Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Pour ou contre la publication en open source du code source d'un système de sécurité ?
Une juge estime que la sécurité nationale pourrait en pâtir

Le , par Stéphane le calme

0PARTAGES

3  1 
Battelle Energy Alliance, fournisseur opérationnel de Idaho National Laboratory (INL), a engagé des poursuites judiciaires contre un de ses anciens employés et sa compagnie Southfork Security. Tout a commencé en 2009 quand le département américain de l'énergie a mandaté un projet de développement dont l'objectif était la création d'un « programme informatique visant à protéger les infrastructures énergétiques critiques des États-Unis (compagnies électriques, pétrole, gaz, chimiques et autres) contre les cyber-attaques. ». Corey Thuen, encore employé à ce moment là de la Battelle, a fait parti de l'équipe de développeurs ayant travaillé pour le logiciel baptisé plus tard Sophia.

En 2012, Sophia est entre autre capable de détecter et de neutraliser des comportements anormaux sur le réseau. Une série de tests qui s'avèrent concluant réconforte Battelle dans son idée d'obtenir une licence pour cette technologie. N'ayant pas la capacité de commercialiser elle même les produits de ses recherches et ses inventons, l'entreprise a lancé un processus d'appel d'offres pour les entreprises intéressées. C'est à cette période que Thuen a quitté l'équipe et a fondé son entreprise. Sa société a alors présenté une proposition de licence du produit en février 2013 mais l'a retirée deux mois plus tard.

En mai 2013, une compagnie du nom de NexDefense a obtenu le droit exclusif de commercialiser Sophia. Seulement, à la même période, Southfork a commencé une campagne marketing autour d'un produit baptisé Visdom sur son site web. Battelle a alors affirmé qu'il s'agissait d'un clone de Sophia et également que Southfork a prévu d'offrir Visdom comme un produit open source accessibles à tous. Pour confirmer ses dires, l'entreprise a pris des captures d'écran datées du 10 octobre 2013 où il est dit entre autre « nous aurons le code source et un système de suivi problème / fonctionnalité en place sous peu. » mais aussi « nous aimons hacker et nous ne nous arrêterons pas ».

La société a alors demandé au tribunal d'émettre une ordonnance restrictive temporaire à l'intention de Southfork pour empêcher le marketing de Visdom ou son passage à la communauté open-source. Battelle évoque huit chef d'accusations parmi lesquels violation du droit d'auteur, vol de secrets commerciaux, violation de contrats et enrichissement injustifié pour ne citer que ceux là. Battelle a également demandé au tribunal de délivrer l'injonction sans préavis, car il craignait que, dans le cas contraire, Thuen publierait le logiciel en open source.

La juge Lynn Winmill de la cour de district de l'Etat de l'Idaho a autorisé Battelle a fournir à la cour des preuves matérielles de ce qu'il avance en faisant une copie des disques dur de Southfork. « Toute personne qui se revendique comme étant hacker » perd le droit au quatrième amendement qui protège les citoyens des fouilles, perquisitions et saisies de biens a déclaré la juge. Le plaignant a également obtenu une ordonnance restrictive temporaire contre Thuen et Southfork sécurité sans préavis. De plus elle a joué la carte de la sécurité nationale, argumentant que publier les codes de Sophia donneraient les moyens au pirate de déjouer le système de sécurité.

Source : Décision de la cour (au format PDF)

Et vous ?

Qu'en pensez-vous ?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de transgohan
Expert éminent https://www.developpez.com
Le 24/10/2013 à 21:37
Un système de sécurité en open source qui serait majoritairement utilisé oui.
Mais un système de sécurité utilisé par une minorité se doit d'être une boite noire pour moi.

La puissance de l'open source c'est la relecture et l'intéressement du projet et de ses sources.
Un système ouvert à tous mais contrôlé uniquement par 5 devs sera rapidement submergé...

A votre avis... Pourquoi les technologies militaires restent secret défense ?
C'est parce que la proportion de personnes intéressées pour déjouer le système est plus importante que celle qui le maintient.
On met quel type d'Unix par exemple sur des machines qu'on doit protéger ? Du ubuntu ? Non... On met un OS fermé et contrôlé.

Pour moi l'open-source ne peut vraiment briller que pour des produits grand public (et dans le sens très utilisé).
12  1 
Avatar de DelphiManiac
Membre émérite https://www.developpez.com
Le 24/10/2013 à 22:41
Citation Envoyé par GTSLASH Voir le message
...

Les fait son la. Microsoft et autres vendent leurs produits tres cher et ils continuent a en vendre alors que les open source se telecharge gratuit avec codes source. Ca c'est un fait que personne ne peus negliger.
Sur ce point là tu as entièrement raison.

Le fait d'avoir les codes source d'un systeme rend le systeme plus vulnerable. C'est la logique meme. Meme pas besoin d'etre programmeur pour comprendre ca.
Sur ce point là tu as tout faux, le fait même que tu cherches a rapprocher le prix et la vulnérabilité d'un logiciel entraîne un raisonnement biaisé. Les DSI continuent à acheter des licences auprès de sociétés commerciales pour 3 raisons principales :

- La garantie de pouvoir avoir un service payant, service assuré dans un délai contractuel. (ceci n'est pas spécifique au close source, des sociétés le propose pour l'open source aussi, mais généralement dans le domaine du close source, les sociétés proposant le service peuvent avancées moult certificats "prouvant" leurs compétences.)
- Les différents logiciels achetés auprès d'un même éditeur s'intègre généralement mieux entre eux et à moindre frais / moindre risque.
- La raison "parapluie" ou dans un langage plus châtié : le transfert de responsabilité : je suis désolé monsieur le président, j'ai acheté au prix fort les meilleurs produits du marché, je ne suis pas responsable.

Le sujet du post est que si le code source d'un systeme est open source alors tous le monde peu trouver des failles car il y en aura toujours. Et ma reponse etait donc bien sur le sujet.
Donc si un système est close source, il n'y a pas de failles ou on ne pas les trouver ou si l'on en trouve une, ce sera la dernière, promis/juré ?

P.S. : Je ne suis aucunement vexé et pas énervé non plus.
11  0 
Avatar de Marco46
Expert éminent sénior https://www.developpez.com
Le 27/10/2013 à 23:47
Citation Envoyé par yahiko Voir le message

Même s'il est vrai qu'idéalement la sécurité ne devrait reposer que sur sa robustesse "mathématique" et non pas par un masquage de l'information, d'une part un système parfait n'existe pas et n'existera probablement jamais, et d'autre part, à partir d'une certaine taille, même modeste, il est très difficile de prouver rigoureusement (et pas seulement tester) la fiabilité d'un système.
C'est là où ton raisonnement est hors des réalités.

Avant les procédés cryptographiques étaient basés sur le masquage le masquage des informations concernant l'algorithme. Comment il fonctionne etc ...

Aujourd'hui, les algorithmes sont publics et le masquage d'information ne concerne que la clef et uniquement la clef.

Ce procédé est beaucoup plus facile à protéger, tout simplement parce que si une clef est trouvée par hasard ou bien volée, elle ne remet pas en cause la totalité du système et plus aucune communication ne pouvait être considérée comme sure.

Ensuite, on ne prétend pas prouver mathématiquement qu'un système est inviolable. On constate qu'il est inviolable parce que personne n'arrive à le violer. Comme RSA.
Pour que la confiance s'installe il est nécessaire que toutes les données liées à l'algorithme (à l'exception des clefs qui sont générées pour chaque utilisateur) soient publiques afin que n'importe qui puisse tenter de casser le système. Et c'est ça qui crée la confiance.

En d'autres termes, personne ne prouve mathématiquement que le système est inviolable, mais tant que le système n'est pas craqué, il est considéré comme inviolable.

Ainsi les systèmes de chiffrements modernes ont une durée de vie, les longueurs de clefs sont réévaluées régulièrement.

Maintenant au niveau des logiciels, qu'ils soient ouvert ou fermés on s'en balance, tout dépends :

1/ de l'implémentation des algorithmes dans les librairies utilisées, et vu le fonctionnement de la sécurité moderne les grandes librairies opensources (openssl, bouncycastle pour java, ...) ont toutes les chances d'être de grande qualité.

2/ de l'utilisation de ces fonctions de sécurité dans le programme. Faire un import de la librairie ne suffit pas à sécuriser, encore faut-il utiliser les fonctions aux bons endroits. Là encore, que ce soit opensource ou fermé si les devs se plantent ou n'ont pas le temps d'écrire correctement le code nécessaire à la sécurité ben ça sera pas sécurisé.
Et là encore, un code source ouvert et un meilleur gage de sécurité puisqu'il est possible de checker que c'est fait correctement.
Et oui ça permet aussi de checker que ce n'est pas fait correctement et donc de trouver des failles mais c'est vraiment prendre le problème par le mauvais bout et sans tenir compte du tableau général.

