GRATUIT

Vos offres d'emploi informatique

Développeurs, chefs de projets, ingénieurs, informaticiens
Postez gratuitement vos offres d'emploi ici visibles par 4 000 000 de visiteurs uniques par mois

emploi.developpez.com

Vault 7 : Apple et Google considèrent leurs produits assez protégés
Microsoft et Samsung examinent les failles révélées, Mozilla et l'EFF accusent

Le , par Michael Guilloux, Chroniqueur Actualités
Vault 7, c’est près de 10 000 documents de la CIA que WikiLeaks a rendus publics, dans le but de dénoncer l’activité d’espionnage de l’agence américaine. Si ces documents vont créer un choc chez le grand public utilisateur des technologies ciblées, chez les professionnels de la sécurité, cela confirme encore une fois ce qu’ils savaient déjà : les organisations telles que la CIA, c’est-à-dire parrainées par un gouvernement ont les moyens de pirater et d’espionner à travers n’importe quelle technologie.

Pour les entreprises de technologie, c’est également de nombreuses failles de sécurité dans leurs produits qui ont été divulguées ; lesquelles peuvent être exploitées par d’autres États ou des pirates avant qu’elles ne soient colmatées. Étant conscients de cette réalité, les éditeurs informatiques n’ont pas tardé à réagir pour rassurer leurs utilisateurs.

Apple a été parmi les premiers à s’exprimer, et pour pousser ses utilisateurs à passer aux versions plus récentes de ses produits. D’après la firme de Cupertino, sa première analyse des documents de la CIA lui permet de dire que la plupart des failles de sécurité dans son système d’exploitation mobile ont déjà été corrigées dans la dernière version d’iOS. Cela signifie que 80 % de ses utilisateurs – lesquels utilisent la dernière version de son OS mobile – seraient protégés. Apple urge donc ses utilisateurs à passer à la dernière version d’iOS et s’assurer d’avoir les dernières mises à jour de sécurité. Pendant ce temps, le fabricant d’iPhone promet de faire le nécessaire pour corriger n’importe quelle faille qu’elle aura à identifier.

Tenant le même langage que son concurrent dans le mobile, Google assure également qu’Android et Chrome sont protégés de bon nombre de failles révélées dans les documents publiés par WikiLeaks. Dans son communiqué relayé par Recode, le géant de l’internet reste toutefois moins prétentieux qu’Apple et dit poursuivre son analyse de la fuite de données de la CIA pour mettre en place les protections supplémentaires nécessaires contre les autres brèches de sécurité. « Nous sommes persuadés que les mises à jour de sécurité et les protections de Chrome et Android protègent déjà les utilisateurs de plusieurs de ces supposées vulnérabilités », déclare Heather Adkins, directrice de la sécurité de l’information et la confidentialité chez Google. « Nous poursuivons notre analyse et nous mettrons en œuvre toute autre protection nécessaire », dit-elle.

Microsoft et Samsung essaient également de rassurer les utilisateurs. En effet, les deux entreprises informent ces derniers qu’elles sont en train d’examiner les problèmes mis en évidence dans leurs produits. Ces examens leur permettront certainement de dire si oui ou non leurs produits présentent encore les failles révélées dans les documents de la CIA.

De son côté, Mozilla accuse non seulement la CIA, mais également WikiLeaks de mettre en péril la sécurité de l’internet. « Si les informations publiées dans les rapports sont exactes, alors cela prouve que la CIA porte atteinte à la sécurité de l'internet - et WikiLeaks aussi », affirme Heather West, Senior Policy Manager chez Mozilla. L’éditeur de Firefox critique la CIA parce que l’agence travaille à collecter des vulnérabilités dans les différents produits à des fins d’espionnage. WikiLeaks est également fustigé, parce que l’organisation n’a pas cherché à coordonner la divulgation de ces vulnérabilités aux entreprises affectées pour leur permettre de les corriger et protéger les utilisateurs. WikiLeaks a plutôt choisi de les mettre à la disposition du grand public, donc d’autres agences d’espionnage et pirates également.

S'exprimant toujours sur ce genre de question, le gardien de la vie privée, Electronic Frontier Foundation (EFF), a également accusé la CIA de ne pas suivre le Vulnerabilities Equities Process (VEP), une procédure du gouvernement des États-Unis qui vise à déterminer si une agence devrait conserver une faille secrète, ou en informer les éditeurs dans le but de la corriger. Apparemment, la CIA et ses pairs préfèrent toujours garder les vulnérabilités secrètes pour une utilisation future.

Sources : BBC, Mozilla, EFF


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de Capitaine_aizen Capitaine_aizen - Membre du Club https://www.developpez.com
le 09/03/2017 à 16:05
La réponse de Google, Apple, MS et Samsung sont des réponses "business" ! La véritable question est dans quelle mesure doit-on les croire ? Actuellement, nous n'avons pas les moyens de tester si les dites failles sont corrigées. (De la même manière que l'on pouvait tester si un serveur était vulnérable à heartblood ou non).
En admettant que les failles sont corrigées, quid du hardware ? Aucune de ces sociétés va envoyer un mail pour dire à leur client de renvoyer leur téléphone, ordinateur pour changer une puce qui présentait une backdoor.

En revanche, je ne comprends pas trop la réponse de Mozilla. Wikileaks n'a pas publié les failles pour éviter justement de voir ces outils se diffuser à très large échelle sans que les correctifs soient en place, donc je vois pas où est le mal. De plus si Wikileaks avait contacté les éditeurs, on ne serait pas forcément au courant de 1. L'espionnage et les outils de la CIA (que l'on va appelé NSA-forked ) 2.Il n'y aurait pas eu de pression sur ces entreprises qui n'auraient pas eu à se soucier de les corriger ou pas (Voir les récentes affaires de failles de MS & Google). En outre, cette abus de la CIA (et plus largement de cette paranoïa pathologique des USA) n'aurait pas été connu du grand public et par conséquent est-ce que nos gouvernements (dont la compétence en informatique est proche de celle d'un troll) auraient été informé ? Maintenant, on peut espérer que certains vont se prononcer sur la question (présidentielle en cours ou non !).
Avatar de NSKis NSKis - Membre émérite https://www.developpez.com
le 09/03/2017 à 16:45
"Apple et Google considèrent leurs produits assez protégés"???

Evidemment, leurs produits sont "assez protégés" pour que les autorités US puissent "assez facilement" s'y promener... Il ne faudrait tout de même pas se mettre à dos l'administration américaine; cela pourrait leur coûter extrêmement cher... Y compris quelques années de prison pour leurs dirigeants... C'est que les ricains ne sont pas du genre à rigoler... Tout le monde ne gère pas sa justice à la mode Taubira
Avatar de Tartare2240 Tartare2240 - Membre régulier https://www.developpez.com
le 09/03/2017 à 17:06
Citation Envoyé par Capitaine_aizen Voir le message
En revanche, je ne comprends pas trop la réponse de Mozilla. Wikileaks n'a pas publié les failles pour éviter justement de voir ces outils se diffuser à très large échelle sans que les correctifs soient en place, donc je vois pas où est le mal. De plus si Wikileaks avait contacté les éditeurs, on ne serait pas forcément au courant de 1. L'espionnage et les outils de la CIA (que l'on va appelé NSA-forked ) 2.Il n'y aurait pas eu de pression sur ces entreprises qui n'auraient pas eu à se soucier de les corriger ou pas (Voir les récentes affaires de failles de MS & Google). En outre, cette abus de la CIA (et plus largement de cette paranoïa pathologique des USA) n'aurait pas été connu du grand public et par conséquent est-ce que nos gouvernements (dont la compétence en informatique est proche de celle d'un troll) auraient été informé ? Maintenant, on peut espérer que certains vont se prononcer sur la question (présidentielle en cours ou non !).
Wikileaks seems to be using that trove for shock value rather than coordinating disclosure to the affected companies to give them a chance to fix it and protect users.
De ce que je comprends du billet de Mozilla, ils les accusent de ne pas leur avoir donné une chance de corriger tout, donc d'envoyer les failles aux entreprises concernées, avant de les diffuser au grand public. Comme par exemple le fait Google avec les failles de Microsoft.
Avatar de Lcf.vs Lcf.vs - Membre éprouvé https://www.developpez.com
le 09/03/2017 à 18:05
Exactement ce que j'disais:

"Il est impossible de garder le contrôle d'armes de cyberespionnage... Si vous les construisez, vous finirez par les perdre", a ajouté M. Assange, précisant que WikiLeaks possédait "beaucoup plus d'informations" sur les méthodes de la CIA.
Avatar de Ryu2000 Ryu2000 - Membre expert https://www.developpez.com
le 09/03/2017 à 18:43
Wikileaks. Assange accuse la CIA d'« incompétence dévastatrice
« La CIA a été très imprudente en créant ces programmes. Est-ce que des cybercriminels les ont déjà récupérés ? Est-ce que des agences de renseignement étrangères les possèdent ? Il est parfaitement possible que nombre de gens les aient désormais », a déclaré Julian Assange
Avatar de chrtophe chrtophe - Rédacteur/Modérateur https://www.developpez.com
le 09/03/2017 à 20:21
Autre point que je voudrais souligner : On parle ici de failles aussi bien hardware que software, mais quid de backdoors mathématiques ? l'AES a été developpé par les US tout comme le RSA, pouvons-nous être sur qu'il n'y a pas de failles mathématiques (qui n'ont pas encore été trouvé ou publié) qui permettraient à ces agences de déchiffrer à la volée (ou du moins plus facilement et rapidement) les communications ?
Serpent est un algorithme de chiffrement par bloc finaliste pour le concours AES. Il obtiendra finalement la 2e place (59 votes contre 86 votes pour Rijndael). Serpent a été conçu par Ross Anderson, Eli Biham et Lars Knudsen.

Une controverse existe, selon laquelle Serpent n'aurait pas été choisi comme AES, car casser ses clés aurait été beaucoup trop complexe pour les services de renseignement civils et militaires. De plus, même dans une version simplifiée il reste robuste. Par exemple Rijndael est très souvent implémenté dans TLS en version simplifiée sur 14 de ses 16 tours pour des raisons de rapidité, mais aussi d'analyses de données. Alors que Serpent doit être abaissé à au moins 9 tours pour fournir un niveau identique d'exploitation.
extrait source Wikipedia : https://fr.wikipedia.org/wiki/Serpent_(cryptographie)
Avatar de Aiekick Aiekick - Membre expérimenté https://www.developpez.com
le 09/03/2017 à 23:06
Citation Envoyé par Lcf.vs Voir le message
Je pensais ainsi aussi, il y a une 15aine d'années... mais c'est très certainement trop naïf... peux-tu vraiment être sûr que ce que tu utilises sur ta machine isolée n'est pas déjà corrompu?

Puis, bon... tu ne fais que du 100% homemade? ne reposant sur aucune lib toute faite? allons, un peu de sérieux ^^'
quel rapport pour la lib toute faite ?
Avatar de Aeson Aeson - Nouveau Candidat au Club https://www.developpez.com
le 10/03/2017 à 0:11
Quand les sources sont disponible il est possible de retrouver la backdoor dans le code.
encore un qui ne veus pas comprendre.... meme apres ca....
Avatar de Lcf.vs Lcf.vs - Membre éprouvé https://www.developpez.com
le 10/03/2017 à 8:10
Citation Envoyé par Aiekick Voir le message
quel rapport pour la lib toute faite ?
Ben, il n'y a pas que les logiciels et OS qui peuvent être vérolés... il en va de même pour des bibliothèques qu'on utilise au quotidien.

Je pense notamment à ces hébergeurs de packages/modules, où certains profitent de projets abandonnés ou qui ont changé de nom et dont certains profitent pour prendre la place de l'ancien pour infecter le pc de développeurs qui les installent, en toute confiance, puisqu'il n'y avait pas de problème avant.
Avatar de RyzenOC RyzenOC - Membre émérite https://www.developpez.com
le 10/03/2017 à 8:18
Citation Envoyé par Aeson Voir le message
encore un qui ne veus pas comprendre.... meme apres ca....
tu sait comment à fait la CIA pour véroler les programme open source ? notamment "linux" ?
Ils ont pas modifier le noyaux linux, le vrai celui de torvald et de sa bande mais ils l'ont forker.

Ils fork des projets open source et la redistribue sur la toile, rien de bien difficile.

Pour le firmware des cisco et le micro code des xeons y'a pas besoin de faire de fork, ils ont ont juste à demander à intel/cisco et voila une backdoor d'offerte par la maison.
C'est grave cr ceux qui achète du cisco et du xeons c'est pas Mr Michu mais Airbus, Ariane, Dassault System... les plans du rafale transit sur ces routeurs... c'est plus du vol mais du viol industriel.
Avatar de Aeson Aeson - Nouveau Candidat au Club https://www.developpez.com
le 10/03/2017 à 8:43
Je comprend tres bien. Mais vous ne voyez qu une partie du processus. Votre logique est bonne uniquement si vous verifiez vous meme tous le code et le compile en local. Ce que personne ne fait. Et l avantage de pouvoir verifier le code source m a toujours bien fait rire car personne ne le fait car peu en on les moyens financier et humain. Cette histoire le demontre ENCORE une fois. Et je ne parle meme pas des firmware et routeurs. Qui a les moyen de verifier ce code sources ? Meme si il etait dispo.

Linux est le meilleur OS pour serveur et je l utilise presque tous les jours. Mais l argument du code source visible n est que theorique. Dans la pratique ce n est pas un argument contre l espionage.Et certainement pas contre la CIA. Surtous que les outils de la CIA vont maintenant etre dispo a tous le monde.

L avantage de Linux n est qu il est open source mais qu il est tres bien fait et avec une architecture tres adaptee au serveurs. Contre l espionage et la CIA que se soit Linux Mac ou Windows.... ca ne change absolulent rien du tous. On en a ENCORE une fois la preuve ici.
Avatar de RyzenOC RyzenOC - Membre émérite https://www.developpez.com
le 10/03/2017 à 8:55
Dans ma boite on as une équipe qui vérifie les codes open source (on est aussi de gros contributeur de projets open source), donc vous devriez vous renseigner un peu plus, car dans les secteurs sensible je peut vous certifier que ce travail est effectué et qu'on ne mets pas n'importe quoi n'importe ou.
Avatar de Ryu2000 Ryu2000 - Membre expert https://www.developpez.com
le 10/03/2017 à 8:56
Ouais mais ici la différence entre des logiciels open source et des logiciels commerciaux, c'est que les équipes qui ont travaillé sur les projets Open Source n'ont pas collaboré avec la NSA ni la CIA.
De base le logiciel est clean, l'équipe de VLC n'a pas mis de backdoor, l'équipe de Notepad++ n'a pas mis de backdoor.

Par contre Google, Apple, Microsoft, etc, ont collaboré avec la CIA et proposent des logiciels qui sont forcément déjà équipé de backdoors.
Avatar de Aeson Aeson - Nouveau Candidat au Club https://www.developpez.com
le 10/03/2017 à 8:59
Dans ma boite on as une équipe qui vérifie les codes open source (on est aussi de gros contributeur de projets open source), donc vous devriez vous renseigner un peu plus
J etai certain qu on allait me repondre cela 😂😂

Donc si vous verifiez le code source vous avez deciuvert les failles Bash et OpenSSL et vous n avez rien dit ? C est pas gentil ca 😂😂😂😂
Avatar de Aeson Aeson - Nouveau Candidat au Club https://www.developpez.com
le 10/03/2017 à 9:02
Ouais mais ici la différence entre des logiciels open source et des logiciels commerciaux, c'est que les équipes qui ont travaillé sur les projets Open Source n'ont pas collaboré avec la NSA
1. Ca ne change absolument rien au resultat. Et c est le resultat qui compte

2. Tu n as aucune preuve qu ils ont collabore avec la CIA. Comme tu n as AUCUNE preuve que meme Linus n a pas collabore avec eux...
Avatar de Ryu2000 Ryu2000 - Membre expert https://www.developpez.com
le 10/03/2017 à 9:12
Citation Envoyé par Aeson Voir le message
2. Tu n as aucune preuve qu ils ont collabore avec la CIA. Comme tu n as AUCUNE preuve que meme Linus n a pas collabore avec eux...
Ah ouais, officiellement Apple et Google sont en train de corriger les failles qui ont été exploitées par la CIA :
Le « dossier CIA » de WikiLeaks n’effraie ni Apple ni Google
Au temps pour moi...

Je crois qu'il est plus facile de trouver des failles dans un logiciel open source qu'un logiciel commercial.
La CIA a du travailler en "boite noire" en quelque sorte j'imagine.
Des infos de la part des grosses entreprises auraient pu les aider.
Avatar de TallyHo TallyHo - Membre averti https://www.developpez.com
le 10/03/2017 à 9:16
Citation Envoyé par Aeson Voir le message
L avantage de Linux n est qu il est open source mais qu il est tres bien fait et avec une architecture tres adaptee au serveurs. Contre l espionage et la CIA que se soit Linux Mac ou Windows.... ca ne change absolulent rien du tous. On en a ENCORE une fois la preuve ici.
Excuses moi mais ton raisonnement est aussi idiot que de dire que la ceinture de sécurité est inutile car les conducteurs ne la mettent pas... Tu peux vérifier et compiler, voila ce qui change. Ce n'est pas parce que les gens n'utilisent pas cette possibilité (d'après toi) que ça enlève l'avantage.
Avatar de Aeson Aeson - Nouveau Candidat au Club https://www.developpez.com
le 10/03/2017 à 9:21
Ce n est pas debil. Ca s apelle la pratique. Concretement tres peus de personnes ont les moyens et la capacite de le faire. Quelques un pense en etre capable c est tous. Ces rock star de l informatoque qui ne sont que de petit pretentieux. Mais concretement cet avantage n est que theorique et ne prend pas compte de tout le context.
Avatar de chrtophe chrtophe - Rédacteur/Modérateur https://www.developpez.com
le 10/03/2017 à 10:20
Ce n est pas debil. Ca s apelle la pratique. Concretement tres peus de personnes ont les moyens et la capacite de le faire. Quelques un pense en etre capable c est tou
Mais encore moins de personnes sont capables d'analyser un code compilé propriétaire dont les sources sont indisponibles.
Avatar de NSKis NSKis - Membre émérite https://www.developpez.com
le 10/03/2017 à 10:26
Citation Envoyé par RyzenOC Voir le message
Dans ma boite on as une équipe qui vérifie les codes open source (on est aussi de gros contributeur de projets open source), donc vous devriez vous renseigner un peu plus, car dans les secteurs sensible je peut vous certifier que ce travail est effectué et qu'on ne mets pas n'importe quoi n'importe ou.
Une équipe qui vérifie les codes open source avant de les utiliser??? Alors là, c'est le scoop!!!

Parce que dans le monde réel de l'entreprise:

1. On limite les coûts de développement et on paie rarement des mecs à faire dans le "non-productif"

2. L'approche du mec qui passe en revue le code d'un autre est rarement efficace parce que après quelques minutes les pensées du mec en question s'orientent à tout autre chose (sa copine, la sortie du week-end, etc.). Il est physiologiquement impossible pour l'être humain de se concentrer sur une tâche où il n'est pas fréquemment stimulé et c'est pas le déroulement des lignes de codes sur un écran qui stimule...

3. Il est plus que courant qu'un développeur aille faire ses amplettes sur le web sans rien en dire à son chef de projet et intègre à son travail du code récupéré sans trop en comprendre le fonctionnement ("bof, ça fait la fonction voulue, super, j'intègre, cela va me faire tenir mon planning!")... Ce code là, ton équipe les vérifie aussi? Il les détecte comment? En lisant dans les pensées du développeur négligeant?
Avatar de Tartare2240 Tartare2240 - Membre régulier https://www.developpez.com
le 10/03/2017 à 10:29
Si je peux me permette de rejoindre le débat...

Je ne pense pas que Google soit vraiment de mèche avec le gouvernement sur ce genre de coup. Déjà, rappelons-nous que Chrome est basé sur un projet open source (Chromium). Donc le gouvernement américain n'aurait pas eu besoin d'une backdoor spécifique pour repérer une faille récupérer les données de Chrome. De plus, au vu de leur politique sur la correction des failles et de leur réputation en faveur d'un web plus sécurisé, je doute que ce genre de "contrat" serait profitable pour eux.

Apple je dis rien, sinon ça va mal finir
Avatar de chrtophe chrtophe - Rédacteur/Modérateur https://www.developpez.com
le 10/03/2017 à 11:28
Il est plus que courant qu'un développeur aille faire ses amplettes sur le web sans rien en dire à son chef de projet et intègre à son travail du code récupéré sans trop en comprendre le fonctionnement
Cela permet des failles justement.
Avatar de Ryu2000 Ryu2000 - Membre expert https://www.developpez.com
le 10/03/2017 à 11:44
J'imagine que souvent quand un développeur recherche une librairie javascript, il va prendre la version minimisée directement.
Jamais il se prendra la tête pour comprendre l'ensemble.
Sinon il coderait tout lui même et n'utiliserait pas de bibliothèques, ou librairies, ou framework, ou outils divers, etc...
Avatar de Traroth2 Traroth2 - Membre chevronné https://www.developpez.com
le 10/03/2017 à 11:46
Citation Envoyé par Aeson Voir le message
encore un qui ne veus pas comprendre.... meme apres ca....
Comprendre quoi ? Que les vulnérabilités dans Firefox et VLC vont être corrigées, alors que celles dans Chrome et Skype non ?
Avatar de Lcf.vs Lcf.vs - Membre éprouvé https://www.developpez.com
le 10/03/2017 à 12:03
Citation Envoyé par Ryu2000 Voir le message
Jamais il se prendra la tête pour comprendre l'ensemble.
Sinon il coderait tout lui même et n'utiliserait pas de bibliothèques, ou librairies, ou framework, ou outils divers, etc...
C'est ce que je fais ^^'
Avatar de Aeson Aeson - Nouveau Candidat au Club https://www.developpez.com
le 10/03/2017 à 12:06
Comprendre quoi ?
Que libre ou pas la CIA et autres n'en ont rien a faire et qu'ils compromettront n'importe quel systeme. Que l'argument de l'OpenSource n'a qu'une valeur theorique sur la protection de la confidentialité....

La verification du code source n'a qu'une valeur tres minime dans la protection de la vie privée.
Avatar de arond arond - Membre actif https://www.developpez.com
le 10/03/2017 à 12:17
Citation Envoyé par Aeson Voir le message
Que libre ou pas la CIA et autres n'en ont rien a faire et qu'ils compromettront n'importe quel systeme. Que l'argument de l'OpenSource n'a qu'une valeur theorique sur la protection de la confidentialité....

