IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Microsoft ouvre un centre de transparence à Bruxelles
Et permet aux gouvernements de l'UE d'inspecter le code source de ses produits

Le , par Michael Guilloux

186PARTAGES

4  1 
Microsoft continue ses efforts pour inciter les gouvernements nationaux à utiliser ses produits avec un sentiment de sécurité. La firme basée à Redmond a en effet lancé en 2003 une initiative baptisée Gouvernment Security Program (GSP) pour aider à créer la confiance avec les gouvernements qui veulent utiliser ses produits.

Dans le cadre de ce programme, la société IT a ouvert un Transparency Center à Redmond en Juillet 2014. « L'initiative Transparency Center est une pierre angulaire de notre Government Security Program (GSP) de longue date, qui offre aux agences gouvernementales participantes l'occasion d'examiner le code source des produits Microsoft » et « accéder aux informations sur les menaces de cyber-sécurité et les vulnérabilités » dans un environnement sécurisé, a déclaré Matt Thomlinson, vice-président de Microsoft Security dans un billet de blog. L’objectif premier – dans le contexte actuel de sécurité de données - est de rassurer les gouvernements qui veulent utiliser les produits de Microsoft que ceux-ci ne contiennent pas de portes dérobées de sécurité.

Les autorités participantes pourront en plus « bénéficier de l'expertise et la perspicacité des professionnels de la sécurité de Microsoft », qui leur donneront un aperçu de la vulnérabilité de leur infrastructure et la manière d’y remédier. Elles auront également accès à une documentation technique importante sur les produits de Microsoft y compris les services de Cloud Computing Azure et Office 365.

La liste de produits qui font partie du programme de sécurité inclut Windows 8.1, 7 et Vista, ainsi que les différentes versions de Windows Server et Office. On y retrouve également Lync et SharePoint 2010. Les codes sources d’autres produits non inclus dans la liste de base pourront également être inspectés selon les besoins spécifiques des organisations participantes.


La firme de Redmond a inauguré hier un nouveau centre de transparence à Bruxelles et annoncé que la Commission Européenne fait désormais partie des institutions participantes à son programme de sécurité. Cela signifie que les gouvernements européens seront en mesure d’inspecter le code source des produits Microsoft. Ce sera également l’occasion d’ouvrir le programme aux autres gouvernements à travers le monde. « L'inauguration d'aujourd'hui à Bruxelles donnera aux gouvernements en Europe, au Moyen-Orient et en Afrique un emplacement idéal pour expérimenter notre engagement envers la transparence et la fourniture de produits et services qui sont sécurisés par principe et par la conception », a déclaré Thomlinson. Le choix de Bruxelles se justifie par sa capacité à pouvoir rassembler les gouvernements et institutions du monde entier.

Aujourd’hui, la communauté mondiale GSP englobe 42 agences différentes de 23 gouvernements nationaux et organisations internationales à travers le globe. Microsoft prévoit d'élargir la gamme des produits inclus dans le programme et d'ouvrir d'autres centres en Europe, en Amérique et en Asie.

Source : Microsoft EU Policy Blog

Et vous ?

Que pensez-vous du programme de sécurité de Microsoft ?

