est libre (on a accès au code) mais qu'il est fait de telle manière a être incompréhensible pour qui que ce soit (nom de variable tordu, aucun commentaire, fonctions emmêlées). Et je me demandais si SELinux avait été codé de cette manière si il n'aurait pas été possible que certaines distrib l'intègre quand même.
[^] # Re: mmmh
Posté par marseillais (site web personnel) . Évalué à 1.
[^] # Re: mmmh
Posté par Prae . Évalué à 2.
C'était lié à des algos non vérifiable.
Après, je connais pas la suite de l'histoire: clean des algos ou bien la coreteam a fermé les yeux ?
# Voila qui va alimenter la théorie du complot
Posté par André Rodier . Évalué à 1.
C'est bien l'un des organismes qui a participé a la mise en place d'Echelon, non ?
Enfin, que va-t-il se passer, lorsque votre PC sous vista va envoyer des données, cryptées bien sur, vers la firme de Redmond, a des seules fins de débogage ?
Microsoft va les renvoyer à la NSA, a des seules fins de sécurité intérieure ?
Echelon : http://fr.wikipedia.org/wiki/Echelon
[^] # Re: Voila qui va alimenter la théorie du complot
Posté par tiot (site web personnel) . Évalué à 1.
ENFIN une utilité aux DRM !
[^] # Re: Voila qui va alimenter la théorie du complot
Posté par pasBill pasGates . Évalué à 1.
N'importe quel gouvernement avec qqe informaticiens competents trouvera en moins de 2h quelles sont les infos envoyees, bref c'est une theorie idiote et irrealisable.
[^] # Re: Voila qui va alimenter la théorie du complot
Posté par briaeros007 . Évalué à -4.
après expert en marketing , en génie logiciel, etc...
voila pbpg expert en sécurité informatique.
intercepter à l'extrême rigueur (et encore on peut faire en sorte que vu le peu de paquet qui sorte, sur des services habituellement autorisé (sur le réseau : cad adaptation dynamique, et donc que si l'ordi n'est pas connecté au net, il peut essayer de le détecter), qu'a moins de surveiller absolument tous les paquets) tu ne détecte pas facilement ce comportement.
Autant 'décrypter' est totalement irréalisable (bon tu connais pe des machines qui font 2^128 cycles en moins de 2 heures, mais moi non) avec les technologie habituelles.
[^] # Re: Voila qui va alimenter la théorie du complot
Posté par pasBill pasGates . Évalué à 1.
Quand a savoir ou mettre la redirection, c'est a ca que sert un debugger, suivre le flot des infos jusqu'a trouver la source, c'est pas complexe, ca prend juste un peu de temps.
Une fois que t'as compris ca, tu as compris comment les protections(mal foutues) de jeux sont eliminees d'habitude...
Quand au net et detecter que t'es dessus, tu viens de decouvrir ce a quoi peut servir un honeypot, merci d'avoir joue.
Mais visiblement tu es plus expert que moi, alors que je bosse sur des problemes de securite(patchs toussa...) depuis 7 ans.
[^] # Re: Voila qui va alimenter la théorie du complot
Posté par briaeros007 . Évalué à 2.
AHAHA.
moi maintenant je suis SUR que tu ne sais pas de quoi tu parle.
Ben tu me le sors ton programme qui permet 'injecter un thread' dans un processus ... qui n'existe pas !
(il n'est pas listé par le systeme vu qu'il est caché par ce dernier).
Tu me le sors l'appel de chiffrement (euh juste comme ca, monsieur pbpg qui sais mieux que tout le monde, encryption ca existe pas, on parle de chiffrement ... mais n'importe qui qui a fait un MINIMUM de sécu le sait) alors que tu ne peux pas savoir où il est.
Ah oui si c'était si simple, je pense que n'importe qui pourrais éviter le chiffrement du hdcp et autres drm, et que tous les experts dans ce domaine, y compris les chercheurs à la pointe de ce domaine, aurais alors aucun probleme pour trouver une faille dans n'importe quel lecteur ... Mais tu dois être sans doute plus fort que tous les experts du monde entier, hein mr pbpg ...
Quand a savoir ou mettre la redirection, c'est a ca que sert un debugger, suivre le flot des infos jusqu'a trouver la source, c'est pas complexe, ca prend juste un peu de temps.