La verification du code source n'a qu'une valeur tres minime dans la protection de la vie privée.
Vous vous égarez.

Rappelez vous ceci :
Ils ont copiés les logiciels pour inclure leur petit espion qui s'exécute en même temps que le logiciel écran (Skype, VLC).
Puis ils ont distribué le logiciel pour pouvoir espionner (répétez l'opération pour chaque logiciel ou OS).
Ce n'est donc pas l'application en elle même qui est coupable mais la personne qui a téléchargé la mauvaise application.
Cela n'est pas en lien avec le débat du code visible ou pas.
Avatar de Capitaine_aizen Capitaine_aizen - Membre du Club https://www.developpez.com
le 10/03/2017 à 12:23
Citation Envoyé par Aeson Voir le message
/
L avantage de Linux n est qu il est open source mais qu il est tres bien fait et avec une architecture tres adaptee au serveurs. Contre l espionage et la CIA que se soit Linux Mac ou Windows.... ca ne change absolulent rien du tous. On en a ENCORE une fois la preuve ici.
Je sais pas pour toi dans ta boîte, mais dans la mienne, la DSI a obligé certains employé travaillant sur des sujets sensibles à utiliser uniquement du Linux car comme dit précedemment, il est plus robuste à ce genre de menace. En effet, si les Windaubes et Linux ont des failles, celle de l'Open-Source sont corrigés plus rapidement que celle de Windaube ET tu peux également les tracer ! As-tu déjà vu MS (ou Apple) te montrer le code source pour te dire ce qu'il avait changé et comment ils l'ont fait ? Non. Alors que sous Linux, tu peux avoir accès aux commits. (Voir les patchs du kernel comme argument d'appui.).
Conclusion, tu as des failles des deux cotés, mais dans un cas quand elles sont trouvées, elles sont colmatées et on t'informe (si tu es sur Linux, tu dois voir les mises à jour fréquentes qu'il y a). Windows, c'est une fois par mois, et encore, quand la mise à jour ne bouffe pas 50% de ta RAM et qu'elle ne plante pas après 3h à attendre que le PC redémarre (Je suis pas spécialiste en productivité et autres conneries pseudo-scientifique de ce genre, mais pour moi un employé qui attend 3h que son PC redemarre sans pouvoir avancer sur sous son projet, j'appelle ça du temps perdu !)

En outre, la crypto sous Windows avec BitLocker est deplorable, http://www.dsfc.net/infrastructure/s...-en-bitlocker/) et surtout elle ne respecte pas certains principes de bases de la crypto (code non-propriétaire, pas de certification de l'ANSSI, Principe de Kerckhoffs non-respecté, un seul algo).

Alors certes, je suis un partisan du Linux et de l'Open-Source, mais je n'ai rien contre un logiciel payant ! Seulement, si un logiciel payant collabore avec la NSA, CIA et autres, je crois qu'il devrait mentionner quelques part que c'est le cas (clause d'acceptation à se faire espionner) et ensuite le logiciel devrait gratuit (Dommage & intêrets tout ça, tout ça ...). A quand un label No-[Insérer ici une agence de renseignement] ou encore NSA-bulletproof.
Avatar de Aeson Aeson - Nouveau Candidat au Club https://www.developpez.com
le 10/03/2017 à 12:34
Cela n'est pas en lien avec le débat du code visible ou pas.
Justement. Vous ne voyez que cela. Le code est visible. Mais ce n'est qu'un petite partie du context. Le code est LOIN d'etre la seul chose sensible dans un logiciel. C'est le probleme de beaucoup de developpeur. Pour eux le code c'est tous.
Avatar de Aeson Aeson - Nouveau Candidat au Club https://www.developpez.com
le 10/03/2017 à 12:39
Seulement, si un logiciel payant collabore avec la NSA, CIA et autres, je crois ..
Encore une fois tu ne vois que le code... et ce n'est qu'une petite partie de probleme. A moin que tu ne verifie tois meme le code avant de tous compiler en interne ton argument n'est pas valable. Et si vous l'aviez fait vous aurez vu la faille OpenSSL qui, je le rapelle, aurait pu etre decouverte avec des simple outils d'analyze de code et de bon tests unitaire.

Alors toutes vos paroles sont belle mais dans la pratique c'est impossible et ce fait est prouvé régulierement dans l'actualité.

la crypto sous Windows avec BitLocker
On parle de la faille d'openSSL exploitable pendant 7 ans ?

utiliser uniquement du Linux car comme dit précedemment, il est plus robuste à ce genre de menace.
Wikileaks vient de montrer a ton DSI qu'il avait tort...
Avatar de Traroth2 Traroth2 - Membre chevronné https://www.developpez.com
le 10/03/2017 à 12:43
Citation Envoyé par Aeson Voir le message
Je comprend tres bien. Mais vous ne voyez qu une partie du processus. Votre logique est bonne uniquement si vous verifiez vous meme tous le code et le compile en local. Ce que personne ne fait. Et l avantage de pouvoir verifier le code source m a toujours bien fait rire car personne ne le fait car peu en on les moyens financier et humain. Cette histoire le demontre ENCORE une fois. Et je ne parle meme pas des firmware et routeurs. Qui a les moyen de verifier ce code sources ? Meme si il etait dispo.

Linux est le meilleur OS pour serveur et je l utilise presque tous les jours. Mais l argument du code source visible n est que theorique. Dans la pratique ce n est pas un argument contre l espionage.Et certainement pas contre la CIA. Surtous que les outils de la CIA vont maintenant etre dispo a tous le monde.

L avantage de Linux n est qu il est open source mais qu il est tres bien fait et avec une architecture tres adaptee au serveurs. Contre l espionage et la CIA que se soit Linux Mac ou Windows.... ca ne change absolulent rien du tous. On en a ENCORE une fois la preuve ici.
Je ne vois pas du tout pourquoi il faudrait vérifier soi-même pour avoir un meilleur niveau de confiance que pour du logiciel propriétaire. A moins de prétendre que la CIA est capable de compromettre absolument tous les gens se livrant à ces vérifications. Par que c'est totalement faux de dire que personne ne vérifie. C'est une réflexion niveau café du commerce, ça !

Et il est tout aussi faux de dire que ça ne change rien : on voit déjà que les vulnérabilités sur les applications FLOSS sont en cours de correction, alors que pour les applications propriétaires, Apple et Google ont déjà annoncé qu'ils ne feraient rien de particulier. Curieux contraste avec la levée de boucliers après les révélations de Snowden sur Prism, soit dit en passant...

Dans une application propriétaire, personne ne peut rien vérifier, pas même les gouvernements, parce qu'ils n'ont aucune garantie que le code source qu'on leur fournit pour examen est le vrai. Avec les applications FLOSS, la CIA en est réduite à fournir des versions détournées sur des sites où les gens sérieux ne vont pas ou éventuellement à fournir des patchs par des prêtes-noms en espérant que personne ne remarque pas les portes dérobées.

Ce qui ne veut absolument pas dire que le processus est parfait et infaillible. Parce que j'ai l'impression que c'est ça que tu dis, au final : soit c'est parfait et infaillible, soit ça ne sert à rien. Ce n'est pas la bonne manière de voir les choses.
Avatar de Capitaine_aizen Capitaine_aizen - Membre du Club https://www.developpez.com
le 10/03/2017 à 12:46
Citation Envoyé par Tartare2240 Voir le message
Si je peux me permette de rejoindre le débat...

Je ne pense pas que Google soit vraiment de mèche avec le gouvernement sur ce genre de coup. Déjà, rappelons-nous que Chrome est basé sur un projet open source (Chromium). Donc le gouvernement américain n'aurait pas eu besoin d'une backdoor spécifique pour repérer une faille récupérer les données de Chrome. De plus, au vu de leur politique sur la correction des failles et de leur réputation en faveur d'un web plus sécurisé, je doute que ce genre de "contrat" serait profitable pour eux.

Apple je dis rien, sinon ça va mal finir
A vrai dire je ne suis pas aussi sûr. Google a montré deux facettes (une Yuno Gasai ?). D'un coté le défenseur du Web libre, sécurisé (voir les recherches en crypto dans le cas de l'arrivée de la technologie quantique), ouvert.... Bref le beau chevalier blanc venant aux secours de Mme.Michu et de Kévin. Et de l'autre coté, on a une des plus grosses boîtes de technologies (qui se diversifie au passage) ayant quelques histoires pas très nets (lecture des mails de ces utilisateurs, influence dans le W3C, DRM, partie d'Androïd non-ouvert... ) , sans compter que Google est une société à but lucratif et que le plus important pour leur survie c'est l'argent ! Au final je pense que Google soigne son image et évite sur le plan public de montrer qu'ils collaborent (volontairement ou non) avec ce genre d'organisme. Mais on ne peut pas exclure qu'il a peut-être donné un coup de pouce à ces agences.

A vrai dire, c'est un peu comme Intel. On sait que ces cpus cachent quelques choses, mais aurions des preuves assez solides pour oser tenter une attaque en justice pour l'atteinte à la liberté, vol industriel, espionnage économique et autres ?

Enfin le plus problématique, c'est qu'il n'y a pas vraiment de porte de sortie pour le consommateur (ni même pour d'autres organisme comme les gouvernements ou l'armée). Pouvons-nous nous dispenser d'Intel ? On peut se dire qu'on a AMD, mais est-ce qu'AMD rivalise sur l'aspect technique avec Intel pour une utilisation donnée (perso nos calculateurs sont sur du Intel) ET surtout, est-ce que AMD est plus clean que Intel sur ce genre d'histoire (générateur aléatoire biaisé, microcode pas très net...) ? Bref, à part développer une techno de notre coté (et ça coûte cher et ça prends du temps), je vois pas trop d'issue à ce problème. Excepté un coup de gueule mondiale, mais là c'est pas demain la veille.
Avatar de Traroth2 Traroth2 - Membre chevronné https://www.developpez.com
le 10/03/2017 à 12:50
Citation Envoyé par Tartare2240 Voir le message
Si je peux me permette de rejoindre le débat...

Je ne pense pas que Google soit vraiment de mèche avec le gouvernement sur ce genre de coup. Déjà, rappelons-nous que Chrome est basé sur un projet open source (Chromium). Donc le gouvernement américain n'aurait pas eu besoin d'une backdoor spécifique pour repérer une faille récupérer les données de Chrome. De plus, au vu de leur politique sur la correction des failles et de leur réputation en faveur d'un web plus sécurisé, je doute que ce genre de "contrat" serait profitable pour eux.

Apple je dis rien, sinon ça va mal finir
Tout dépend si la porte dérobée se trouve dans la version officielle ou non. Si c'est le cas, la complicité de Google est évidente.

Je rappelle que, si Chrome est basé sur Chromium, Chrome n'est pas Chromium. Et que les contributions à Chromium, comme pour tout logiciel FLOSS, sont examinées par l'équipe core, c'est à dire essentiellement des gens de Google.
Avatar de Aeson Aeson - Nouveau Candidat au Club https://www.developpez.com
le 10/03/2017 à 12:51
Je ne vois pas du tout pourquoi il faudrait vérifier soi-même pour avoir un meilleur niveau de confiance que pour du logiciel propriétaire
Car le code peut etre modifie et que tu ne peus faire confiance a la societé qui le verifie. Pourquoi faire plus confiance a Linus qu'a Microsoft ou Google ?

