Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

La NSA libère SIMP : un outil de sécurité open source
Pour aider les organisations à « fortifier leurs réseaux contre les cyber-menaces »

Le , par Michael Guilloux

42PARTAGES

1  0 
La National Security Agency (NSA) vient de publier un outil open source visant à sécuriser les réseaux des organisations. L’outil baptisé Systems Integrity Management Platform (SIMP) est, d’après l’agence d’espionnage des États-Unis, conçu pour aider les organisations à « fortifier leurs réseaux contre les cyber-menaces ».

L’outil est disponible dans le référentiel GitHub de la NSA, qui a été lancé ce printemps. D’après la description sur le site de partage de code source, SIMP est une technologie qui « vise à fournir une combinaison raisonnable de respect de la sécurité et de flexibilité opérationnelle. » La NSA considère l’outil comme un élément essentiel dans les approches de « défense en profondeur » de la cyber-sécurité, et estime qu’il permet de maintenir des systèmes en réseau conformes aux normes de sécurité en vigueur aux États-Unis.

À travers son outil, l’agence de sécurité veut aider les organisations gouvernementales et l’industrie dans leurs efforts pour mettre en place des technologies qui répondent aux exigences du département de sécurité US. SIMP leur permettra donc de ne pas réinventer la roue, affirme la NSA.

La libération de l’outil vient dans le cadre du Technology Transfer Program de la NSA. Le programme vise un transfert de technologie en prenant les codes développés par l’agence et en les rendant accessibles à la communauté du logiciel. « La communauté open source peut tirer profit du travail que la NSA a produit », et en retour, « le gouvernement peut bénéficier de l'expertise et de la perspective de cette communauté », explique Linda Burger, directrice du Programme.

Il est évident que même si l’agence de sécurité nationale des États-Unis semble être bien intentionnée sur ce coup, sa réputation en matière d’espionnage fera beaucoup de sceptiques quant à la sureté de son outil de sécurité des réseaux. Par contre, en le rendant open source, l’agence appelle la communauté des développeurs à contribuer. De manière implicite, c’est également un appel aux chercheurs en sécurité qui pourront analyser le code source en vue de détecter d’éventuelles failles qui pourraient exposer les organisations à des risques de sécurité.

Le logiciel est disponible pour les systèmes Red Hat Enterprise Linux 6.6 et 7.1, mais également pour les versions 6.6 et 7.1-1503-01 de CentOS. Il a été publié sous la version 2 de la licence Apache.

Sources : Communiqué de presse de la NSA, GitHub

Et vous ?

Qu’en pensez-vous ? L’outil de sécurité de la NSA pourra-t-il convaincre les organisations ?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de eric.c
Membre actif https://www.developpez.com
Le 13/07/2015 à 11:54
Quand je fais changer mes serrures, je m'adresse toujours à un gang de cambrioleurs

Comme ça, ils ont leur double de clefs et ils ne cassent rien et ça évite qu'ils se fatiguent, leur boulot est déjà si pénible
4  0 
Avatar de RyzenOC
Inactif https://www.developpez.com
Le 11/07/2015 à 16:10
Sans vouloir faire l'avocat du diable, c'est pas la première fois que la NSA développe des (bon) logiciels de sécurité, il y'en a même un d'intégrer au noyaux Linux, elle a contribuer a SELinux (Security-Enhanced Linux), une fonctionnalité permettant d’améliorer la sécurité de linux. Ce travail a été mené dans un but bien précis : fournir aux gouvernements des garanties précises de sécurité, notamment en instaurant des groupes d’applications, chacun régis par des règles différentes. Les premiers résultats concrets ont été inclus en 2000 dans le noyau Linux (version 2.6.0) et d’autres contributeurs, à l’instar de Red Hat, ont rejoint le projet.
Le code publié a toujours été open source et a donc été révisé par de nombreux développeurs. La participation de la NSA est abordée sur le propre site officiel de l’agence de renseignement.

Techniquement, si c'est open source, on peut vérifier code.