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de Carhiboux
Expert éminent sénior https://www.developpez.com
Le 04/06/2015 à 14:30
C'est assez cocasse sur le forme, parce que plusieurs questions, assez basiques, se posent :
.
1) Qu'est-ce qui garanti à ces gouvernement que les "codes" mis à disposition sont bien les "codes" qui sont utilisés et distribués dans les copies commerciales, ou gouvernementales, des produits Microsoft et pas des versions "désinfectées"?
.
2) Qu'est-ce qui garanti à ces mêmes gouvernements que les mises à jour n’amènent pas de portes dérobées, à supposer qu'il n'y en ait pas déjà dans la version "de base".
.
3) Pourquoi un gouvernement européen permettrait-il à des employés de Microsoft de mettre leur nez dans leurs SI pour en étudier les vulnérabilités alors qu'il est clair ces derniers temps que la justice américaine, et ses services de renseignements, semblent vouloir, et pouvoir, lire toutes les informations/données internes de l'entreprise, aux USA comme à l'étranger.
.
4) Est-ce que les gouvernements de l'UE ont envie de se rengager dans une politique d'achat de logiciels propriétaires alors que beaucoup d'administrations ont franchi le cap du libre? Munich est l'exemple type de la grosse organisation qui à, semble t'il, réussi sa transition.
6  2 
Avatar de Matthieu Vergne
Expert éminent https://www.developpez.com
Le 04/06/2015 à 16:16
Citation Envoyé par transgohan Voir le message
Quand on parle de gouvernement ce sont des experts techniques bien entendu...
Thalès, Airbus et compagnie montrent leur code au gouvernement français.
Ce n'est certainement pas notre cher président qui s'en tape la lecture mais quelqu'un de la DGA ou autre.
Moi je veux bien, mais coller 2-3 experts techniques pour s'assurer que l'intégralité du code source de MS Windows, MS Office, MS truc-muche et consor n'aient pas de backdoor... pour moi c'est aussi efficace que n'y coller personne. J'imagine que si on en case davantage, ces experts techniques ont aussi autre chose à faire de leurs journées. Dans le bénéfice du doute, je reste donc sceptique.
3  0 
Avatar de Zirak
Inactif https://www.developpez.com
Le 04/06/2015 à 16:52
+1

Quitte à vouloir être transparent, et vu qu'ils ont commencé cette démarche avec la plate-forme .Net, autant passer en open-source, il y a des milliers de personnes à travers le monde qui seraient prêtes à éplucher le code source :

les adeptes de l'open-source, pour essayer de prouver aux pro-format propriétaire qu'ils avaient raison
les adeptes du format propriétaire, pour leur montrer que "hahaha vous aviez tord !"

Car la, cela va encore rester dans les hautes sphères, et on nous dira bien ce qu'on voudra nous dire (ou ce qu'on veut entendre), pour calmer la plèbe.
2  0 
Avatar de Matthieu Vergne
Expert éminent https://www.developpez.com
Le 04/06/2015 à 17:52
Citation Envoyé par seblutfr Voir le message
Ca n'est pas limité aux gouvernements, c'est aussi accessibles à certaines entreprises sous conditions.
https://www.microsoft.com/en-us/shar...g-program.aspx
Il existe d'autres programmes de ce type pour d'autres organismes (OEM, ...)
Je note :
Use and Restrictions

1. ESLP licensees may only use the source code for the purposes of assisting in the support and development of internally deployed applications on the Microsoft Windows platform, supporting Microsoft Windows deployments, performing internal security audits of the Microsoft Windows operating system.
Autrement dit, soit on développe des choses pour Windows, soit on fait de l'audit. Seul le dernier cas permet de faire une étude indépendante. Mais même malgré ça :
Eligibility Requirements (all requirements must be met)

...
3. Maintain 10,000 Windows seats under one of the following:
a. An Enterprise Agreement.
b. A Select or Select Plus agreement with Software Assurance.
autrement dit, même pour faire de l'audit, il faut déjà gérer un sacré parc Windows. Autant dire qu'on n'autorise là que les gros clients MS à faire leur propre audit. On ne peut donc même pas vérifier la solution avant d'en gérer une masse significative.

Ça ne change donc pas le fond de ma remarque : ces entreprises ont autre chose à faire que de vérifier l'intégralité du code des outils qu'ils ont acheté... acheté justement pour ne pas avoir à les développer (soit parce que ce n'est pas leur créneau, soit parce qu'ils ont d'autres priorités). La revue du code source, c'est le genre de chose que même les équipes en charge ont du mal à vouloir faire, parce que c'est chronophage et pas spécialement gratifiant. Alors une entreprise dont ce n'est pas le travail...

