pasBill pasGates a écrit 16169 commentaires

Besoin de montrer le code ?

Ce code il est compile dans un binaire, que plus d'un milliard de gens ont sur leur machine.

Tu prends ce binaire, tu le decompiles, tu montres etape par etape comment la backdoor fonctionne en suivant l'assembleur, sans jamais avoir besoin d'afficher une seule ligne de code source.

Exactement comme cela se fait tous les jours pour des failles trouvees.

Encore faut-il qu'ils soient compétent, et qu'ils aient accès au même source que celles qui ont servit à vendre Windows. Les gouvernements sont des "organismes qui sont de confiance pour le public", et pourtant… L'argument ne tient pas, si l'on souhaite être transparent, ont ne donne pas les sources à des privilégié, mais au public, sinon c'est de la mauvaise foi.

L'argument tient totalement. Les gouvernements sont parmis les rares groupes competents pour juger de la securite d'un programme.
Si on veut etre transparent pour des raisons marketing, oui, il faut donner les sources a tout le monde, meme si on sait tres bien que quasiment personne ne les touchera, que parmis ceux qui les toucheront, tres peu sont capables d'y comprendre qqe chose, et que meme parmis ceux qui sont competents, il y a tellement de code que c'est une gageure.

Je ne pense pas que c'est ce qu'il se passera, néanmoins, il y a un monde entre diffuser les sources aux privilégiés et ouvrir les sources au public. Ce que tu dis la est purement de la spéculation.

Ce n'est pas de la speculation, c'est ce qui se passe ici, ce que tu as exactement fais toi-meme qqe posts plus haut.

C'est totalement faux et sans fondement. Je rêve d'aller mettre mon nez dans les sources de l'OS utilisé par 90% de la population, et je suis certainement pas le seul.

Super, tu entreras alors dans la section des 'quasi personne', et tu auras beau mettre ton nez dedans, les chances que tu y deceles des failles/backdoors simplement en lisant le code sont infiniment faible en comparaison d'autres techniques ne demandant pas le code.

Eradique Windows ? Mais tu reves mon cher.

Deja il faut lire l'article. Tu y verras que la Chine fait cela comme moyen de pression car ils n'apprecient pas que MS ait arrete le support de XP.

Ensuite tu decouvriras que la Chine n'a vise que Windows 8, pas Windows 7.

Quand à rajouter une backdoor, ça serait relativement pas discret, vu que Red Hat distribue le code source ( sauf à violer la GPL ) des logiciels. Il serait aussi plus efficace d'aller directement upstream.

Tu crois que distribuer le code source va empecher l'insertion d'une backdoor ?

Et bon, on noteras aussi que Red hat ( ni même les autres fournisseurs de systéme d'exploitation libre, à l'exception de Google ) n'apparaissent dans une liste publié par Edward Snowden.

Tout a fait, car au niveau services ils sont inexistants.

Donc mon hypothése est que la NSA s'est surtout focalisé sur les actions directs et ciblés sur les données via les fournisseurs SaaS que sur les logiciels, ne serais que parce que c'est moins couteux, bien plus facile à justifier et moins risqué.

Tout a fait

Donc c'est bien tenté de mettre tout le monde dans le même panier, mais c'est pas le cas.

Justement si. Tous les fournisseurs de services sont dans le meme panier, tous les fournisseurs d'OS sont dans le meme panier aussi

Ben moi, je ne fais pas confiance aux gouvernements.

Pas besoin de croire qu'ils sont gentils, c'est pas le but. Simplement que leur interet s'aligne avec le tien sur ce sujet.

Oui, parce que les "gouvernements étrangers" (sous-entendus, étrangers aux USA si je comprends bien) sont connu pour leurs couilles énormes pour faire face aux autres puissances, grandes, petites ou moyennes. Il n'y a qu'à voir comment on a fait plier le Qatar, la Chine, la Russie, etc. en faisant passer les droits de l'homme avant le commerce international ou autres intérêts "stratégiques" (comprendre que le péquin moyen ne peut appréhender)

Tu as bien fait de mentionner la Chine et la Russie. Personne n'est arrive a les faire plier. Et devines quoi, ils ont les sources, et ils sont pas trop pro-US

Ce genre de discours de la part d'un état a uniquement pour but de manipuler l'opinion publique, et est un combat de popularité.

Mais evidemment que c'est pour l'opinion publique, mais regarde ce que Snowden a fait, cela a un impact certain sur l'opinion, et sur les societes US.

Surtout que personne ne peut rien prouver (car les preuves peuvent être créées de toutes pièces)

Justement non, si la backdoor est dans le code, tu peux la montrer clairement, contrairement a un service en ligne.

Si la Chine ou la Russie dit que MS espionne, les pays occidentaux vont avoir tendance à soupçonner la Chine ou la Russie de vouloir discréditer les USA.

Si les details techniques viennent avec alors non, ce sera plutot clair et net et la presse en fera ses choux gras.

