"Même si le libre est digne de confiance, vérifiez le code source",
Mozilla invite les utilisateurs à réaliser un audit régulier du code de FireFox
Le 2014-01-14 08:07:47, par Cedric Chevalier, Expert éminent sénior
« Tous les navigateurs majeurs disponibles sur le marché sont distribués par des organisations sujettes aux lois sur la surveillance. La conséquence fâcheuse de cette réalité est que les utilisateurs ne doivent plus avoir une confiance aveugle en les éditeurs de logiciels », lit-on sur le blog officiel de la Mozilla Foundation.
Des propos forts, en relation avec le fil de l’actualité sur l’affaire Edward Snowden et le projet PRISM, qui a fait l’objet d’un dossier complet de la rédaction.
Il existe désormais un climat de méfiance perceptible entre les utilisateurs et certains éditeurs de logiciels. Une méfiance certes justifiée, mais les éditeurs comme Google, Apple ou Microsoft ne devrait être blâmés sous aucun prétexte. De fait, ils ont tous simplement les mains liées. Et s’il arrivait par malheur que les codes de leurs logiciels contiennent des « backdoor » imposées par les organismes gouvernementaux, ils sont tenus de garder le silence.
The Guardian reporte les déboires d’un « dissident » qui a fait les frais de son entêtement. Ladar Levison (fondateur de Lavabit) s’est opposé à un ordre direct de la cour de remettre au FBI la totalité des clés de chiffrement de sa plateforme de courriel (opposition compréhensible, puisque cela constitue une violation de la vie privée de ses clients, sans compter que l’image de marque du service en prend un sacré coup). La demande n’était pas anodine puisque le service Lavabit hébergeait le compte de Snowden.
Levison a résisté vaillamment. Mais malgré sa ténacité, il a finalement capitulé. La cour l’a sommé de payer une amende de 5000 dollars par jour, à compter du 06 août jusqu’à ce que le FBI entre en possession de l’ensemble des clés de chiffrement du service. Deux jours plus tard, Levison accédait à la requête du FBI.
Dans une pareille situation, à quel saint doit-on se vouer ? Brendan Eich et Andreas Gal, de Mozilla, présentent le libre comme la « solution par excellence ». En prenant exemple sur Firefox et sur le mode de fonctionnement du libre, ils démontrent comment il est difficile voire impossible pour une agence gouvernementale d’insérer un backdoor dans Firefox. Torvalds lui-même n’a-t-il pas été approché pour insérer un backdoor dans Linux ?
Par ailleurs, Brendan et Andreas lancent un appel aux utilisateurs à faire un audit régulier du code source de Mozilla et des binaires proposés sur le site officiel, afin de lever une alerte lorsqu’une anomalie est découverte.
Sources : Mozilla, The Guardian
Et vous ?
Voyez-vous aussi dans le libre la solution au problème de protection de la vie privée des utilisateurs sur internet ?
Des propos forts, en relation avec le fil de l’actualité sur l’affaire Edward Snowden et le projet PRISM, qui a fait l’objet d’un dossier complet de la rédaction.
Il existe désormais un climat de méfiance perceptible entre les utilisateurs et certains éditeurs de logiciels. Une méfiance certes justifiée, mais les éditeurs comme Google, Apple ou Microsoft ne devrait être blâmés sous aucun prétexte. De fait, ils ont tous simplement les mains liées. Et s’il arrivait par malheur que les codes de leurs logiciels contiennent des « backdoor » imposées par les organismes gouvernementaux, ils sont tenus de garder le silence.
The Guardian reporte les déboires d’un « dissident » qui a fait les frais de son entêtement. Ladar Levison (fondateur de Lavabit) s’est opposé à un ordre direct de la cour de remettre au FBI la totalité des clés de chiffrement de sa plateforme de courriel (opposition compréhensible, puisque cela constitue une violation de la vie privée de ses clients, sans compter que l’image de marque du service en prend un sacré coup). La demande n’était pas anodine puisque le service Lavabit hébergeait le compte de Snowden.
Levison a résisté vaillamment. Mais malgré sa ténacité, il a finalement capitulé. La cour l’a sommé de payer une amende de 5000 dollars par jour, à compter du 06 août jusqu’à ce que le FBI entre en possession de l’ensemble des clés de chiffrement du service. Deux jours plus tard, Levison accédait à la requête du FBI.
Dans une pareille situation, à quel saint doit-on se vouer ? Brendan Eich et Andreas Gal, de Mozilla, présentent le libre comme la « solution par excellence ». En prenant exemple sur Firefox et sur le mode de fonctionnement du libre, ils démontrent comment il est difficile voire impossible pour une agence gouvernementale d’insérer un backdoor dans Firefox. Torvalds lui-même n’a-t-il pas été approché pour insérer un backdoor dans Linux ?
Par ailleurs, Brendan et Andreas lancent un appel aux utilisateurs à faire un audit régulier du code source de Mozilla et des binaires proposés sur le site officiel, afin de lever une alerte lorsqu’une anomalie est découverte.