La NSA fait partie des plus gros contributeurs a des projets open source, et ce depuis sa création.
3  0 
Avatar de Beanux
Membre éclairé https://www.developpez.com
Le 11/07/2015 à 17:10
J'ai essayé d'aller voir els sources, et euh, c'ets le bordel. Le lien d ela news nous renvoie sur github, sous le compte "NationalSecurityAgency", qui ne contient que le projet "SIMP", qui lui, ne contient aucun code, mais qui nous renvoie sur simp.
Donc je suppose que c'est simp-core parmi les 5 pages de projets existants, qui est lui aussi vide, mais qui contient des instruction d'installation. De plus les projets adjacents, sont sans instructions aucune (pour ceux que j’ai pu consulter).

Ils ont donc bien sorti quelque chose, mais quel fouillis.
3  0 
Avatar de Matthieu Vergne
Expert éminent https://www.developpez.com
Le 20/07/2015 à 15:23
Citation Envoyé par Pierre GIRARD Voir le message
Il n'est pas là le problème potentiel. Étant donné que la NSA connait parfaitement ce code, qui nous dis que parallèlement il n'a pas créé d'autres outils pour l'exploiter en toute discrétion. C'est comme les poisons, l'inventeur d'un nouveau poison invente en même temps l'antidote ... au cas où. Idem pour le serrurier génial qui invente à la fois la serrure inviolable et le passe-partout au cas où le propriétaire de la serrure perd la clé.

Comment faire une totale confiance à la NSA ? Et peut-on leur faire une confiance totale et aveugle ?
Citation Envoyé par Pierre GIRARD Voir le message
connaissant à la fois la clé et la serrure, rien n'empêche à la NSA d'avoir créé en même temps le passe pour passer outre à ses propres sécurités. C'est pas comme si la NSA avait respecté les alliés des USA dans le passé. On sait maintenant qu'ils espionnent tout le monde ... avec même un doute : "Espionnent-ils aussi les émirats arabes ?" Car j'ai l'impression que les pays Européens intéressent plus la NSA que la péninsule arabique.

Décidément : NON, impossible de leur faire confiance après ce qu'ils ont fait à propos des dirigeants Européens.
Mais justement, il n'est plus question de confiance envers la NSA ici, mais de compétence. Le code est là, il s'agit de l'analyser pour voir ce qu'il permet et ne permet pas. Et de là en tirer les conclusions "là il est possible de le cracker en faisant ceci ou cela". On se fiche pas mal de savoir si "ceci" ou "cela" est effectivement fait. L'important est de savoir où sont les faiblesses potentielles, et de là savoir ce qu'on risque. Après, si on estime que la NSA (ou un autre) a de bonnes chances de pouvoir faire "cela", alors on n'utilisera pas ce code, point final. Il n'y a pas de question de confiance à la NSA là dedans. La seule confiance, c'est pour ceux qui décide de ne pas analyser le code. Ceux-là font confiance à la communauté d'experts qui, on l'espère, l'analysera en profondeur.

C'est comme juger un livre à son auteur plutôt qu'à son contenu. Ça a autant de subjectivité que de juger le livre à sa couverture.
2  0 
Avatar de Saverok
Expert éminent https://www.developpez.com
Le 13/07/2015 à 10:09
Citation Envoyé par Sodium Voir le message
La NSA essaye-t-elle de se racheter une conscience après la série de scandales qui éclatent aujourd'hui encore ?
Comme très bien dit par redcurve et par sazearte, entre autre, la NSA est un contributeur du libre depuis plusieurs années et cela fait parti de sa feuille de route depuis la création de l'agence.
Rester vigilent est une nécessité mais tomber dans des excès de méfiance, tout comme de naïveté, n'importent rien.

