Developpez.com

Club des développeurs et IT pro
Plus de 4 millions de visiteurs uniques par mois

Microsoft ouvrira des « Centres de Transparence »
Pour permettre aux États d'examiner son code source

Le , par Francis Walter, Expert éminent sénior
Microsoft a annoncé lors de la 50ème Conférence de Munich sur la Sécurité, qu’il a pour ambition de construire des « Transparency Centers » dans le monde. La firme voudrait que les clients des gouvernements puissent s’assurer que les codes sources de leurs produits ne renferment pas de backdoors.

Cette initiative viendrait renforcer les trois grandes mesures qui sont en train d’être prises par Microsoft pour lutter contre l’espionnage des gouvernements : « l’expansion du cryptage » dans leurs services, « le renforcement des protections juridiques pour les données » des clients et l’amélioration du code source des logiciels.

Un premier centre pourrait voir le jour d’ici la fin de l’année à Bruxelles. Ce premier centre « offrira aux clients du gouvernement une capacité accrue de revoir notre code source » peut-on lire dans le billet de blog posté par Matt Tomlinson, Vice-président en charge de la Sécurité chez Microsoft. Les clients pourront donc « réviser notre code source, s'assurer de son intégrité et confirmer qu'il n'y a pas de backdoors », ajoute-t-il.

Rappelons qu’à la fin d’année dernière, suite aux nombres révélations à propos de l’espionnage de la NSA, la firme de Redmond avait opté pour le chiffrement complet de ses services Cloud pour protéger les données de ses utilisateurs. Dans le billet de blog, Matt Tomlinson a encore rassuré les utilisateurs que son équipe travaille d’arrache-pied pour chiffrer les données des utilisateurs. Cependant, il stipule que les gouvernements et le secteur privé doivent coopérer afin de passer de cette crise de confiance à une nouvelle ère de confiance dans le cyberespace. Pour ce faire, il a convoqué un groupe composé de 20 gouvernements et 20 entreprises mondiales des TIC « G20 + 20 » pour élaborer « un ensemble de principes pour un comportement acceptable dans le cyberespace ». Matt Tomlinson est déterminé pour un dialogue entre les gouvernements et les entreprises privées pour mettre fin à cette crise de cybersécurité, car « la vie privée ne peut exister sans la sécurité, et la sécurité dépend de la vie privée ».

Aucun détail n’a été donné sur la construction du centre de transparence de Bruxelles et sur les stratégies qui seront mises en place pour que les clients puissent faire leur part du travail dans la vérification du code source.

Source : Blog Technet

Et vous ?

Que pensez-vous de cette résolution de Microsoft ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de temoanatini temoanatini - Membre averti http://www.developpez.com
le 03/02/2014 à 16:59
j'en pense que rien ne garantira que les sources disponibles seront bien ceux qui seront utilisés pour builder les versions de Windows...

On est bien "obligé" de les croire pour le coup...
Avatar de redcurve redcurve - Membre actif http://www.developpez.com
le 03/02/2014 à 17:12
Citation Envoyé par temoanatini  Voir le message
j'en pense que rien ne garantira que les sources disponibles seront bien ceux qui seront utilisés pour builder les versions de Windows...

On est bien "obligé" de les croire pour le coup...

Quand tu sais comment sont gérer les revues de code chez MS pour mettre un backdoor sans que personne ne s'en rende compter faut y aller et croire aux miracles
Avatar de Lutarez Lutarez - Membre chevronné http://www.developpez.com
le 03/02/2014 à 17:14
Citation Envoyé par redcurve  Voir le message
Quand tu sais comment sont gérer les revues de code chez MS pour mettre un backdoor sans que personne ne s'en rende compter faut y aller et croire aux miracles

Tu as des sources ? Cela m'intéresse (c'est une vraie question, pas une troll )
Avatar de manticore manticore - Membre confirmé http://www.developpez.com
le 03/02/2014 à 17:21
j'en pense que rien ne garantira que les sources disponibles seront bien ceux qui seront utilisés pour builder les versions de Windows...

On est bien "obligé" de les croire pour le coup...

« réviser notre code source, s'assurer de son intégrité et confirmer qu'il n'y a pas de backdoors »

Je pense qu'un hash devrait faire l'affaire.