Par que c'est totalement faux de dire que personne ne vérifie.
Les verification ne sont pas bonne. Il y a tellement de preuve pour cela que ce n'est meme pas la peine d'argumenter. Quand on voit qu'openSSL etait maintenu par 3 personnes apres journée alors que c'est un outils sensible et tres utilisé..... Et que malgré que tous le monde assure que le code source est verifie personne n'a fait de test correct sur cette librairie... Alors vos histoir de code-quality et code review vous pouvez aller raconter ca autre part

Mais bon.... Le but n'est pas de faire changé d'avis la communauté integriste Linux.... Linux est vraiment un super OS... dommage quil y a cette communauté d'integriste autour....
Avatar de Traroth2 Traroth2 - Membre chevronné https://www.developpez.com
le 10/03/2017 à 12:53
Citation Envoyé par Aeson Voir le message
Que libre ou pas la CIA et autres n'en ont rien a faire et qu'ils compromettront n'importe quel systeme. Que l'argument de l'OpenSource n'a qu'une valeur theorique sur la protection de la confidentialité....

La verification du code source n'a qu'une valeur tres minime dans la protection de la vie privée.
C'est exactement le genre de raisonnement qui permet aux services de renseignement de faire ce qu'ils veulent. C'est incroyable, même sur un forum où les participants sont supposés être des professionnels, on voit ce genre de pensée basée sur "de toutes façons, c'est magique, on ne peut rien faire contre la CIA, même pas la peine d'essayer". Change de métier, mec !

Citation Envoyé par Aeson Voir le message
Justement. Vous ne voyez que cela. Le code est visible. Mais ce n'est qu'un petite partie du context. Le code est LOIN d'etre la seul chose sensible dans un logiciel. C'est le probleme de beaucoup de developpeur. Pour eux le code c'est tous.
C'est une condition nécessaire mais non suffisante pour permettre une meilleure sécurité du SI. C'est clair, maintenant ?
Avatar de Michael Guilloux Michael Guilloux - Chroniqueur Actualités https://www.developpez.com
le 10/03/2017 à 13:01
WikiLeaks va partager le code de la CIA avec les entreprises IT
quand la CIA dit continuer à collecter agressivement des renseignements à l'étranger

Au début de cette semaine, WikiLeaks a mis en ligne un tas de documents confidentiels de la CIA. Ces documents décrivent les techniques et programmes de l’agence américaine pour pirater les téléphones, ordinateurs et appareils connectés à Internet. Les documents ont également révélé de nombreuses failles de sécurité dans des logiciels qui auraient été exploitées par la CIA.

Juste après cette fuite des outils secrets de la CIA, des entreprises de technologie, en particulier Google et Apple, ont affirmé que leurs produits avaient déjà corrigé la plupart des failles citées dans les documents publiés par WikiLeaks.

L’organisation fondée par Julian Assange n’avait toutefois pas publié les programmes complets de la CIA, qui dans ce cas, auraient pu facilement être exploités par d’autres acteurs pour mener des attaques. Seuls des extraits de code informatique ont été publiés. WikiLeaks prévoit toutefois de publier tous les détails techniques des outils de piratage et d’espionnage de la CIA, mais une fois que les entreprises de technologie auront déployé des correctifs de sécurité pour leurs produits vulnérables. Au moment de la publication de la première vague de documents, WikiLeaks a en effet fait savoir qu’elle travaillera avec les grandes entreprises de technologie afin de corriger les vulnérabilités qui permettent aux outils de la CIA de fonctionner.

Dans une conférence de presse de l’ambassade de l’Équateur à Londres, où Julian Assange s’est réfugié depuis 2012, le fondateur de WikiLeaks a confirmé qu’il va partager le code de la CIA avec les principales entreprises de technologie comme Google, Apple, Microsoft, pour leur permettre de « désarmer » les outils de piratage de l’agence américaine. Après quoi, il pourra publier le code de ces outils en ligne.

« Nous avons décidé de travailler avec [les fabricants] pour leur donner un accès exclusif aux détails technologiques supplémentaires que nous avons, afin que les correctifs puissent être développés et déployés, pour que les gens puissent être en sécurité », a déclaré Assange. « Une fois que nous aurons effectivement désarmé ce matériel, nous publierons des détails supplémentaires. », dit-il.

Après le message d’Assange, Microsoft et Cisco, dont les produits sont également exploités dans le programme de piratage de la CIA, ont fait savoir qu’ils apprécieront recevoir les détails des vulnérabilités dans leurs produits par les procédures habituelles. « Nous avons vu la déclaration de Julian Assange », a déclaré un représentant de Microsoft. Le géant du logiciel dit toutefois qu’il n’a pas encore été contacté, avant d’indiquer comment il souhaiterait recevoir les informations détenues par WikiLeaks : « Notre méthode préférée pour toute personne connaissant des problèmes de sécurité, y compris la CIA ou WikiLeaks, est de nous soumettre des détails à secure@microsoft.com afin que nous puissions examiner les informations et prendre toutes les mesures nécessaires pour protéger les clients », dit-il.

Du côté de la CIA, si l’on n'a pas explicitement confirmé l'authenticité des documents publiés par WikiLeaks, on dénonce toutefois chez l’organisation une tentative de miner les opérations de l'agence. Après la déclaration de Julian Assange, un porte-parole de la CIA jette un doute sur l’intégrité du fondateur de WikiLeaks, avant d’affirmer que ces révélations n’impactent aucunement les activités de l’agence. « Malgré les efforts d'Assange et de ses proches, la CIA continue de recueillir agressivement des renseignements à l'étranger pour protéger les États-Unis des terroristes, des États-nations hostiles et d'autres adversaires ».

Sources : Reuters, NPR.org
Avatar de Traroth2 Traroth2 - Membre chevronné https://www.developpez.com
le 10/03/2017 à 13:02
Citation Envoyé par Aeson Voir le message
Car le code peut etre modifie et que tu ne peus faire confiance a la societé qui le verifie. Pourquoi faire plus confiance a Linus qu'a Microsoft ou Google ?
Parce qu'il est loin d'être le seul à vérifier. Et là, on parle de l'équipe core du noyau Linux, une équipe de gens dont c'est le seul point commun, situés dans des pays différents, faisant partie d'entreprises différentes, des professionnels rémunérés pour faire ça, des bénévoles, des membres d'associations, etc, mais aussi des gens qui n'ont pas de rapport direct avec l'équipe qui maintient le noyau : des entreprises qui revoient du code professionnellement, d'autres assocs, des gens qui forkent Linux pour un usage précis, etc. Les cas de figure sont innombrables, contrairement à ce que tu penses.
Citation Envoyé par Aeson Voir le message
Les verification ne sont pas bonne. Il y a tellement de preuve pour cela que ce n'est meme pas la peine d'argumenter. Quand on voit qu'openSSL etait maintenu par 3 personnes apres journée alors que c'est un outils sensible et tres utilisé..... Et que malgré que tous le monde assure que le code source est verifie personne n'a fait de test correct sur cette librairie... Alors vos histoir de code-quality et code review vous pouvez aller raconter ca autre part
Le système n'est pas infaillible, mais je vais t'apprendre un truc : rien de ce que font les êtres humains ne l'est. Ce qui ne veut pas dire que c'est sans valeur ou que ça ne permet pas d'avoir un meilleur niveau de sécurité que des logiciels propriétaires.
Citation Envoyé par Aeson Voir le message
Mais bon.... Le but n'est pas de faire changé d'avis la communauté integriste Linux.... Linux est vraiment un super OS... dommage quil y a cette communauté d'integriste autour....
Je me demande qui est un intégriste, ici. Et je me demande quel est ton but, au fait. Linux est un super OS, pour toi ? Mais pourquoi ? Tu ne vois l'intérêt d'un de ces principaux avantages !
Avatar de Tartare2240 Tartare2240 - Membre régulier https://www.developpez.com
le 10/03/2017 à 13:37
@Capitaine_aizen @Traroth2 : Je suis tout à fait d'accord sur le fait que Chrome n'est pas Chromium, ou encore le fait que c'est une société et qui dit société dit argent. Mais imaginons qu'un hacker/journaliste, par on ne sait quel miracle, arrive à trouver une preuve évidente que Google bosse de mèche avec les services secrets américains. Ne serait-ce pas là un énorme coup de poing dans le ventre de notre multinationale préférée ?

De mon coté, je pense plutôt que, pour préserver une certaine intégrité, ils ne feront pas cela. Car si jamais c'était révélé au monde, le revers serait tellement immonde qu'ils perdraient bien plus que tout ce qu'ils auraient pu gagner avec ces accords.

Ensuite je dis pas qu'un dev' "véreux" isolé ne puisse pas avoir décidé de foutre une backdoor bien planquée au profit de la CIA/MI5/Votre agence d'espionnage préférée. Et d'ailleurs, le fait qu'aucun ne l'ait fait me surprendrait beaucoup. Et c'est là où je ne suis pas forcément d'accord avec toi Trarot2 :

Citation Envoyé par Traroth2 Voir le message
Tout dépend si la porte dérobée se trouve dans la version officielle ou non. Si c'est le cas, la complicité de Google est évidente.
Ne jamais sous-estimer le pouvoir de nuisance d'un individu seul.
Avatar de arond arond - Membre actif https://www.developpez.com
le 10/03/2017 à 13:42
Citation Envoyé par Traroth2 Voir le message
Parce qu'il est loin d'être le seul à vérifier. Et là, on parle de l'équipe core du noyau Linux, une équipe de gens dont c'est le seul point commun, situés dans des pays différents, faisant partie d'entreprises différentes, des professionnels rémunérés pour faire ça, des bénévoles, des membres d'associations, etc, mais aussi des gens qui n'ont pas de rapport direct avec l'équipe qui maintient le noyau : des entreprises qui revoient du code professionnellement, d'autres assocs, des gens qui forkent Linux pour un usage précis, etc. Les cas de figure sont innombrables, contrairement à ce que tu penses.

Le système n'est pas infaillible, mais je vais t'apprendre un truc : rien de ce que font les êtres humains ne l'est. Ce qui ne veut pas dire que c'est sans valeur ou que ça ne permet pas d'avoir un meilleur niveau de sécurité que des logiciels propriétaires.

Je me demande qui est un intégriste, ici. Et je me demande quel est ton but, au fait. Linux est un super OS, pour toi ? Mais pourquoi ? Tu ne vois l'intérêt d'un de ces principaux avantages !
Il ne faisait apparemment pas référence à un intégriste ici mais aux intégriste de Linux qui ne sont pas aptes à voir les défauts dans leur OS préféré

Qui a pleins de gros avantages mais aussi de gros défauts. .

Linux est gratuit c'est déjà un excellent point.
Avatar de marsupial marsupial - Membre éprouvé https://www.developpez.com
le 10/03/2017 à 14:17
Nous savons tous que le secteur des technologies par sa nature innovante reste perfectible. Que la CIA et autre en profitent devient logique quoi qu'on en dise. La problématique à mes yeux se retrouve dans le fait non pas que wikileaks soit informé et nous en informe mais bien que ces armes tombent dans des mains bien plus irresponsables et malintentionnées que les services américains.