Maintenant je suis aussi SUR que tu n'as jamais débugger.
Et je suis a peu pres sur que tu sais pas ca veux dire quoi 'obfusquer'.
Une fois que t'as compris ca, tu as compris comment les protections(mal foutues) de jeux sont eliminees d'habitude...
Ben sors moi un programme qui annule les protections AACS, HDCP, etc ... pour tous les programmes, si c'est si simple.
Et enleve toutes les protections de windows, alors meme que microsoft assurent aux majors qu'elles sont 'inviolables'.
Quand au net et detecter que t'es dessus, tu viens de decouvrir ce a quoi peut servir un honeypot, merci d'avoir joue.
amha tu as meme pas compris ce que j'ai dis. Mais je t'en veux pas, apres tout j'ai l'habitude que tu me prenne pour un idiot alors que tu es meme pas foutu de comprendre ce que j'ai dit.
Mais visiblement tu es plus expert que moi, alors que je bosse sur des problemes de securite(patchs toussa...) depuis 7 ans.
Je comprend beaucoup mieux pourquoi windows a des problemes de sécurité alors.
[^] # Re: Voila qui va alimenter la théorie du complot
Posté par pasBill pasGates . Évalué à 2.
(il n'est pas listé par le systeme vu qu'il est caché par ce dernier).
Il y en a plein il suffit de chercher, MSR en a un appele detour par exemple
(il n'est pas listé par le systeme vu qu'il est caché par ce dernier).
C'est bien, tu viens de decouvrire l'utilite d'un kernel debugger
Tu me le sors l'appel de chiffrement (euh juste comme ca, monsieur pbpg qui sais mieux que tout le monde, encryption ca existe pas, on parle de chiffrement ... mais n'importe qui qui a fait un MINIMUM de sécu le sait) alors que tu ne peux pas savoir où il est.
Justement que tu peux le savoir vu que tu peux suivre le code depuis la stack reseau vers le haut jusqu'au processus grace au kernel debugger.
Ah oui si c'était si simple, je pense que n'importe qui pourrais éviter le chiffrement du hdcp et autres drm, et que tous les experts dans ce domaine, y compris les chercheurs à la pointe de ce domaine, aurais alors aucun probleme pour trouver une faille dans n'importe quel lecteur ...
Oh mais rassures-toi, tu peux, le probleme c'est qu'il faut connecter un kernel debugger a la machine pour faire ca(ce qui demande une deuxieme machine), c'est comme ca que les developpeurs de drivers comprennent ce que fait leur driver cote kernel, y compris les devs de drivers pour HW DRM.
Mais tu dois être sans doute plus fort que tous les experts du monde entier, hein mr pbpg ...
Non, simplement moi a la difference de toi, je sais :
a) Comment Windows fonctionne
b) Comment debugger un kernel
Ni a) ni b) ne requierent d'etre employe par MS tu remarqueras, tout cela est dispo sur le web, et n'importe quel developpeur de drivers pour Windows decent connait a) et b), toi par contre tu n'y connais fichtrement rien mais tu te permets de parler comme si tu etais un expert
Et je suis a peu pres sur que tu sais pas ca veux dire quoi 'obfusquer'.
Oh je le sais parfaitement, et je sais tout aussi bien que le seul resultat est de ralentir l'avancement, ca ne l'empeche pas.
cf. PatchGuard par exemple.
Ben sors moi un programme qui annule les protections AACS, HDCP, etc ... pour tous les programmes, si c'est si simple.
Et enleve toutes les protections de windows, alors meme que microsoft assurent aux majors qu'elles sont 'inviolables'.
Pas possible vu qu'il faut un kernel debugger et une 2eme machine.
Serieusement, arretes de parler d'un sujet que tu ne connais visiblement pas du tout, tu t'enfonces a vitesse grand V
[^] # Re: Voila qui va alimenter la théorie du complot
Posté par briaeros007 . Évalué à 1.
'le probleme c'est que {...} ca demande une deuxieme machine'
Ah oui c'est sur que c'est vraiment un probleme pour eux (les autres experts) ... surtout quand ils ont accés à plusieurs quadriproc, ils vont jamais réussir a trouver deux machines ...