Le gros des scandales médiatiques sur la NSA sont passés et l'opinion publique est déjà sur autre chose.
Personnellement, je pense que la NSA n'en n'a que faire de se "racheter une image" d'autant plus que cette agence a les politiques dans sa poche...
1  0 
Avatar de BufferBob
Expert éminent https://www.developpez.com
Le 13/07/2015 à 11:57
Citation Envoyé par redcurve Voir le message
Bah il n'y a rien de spéciale, la NSA travaille à la fois à casser des systèmes et à les sécuriser. C'est comme avec la fabrication de coffre fort, pour faire un bon coffre fort il faut savoir en ouvrir.
ben ouai, mais dans la continuité de la métaphore, si tu t'aperçois que ton fabricant de coffres s'amuse à visiter les maisons de ta rue à l'insu de leurs propriétaires, quand il te propose un coffre si joli soit-il, ça semble normal sinon d'avoir une défiance paranoïaque au moins de s'interroger, non pas sur les motivations mais bien sur la confiance qu'on peut avoir dans le fabricant, et par corolaire dans ledit coffre
1  0 
Avatar de Pierre GIRARD
Expert éminent https://www.developpez.com
Le 20/07/2015 à 16:02
Tu as peut-être raison, et venant de n'importe qui d'autre que la NSA on pourrait avoir confiance et suivre ton raisonnement à 100% ... mais bon, il y a l'historique de la NSA.

Si le même logiciel avait été produit par DAECH (même en OpenSource), tiendrais-tu le même langage rassurant et lénifiant ???
1  0 
Avatar de BufferBob
Expert éminent https://www.developpez.com
Le 20/07/2015 à 19:03
disposer du code source ne veut pas dire qu'on a les compétences pour faire un audit sécurité dessus et encore moins pour identifier des backdoors éventuelles, c'est même étrange qu'il faille relever ça tant on pourrait penser que le seul bon sens suffit à le comprendre quelque part...

juste pour illustrer rapidement, on dispose du code source du noyau Linux, pourtant -et parmis les milliers de lignes de code qu'on devrait lire en cherchant- qui cause suffisamment bien C et à l'oeil suffisamment vif pour diagnostiquer que ce truc est une backdoor ? :
Code : Sélectionner tout
1
2
if ((options == (__WCLONE|__WALL)) && (current->uid = 0))
        retval = -EINVAL;
la "communauté" a beau avoir accès au code source, ce qui a sauvé le noyau ce jour là (~2003) c'est le protocole d’approbation des changements dans le noyau, Maurice s'est rendu compte que Robert avait commit sans que personne ait approuvé son commit, la communauté elle était à l'école en train d'apprendre à coder Java...

alors pareil, je dis pas que NSA a backdooré son outil, mais je ne leur fait pas confiance, et si je ne suis pas le seul et qu'ils ont un déficit dans l'opinion publique aujourd'hui ils l'ont bien cherché et c'est à mon sens le seul et unique pouvoir réel qu'on ait sur eux, la seule façon concrète qu'on a de dire "on est pas d'accord, vous nous gonflez"

à l'inverse dire "ne vous plaignez pas ou allez auditer le code" comment dire... ça ressemble à un traquenard pour neuneu, "c'est simple, il suffit de faire ça" sauf qu'en pratique personne n'est vraiment à même de pouvoir appliquer le principe, on pourrait croire à une astuce politique et c'est probablement le genre d'argument qui aurait pu être prononcé tel quel par le département d'état américain en fait
1  0 
Avatar de sevyc64
Modérateur https://www.developpez.com
Le 20/07/2015 à 20:25
TOR est un projet totalement Open source et ouvert, initié au départ et actuellement financé à hauteur de 60% par le gouvernement américain.

Tails est une distribution Linux qui se veut sécurisée sous forme de live CD qui d’appui énormément sur le réseau TOR.

Donc oui, TOR, à l'image de SIMP est open source. Le code est disponible et analysable, etc ....
Oui TOR, à l'image de SIMP, reçoit une forte contribution de groupes liés au gouvernement américain.
Oui pour TOR comme pour SIMP, si l'on ne veut pas accorder notre confiance à ces groupes et que l'on voit la conspiration dans tout ce qu'ils touchent, oui, il faut se méfier de TOR tout autant que de SIMP

2nd point : En quoi la NSA aurait à rassurer l’Europe. La NSA est un service gouvernemental américain au service de l'Etat américain avec pour mission d'en assurer la sécurité. La NSA se contre-fiche de l'Europe, elle ne bosse que pour le citoyen américain.
Et tout ce qui n'est pas américain peut-être potentiellement un jour ennemie de l'Amérique, Europe y compris.
1  0 
Avatar de Vinorcola
Membre régulier https://www.developpez.com
Le 11/07/2015 à 15:16
Ben voyons !
1  1