Au final, avec un soft proprio tu peux ... rien vérifier. T'es obligé de croire sur parole l'éditeur. Avec un soft ouvert tu peux vérifier ... si t'en as les moyens
9  0 
Avatar de Arnard
Membre émérite https://www.developpez.com
Le 24/10/2013 à 19:30
Linux est alors un coffre-fort que tout le monde ouvre ?

Ce qui justifie surtout, à mon sens, le choix de ne pas publier, c'est qu'un système de sécurité se retrouve en général sur un réseau isolé, et donc que les mises à jours logicielles ne peuvent donc pas être automatisées comme le ferait un OS ou un logiciel grand public (firefox par exemple).

Du coup, sans mise à jour, le hacker qui décèle les failles pourraient en abuser. Les utilisateurs de ces logiciels n'ont pas en charge tout ce qui est maintenance ou mise à jour, qui est en général une prestation de l'entreprise qui a déployé le logiciel ou alors par un administrateur notifié des instructions.
10  2 
Avatar de Squisqui
En attente de confirmation mail https://www.developpez.com
Le 24/10/2013 à 23:03
Citation Envoyé par GTSLASH Voir le message
En 12 ans j'ai jamais eu d'attaque sur mes serveurs Windows. Par contre je vois sur les forum de tres nombreuse ataque sur les linux et autres. Donc encore une fois je parle de concret avec des arguments derriere.
Bien sûr, les serveurs Linux sont majoritaires face aux serveurs Windows. Les crackers s'intéressent plutôt au numéro de carte bancaire de M. Toutlemonde donc à Windows Desktop ou aux entreprises à travers les desktops des employés non formés à la sécurité informatique. C'est quand même plus facile de cracker un OS avec un navigateur web épaulé de toutes sortes de cochonneries ou des clés USB sauvages branchées dessus.

Citation Envoyé par transgohan Voir le message
On met quel type d'Unix par exemple sur des machines qu'on doit protéger ? Du ubuntu ? Non... On met un OS fermé et contrôlé.
En effet, si c'est pour mettre Ubuntu, autant mettre n'importe quoi d'autre, ce sera toujours une passoire.
Si vraiment, on tient à mettre du Linux, il faut partir sur des distributions légères, voir LFS, pour minimiser au maximum les failles de sécurité issus de tiers et au moins faire l'effort d'utiliser SELinux dans ses solutions (comme la NSA, quoi).
Mais je pense qu'il est plus simple de partir sur du Unix. On a Capsicum qui est intégré à FreeBSD, les jails, pf d'OpenBSD... Et bien sûr OpenBSD dont les développeurs favorisent un code propre, maintenable et sécurisé subissant des audits continus toujours avec un système de moindre privilège et le fameux pf.
Il reste bien sûr la question de savoir quoi installer sur ces systèmes. Si c'est pour installer un Chromium plein de warnings développé principalement par Google (malgré un support Capsicum) suivi du wrapper Linux pour y installer Adobe Flash, je crois que toute mesure de sécurité devient inutile

Développer une solution maison peut être une solution, mais il faut être conscient qu'elle pourrait être nettement moins efficace qu'une solution éprouvée dans un premier temps, voir complètement inefficace si les moyens mis à la maintenance sont insuffisants.
8  0 
Avatar de spidermario
Membre éprouvé https://www.developpez.com
Le 26/10/2013 à 19:41
Citation Envoyé par GTSLASH Voir le message
[L'utilisateur final] prefere savoir que derriere nous il y a une societé solide que des geek qui font ca sur leur temp libre
Aucun rapport. Des geeks peuvent faire des logiciels propriétaires sur leur temps libre, et des sociétés solides peuvent faire du logiciel libre.
8  0 
Avatar de PatteDePoule
Membre éclairé https://www.developpez.com
Le 24/10/2013 à 19:39
Citation Envoyé par Nagato Yuki Voir le message
Pour ou contre la publication en open source du code source d'un système de sécurité ?
Contre évidemment, un système de sécurité lisible par tous c'est comme un coffre fort avec le code écrit sur la porte.
Pourtant on dit que l'on devrait toujours rendre public un algo de chiffrement. Pour qu'il soit testé de tout bord tout côté et ainsi révéler ses failles s'il y en a.