Quand tu sais comment sont gérer les revues de code chez MS pour mettre un backdoor sans que personne ne s'en rende compter faut y aller et croire aux miracles

C'est surtout pour montrer que les agences américaines en ont pas mis Forcer des employés à mettre des backdoors doit être dans leur corde. J'ai un vague souvenir qu'ils ont jadis payé un développeur pour insérer une backdoor dans une stack IP (unix il me semble). Mais ça reste à confirmer.
Avatar de redcurve redcurve - Membre actif http://www.developpez.com
le 03/02/2014 à 17:37
Citation Envoyé par Lutarez  Voir le message
Tu as des sources ? Cela m'intéresse (c'est une vraie question, pas une troll )

Oui j'ai mes sources chez eux. Concrètement le code est vérifié par chaque dev (qui ne check pas son propre code, sachant qu'ils sont généralement en binôme), puis par le ou les architectes, entre temps il passe tout une batterie de tests automatique (sécurité, charge, qualité, etc.).

L'ensemble des développeurs reçoit le feedback des revus de code. Si l'architecte disons t'adresse un message concernant ta revue du code tout les autres dev l'ont aussi.

ça c'est juste à redmond, je ne parle pas des équipes ailleurs dans le monde.
Avatar de redcurve redcurve - Membre actif http://www.developpez.com
le 03/02/2014 à 17:44
Citation Envoyé par manticore  Voir le message
Je pense qu'un hash devrait faire l'affaire.

C'est surtout pour montrer que les agences américaines en ont pas mis Forcer des employés à mettre des backdoors doit être dans leur corde. J'ai un vague souvenir qu'ils ont jadis payé un développeur pour insérer une backdoor dans une stack IP (unix il me semble). Mais ça reste à confirmer.

Ils ne peuvent rien forcer, sachant que les sources sont disponibles à des équipes de dev qui ne sont même pas aux USA (france, uk, chine etc.).

Les documents de la nsa précises qu'elle ne se fait pas chier à mettre des backdoor dans les softs puisque ça n'a aucun intérêt, ils interceptent carrément les livraisons d'ordinateur et là ils ajoutent leur spyware et pas avant. Ils font pareil pour les téléphones & co.

En bref l'utilisation de malware n'est que pour les cibles spécifique. Pour le reste ils écoutent carrément le réseau, c'est plus simple et moins couteux.
Avatar de valkirys valkirys - Membre expérimenté http://www.developpez.com
le 03/02/2014 à 17:51
Citation Envoyé par redcurve  Voir le message
Les documents de la nsa précises qu'elle ne se fait pas chier à mettre des backdoor dans les softs puisque ça n'a aucun intérêt, ils interceptent carrément les livraisons d'ordinateur et là ils ajoutent leur spyware et pas avant. Ils font pareil pour les téléphones

En gros il faudrait commencer par réinstaller l'OS quand on achète une machine neuve ?
Avatar de Jarodd Jarodd - Membre expérimenté http://www.developpez.com
le 03/02/2014 à 19:38
Donc au lieu de croire Microsoft, il faudra croire les gouvernements ?
Avatar de laerne laerne - Membre éclairé http://www.developpez.com
le 04/02/2014 à 4:45
Ils ont pas peur qu'un type s'amuse a chopper le code sur une clef usb et le publier sur la toile ?
Avatar de yannickt yannickt - Membre à l'essai http://www.developpez.com
le 04/02/2014 à 13:59
1) Comme dit au-dessus, rien ne dit que le code montré est bien celui compilé. Sans accès à la chaine de compilation complète et la possibilité de comparer les résultats, ça ne sers à rien.
2) Qui a dit que les backdoors était du code spécifique et clair ? Ça peut très bien une faille de sécurité involontaire (ou cachée, cf au-dessus) et particulièrement complexe à trouver.
Offres d'emploi IT
HPC on-site system engineer tgcc h/f
Atos - Ile de France - Bruyères-le-Châtel (91680)
Développeur php full-stack
EASY PARTNER - Provence Alpes Côte d'Azur - Sophia Antiplois
charge(e) de recrutement IT
Adaming - Ile de France - Paris (75000)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil