Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

WikiLeaks va partager le code de la CIA avec les entreprises IT
Quand la CIA dit continuer à collecter agressivement des renseignements à l'étranger

Le , par Michael Guilloux

64PARTAGES

12  0 
Au début de cette semaine, WikiLeaks a mis en ligne un tas de documents confidentiels de la CIA. Ces documents décrivent les techniques et programmes de l’agence américaine pour pirater les téléphones, ordinateurs et appareils connectés à Internet. Les documents ont également révélé de nombreuses failles de sécurité dans des logiciels qui auraient été exploitées par la CIA.

Juste après cette fuite des outils secrets de la CIA, des entreprises de technologie, en particulier Google et Apple, ont affirmé que leurs produits avaient déjà corrigé la plupart des failles citées dans les documents publiés par WikiLeaks.

L’organisation fondée par Julian Assange n’avait toutefois pas publié les programmes complets de la CIA, qui dans ce cas, auraient pu facilement être exploités par d’autres acteurs pour mener des attaques. Seuls des extraits de code informatique ont été publiés. WikiLeaks prévoit toutefois de publier tous les détails techniques des outils de piratage et d’espionnage de la CIA, mais une fois que les entreprises de technologie auront déployé des correctifs de sécurité pour leurs produits vulnérables. Au moment de la publication de la première vague de documents, WikiLeaks a en effet fait savoir qu’elle travaillera avec les grandes entreprises de technologie afin de corriger les vulnérabilités qui permettent aux outils de la CIA de fonctionner.

Dans une conférence de presse de l’ambassade de l’Équateur à Londres, où Julian Assange s’est réfugié depuis 2012, le fondateur de WikiLeaks a confirmé qu’il va partager le code de la CIA avec les principales entreprises de technologie comme Google, Apple, Microsoft, pour leur permettre de « désarmer » les outils de piratage de l’agence américaine. Après quoi, il pourra publier le code de ces outils en ligne.

« Nous avons décidé de travailler avec [les fabricants] pour leur donner un accès exclusif aux détails technologiques supplémentaires que nous avons, afin que les correctifs puissent être développés et déployés, pour que les gens puissent être en sécurité », a déclaré Assange. « Une fois que nous aurons effectivement désarmé ce matériel, nous publierons des détails supplémentaires. », dit-il.

Après le message d’Assange, Microsoft et Cisco, dont les produits sont également exploités dans le programme de piratage de la CIA, ont fait savoir qu’ils apprécieront recevoir les détails des vulnérabilités dans leurs produits par les procédures habituelles. « Nous avons vu la déclaration de Julian Assange », a déclaré un représentant de Microsoft. Le géant du logiciel dit toutefois qu’il n’a pas encore été contacté, avant d’indiquer comment il souhaiterait recevoir les informations détenues par WikiLeaks : « Notre méthode préférée pour toute personne connaissant des problèmes de sécurité, y compris la CIA ou WikiLeaks, est de nous soumettre des détails à secure@microsoft.com afin que nous puissions examiner les informations et prendre toutes les mesures nécessaires pour protéger les clients », dit-il.

Du côté de la CIA, si l’on n'a pas explicitement confirmé l'authenticité des documents publiés par WikiLeaks, on dénonce toutefois chez l’organisation une tentative de miner les opérations de l'agence. Après la déclaration de Julian Assange, un porte-parole de la CIA jette un doute sur l’intégrité du fondateur de WikiLeaks, avant d’affirmer que ces révélations n’impactent aucunement les activités de l’agence. « Malgré les efforts d'Assange et de ses proches, la CIA continue de recueillir agressivement des renseignements à l'étranger pour protéger les États-Unis des terroristes, des États-nations hostiles et d'autres adversaires ».

Sources : Reuters, NPR.org

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de hotcryx
Membre extrêmement actif https://www.developpez.com
Le 24/03/2017 à 15:38
Il y aura toujours des gens qui n'y croieront pas, même avec la preuve sous le nez.
9  0 
Avatar de NSKis
En attente de confirmation mail https://www.developpez.com
Le 25/03/2017 à 15:48
Citation Envoyé par sbeex Voir le message
Haha si tel est le cas ils ont fait très fort !

Je possède un iphone et... je m'en fiche en fait tant qu'il marche pas moins bien qu'avant !
Et bien voilà la réponse typique de tous les "neuneu" de notre société de consommation: "Euh! Je m'en fiche d'être espionné, j'ai rien à cacher!"

C'est grâce à ce genre de réponse que la société actuelle se transforme en une immense prison à ciel ouvert où le moindre comportement du citoyen est scruté, analysé, enregistré...

Et est-ce que le "Euh! Je m'en fiche d'être espionné, j'ai rien à cacher!" imagine ce qu'il pourrait advenir de ses données dans les mains d'un gouvernement un "peu particulier", style Erdogan en Turquie (qui fait la chasse aux opposants), style Kim Jong-Un en Corée du Nord, style Khmers Rouge au Cambodge qui ont fait la chasse aux intellectuels allant jusqu'à tuer 21% de la population du pays en 4 ans???

Et est-ce que le "Euh! Je m'en fiche d'être espionné, j'ai rien à cacher!" se souvient qu'il y a moins de 80 ans un taré arrivé au pouvoir en Allemagne a éliminé physiquement 5 millions de personnes juste parce qu'elles étaient de confession juive, 300.000 personnes handicapées mentales ou physiques en Allemagne, entre 300'000 et 500'000 tziganes à travers l'Europe occupée, environ 10'000 homosexuels??? Quel aurait été le bilan si le gouvernement nazi avait disposé à l'époque d'internet et avait eu accès à toutes les données collectées auprès des "Euh! Je m'en fiche d'être espionné, j'ai rien à cacher!"???
9  0 
Avatar de Ryu2000
Membre extrêmement actif https://www.developpez.com
Le 24/03/2017 à 14:24
Comme quoi les russes ont raison de se méfier des produits américains...
8  0 
Avatar de Capitaine_aizen
Membre régulier https://www.developpez.com
Le 10/03/2017 à 14:44
Citation Envoyé par Tartare2240 Voir le message
Ne serait-ce pas là un énorme coup de poing dans le ventre de notre multinationale préférée ?.
Oui et non. Pour nous, Oui Google va prendre un coup de poings dans le ventre. (D'ailleurs c'est la raison pour laquelle j'utilise Duckduckgo et Qwant, Google uniquement en dernier recours mais un oignon). Pour Mme.Michu, Non car Mme.Michu n'est pas assez "geek" pour comprendre les implications et se dira "Bah, il y a que les méchants qui ont quelque chose à cacher.".
Seulement voilà, la proportion de Mme.Michu est largement supérieur à la proportion de "geek" et donc ça ne changera rien pour Google. (On est dans le bruit de la mesure).

Tu as raison, il suffit d'une personne pour, parfois, changer le cours de l'Histoire. (effet papillon ?) . Mais à moins qu'un conseillé "geek et non vendu" à l'Union Européenne parvient à faire prendre conscience des dangers et autres à nos gouvernements, et qu'en réponse, ils tapent très fort du point sur la table, je vois pas comment ça peut changer.
Et d'ailleurs, même si une manifestation était organisé contre ça, je suis presque sûr que certains ministres (suivez mon regards) ne l'autoriserez même pas tant ça pourrait (peut-être) déranger.

Citation Envoyé par Aeson Voir le message
Serieusement... continue a coder et laisse les aspects de securité a ceux qui s'y connaissent
Entièrement d'accord avec toi. Sauf que si les aspects sécurité sont du genre hash de mot de passe à la MS datant du crétacée, j'ai le devoir d'émettre une réserve. Après comme dans le milieu scientifique, si j'ai tord démontre le moi et démontre moi que tu as raison. En l'occurence ici, il y a match nul entre les deux.

Si tu me permets de chercher la petite coccinelle derrière la feuille de chou. Si Airbus, Dassaut Systems ou autres, utilisent des routeurs Cisco (rien contre eux, c'est pour l'exemple), j'estime que l'inertie de Cisco et à sécuriser ses produits est un manque de sérieux de l'entreprise mettant en danger ces entreprises vis-à-vis de l'espionnage industriel.
En revanche pour un logiciel open-source comme OpenSSL, bah c'est leur risque et péril. Soit ils l'utilisent tel quel, soit il paye pour vérifier le code et accessoirement corrigé les failles. Combien d'entreprises participent à l'Open-Source est on apporté des corrections à des bugs ? D'ailleurs la NSA a développé le SELinux (https://en.wikipedia.org/wiki/Security-Enhanced_Linux). Doit-on y voir une backdoor ? Peut-être, mais au moins ici, je peux me dire que c'est ma faute aussi. Car je peux me former pour chercher une faille et la soumettre à l'équipe qui s'en charge. Alors qu'avec un code fermé, bah je suis sur que le service juridique va être content de me voir
7  0 
Avatar de Tartare2240
Membre averti https://www.developpez.com
Le 10/03/2017 à 16:10
Au bout d'un moment...

7  0 
Avatar de emutramp
Membre habitué https://www.developpez.com
Le 13/03/2017 à 5:35
Aeson

La majorite de tes propos sont denues de sens.

1) Backdoor cache dans du code opensource

https://www.theregister.co.uk/2015/0...romium_hubbub/
https://torrentfreak.com/new-utorren...-miner-150413/
(2 exemples parmis d’autres)

Est-il possible de cacher un backdoor dans un code 100*% open*? Oui mais c’est suicidaire, il sera forcement un jour ou l’autre déniché. Aucun intérêt a moins d’avoir le désire de ruiner sa réputation. utorrent est le parfait exemple (même si ce n’était pas un backdoor), une fois le miner découvert, le client n’est disponible dans le gestionnaire de paquet de Gentoo (ça doit être aussi le cas pour les autres distro). Résultat des courses, le software torrent le plus utilise se retrouve au fond des oubliettes.