Dans l'open source, les revues de code se font par ceux qui sont intéressés par ledit bout de code :
- soit parce qu'on veut savoir comment ça marche, ce qui est rarement valable pour justifier d'utiliser ses heures de travail,
- soit parce qu'on souhaite s'en inspirer ou y contribuer, ce qui n'a pas de raison d'arriver pour du code proprio,
- soit parce qu'on a un problème à régler avec ledit bout de code, ce qui implique d'avoir ledit problème.

Checker du code à la recherche de problèmes potentiels, je doute que qui que ce soit y mette les ressources suffisantes en dehors de l'équipe en charge, à savoir des gens de MS ici. Mais ceux là cherchent ce qui serait problématique du point de vue de leur entreprise, pas spécialement de l'utilisateur. Ajoute le fait que ce code change constamment, et on est dans l'ingérable : pour le checker, il faudrait que ces gouvernements/entreprises mettent au moins autant de personnes que MS en met pour faire évoluer le code, sinon ils seront toujours avec un temps de retard.

Donc si l'idée est appréciable, dans les faits ça ne me semble pas changer quoi que ce soit.
2  0 
Avatar de Aiekick
Membre extrêmement actif https://www.developpez.com
Le 04/06/2015 à 18:04
Microsoft fait des compilateur, il peuvent très bien en avoir fait un qui injecte des prote dérobée dans leur code ...

tout est possible mais bon c'est pas un peu gros ?
2  0 
Avatar de Matthieu Vergne
Expert éminent https://www.developpez.com
Le 05/06/2015 à 15:42
Citation Envoyé par Jon Shannow Voir le message
ce que je n'aime pas ce sont justement ces pratiques ou l'on multiplie les déclinaisons d'un produit, chacun y allant de ses envies, ses besoins, ses petites manies, et au final on a quoi ? Un fatras de trucs plus ou moins compatibles les uns avec les autres, et des produits qui prennent plus de temps à maintenir les différences qu'à évoluer. Résultat, ce sont des OS avec un retard énorme.
Citation Envoyé par Zirak Voir le message
C'est bien ce que je disais, ce que tu n'aimes pas, c'est le principal intérêt de la chose.
Pour être plus concret que Zirak (parce qu'on pourrait aussi le prendre comme un simple avis personnel, l'intérêt d'une chose dépendant de la personne), la définition d'un logiciel libre est un logiciel assurant les 4 libertés suivantes :
  1. la liberté d'exécuter le programme, pour tous les usages ;
  2. la liberté d'étudier le fonctionnement du programme et de l'adapter à ses besoins ;
  3. la liberté de redistribuer des copies du programme (ce qui implique la possibilité aussi bien de donner que de vendre des copies) ;
  4. la liberté d'améliorer le programme et de distribuer ces améliorations au public, pour en faire profiter toute la communauté.

Si j'ai bien compris, tu trouves que les libertés 2 (adapter à ses besoins) et 4 (améliorer et redistribuer) sont appliquées de manière abusive, menant à une certaine fragmentation. On ne peut pas le nier : ce genre de choses étant permises, il n'y a rien d'étonnant à ce que ça arrive. Je comprends tout à fait le point de vue, dans le sens où quand on te propose 1-2 solutions ou quand on t'en propose 10-20, le choix est plus difficile à faire dans le second cas que dans le premier. De plus, du fait qu'il y en ait davantage, il est moins probable que les "bonnes choses" se centralisent : on peut voir telle distrib faire un bon truc, une autre distrib faire un autre bon truc, mais n'avoir aucune distrib qui dispose des deux, ce qui peut apporter une certaine frustration quand on doit choisir entre les deux. A contrario, un choix réduit implique une centralisation plus forte, on a donc plus de chances d'avoir tout ensemble.