Là on parle d'un système complet, j'hésite!

Si on garde ça secret le système devient une boite noire. On ne sait pas ce qui ce cache derrière, donc plus long à faire tomber?

Si on rend le système public, la communauté doit être forte sinon c'est seulement une aide pour les hackeurs. Il faut une communauté pour trouver/corriger les failles.
7  0 
Avatar de DelphiManiac
Membre émérite https://www.developpez.com
Le 24/10/2013 à 21:23
Citation Envoyé par GTSLASH Voir le message
Code : Sélectionner tout
L'actualité doit nous faire rappeler que le code sur la sécurité doit être ouvert afin de voir ce qu'il s'y passe réellement et qu'un état comme les Etats-Unis ne demande pas d'y mettre un "Backdoor"
1) Les USA auront l'info qu'ils veulent. Que se soit Linux Microsoft ou autres
2)L'utilisateur final veut que ca fontionne et que ca soit facile a utilisé pour un cout raisonable. Comment on fait il veulent pas savoir. Il prefere savoir que derriere nous il y a une societé solide que des geek qui font ca sur leur temp libre

Croire que car c'est OpenSource vous savez tous ce qu'il y a dedans et que ca empeche les ataques c'est totalement faux. Sur quelle OS il y a le plus d'attaque ?
Un logiciel très répandu en "close source" qui commence par un W, j'ai faux ?

La réponse étais facile, je crois, j'ai honte, mais d'un autre coté, c'est un peu normal que ce soit Windows qui soit le plus attaqué, c'est la plus grosse part de marché, donc la question étais légèrement idiote.

Par contre si des fois, à la place de cracher ta bile, d'avancer tes pseudos vérités non argumentés. Je reprend plus soft. Si des fois tu pouvais nous donner le contexte qui nous permette d'appréhender ce que tu avances et que tu étais prêt a relativiser en fonction du nombre restreint de machine que tu utilises (restreint par rapport au parc mondial), çe serais mieux pour tout le monde. En passant, essaye tout de même de répondre au 2 questions apparaissant ici :http://www.developpez.net/forums/d13...r/#post7531907

_______________________
Pour en revenir au sujet, il me semble nécessaire pour tout logiciel de sécurité qui est suivi régulièrement que celui-ci soit en "open source", je ferais une exception à cela, si le logiciel n'étais pas ou peu suivi où s'il n'étais pas possible d'appliquer les correctifs facilement.
8  2 
Avatar de Traroth2
Membre chevronné https://www.developpez.com
Le 25/10/2013 à 9:55
Citation Envoyé par Nagato Yuki Voir le message
un système de sécurité lisible par tous c'est comme un coffre fort avec le code écrit sur la porte.
Non, c'est faux. Une analogie n'est pas une démonstration, et là, c'est juste n'importe quoi.
7  1 
Avatar de DelphiManiac
Membre émérite https://www.developpez.com
Le 24/10/2013 à 22:11
Citation Envoyé par GTSLASH Voir le message
Je parle d'experience de mes clients donc c'est argumenter

Je parle evidement en proportionel. En 12 ans j'ai jamais eu d'attaque sur mes serveurs Windows. Par contre je vois sur les forum de tres nombreuse ataque sur les linux et autres. Donc encore une fois je parle de concret avec des arguments derriere.

Mais si la critique n'est pas permis excuse moi de partager mon experience sur un forum sur le sujet.

dsl du derangement.
Argumenter, ce n'est pas parlé de son expérience ou de l'expérience de ces clients. Argumenter dans le cas qui nous préoccupe, c'est à dire la sécurité d'un système open source vs un système close source, c'est faire des analyses à grande échelle, ou si l'on ne peut faire ces analyses soit même, s'appuyer sur des études réaliser par des tiers mais qui tire des conclusions sur un grand nombre d'éléments.

A partir d'expérience personnelle, je peux te trouver toutes sortes de lois absurdes : Hier en sortant de chez moi, j'ai croisé un (roux/nain/albinos/geek bossant sur le noyau linux/ou tout ce que tu veux), il m'a engueuler sans raison apparente, tous les (roux/nain/albinos/geek bossant sur le noyau linux/ou tout ce que tu veux) sont des imbéciles !!
6  1