Tiens je me rapelle que dans ma fac, ils avait réussis a trouvé des machines suffisantes pour prouver la faille de sha0 quand elle est sortis . Mais tu as raison, ce genre de personnes sont totalement incapable (que ce soit d'un point de vue physique ou d'expertise) d'essayer de casser les autres algos ou implémentations .
Bref c'est bien ce que je disais, tu essaie de noyer le poisson, tu réponds soit pas du tout , soit complétement à coté de la plaque. Disserte sur un domaine, alors que c'est pas du tout la question, en essayant de descendre ton interlocuteur pour prouver que tu es plus fort que lui.
Bref rien d'interessant, aucune réponse aux questions que j'ai posé.
Par contre de l'insulte ca y vas.
Rien que du tres classique pour toi. Le reste du message ne vaut meme pas que j'en parle.
Ps : oublie pas de délacer tes chaussures, tu vas avoir mal sinon.
[^] # Re: Voila qui va alimenter la théorie du complot
Posté par pasBill pasGates . Évalué à 0.
Tu ne comprends rien ou tu fais expres ? J'ai dit ou que ca serait un probleme pour des experts ? Tes problemes de comprehension du francais refont surface ?
Qq'un qui veut acceder aux donnees decompressees si il le veut reellement, il peut, et sauver les donnees d'un DVD entier de cette maniere, j'oses pas imaginer le temps que ca prendrait vu la vitesse de la connection debugger<->debuggee.
Ta grand-mere par contre, elle ne pourra pas le faire avec un simple soft, et c'est tout le but de la chose.
Bref c'est bien ce que je disais, tu essaie de noyer le poisson, tu réponds soit pas du tout , soit complétement à coté de la plaque. Disserte sur un domaine, alors que c'est pas du tout la question, en essayant de descendre ton interlocuteur pour prouver que tu es plus fort que lui.
Moi je donnes des infos claires et precises sur comment faire les choses, toi tu sors des aneries sans rien y connaitre(impossibilite de rediriger les appels, les trouver, ...), et maintenant que tu le realises, hop tu essaies de te sauver de la discussion, comme c'est original.
La est la difference entre toi et moi.
# c'est pas neuf
Posté par alice . Évalué à 2.
[^] # Re: c'est pas neuf
Posté par Olivier Guerrier . Évalué à 1.
Après, même si c'était vrai, ils ne diront évidemment jamais que leur collaboration a pour but de créer des backdoors dans Windows. Mais il y a quand même quelque chose qui me choque dans la démarche, c'est un peu comme aller chez le boucher pour lui demander des conseils pour une épicondylite (aka tennis elbow). Même si les bouchers savent mieux que d'autres à quoi ressemblent des tendons...
[^] # Re: c'est pas neuf
Posté par Nico C. . Évalué à 4.
"c'est comme si une entreprise de pompes funebres participait a la réalisation d'un airbag"
(jromang - commentaire sur cette news pcinpact : http://www.pcinpact.com/actu/news/33900-vista-microsoft-nsa.(...) )
desole -> []
[^] # Re: c'est pas neuf
Posté par tiot (site web personnel) . Évalué à 3.
Si toute une famille meurt dans un accident de voiture, qui pourra payer les obsèques ? Alors qu'avec les airbags tu as des chances d'avoir des survivants.
[^] # Re: c'est pas neuf
Posté par pasBill pasGates . Évalué à 1.
La NSA s'occupe entre autres de securite informatique pour le gouvernement.
De la, ils auditent a peu pres tous les OS que le gouvernement utilise : Mac OS X, Solaris, Windows, ... afin d'auditer les parties sensibles histoire de s'assurer que le govt US lui-meme n'est pas en train d'installer un trou beant dans ses systemes informatiques.
Mais personne n'a jamais insinue que la NSA ecrivait du code dans ces OS, ils font la meme chose que le dept de la defense francais fait : ils auditent ce code afin de s'assurer qu'il ne va pas subitement leur exploser entre les pattes, et c'est valide pour MS, Sun, Redhat, Apple, ...
[^] # Re: c'est pas neuf
Posté par Nico C. . Évalué à 1.
[^] # Re: c'est pas neuf
Posté par pasBill pasGates . Évalué à 0.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.