L'entreprise pour laquelle je travaille est entrée en relation avec Wikileaks pour obtenir un complément d'informations techniques sur la nature des failles exploitées afin d'y palier en cas d'impact. L'attitude des Google et Apple manque de responsabilité vis à vis de leurs clients professionnels. Evidemment l'entreprise de publicité sur internet se sentira moins concernée par ces révélations que celle ayant pour coeur de métier l'électronique de défense par exemple. Et sans évoquer le cas du citoyen x ou y, je pense que dorénavant tous devraient prendre leurs précautions car il s'agit d'informations incomplètes et visiblement diffusées sans grande responsabilité.

Une fois dit, reste les huiles. Vont-elles prendre conscience de la menace que représente la diffusion de tels outils à des groupes pas nécessairement recommandables pouvant également en faire commerce ? Exemple Trump et son Android non sécurisé qu'il utilise encore.

Bref, reprendre le contrôle de la situation maintenant que la boîte de Pandore a laissé échapper le Diable ne va pas être une mince affaire.
Avatar de Dhafer1 Dhafer1 - Membre régulier https://www.developpez.com
le 10/03/2017 à 14:19
Y'a que OpenBSD qui est vraiment sécurisé côté OS, j'attend avec impatience l'exploit qu'a trouvé la NSA/CIA sur OpenBSD, ça fera la 3ème vulnérabilité en une bonne 20aine d'années.
Avatar de Aeson Aeson - Nouveau Candidat au Club https://www.developpez.com
le 10/03/2017 à 14:22
Change de métier, mec !
Apprend le tiens mec ! Le code n'est qu'une petite partie dans les aspects de securité. L'infrastructure et le reseaux... c'est la que ca se passe....

Faire confience au code et au code review est une ENROME erreur.

Je me demande qui est un intégriste, ici. Et je me demande quel est ton but, au fait. Linux est un super OS, pour toi ? Mais pourquoi ? Tu ne vois l'intérêt d'un de ces principaux avantages !
L'avantage de Linux n'est pas qu'il est OpenSource. Son avantage est son architecture.

Et ca me fait bien marer que vous me traiter d'integriste Maintenant j'utilise plus Linux qu'autre chose. Linuw ou Windows... je prend le meilleurs des 2....
Avatar de Capitaine_aizen Capitaine_aizen - Membre du Club https://www.developpez.com
le 10/03/2017 à 14:32
Citation Envoyé par Aeson Voir le message
Encore une fois tu ne vois que le code... et ce n'est qu'une petite partie de probleme. A moin que tu ne verifie tois meme le code avant de tous compiler en interne ton argument n'est pas valable. Et si vous l'aviez fait vous aurez vu la faille OpenSSL qui, je le rapelle, aurait pu etre decouverte avec des simple outils d'analyze de code et de bon tests unitaire.

Alors toutes vos paroles sont belle mais dans la pratique c'est impossible et ce fait est prouvé régulierement dans l'actualité.

On parle de la faille d'openSSL exploitable pendant 7 ans ?

Wikileaks vient de montrer a ton DSI qu'il avait tort...
Si tu veux on peut parler de la faille openSSSL à la condition tu me prouves que l'OpenSSL de Microsoft est aussi sans faille ! Plus sérieusement je suis d'accord avec toi, une faille aussi important ça ne fait pas de bonne pub pour le projet, mais il y en reste que cette implémentation est majoritairement utilisée.

Ensuite, trouver une faille et écrire un exploit sont assez différent (j'attends quand c'est fait à la main). Perso, je ne sais pas détecté une faille sur de l'ASM en revanche un buffer owerflow je suis un brin plus doué mais c'est fonction de lavoir la qualité du code. Mais écrire un exploit, bah je connais un peu la théorie mais en pratique j'en serais bien incapable.
Ce que je veux montrer, c'est que la recherche/exploitation de faille n'est pas à la portée de tout le monde et tout personne qui contribue à l'Open-Source n'est pas un hacker.

Wikileaks montre surtout que mon DSI avait raison d'être parano et d'envoyer chier les commerciales qui parlaient de Windows comme d'un truc sur !

Citation Envoyé par Aeson Voir le message
Apprend le tiens mec ! Le code n'est qu'une petite partie dans les aspects de securité. L'infrastructure et le reseaux... c'est la que ca se passe....

Faire confience au code et au code review est une ENROME erreur.
Avec des routeurs Cisco bourré de failles de sécurité pendant des années ?! Tiens il y a pas qu'OpenSSL qui soit beugé on dirait. Sans rancune
Avatar de Aeson Aeson - Nouveau Candidat au Club https://www.developpez.com
le 10/03/2017 à 14:35
Si tu veux on peut parler de la faille openSSSL à la condition tu me prouves que l'OpenSSL de Microsoft est aussi sans faille ! Plus sérieusement je suis d'accord avec toi, une faille aussi important ça ne fait pas de bonne pub pour le projet, mais il y en reste que cette implémentation est majoritairement utilisée.
Je ne dis pas que Windows est plus secure. Je dis que les code review sont LOIN d'etre suffisant pour dire qu'un systeme est secure. Alors quand on ettend la comunauté Linux dire que Linux est secure car ils y a plein de code-review.... Ils doivent etre plié en 4 a la NSA....

Avec des routeurs Cisco bourré de failles de sécurité pendant des années ?! Tiens il y a pas qu'OpenSSL qui soit beugé on dirait. Sans rancune
Serieusement... continue a coder et laisse les aspects de securité a ceux qui s'y connaissent
Avatar de Capitaine_aizen Capitaine_aizen - Membre du Club https://www.developpez.com
le 10/03/2017 à 14:44
Citation Envoyé par Tartare2240 Voir le message
Ne serait-ce pas là un énorme coup de poing dans le ventre de notre multinationale préférée ?.
Oui et non. Pour nous, Oui Google va prendre un coup de poings dans le ventre. (D'ailleurs c'est la raison pour laquelle j'utilise Duckduckgo et Qwant, Google uniquement en dernier recours mais un oignon). Pour Mme.Michu, Non car Mme.Michu n'est pas assez "geek" pour comprendre les implications et se dira "Bah, il y a que les méchants qui ont quelque chose à cacher.".
Seulement voilà, la proportion de Mme.Michu est largement supérieur à la proportion de "geek" et donc ça ne changera rien pour Google. (On est dans le bruit de la mesure).

Tu as raison, il suffit d'une personne pour, parfois, changer le cours de l'Histoire. (effet papillon ?) . Mais à moins qu'un conseillé "geek et non vendu" à l'Union Européenne parvient à faire prendre conscience des dangers et autres à nos gouvernements, et qu'en réponse, ils tapent très fort du point sur la table, je vois pas comment ça peut changer.
Et d'ailleurs, même si une manifestation était organisé contre ça, je suis presque sûr que certains ministres (suivez mon regards) ne l'autoriserez même pas tant ça pourrait (peut-être) déranger.

Citation Envoyé par Aeson Voir le message
Serieusement... continue a coder et laisse les aspects de securité a ceux qui s'y connaissent
Entièrement d'accord avec toi. Sauf que si les aspects sécurité sont du genre hash de mot de passe à la MS datant du crétacée, j'ai le devoir d'émettre une réserve. Après comme dans le milieu scientifique, si j'ai tord démontre le moi et démontre moi que tu as raison. En l'occurence ici, il y a match nul entre les deux.

Si tu me permets de chercher la petite coccinelle derrière la feuille de chou. Si Airbus, Dassaut Systems ou autres, utilisent des routeurs Cisco (rien contre eux, c'est pour l'exemple), j'estime que l'inertie de Cisco et à sécuriser ses produits est un manque de sérieux de l'entreprise mettant en danger ces entreprises vis-à-vis de l'espionnage industriel.
En revanche pour un logiciel open-source comme OpenSSL, bah c'est leur risque et péril. Soit ils l'utilisent tel quel, soit il paye pour vérifier le code et accessoirement corrigé les failles. Combien d'entreprises participent à l'Open-Source est on apporté des corrections à des bugs ? D'ailleurs la NSA a développé le SELinux (https://en.wikipedia.org/wiki/Security-Enhanced_Linux). Doit-on y voir une backdoor ? Peut-être, mais au moins ici, je peux me dire que c'est ma faute aussi. Car je peux me former pour chercher une faille et la soumettre à l'équipe qui s'en charge. Alors qu'avec un code fermé, bah je suis sur que le service juridique va être content de me voir
Avatar de Aeson Aeson - Nouveau Candidat au Club https://www.developpez.com
le 10/03/2017 à 15:18
Après comme dans le milieu scientifique, si j'ai tord démontre le moi et démontre moi que tu as raison
Sans reflechir : Deja OpenSSL, BASH, ...Il y a tellement de faille dans le libre qu auraient pu etre corigée si les bonne pratique avaient ete mise en oeuvre...

D'un autre coté il y a également une tonne de logiciel libre qui sont tres bon. Mais encore une fois Libre ne veut pas dire secure et proprietaire ne veut pas dire avec des backdoor. Un Windows serveur isoler dans un VLAN sans accees a internet ne posera pas de probleme. Un vieux Linux sans firewall dans une DMZ configuré n'importe comment sera une vrai passoire. Et c'est pas des code review qui changeront quoi que se soit.
Avatar de Lcf.vs Lcf.vs - Membre éprouvé https://www.developpez.com
le 10/03/2017 à 15:54
@Aeson: tu crois pas qu'il serait temps d'arrêter ce débat stérile, d'autant plus que puisque tu compares du closed sources à de l'open sources, tu n'as aucun point de comparaison réaliste, puisque tu ne peux quantifier à quel point c'est tellement mieux ou pire, dans une solution closed source?

Les failles dont tu parles sont justement la preuve que ce code review est utile, puisque c'est grâce à cela qu'on a pu les remarquer et les corriger.
Avatar de Aeson Aeson - Nouveau Candidat au Club https://www.developpez.com
le 10/03/2017 à 16:03
Les failles dont tu parles sont justement la preuve que ce code review est utile, puisque c'est grâce à cela qu'on a pu les remarquer et les corriger.
Ces failles montre justement qu'il n'y a pas de code review. La faille a ete dectectee 7 ans apres... Si les code-review etait de qualité ca n'aurait pas pris si longtemp. Donc il ne faut pas baser sa securité sur les code review. Si ils sont fait c'est bien, ca augmentra la qualité du code mais il ne faut pas lui faire confience pour la securité. Qu'il soit OpenSource ou pas.

Mais on va en rester la... Conrinuer a adminrer votre beaux code si ca vous plait autant...
Avatar de Tartare2240 Tartare2240 - Membre régulier https://www.developpez.com
le 10/03/2017 à 16:10
Au bout d'un moment...

Avatar de pierre-y pierre-y - Membre averti https://www.developpez.com
le 10/03/2017 à 16:57
Apres vue que google et apple sont pas les dernier a faire de l'espionnage de se type, ils peuvent difficilement crier au scandale.
Avatar de Tartare2240 Tartare2240 - Membre régulier https://www.developpez.com
le 10/03/2017 à 17:14
C'est plutôt Mozilla qui crie au scandale. Et nous, par la même occasion
Avatar de Traroth2 Traroth2 - Membre chevronné https://www.developpez.com
le 10/03/2017 à 17:30
Citation Envoyé par Aeson Voir le message
Je ne dis pas que Windows est plus secure. Je dis que les code review sont LOIN d'etre suffisant pour dire qu'un systeme est secure. Alors quand on ettend la comunauté Linux dire que Linux est secure car ils y a plein de code-review.... Ils doivent etre plié en 4 a la NSA....
Mais personne n'a jamais dit que c'était suffisant. Nécessaire mais pas suffisant, je l'ai dit explicitement au-dessus.
Avatar de emutramp emutramp - Membre habitué https://www.developpez.com
le 13/03/2017 à 5:35
Aeson

La majorite de tes propos sont denues de sens.