Sources : Mozilla, The Guardian
Et vous ?
-
Paul TOTHExpert éminent séniorc'est parcequ'on est sur un forum IT que n'est pas évoqué la solution politique ?
nous vivons dans des démocraties qui devraient nous permettre de décider si de telles pratiques gouvernementales sont acceptables ou non sans avoir à trouver des alternatives technologiques pour nous en prémunir.le 14/01/2014 à 8:26 -
Traroth2Membre émériteLe système représentatif est une illusion de démocratie, et ça se remarque de plus en plus...le 14/01/2014 à 14:02
-
Uranne-jimmyMembre expérimentéLa cour l’a sommé de payer une amende de 5000 dollars par jour, à compter du 06 août jusqu’à ce que le FBI entre en possession de l’ensemble des clés de chiffrement du service.
Il n'y a plus de limite, les seuls moyens que je trouve encore serait une ligue des autres pays contre l’Amérique. Plus ça va, plus on en apprends, et plus ça me révulse... Ce qui était au début un simple "ils peuvent bien m'espionner, m'en fou" devient un "c'est révoltant, ils portent atteinte à la vie privée du monde entier, se porte en dieu omniscient au sens propre sur le réseau mondial"
Concernant le sujet principal : malheureusement je ne peux moi même que faire confiance à la communauté pour assurer la qualité et la sécurité des solutions open source que j'utilise ...le 14/01/2014 à 14:38 -
Paul TOTHExpert éminent séniorah mais je suis tout à fait d'avis que la démocratie va mal. Les révélations de Snowden, loin de faire bondir le monde démocratique n'a fait que légitimé ces pratiques..."oui on fait un peu ça, mais c'est pour votre bien...pis d'ailleurs on est pas les seuls, on fait tous un peu ça et on s'espionne les uns les autres, mais bon c'est juste qu'on utilise les technologies modernes quoi, où est le mal ?!". Et les réactions ne sont pas l'indignation mais les "pff moi je m'en fous je fais mes recherches sur duckduckgo, et pis toute façon Facebook c'est pourri, c'est juste bon pour les utilisateurs de Window$"
La presse nous aide bcp d'ailleurs en faisait la une sur les quenelles de dieudonné, en fait si Valls avait voulu occuper les médias il aurait du faire interdire son spectacle...ah ben tient c'est ce qu'il a fait. Mais bon il devait pas savoir que les escapades de Hollande allaient lui ravir la une.le 15/01/2014 à 1:17 -
ymoreauMembre émériteL'emploi du conditionnel est tristement révélateur. Je pense qu'il faut savoir rester réaliste et que les alternatives technologiques totalement transparentes sont les seules fiables, car les dirigeants ne seront jamais totalement transparents eux.le 14/01/2014 à 10:11
-
JaroddMembre expérimentéPar ailleurs, Brendan et Andreas lancent un appel aux utilisateurs à faire un audit régulier du code source de Mozilla et des binaires proposés sur le site officiel, afin de lever une alerte lorsqu’une anomalie est découverte.le 14/01/2014 à 16:40
-
Traroth2Membre émériteEn fait, il y a une approximation dans le présent article. L'article sur le site de Mozilla ne dit pas que les utilisateurs, au sens d'utilisateurs lambda, pas informaticiens, devraient auditer le code. Version anglaise :
"To ensure that no one can inject undetected surveillance code into Firefox, security researchers and organizations should:
-regularly audit Mozilla source and verified builds by all effective means;
-establish automated systems to verify official Mozilla builds from source; and
-raise an alert if the verified bits differ from official bits"
On parle donc de chercheurs et d'organisations en sécurité C'est très différent.le 14/01/2014 à 16:51 -
gangsoleilModérateurOu comment recruter des devs pour l'open-source
Sinon, je viens de regarder, pour voir, pour telecharger les sources... C'est un parcours du combatant qui demande deja un peu de debrouille, alors qu'il aurait ete si simple de mettre un lien dans l'article du blog...
bon, soit. Je telecharge donc le truc, je le desarchive, et je regarde 2 secondes ce que ca contient :
- 5 967 repertoires
- 87 407 fichiers
Ils fournissent le point d'entree, ou bien je dois me debrouiller tout seul ?le 14/01/2014 à 16:01 -
pmithrandirExpert éminentAux USA, tu rigoles pas avec la dette... c'est un suicide personnel si tu fais ca, tu peux même plus avoir un téléphone portable normal avec une mauvaise situation financière.
Par contre, je trouve étonnant qu'il n'ait pas migré tous ses clients dans un autre pays, vu que la loi l'oblige uniquement pour les serveurs présent sur le sol américain.le 14/01/2014 à 15:01 -
FR119492RédacteurBonjour à tous!
faire un audit régulier du code source
Jean-Marc Blancle 14/01/2014 à 15:01