FISA, USA PATRIOT Act, Calea, etc. ça ne suffit pas !

Non ca ne suffit pas, aucun de ces textes ne stipule qu'une backdoor doit etre installee dans les systemes d'exploitation.

L'affaire de la _NSAKEY en est certainement un exemple (d'ailleurs, elle existe toujours, elle a été simplement renommée!)

LOL ! C'est quoi cette affaire dis moi donc ? Allez, si c'est une backdoor cela devrait etre simple de prendre les binaires de l'epoque et demontrer comment l'exploiter !

Il y a aussi l'exemple de SKYPE qui a été modifié pour permettre les écoutes dites "légales".

Oui, c'est une obligation legale. Mais devines quoi, fournisseurs de service et operateurs de telecommunication, c'est pas la meme chose qu'editeur de soft.

Moi perso non, mais je connais 2 des gars qui ont bosse dessus (du moins sur les versions Vista et +). Il s'agit de Niels Ferguson et Dan Shumow, les 2 gars qui ont decouvert que DUAL_EC_DRBG etait troue de maniere suspecte…

Tu crois que la Chine aurait peur de souffrir economiquement ? Sortir cela publiquement leur donnerait un levier enorme pour empecher les USA de continuer leurs pratiques protectionnistes basees sur du FUD securitaire contre les boites chinoises justement.

Ou ils pourraient le faire de maniere privee en disant aux USA de lever ces barrieres en contrepartie de leur silence.

Ils collaborent car ils n'ont pas le choix, ils ont l'obligation legale de fournir les communications sur ordre du gouvernement. Tout comme en France, au Royaume-Uni, … le gouvernement peut demander les communications des operateurs, des ISPs, …

Tu regardes le cas Lavabit, il a du fermer boutique car il ne voulait pas filer les communications.

Il n'y a pas de raison de faire confiance a Microsoft en passant (ou Google, ou Redhat, …). Il faut simplement juger sur ce que l'on sait de la maniere de fonctionner des societes(employes de toutes nationalites a tous les niveaux, code accessible aux employes dans plein de pays differents que ce soit MS France, MS Inde, MS Chine, …), des possibilites techniques, des risques encourus, …

Je vois tout a fait la Russie ou la Chine faire le 1) histoire de donner un coup a l'economie US en represailles oui. Compare a ce que les USA ont fait avec Huwaei (ortographe approximative) ou les sanctions contre la Russie en ce moment, c'est tout a fait possible.

Traiter ca avec douceur dans le secret pour obtenir une version saine serait sacrement stupide, car rien ne leur dirait que c'est la derniere. Des preuves de backdoors pousseraient a changer de systeme. Le changement pourrait se faire dans la douceur sous un pretexte quelconque, mais j'imagines mal un gouvernement garder un OS qu'il sait compromis par un gouvernement etranger.

Mais tu as tort quand tu dis que ça n'augmenterai pas le risque de trouver.

Allez, on va dire que ca augmente les chances de 1/100000000 a 2/100000000 , un doublement !

Tout est question de confiance : si tu penses n'avoir rien dans le code à cacher, pourquoi le cacher (et dire "mais si on le montre" qu'à des gens sélectionnés?)

Tu sais parfaitement que les raisons de garder le code en interne ont bien d'autres parametres que simplement la securite.

Tout a fait, et tout cela est vrai quel que soit l'OS : Linux, Windows, Android, iOS

Il y a certainement un probleme de credibilite des societes US, c'est flagrant.

Ensuite, code source ferme ou ouvert, cela ne change rien pour Windows ou Linux (ou Android ou iOS…). Deja le code est trop gros pour qu'une backdoor saute aux yeux si il y en a une, en plus elle pourrait tout a fait etre inseree sous forme d'une faille banale, ensuite quasiment personne n'y jetterait un oeil. L'ouverture du code au grand public n'est rien d'autre que de la poudre aux yeux marketing.

Si c'est le cas, alors au jour d'aujourd'hui la situation est qu'on n'en sait rien.

Dire que cela existe est faux, il n'y a rien qui le prouve jusqu'a maintenant, et je vois tres mal comment cela pourrait etre implemente en pratique dans une situation ou les gens ont acces au soft.

Faire l'interception du cote serveur, ou cela ne peut pas etre decele c'est pas complique, la backdoor dans le produit qui est envoye au destinaire et qui peut etre analyse / surveye c'est autrement plus complique et dangereux a inserer.

Je n'ai par contre aucun doute sur le fait qu'ils ont une armee de gens qui cherchent des failles dans les produits. On l'a bien vu avec Stuxnet et Flame notamment.

Un autre outil que tout le monde sait foireux ?

Ben fait seulement, montre nous que 'tout le monde le sait foireux'

Peut pas ? 3eme mensonge en 3 posts, tu t'approches de ton record la.

Ce mec a sorti plein de trucs interessants oui :

a) Les fournisseurs de services ont obligation de donner des informations sur les communications. Ils ne le font pas volontairement.
b) La NSA a besoin d'intercepter les routeurs en transit pour y injecter ses mouchards, clairement ca veut dire que Cisco ne le fait pas lui-meme
c) La NSA a essaye d'infiltrer les organismes de standardisation, et dans un cas ils se sont fait choper la main dans le sac par… 2 employes de Microsoft qui bossent(aient) sur la stack crypto de Windows.
d) Ils font un boulot fou pour essayer de decrypter le traffic par dessus SSL (vol de certifs, etc…)
e) Rien de ce que Snowden a publie n'a montre de backdoors dans le code d'Android, Linux ou Windows jusqu'a maintenant

Ensuite, tu reflechis 3 secondes, et tu te rends compte que si Windows contenait des backdoors, alors la NSA n'aurait pas besoin de faire la grande majorite de ce bordel car ils auraient acces direct a l'enorme majorite des desktops (et un gros paquet de serveurs) de cette planete.

Si il y a une backdoor, qu'on la montre. En attendant, affirmer qu'il y en a une n'est rien d'autre que du FUD.

Ca fait plus de 10 ans qu'ils ont les sources de Windows et qu'ils y regardent. On va dire avec assurance que lancer aujourd'hui une idee pareille, venant du ministre de l'economie, n'a pas grand choise a voir.

Et surtout, on va aussi dire avec assurance que cela n'arrivera pas, au mieux ils feront une distrib Linux que quasiment personne n'utilisera car sans avantage reel sur une distrib comme Redhat ou Ubuntu.

Ce qui est étonnant, c'est de recommander des produits que l'on sait être pourvus de porte(s) dérobée(s) (obligation légale pour les société américaines).

C'est faux, il n'y a aucune obligation legale de ce genre.

Pas le droit de recompiler, a la bonne connerie.

Allez, prouves le qu'ils n'ont pas le droit de recompiler.

Tu ne peux pas ? Ah tiens, 2eme mensonge en 2 posts. Tu tiens ton rythme habituel.

Est-ce qu'avec les sources Windows, il y a l'environnement de compilation exact (version, patchs, répertoires…) qui permet d'avoir le même (aux timestampes et signatures près) binaire?

Ca doit bien faire la 23435eme fois que je le dis ici : oui.
Faut arreter de croire que les moules de linuxfr sont des genies qui connaissent ce truc super-secret pour savoir que le binaire est le meme et que les pontes de la securite dans les gouvernements ne le savent pas. Ils riraient au nez de MS si ils ne filaient pas la chaine complete.

Bref, voila, si Microsoft veut être crédible face aux soupçons NSA, il faut qu'il filent les sources à qui veut (pas besoin d'être libre, juste qu'on puisse compiler)

Ben non justement. Il leur suffit de donner les sources a des gens/organismes qui sont de confiance pour le public, c'est tout. Les gouvernements etrangers c'est exactement ca. Si ils trouvent une / plusieurs backdoors dans l'OS, ils vont vite s'arranger pour soit le faire savoir afin de mettre un oeil au beurre noir aux USA, soit migrer loin de Windows.

Et aucun gouvernement ne l'a fait, alors qu'ils ont les sources depuis des annees et des annees.

La realite est que si demain MS ouvrait les sources, ce qui se passerait est exactement ce que 'needs' a dit dans sa reponse : l'excuse ne sera plus que les sources sont fermees, mais que 'le code est trop gros, on ne peut pas etre sur'.

Les gens qui veulent absolument se convaincre qu'il y a des backdoors dans Windows, rien ne les fera changer d'avis, tout comme les gens qui croient que Jesus reviendra un jour sur terre.

(il y a de moins en moins de confiance, et on audite de plus en plus. La possibilité d'audit (un vrai, pas que des sources qu'on nous file, mais vérifier que les binaires correspondent) est en train de devenir un critère important

Ce critere a toujours ete le meme : quasiment personne ne regarde les sources, tout le monde se contente de savoir que qq'un d'autre, qui est competent, va le faire (et on sait tous ce que ca n'arrive quasiment jamais d'ailleurs). Dans le cas de Windows c'est les differents gouvernements de la planete plus certains autres.

Et puis c'est pas comme si les backdoor c'est simple à trouver dans un code qui fait des dizaines de million de ligne (juste pour Windows), avec des couches de partout.

Tout a fait, jamais dit le contraire. Le probleme est le meme que pour Linux. Mais bon, si j'en crois ton 1er post, avoir les sources c'est important pour la securite, faudrait savoir…

Et puis bon, la backdoor pourrait aussi être dans les drivers par exemple.

Idem

Une backdoor NSA decouverte dans Windows ? Super, donne nous le lien sur cette backdoor avec l'explication technique de comment elle fonctionne.

Tu ne l'as pas et tu as sorti une connerie encore une fois ? Ah tiens, surprenant

"On" ne peut pas consulter les sources de BitLocker oui, les universites, gouvernements, … par contre ils peuvent.

Ca ca serait simple. Tcp/ip est encore la principalement car tout est compatible avec lui