1) Backdoor cache dans du code opensource

https://www.theregister.co.uk/2015/0...romium_hubbub/
https://torrentfreak.com/new-utorren...-miner-150413/
(2 exemples parmis d’autres)

Est-il possible de cacher un backdoor dans un code 100*% open*? Oui mais c’est suicidaire, il sera forcement un jour ou l’autre déniché. Aucun intérêt a moins d’avoir le désire de ruiner sa réputation. utorrent est le parfait exemple (même si ce n’était pas un backdoor), une fois le miner découvert, le client n’est disponible dans le gestionnaire de paquet de Gentoo (ça doit être aussi le cas pour les autres distro). Résultat des courses, le software torrent le plus utilise se retrouve au fond des oubliettes.

2) Aucune preuve que Microsoft and co collabora avec la CIA

https://www.theguardian.com/world/20...tion-user-data

Avec la NSA en tout cas, c’est une certitude. Donc, Microsoft collabore avec la NSA mais pas la CIA ?

3) Code source ouvert plus sécurisé que le code ferme

Pour la securite IT, on applique la loi murphy

Code ferme*: Aucune possibilité d’étudier le nombre de faille. Le potentiel est donc que l’integralite des soft, lib… sont faillibles.

Code ouvert*: Possibilité pour quiconque d’étudier, corriger, alerter.

4 ) Personne ne compile ou examine l’intégralité des sources.

Vrai et Faux. L’intégralité du système jusqu’au compilateur peut-être compile, ainsi que les software, mise a jour… Ça s’appelle Gentoo. L’humain n’est pas parfait et ne peut examiner constamment chaque ligne de code, mais une vulnérabilité a au moins la chance de pouvoir être détecté et corrigé par un utilisateur d’où qu’il vienne a l’instar d’un code source fermé. L'opensource y gagne depuis quelques annees, au niveau investissement financier: permettant a nombre de dev de faire des audits sur les codes opensource et d'y déceler des problèmes de sécurité.

5) OS complètement sécurisé ça n’existe pas

Presque, quelqu’un l’a cite sur ce topic → openbsd | 2 failles en 20 ans
Pour comprendre pourquoi cet OS est sécurisé, tu peux consulter la FAQ

6) Faille kernel Linux

Je te redirige vers grsecurity

7) Le debat sans fin opensource vs closed source

La seule raison valable d’un code source fermé, serait pour une utilisation privé, d’une boite ou d’un secteur qui désire cacher le fonctionnement de leurs soft pour les raisons qui les encombres (militaire, secret...). Tant qu’un code source fermé reste dans le domaine du privé, aucun problème

Des lors qu’un code est disponible pour le public, il devrait être ouvert, nous n’avons et ne devons pas avoir confiance sur l’intégrité des dev derriere celui-ci mais exiger une transparence totale. Je vois arriver les arguments des jeux vidéos a ce que je réponds : Achetez-vous une console ou a la limite ou un PC spécialement utilisé pour les jeux.

Pour finir, Microsoft qui a tout au long de sa carrière essayer de mettre des battons dans les roues de Linux, pour le faire interdire / couler, qui désormais plonge vers sa perte, a bien retourné sa veste: Il essaye désormais de s’incruster dans l’opensource dans l’idée de le contrôler / survivre et/ou de ne pas finir la ou il devrait être : dans une poubelle. Un reproche que je fais a la fondation Linux qui a ouvert récemment les bras a Microsoft... Mais Linux reste le trademark de Linus and co et ils ont tellement apporté a la communauté que je ferais impasse sur ce point, tout en évitant au possible la moindre ligne made in Microchiotte sur mon système

Aucune preuve que Linus collabore avec la CIA*? Vrai, pour microsoft par contre, on le sait.

Microsoft : Security by obscurity
Avatar de Coriolan Coriolan - Chroniqueur Actualités https://www.developpez.com
le 13/03/2017 à 10:09
La fuite de Wikileaks montre que le chiffrement de données fonctionne
Rendant la tâche plus difficile aux agences d'espionnage

La semaine dernière, la plateforme Wikileaks a entrepris de publier des milliers de documents confidentiels appartenant à la CIA. Cette fuite baptisée Vault 7 a exposé les différents moyens et outils de piratage exploités par l’agence de renseignements américaine. Ces véritables cyberarmes ont permis à la CIA de créer sa propre “NSA” avec encore moins de responsabilités et d’exigences à répondre publiquement. En effet, l’agence d’espionnage dispose d’un arsenal gigantesque comprenant des logiciels malveillants, des virus, des chevaux de Troie, des exploits “zero day” armés, des systèmes de contrôle à distance des logiciels malveillants et la documentation associée. Bref, aucun appareil électronique n'est à l'abri de l’agence d'espionnage américaine.

Mais l’industrie de l’IT a tiré une autre conclusion des révélations de Wikileaks, c’est que le chiffrement de données marche et que l’industrie doit en recourir davantage. Des documents apparemment exposant le programme de surveillance de la CIA suggèrent que les agents du service d’espionnage s’efforcent de contourner le chiffrement qu’ils ne peuvent pas casser. Dans beaucoup de cas, la présence physique d’un agent est requise pour mener des attaques ciblées.

« Nous vivons dans un monde dans lequel le gouvernement américain veut avoir vos données, ils ne peuvent pas espérer casser le chiffrement, » a dit Nicholas Weaver, qui enseigne le networking et la sécurité à l’Université de Californie, Berkley. « Ils doivent se tourner vers des attaques ciblées, et c’est coûteux, dangereux, et le genre de choses que vous faites seulement avec les cibles qui vous intéressent. Voir la CIA agir de la sorte doit réassurer les activistes pour les libertés individuelles que la situation est meilleure maintenant qu’elle a été avant quatre ans. »

Plus de chiffrement

Justement il y a quatre ans, l’ancien employé de la NSA Edward Snowden avait révélé des informations classées tops secrètes de la NSA concernant la captation des métadonnées des appels téléphoniques aux États-Unis, ainsi que les systèmes d’écoute sur internet des programmes de surveillance PRISM, XKeyscore, Boundless Informant et Bullrun du gouvernement américain et les programmes de surveillance Tempora, Muscular et Optic Nerve du gouvernement britannique. Pour contrecarrer ses programmes de surveillance généralisée, l’industrie a entrepris d’étendre l’usage du chiffrement des données pour les emails et les applications de messagerie, un processus qui permet de rendre leur contenu illisible et indéchiffrable sans les clés nécessaires.

Les révélations de Snowden ont brisé les hypothèses antérieures suggérant qu’il a été presque impossible d’intercepter les données sur Internet pour des besoins de surveillance, a dit Lorenzo Hall, technologue en chef du groupe Center for Democracy & Technology. Cela a été dû au fait que chaque message sur Internet était divisé en plusieurs paquets, et chaque paquet suivait son propre chemin à travers le réseau jusqu’à arriver à sa destination.

La révélation que les agences d’espionnages ont réussi à contourner ce problème a poussé les acteurs à doubler d’efforts pour mieux protéger les données sur Internet. Des services comme WhatsApp et Apple iMessage ont eu recours au chiffrement du bout en bout, que même WhatsApp et Apple ne peuvent pas casser.

Le chiffrement de bout en bout de WhatsApp garantit que seuls vous et la personne avec qui vous communiquez pouvez lire ce qui est envoyé ; il n'y a donc pas d'intermédiaires, pas même WhatsApp. Vos messages sont protégés avec un cadenas, et seuls le destinataire et vous avez la clé spéciale qui permet de débloquer et lire votre message. Afin d'assurer une protection supplémentaire, chaque message que vous envoyez a son propre cadenas unique et sa clé unique. Tout cela est automatique : vous n'avez pas besoin de quelconques paramètres ni de créer des discussions secrètes pour protéger vos messages, » indique WhatsApp sur son site officiel.

Un défi pour les autorités

Durant le passé, les agences d’espionnage comme la CIA pouvaient pirater les serveurs de WhatsApp et les autres services similaires pour capturer les échanges des utilisateurs. Mais avec le chiffrement du bout en bout, cette possibilité a été rendue plus difficile. C’est pourquoi la CIA doit désormais retourner aux méthodes classiques comme les écoutes téléphoniques et l’interception des données avant leur chiffrement. « C’est comme lors des bons vieux jours lorsqu’ils devaient s’infiltrer dans une maison et planter un microphone, » a dit Steven Bellovin, professeur à l’Université de Columbia qui a longtemps étudié les questions de cybersécurité.

Le chiffrement s’est tellement imposé que même le FBI a voulu l’année dernière qu’Apple déverrouille l’iPhone utilisé par l’un des attaquants de San Bernardino. Apple a refusé de répondre à cette requête et le FBI a finalement réussi à déverrouiller le téléphone à l’aide d’un outil de piratage vraisemblablement similaire aux outils faisant partie de l’arsenal de la CIA.

Le directeur du FBI James Comey a reconnu le défi que présente le chiffrement. Il a indiqué qu’il devrait y avoir une balance entre la confidentialité et la capacité du FBI à accéder légalement aux données. Il a également dit que le FBI doit chercher à recruter des informaticiens talentueux avant qu’ils ne finissent dans les rangs d’Apple ou Google.

Les responsables des gouvernements ont longtemps voulu forcer les entreprises à installer des backdoors dans leurs appareils pour que les autorités puissent décoder les messages avec un mandat. Mais les experts de sécurité ont alerté que cette démarche pourrait gravement mettre en péril la sécurité et la confidentialité de tout le monde. Un avis que le PDG d’Apple a partagé lorsqu’il a indiqué qu’une telle mesure servirait également à l’intérêt des mauvaises personnes.

Le chiffrement : encore une solution de patchwork

Pour le moment, les services qui ont appliqué le chiffrement du bout en bout comme iMessage et WhatsApp se comptent au bout des doigts. Bien que le chiffrement est largement plus utilisé aujourd’hui, plusieurs entreprises continuent à encoder leurs données dans des façons qui leurs permettent de les lire et les scanner. Les autorités peuvent alors forcer ces entreprises à divulguer le contenu des messages avec des mandats ou des ordres juridiques. Avec le chiffrement du bout en bout, les entreprises ne seront pas capables de répondre à cet ordre car elles n’auront pas les clés nécessaires.

Mais étendre l’usage du chiffrement de bout en bout présente aussi des défis d’ordre technique. Ce chiffrement rend difficile les recherches sur des emails datant de plusieurs années pour les mentions d’un terme spécifique. Google a annoncé en 2014 qu’il travaillait sur le chiffrement du bout en bout pour l’email, mais aucune solution ne s’est matérialisée. Google chiffre pour le moment les messages en transit, mais cette solution n’est possible que lorsque le service utilisé par le destinataire adopte la même solution.