2) Aucune preuve que Microsoft and co collabora avec la CIA

https://www.theguardian.com/world/20...tion-user-data

Avec la NSA en tout cas, c’est une certitude. Donc, Microsoft collabore avec la NSA mais pas la CIA ?

3) Code source ouvert plus sécurisé que le code ferme

Pour la securite IT, on applique la loi murphy

Code ferme*: Aucune possibilité d’étudier le nombre de faille. Le potentiel est donc que l’integralite des soft, lib… sont faillibles.

Code ouvert*: Possibilité pour quiconque d’étudier, corriger, alerter.

4 ) Personne ne compile ou examine l’intégralité des sources.

Vrai et Faux. L’intégralité du système jusqu’au compilateur peut-être compile, ainsi que les software, mise a jour… Ça s’appelle Gentoo. L’humain n’est pas parfait et ne peut examiner constamment chaque ligne de code, mais une vulnérabilité a au moins la chance de pouvoir être détecté et corrigé par un utilisateur d’où qu’il vienne a l’instar d’un code source fermé. L'opensource y gagne depuis quelques annees, au niveau investissement financier: permettant a nombre de dev de faire des audits sur les codes opensource et d'y déceler des problèmes de sécurité.

5) OS complètement sécurisé ça n’existe pas

Presque, quelqu’un l’a cite sur ce topic → openbsd | 2 failles en 20 ans
Pour comprendre pourquoi cet OS est sécurisé, tu peux consulter la FAQ

6) Faille kernel Linux

Je te redirige vers grsecurity

7) Le debat sans fin opensource vs closed source

La seule raison valable d’un code source fermé, serait pour une utilisation privé, d’une boite ou d’un secteur qui désire cacher le fonctionnement de leurs soft pour les raisons qui les encombres (militaire, secret...). Tant qu’un code source fermé reste dans le domaine du privé, aucun problème

Des lors qu’un code est disponible pour le public, il devrait être ouvert, nous n’avons et ne devons pas avoir confiance sur l’intégrité des dev derriere celui-ci mais exiger une transparence totale. Je vois arriver les arguments des jeux vidéos a ce que je réponds : Achetez-vous une console ou a la limite ou un PC spécialement utilisé pour les jeux.

Pour finir, Microsoft qui a tout au long de sa carrière essayer de mettre des battons dans les roues de Linux, pour le faire interdire / couler, qui désormais plonge vers sa perte, a bien retourné sa veste: Il essaye désormais de s’incruster dans l’opensource dans l’idée de le contrôler / survivre et/ou de ne pas finir la ou il devrait être : dans une poubelle. Un reproche que je fais a la fondation Linux qui a ouvert récemment les bras a Microsoft... Mais Linux reste le trademark de Linus and co et ils ont tellement apporté a la communauté que je ferais impasse sur ce point, tout en évitant au possible la moindre ligne made in Microchiotte sur mon système

Aucune preuve que Linus collabore avec la CIA*? Vrai, pour microsoft par contre, on le sait.

Microsoft : Security by obscurity
7  0 
Avatar de Pierre GIRARD
Expert éminent https://www.developpez.com
Le 12/04/2017 à 17:29
Ça fait un argument de plus pour les Chinois et les Russes de fuir les produits "Made In USA". Pendant ce temps là l'Europe, dont la France, continue à investir massivement dans les PC à base de Windows.
6  0 
Avatar de Grogro
Membre extrêmement actif https://www.developpez.com
Le 05/09/2017 à 14:43
Ce qui ne me laissera pas d'étonner, à chaque épisode du feuilleton Vault 7, c'est l'assourdissant silence médiatique de la part de la totalités des médias non spécialisés dans l'IT quand on voit le ramdam habituel autour des "leaks".
La sécurité de l'information n'intéresse donc personne ? Ou wikileaks est devenu tabou car politiquement incorrect ?
6  0 
Avatar de Lcf.vs
Membre éclairé https://www.developpez.com
Le 10/03/2017 à 15:54
@Aeson: tu crois pas qu'il serait temps d'arrêter ce débat stérile, d'autant plus que puisque tu compares du closed sources à de l'open sources, tu n'as aucun point de comparaison réaliste, puisque tu ne peux quantifier à quel point c'est tellement mieux ou pire, dans une solution closed source?

Les failles dont tu parles sont justement la preuve que ce code review est utile, puisque c'est grâce à cela qu'on a pu les remarquer et les corriger.
5  0 
Avatar de TallyHo
Membre éprouvé https://www.developpez.com
Le 13/03/2017 à 11:14
Le chiffrement ne doit pas encore totalement bloquer les services d'espionnage... Sinon on aurait déjà eu des lois pour le limiter (ou il y a des magouilles non découvertes encore)
5  0 
Contacter le responsable de la rubrique Accueil

Partenaire : Hébergement Web