Maintenant il faut bien remettre les choses en perspective. Premièrement, rien n'empêche de faire une distrib avec pour objectif de réunir l'ensemble des "bonnes choses". Et si c'est cela que tu cherches, il y en a, des distribs généralistes qui visent un large public, comme Ubuntu (d'autres te donneront d'autres exemples). Deuxièmement, établir ce que sont les "bonnes choses" est subjectif : chacun a ses propres besoins et son propre avis. Tu peux satisfaire un sportif en lui fournissant une application de gestion d'entraînement, mais un handicapé sévère n'en aura probablement rien à faire et préfèrera récupérer la place pour une application de diction de texte (reconnaissance vocale pour écrire).

Si la diversité te chagrine, rien ne t'empêche de te limiter artificiellement à ces versions généralistes. C'est un filtrage typique. Si ce qui te chagrine c'est qu'il te semble que les "bonnes choses" ne sont jamais toutes dans la même distrib, c'est que tu manques de relativisme : chaque distrib est faite par des personnes qui ont des besoins donnés, et ces besoins ont toutes les raisons du monde d'être différents des tiens. Tu mets en avant Google et Apple, par exemple. Mais moi, Google, j'attends toujours d'avoir un Google Calendar qui gère mieux les todolist, un GMail qui ne me prends pas comme destinataire quand je fais "Répondre", et bien d'autres choses. Apple, j'entends trop souvent que quand tu veux un truc, il faut débourser, et quand ce truc c'est "mettre les mains dans le cambouis", c'est même pas la peine. Si tu n'as pas ces besoins, alors je peux comprendre que Google et Apple te suffisent, mais de là à généraliser en oubliant qu'il y en a qui ont des besoins totalement différents des tiens, là c'est aller trop loin. Il existe des minorités, et ces minorités ne sont pas les cibles de Google, Apple, etc. Eux cherchent à mettre la majorité dans leur poche. Les minorités ne sont pas aussi rentables. Si tu fais partie d'une de ces minorités, alors tu auras un mal de chien à être satisfait par des solutions Apple ou Google, et cela sera bien plus simple en cherchant du côté du libre, pour la simple raison que si ce n'est pas disponible non plus, tu as au moins la possibilité d'étendre l'existant pour l'adapter à tes besoins, et non l'obligation de reprendre à zéro parce que le code est propriétaire.

La fragmentation des logiciels libres n'est pas une propriété du libre, c'est une conséquence de la diversité des besoins. Ça ne reflète ni plus ni moins que la réalité de la population : un ensemble de personnes très hétérogène. Un code propriétaire ne permet pas à cette propriété de s'afficher, parce qu'il y a une tendance naturelle à la centralisation (notamment par rachats) et à la normalisation (par abandons de projets qui satisfont seulement des minorités). Le libre en revanche le permet davantage, mais ce n'est pas pour autant une propriété intrinsèque du libre. Reprocher cette fragmentation, en un sens, revient à nier l'existence de cette diversité naturelle, et si c'est ton approche, alors il est normal que tu sois frustré, parce qu'elle ne correspond tout simplement pas à la réalité du monde dans lequel tu vis.

Donc si ton raisonnement a du sens, il me semble en revanche que tu fais face à une de ses limitations.
3  1 
Avatar de Jon Shannow
Membre extrêmement actif https://www.developpez.com
Le 08/06/2015 à 11:06
Citation Envoyé par Zirak Voir le message
C'est la que tu me fais marrer, c'est que tu dis que Linux, ça fonctionne pour les geeks mais que c'est trop dur / trop de contraintes pour mme Michu, mais quand on commence à te montrer des pistes pour te prouver que non c'est "Oui mais si j'ai un pc bizarre monté moi-même avec que des pièces sorties la semaine dernière, ça marchera pas !".

Mais depuis quand mme Michu, elle a un pc exotique ou récent (même un pc neuf dans une enseigne grand publique, ne contient en général que du matos qui a déjà plusieurs mois voir plusieurs années) ?

Depuis le départ, tu nous dis que Linux, ce n'est pas grand publique, et la maintenant le problème, c'est que cela ne fonctionne pas pour la machine venue de l'espace, montée par Jean-René dans son garage avec que des pièces qu'il a acheté sur le net et qui ne correspond à aucune config grand publique ou connue ?
Je te fais marrer parce que tu ne comprends pas, ou ne veux pas comprendre, le problème. D'abord, le PC n'a pas besoin d'être exotique, simplement récent. Et contrairement à ce que tu dis, il suffit d'acheter un PC pour prendre le risque qu'aucune distri Linux ne reconnaisse le matériel. Il m'est arrivé, sur des PC au boulot, d'avoir des problèmes d'affichage. La carte "semblait" être reconnue par linux (par de message, un pilote de la marque de la carte installé) MAIS, une grosse restriction en matière de résolution !
Ensuite, ce n'est pas parce que je créé un PC exotique pour quelqu'un qui a un besoin spécifique que je suis un as de la programmation système, capable de développer mes propres pilotes, de créer ma propre distri Linux à partir des sources. J'aimerais bien connaître le nombre de personnes, du forum, qui balancent comme argument qu'il suffit de modifier le source (parce qu'on a les sources, puisque c'est libre) pour se créer SA distri, qui en soient réellement capables, où même qui n'ont juste qu'un jour regarder les sources d'une distri Linux.
2  0 
Avatar de transgohan
Expert éminent https://www.developpez.com
Le 04/06/2015 à 15:34
Citation Envoyé par Matthieu Vergne Voir le message
Moi, ce que je me demande, c'est pourquoi l'accès au code se limite aux gouvernements. Les gouvernements font de la politique à ce que je sache, pas de la technique. J'aime bien la première phrase de l'article :

Mais je suis peut-être juste trop parano.
Quand on parle de gouvernement ce sont des experts techniques bien entendu...
Thalès, Airbus et compagnie montrent leur code au gouvernement français.
Ce n'est certainement pas notre cher président qui s'en tape la lecture mais quelqu'un de la DGA ou autre.
1  0 
Avatar de Chal92
Membre régulier https://www.developpez.com
Le 04/06/2015 à 17:26
On peut avoir un code sans porte dérobé dans les sources pourvu que le compilateur fasse le boulot d'injection lors de la compilation ;-)
On peut même montrer le code source (sans le code d'injection) du compilateur... et recompiler le compilateur (qui l'injectera...)

De mémoire cette technique à exister à une époque sur une distribution unix... qui était bien sur livrer avec les sources et le compilateur...

En conclusion: Ce n'est donc pas uniquement le code source mais bien toute la chaine de production qu'il faut valider...
1  0 
Avatar de Zirak
Inactif https://www.developpez.com
Le 05/06/2015 à 12:36
Citation Envoyé par Jon Shannow Voir le message
Non, visiblement tu n'as pas compris. Ce que je n'aime pas, c'est ce que des gens qui prétendent avoir la bonne parole ont fait de Linux et du logiciel libre en général, avec plus ou moins de succès.
On va pas refaire une énième fois la même discussion, ce que tu reproches à Linux, c'est son principal intérêt, donc oui tu n'aimes pas Linux, et ta réflexion précédente s'apparente plus à du troll qu'autre chose.

L'intérêt de forker une distrib, c'est de pouvoir faire celle qui correspond à tes besoins, si les distribs actuelles ne satisfont pas à 100% ton besoin, libre à toi de faire ta propre distrib avec les éléments qui te semblent manquant, point.

Si le travail accomplit par X centaines de personnes ne te satisfait pas, libre à toi de faire mieux, mais critiquer les distribs actuelles en attendant que tout tombe tout cuit du ciel, c'est un peu facile
1  0