Les documents de la CIA publiés par Wikileaks suggèrent que l’agence est capable d’exploiter des vulnérabilités dans les téléphones et les logiciels pour capturer les messages quand il n’y a pas de chiffrement. Même si Apple, Google et Microsoft disent qu’ils ont réparé beaucoup de ces vulnérabilités, personne ne connait encore combien sont encore ouvertes.

« Il y a différents niveaux d’attaque, » a dit Daniel Castro, vice-président de la information Technology and Innovation Foundation. « Nous avons peut-être sécurisé un niveau (avec le chiffrement, mais il y a encore des faiblesses sur lesquelles on devrait se concentrer. »

Cohen préconise également que les gens doivent utiliser le chiffrement, malgré les techniques et l’arsenal de cyberarmes des agences d’espionnage « c’est mieux que rien. »

Source : The New York Times

Et vous ?

Pensez-vous que l'implémentation du chiffrement de bout en bout de WhatsApp et iMessage est sûre ?
Pensez-vous que le chiffrement de données aujourd'hui est menacé par le développement d'ordinateurs quantiques ?

Voir aussi :

Vault 7 : Wikileaks dévoile l'arsenal informatique de la CIA, l'agence est capable de contourner le chiffrement de WhatsApp
WikiLeaks va partager le code de la CIA avec les entreprises IT, quand la CIA dit continuer à collecter agressivement des renseignements à l'étranger
Avatar de TallyHo TallyHo - Membre averti https://www.developpez.com
le 13/03/2017 à 11:14
Le chiffrement ne doit pas encore totalement bloquer les services d'espionnage... Sinon on aurait déjà eu des lois pour le limiter (ou il y a des magouilles non découvertes encore)
Avatar de Traroth2 Traroth2 - Membre chevronné https://www.developpez.com
le 13/03/2017 à 12:24
Ce n'est pas si facile. Sans cryptage (mot parfaitement accepté en langue française. Puisque certains voudraient imposer qu'on ne l'utilise pas, je n'utilise plus que ça. Non mais.), plus de commerce électronique, et ça, c'est des centaines de milliards de big business, de nos jours.
Avatar de Capitaine_aizen Capitaine_aizen - Membre du Club https://www.developpez.com
le 13/03/2017 à 14:49
Il semblerait que les agences de renseignements évitent d'attaquer directement la partie crypto (certaine pour des raisons de business comme évoqué par Traroth2 mais pas que), au contraire elles préfèrent essayer de contourner en passant au dessous (avant l'opération de chiffrement) ou au dessus (après déchiffrement), mais certainement pas au milieu.

Cependant, on sait que certains choix ont été fait pour la crypto. Concours AES, on préfère Rijndael à Serpent, car Serpent semblait plus coriace. On retrouve également un petit scandale avec les courbes elliptiques du NIST avec la présence de backdoor de la NSA. (https://www.wired.com/threatlevel/20...nsa-algorithm/, http://csrc.nist.gov/publications/Pu...%20B%20and%20C, http://it.slashdot.org/firehose.pl?o.../09/11/1224252, https://en.wikipedia.org/wiki/Curve25519). On a également dans la documentation du NIST des valeurs utilisées dans le calcul des courbes qui tombent du ciel. (Probablement laché par un aigle).

Bref, la question est assez complexe car on des intérêts nationaux (déchiffrage cryptographique pour la sécurité du pays) avec des enjeux mondiale (e-commerce, données sensibles et autres) et affaiblir la crypto risquerait de mettre en péril l'un des plus gros business du monde. Et n'oublions pas que les USA qui sont l'un des plus gros exportateur d'arme dans le monde, et ils ont sûrement intérêt à ce que certains échanges reste bien chiffré.
En revanche, (et sauf erreur de ma part), toutes ces techniques modernes de crypto (superieur à Cesar et autres variantes) s'appuient sur l'utilisation de nombre aléatoire (clé asymétrique, vecteur d'initialisation...). Or les processeurs ne génèrent pas un véritable aléatoire (au sens physique quantique du terme), mais obtenu par une série de calcul à partir d'une source plus ou moins aléatoire et entropique. (Cf instruction RDRAND et RDSEED chez Intel). Il est donc possible, par affaiblissement du générateur (backdoor, générateur entropique volontairement plus ou moins prédictible), d'affaiblir la qualité du chiffrement, lequel peut alors être plus facilement cassé. En revanche, même avec un affaiblissement, la puissance de calcul doit rester assez conséquente, de sorte à généraliser le truc pour tout le monde, mais seulement éclater la crypto pour des cibles d’intérêt. De sorte à assurer la sécurité des données des entreprises contre un espionnage industrille, mais pas contre une agence de renseignement avec des moyens techniques et humains conséquents.
Avatar de LSMetag LSMetag - Membre expert https://www.developpez.com
le 13/03/2017 à 17:09
Ce que j'aimerais vraiment savoir, c'est : est-ce que les institutions étatiques, critiques et publiques appliquent le chiffrement de bout en bout ? Dans le cas contraire, pourquoi ne le feraient-elles pas ?
Avatar de marsupial marsupial - Membre éprouvé https://www.developpez.com
le 13/03/2017 à 17:48
Quand tu vois que Trump a viré le conseiller en sécurité de la Maison Blanche sans le remplacer, que les principaux départements du gouvernement sont en MS Windows server 2003, ça donne une idée du niveau d'obsolescence en matière de technologies. La NASA fonctionne encore avec du matériel moins performant qu'un smartphone et des boutons poussoirs des années 60/70 datant de l'âge d'or de la conquête spatiale. Alors même que les Etats-Unis sont à la pointe, le gouvernement US claque des dizaines de milliards dans l'espionnage sans penser une seule seconde à protéger leur propre SI.

Depuis l'ouverture du protocole RTC, au moins les conversations du téléphone rouge depuis le bureau ovale sont indéchiffrables. Mais je crois que cela se limite à cela. Il existe certainement d'autres protocoles de sécurité mais bien en deça de ce qu'ils devraient être pour un pays qui dispose d'une dissuasion capable de détruire 100 ou 1000 fois la planète.

Pour parler de la France, je vais livrer du semi-confidentiel mais suite à un audit offensif, seuls les administrateurs du ministère de la Défense et de l'Intérieur ont réagi respectivement par une colique néphrétique et des pleurs. Le reste de l'administration n'a pas bronché. Le président de la République a reçu notre rapport au petit matin et s'est fendu d'un message qui en dit long : " Lui je le félicite mais alors vous..."

Depuis ce 29 janvier, notre solution de sécurité, qualifiée de forteresse par nos admins, et une part de nos serveurs avec outils confidentiels de réplique, sont à disposition de l'Etat. Et il ne s'agit vraiment pas de luxe lorsque les politiques prennent la décision de mettre en place le mégafichier TES. Au moins gouv.fr est en https

Donc je pense que les communications entre chefs d'Etat et de gouvernements sont sécurisées ( chiffrées ). En dessous et dès lors qu'on utilise autre chose que le téléphone fixe, j'ai de gros doutes sur le niveau de sécurité déployé.
Avatar de wznnn wznnn - Membre à l'essai https://www.developpez.com
le 14/03/2017 à 13:24
Citation Envoyé par Traroth2 Voir le message
Ce n'est pas si facile. Sans cryptage (mot parfaitement accepté en langue française. Puisque certains voudraient imposer qu'on ne l'utilise pas, je n'utilise plus que ça. Non mais.), plus de commerce électronique, et ça, c'est des centaines de milliards de big business, de nos jours.
chiffre = chiffrer, ça me fait mal a la tête a chaque fois que quelqu'un utilise cryptage, je ne suis pas patriotique mais quand même un peu de respect pour notre langue si vous êtes conscient de ce que vous faites
dîtes chiffrer ça ira mieux pour tout le monde

Crypter est un terme qualifié d’incorrect par l’Académie française ainsi que le Référentiel Général de Sécurité de l’ANSSI mais est reconnu par l’Office québécois de la langue française.
Avatar de TiranusKBX TiranusKBX - Expert confirmé https://www.developpez.com
le 14/03/2017 à 13:49
@wznnn
le chiffrage est un encodage via des méthodes numérique
le cryptage est un encodage par substitution de symboles/mots/phrases
Avatar de Conan Lord Conan Lord - Membre expérimenté https://www.developpez.com
le 14/03/2017 à 14:01
Citation Envoyé par TiranusKBX Voir le message
@wznnn
le chiffrage est un encodage via des méthodes numérique
le cryptage est un encodage pas substitution de symboles/mots/phrases
Selon quelle source ?

Edit: Ah ça y est j'ai trouvé ! Le dictionnaire ! C'est vrai que ça fait sens.
Avatar de Ryu2000 Ryu2000 - Membre expert https://www.developpez.com
le 14/03/2017 à 14:02
"En tant que développeurs, mathématiciens et autres, nous souhaitons que vous compreniez pourquoi on dit "chiffrer", mais pas "crypter". Partout, dans les médias classiques et sur Internet, les gens se trompent. Il est temps d'informer. D'ailleurs, merci Canal+ de parler de chaines cryptées, ça n'aide pas notre cause."
Source : ON DIT CHIFFRER, ET PAS CRYPTER. :-)

Les vocables « crypter » et « cryptages » sont employés à tort par tous, y compris par la presse et même par certains magazines spécialisés ô_O’. Seulement voilà, il s’agit d’horribles abus de langage qui n’ont même pas de sens d’un point de vue cryptologique.
Source : Les mots « crypter » et « cryptage » n’existent pas !

"Le cryptage, barbarisme de chiffrage".
Source : Crypter ses données

Du point de vue de la cryptanalyse, le terme crypter est contesté car ce n’est qu’un faux anglicisme de chiffrer alors que le terme décrypter, quant à lui, signifie « déchiffrer sans posséder la clé secrète ».
De plus, le synonyme classique chiffrer prévaut, pour certains, sur le faux anglicisme crypter.
Le dictionnaire de l'Académie de la langue française (éditions 8 et 9) et le Trésor de la Langue Française informatisé n’incluent pas crypter.
Le Grand Dictionnaire terminologique indique chiffrer traduction de l'anglais encrypt[2].
Source : crypter

Je suis pour respecter les gars de la sécurité qui insistent bien sur le fait que le mot "crypter" ne fonctionne pas dans ce cas.
Avatar de TallyHo TallyHo - Membre averti https://www.developpez.com
le 14/03/2017 à 14:05
Hocus Pocus ! J'invoque l'esprit malin Jipété pour rétablir la vérité linguistique !
Avatar de ZenZiTone ZenZiTone - Membre émérite https://www.developpez.com
le 14/03/2017 à 17:07
Citation Envoyé par marsupial Voir le message
La NASA fonctionne encore avec du matériel moins performant qu'un smartphone et des boutons poussoirs des années 60/70 datant de l'âge d'or de la conquête spatiale. Alors même que les Etats-Unis sont à la pointe, le gouvernement US claque des dizaines de milliards dans l'espionnage sans penser une seule seconde à protéger leur propre SI.
Au bout de 6 mois d'utilisation, ton smartphone a grandement perdu en performances et est obsolète par rapport aux nouveaux venus. Eux, leur système fonctionne toujours. De même, ces vieux systèmes sont moins vulnérables que les nouveaux s'ils ont la main sur le matériel et le logiciel (ce qui n'est plus vraiment le cas avec les nouveaux systèmes..).

Pour ce qui est de la protection de leur SI, ça m'étonnerait qu'ils y investissent moins que dans l'espionnage.
Avatar de marsupial marsupial - Membre éprouvé https://www.developpez.com
le 14/03/2017 à 18:32
Trump a demandé un inventaire des failles ( source Ars Technica ) lors de son investiture. Le journaliste Sean Gallagher, ancien du génie de la marine ayant contribué à plusieurs systèmes, évoque en terme de délai l'unité du siècle pour toutes les combler. Les Etats-Unis disposent de 4 millions d'espions répartis dans les différentes agences. Dis moi qu'il y a 4 millions de personnes affectés aux Etats-Unis à la sécurité de leur SI. En terme de budget, la seule NSA dispose de 75 milliards de dollars annuel. Dis moi s'il y a autant affecté à la sécurité de leur SI.

Je crains que tu te trompes lourdement. Je ne dis pas que le Pentagone est moins sécurisé que les impôts dont le système coûte excessivement cher en maintenance car date des années 70 mais cela n'a pas empêché la fuite de l'intégralité de la base des personnels employés par le gouvernement y compris toutes les informations confidentielles des affectations des 4 millions d'espions, des militaires, des diplomates, etc... entraînant l'évacuation d'urgence de Chine de l'ensemble des agents de la CIA infiltrés. Toujours source Ars Technica.

Les Etats-Unis sous couvert de 11 septembre ont mis un place un système ultra offensif en négligeant le côté défensif. Les révélations de Wikileaks ne font que confirmer cet état de faits.

La mentalité qui prévaut encore et toujours depuis 40 ans : tu détectes une faille, tu es un pirate. Pour preuve, Sophos a mené un audit du Pentagone. Le rapport est purement et simplement parti aux oubliettes. Source Ziff Davis.

edit : et tu verras, cette mentalité d'exploiter les failles en lieu et place de les signaler afin d'être corrigées va nous retomber sur le coin de la figure maintenant que leurs outils sont dans la nature. Parce que wikileaks détient une grande partie mais pas l'intégralité des outils donc toutes ne seront pas colmatées.
Avatar de Ryu2000 Ryu2000 - Membre expert https://www.developpez.com
le 15/03/2017 à 8:18
Selon Assange, la CIA espionne massivement les entreprises françaises
Le lanceur d'alerte affirme que l'un des objectifs de la CIA est d'obtenir l'intégralité des contrats des entreprises françaises qui dépassent les 200 millions de dollars afin de fournir de précieuses informations à leurs concurrents américains.
Avatar de TiranusKBX TiranusKBX - Expert confirmé https://www.developpez.com
le 15/03/2017 à 9:40
ça na pas empêché EADS de rafler la mise avec le marché des gros transporteurs de l'US ARMY
Avatar de emutramp emutramp - Membre habitué https://www.developpez.com
le 15/03/2017 à 18:29
Citation Envoyé par TiranusKBX Voir le message
@wznnn
le chiffrage est un encodage via des méthodes numérique
le cryptage est un encodage par substitution de symboles/mots/phrases
Si je ne me trompe pas, ce que tu entends par cryptage est incorrect*: dans le cas que tu décris, le message n’est pas crypté/chiffré mais codé. (exemple*: «*chiffrements de césar*»)

Crypt est le mot anglophone de chiffrer, étonnamment, LibreOffice inclus le mot crypté dans son dictionnaire français, serait-ce une bourde*?

Selon Assange, la CIA espionne massivement les entreprises françaises
Je suis complètement abasourdi par cette nouvelle*! Obama nous aurait donc menti*?

http://www.dailymail.co.uk/news/arti...p-Britain.html

</ironie>
Avatar de Michael Guilloux Michael Guilloux - Chroniqueur Actualités https://www.developpez.com
le 24/03/2017 à 13:20
La CIA aurait-elle installé des implants sur les iPhone depuis la chaîne d’approvisionnement ?
C'est ce que pense WikiLeaks

Il y a deux semaines, WikiLeaks a publié des documents relatifs aux techniques et exploits utilisés par la CIA pour pirater les produits des entreprises de technologie. Dans les heures suivant la divulgation des secrets de piratage de l’agence américaine, plusieurs fournisseurs ont réagi pour tenter de rassurer leurs utilisateurs. Apple a pour sa part déclaré que son analyse des documents de la CIA lui permet de dire que la plupart des failles de sécurité dans son système d’exploitation mobile ont déjà été corrigées dans la dernière version d’iOS. Mais, Julian Assange, le fondateur de WikiLeaks, a averti que les fichiers publiés ne représentaient qu’une petite fraction des documents de la CIA qu’il a en sa possession, en promettant que les autres seront divulgués progressivement.

La deuxième vague de documents vient d’être publiée. Il s’agit juste d’une dizaine de documents, la plupart, montrant comment la CIA aurait piraté les produits d’Apple, Mac et iPhone. Les documents mettent en évidence des techniques utilisées par la CIA pour infecter de manière persistante les appareils d’Apple.

Des projets de la CIA permettent par exemple de compromettre le firmware des Mac, de sorte que les infections persistent même si le système d’exploitation est réinstallé. C’est le cas par exemple du projet « Sonic Screwdriver » qui, comme l'explique la CIA, est un « mécanisme d'exécution de code sur des périphériques pendant qu'un ordinateur portable ou un ordinateur de bureau Mac démarre ». Il permet à un attaquant de démarrer son logiciel d'attaque à partir d'une clé USB par exemple, « même lorsqu'un mot de passe est activé sur le firmware ». Bien d’autres attaques ciblent également le firmware des appareils d’Apple.

Un autre document daté de 2008 montre également que la CIA avait mis au point un implant malveillant pour l'iPhone qui aurait pu être physiquement installé sur des iPhone neufs depuis la chaîne d’approvisionnement, explique WikiLeaks dans un communiqué de presse.

L'outil baptisé NightSkies (NS) fonctionne en arrière-plan et est doté de capacités qui permettent de télécharger des fichiers depuis l'appareil, mais également d'installer et d'exécuter des fichiers sur le dispositif. « NightSkies est installé via un accès physique à l'appareil », indiquent les documents de la CIA. NS restera ensuite « endormi » jusqu'à ce qu'une activité soit détectée sur l’appareil.

Lorsque l'activité de l'utilisateur est détectée, NS tentera d'interroger un « Listenning Post » préconfiguré pour récupérer certaines tâches et exécuter des instructions. Précisons que le Listenning Post est une station d’interception de communications électroniques. Les documents de la CIA révèlent que l'activité de l'utilisateur est détectée en surveillant des répertoires spécifiques sur le téléphone, tels que le fichier d'historique du navigateur, le cache vidéo YouTube, le cache de fichiers cartographiques ou les métadonnées des fichiers de messagerie.

Parmi les fonctionnalités de NS, on peut citer entre autres la possibilité de récupérer des fichiers depuis l'iPhone, y compris le carnet d'adresses, les SMS, les journaux d'appels (lorsqu'ils sont disponibles), etc. NS télécharge également des fichiers et des binaires, comme de futurs outils, sur l'iPhone. Il exécute des commandes arbitraires sur le dispositif et donne à la CIA un contrôle total de l'appareil à distance. Le tout est détaillé dans un guide utilisateur qui fournit des instructions pour configurer et installer NS sur un nouveau périphérique d'usine. Le guide comprend également des instructions sur la façon de créer et de maintenir le Listenning Post.

D'après WikiLeaks, il est probable que de nombreuses attaques d'accès physique de la CIA aient infecté la chaîne d'approvisionnement de la société. « Notons que NightSkies a atteint sa version 1.2 en 2008, et est expressément conçu pour être physiquement installé sur les iPhone neufs d'usine », souligne WikiLeaks, qui ajoute que « cela signifie que la CIA infecte la chaîne d'approvisionnement en iPhone de ses cibles depuis au moins 2008 ».

Ce qui est intéressant à noter, c’est que la plupart des documents de la CIA datent de près d’une décennie, à part deux de 2012 et 2013. Sachant par exemple qu’Apple a lancé son iPhone en 2007, la CIA a-t-elle une longueur d'avance dans la mise en place de certaines attaques contre les produits d’Apple ? C’est ce que suggère en effet cette nouvelle vague de documents. C’est également ce que pense Pedro Vilaca, un chercheur de sécurité qui étudie les ordinateurs Apple depuis des années.

D’après Vilaca, les documents montrent que la CIA était peut-être en avance dans la recherche de nouvelles façons de pirater et compromettre les Macs. « Il est intéressant de voir le décalage [temporel] entre le développement des outils de la CIA et la publication de recherches » sur des outils similaires, dit-il. À titre d’exemple, il explique que le Sonic Screwdriver de la CIA semble être la même attaque qu’une autre présentée à la fin de l’année 2014, et surnommée Thunderstrike. L’attaque de la CIA date toutefois de l’année 2012 au moins, d’après sa documentation divulguée par WikiLeaks.

Vilaca ne semble toutefois pas surpris par l’intérêt apparent de la CIA pour les produits d’Apple. Cela se justifie selon lui par la catégorie d’utilisateurs des produits d’Apple. « On dirait que la CIA est très intéressée par les cibles Mac / iOS, ce qui est logique puisque des cibles de grande valeur aiment les utiliser », explique Vilaca.

Sources : WikiLeaks, Vice

Et vous ?

Qu’en pensez-vous ?
Avatar de sbeex sbeex - Membre habitué https://www.developpez.com
le 24/03/2017 à 14:14
Haha si tel est le cas ils ont fait très fort !

Je possède un iphone et... je m'en fiche en fait tant qu'il marche pas moins bien qu'avant !
Avatar de Ryu2000 Ryu2000 - Membre expert https://www.developpez.com
le 24/03/2017 à 14:24
Comme quoi les russes ont raison de se méfier des produits américains...
Avatar de nirgal76 nirgal76 - Membre expérimenté https://www.developpez.com
le 24/03/2017 à 14:37
Que ces activités soient vraies ou fausses, c'est en tout cas un article bourré de conditionnel, d'incertitude et de supputation (et ça date en plus). Du coup, ça rends pas crédibles des faits qui le sont sûrement.
Avatar de hotcryx hotcryx - Membre chevronné https://www.developpez.com
le 24/03/2017 à 15:38
Il y aura toujours des gens qui n'y croieront pas, même avec la preuve sous le nez.
Avatar de Beanux Beanux - Membre éclairé https://www.developpez.com
le 24/03/2017 à 16:10
Citation Envoyé par nirgal76 Voir le message
Que ces activités soient vraies ou fausses, c'est en tout cas un article bourré de conditionnel, d'incertitude et de supputation (et ça date en plus). Du coup, ça rends pas crédibles des faits qui le sont sûrement.
C'est une question d’éthique.
La 2eme diffusion de wikileaks n'a ni été infirmé ni confirmé. Elle date d'hier. Donc difficile d'avoir déjà une confirmation des données fournies. Donc conditionnel.
A supposer que l'information n'eusse pas été aussi récente, les informations n'auraient peut être pas été confirmé (toujours vulnérable par exemple), donc l'emploi du conditionnel est nécessaire.

Je crois en la véracité de ces infos, mais le conditionnel est nécessaire.
Offres d'emploi IT
Ingénieur développement logiciels temps réel embarqué H/F
Safran - Ile de France - Éragny (95610)
Chef de projet technique H/F
Safran - Ile de France - Melun (77000)
Ingénieur système de commande de vol H/F
Safran - Ile de France - Massy (91300)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil