via le shaarli de sebsauvage : sebsauvage.net/links/?BI0RcQ
Mauvais titre, mauvaise polémique. Assange considère comme incroyable le fait qu’une librairie essentielle comme libssl ait eu un bug ou encore le problème des clefs SSH spécifique à Debian il y a quelques années.
C’est une pure supputation, envisageable certes, mais simple hypothèse. Ce que Assange oublie, c’est que c’est la structure ouverte du code a permis de régler ce problème, problème qui date de peu et dont l’apparition et l’historique sont connus (bug apparu en 2011, auteur connu). Qu’il s’appuie sur cet historique et le réfute.
Certes, mais comme tu dis il faut rester méfiant (et l’ouverture du code n’entérine ni ne contredit cette hypothèse puisque le projet est libre dès l’origine)
Oui mais Assange a révélé des choses exactes car il avait des documents. Si maintenant il s’auto-proclame référent en «politique d’espionnage de la NSA» et livre ses supputations personnelles en les mettant sur le même plan que les faits réels qu’il a préalablement dévoilé, il va décrédibilisé le tout. C’est imbécile de sa part.
ça aurais été Swnoden, j’y aurais un peu plus porter attention.
Là il est peu probable qu’il ai les compétences techniques suffisante pour prouver ses dires. Le problèmes des clées SSH de Debian a été analysé et expliqué, donc pas vraiment le sabotage de la NSA.
PS : On est sur un forum francophone, donc traduit tes titres …
question co–e: en faisant des achats sur internet on risque de se faire pinner?ou pas?
La question reste de la “liberté” et de la sécurité des logiciels libres.
Les distros linux sont elles réellement libres? Un exemple est la problématique de la lecture des dvd de films…pourquoi sur microsoft la question ne se pose même pas et que sur linux il faut se livrer à des tas de contorsions pour y arriver.
Ensuite pour la problématique de la sécurité informatique: est ce qu’arriver à résoudre les difficultés de la configuration du GNUnet palliera aux manquements actuels
Je crains qu’il soit nécessaire de faire un tri dans les distros utilisées
Mais Assange, comme Zimmerman, a le mérite de soulever de bonnes questions.
Si les paquets OpenSSL ne sont pas maintenus à jour tout autant qu’avec un site de vente pas sérieux qui néglige la sécurité sur son framework/cms de site de vente … et encore que plus généralement le paiement passe par des plugins bancaires hors de prix … donc bon 
[quote=“cricri_montpellier”]La question reste de la “liberté” et de la sécurité des logiciels libres.
Les distros linux sont elles réellement libres? Un exemple est la problématique de la lecture des dvd de films…pourquoi sur microsoft la question ne se pose même pas et que sur linux il faut se livrer à des tas de contorsions pour y arriver.
Ensuite pour la problématique de la sécurité informatique: est ce qu’arriver à résoudre les difficultés de la configuration du GNUnet palliera aux manquements actuels
Je crains qu’il soit nécessaire de faire un tri dans les distros utilisées
Mais Assange, comme Zimmerman, a le mérite de soulever de bonnes questions.[/quote]
Aucun souci pour lire des DVD du commerce avec un bon XBMC logé dans un HTPC, enfin quand on s’appuie sur un minimum de lecture ou qu’on n’a l’habitude( donc merci d’éviter le troll Redmond 
).
Attention GNU n’est pas un OS ce sont des Outils 
Pour ce qui est de la bave, lors des dernières failles de Bind et d’OpenSSL on ne l’a pas entendu non plus
Moi je pense à un petit coup de projecteur pour de futurs articles, Assange n’est plus qu’un buisnessman de l’information.
Parlant de ça Bind remplacer définitivement dans FreeBSD (raz le bol généralisé et après consensus ils ont décidé de dégager ce paquet trop souvent impacté par des failles de sécurités).
Tu veux dire que tu n'as pas à installer tous les autres packages? ils sont inclus dedans?
ps: mais c'est du squattage de sujet, désolé...je ne le referai plusTu veux dire que tu n’as pas à installer tous les autres packages? ils sont inclus dedans?
ps: mais c’est du squattage de sujet, désolé…je ne le referai plus
[quote=“cricri_montpellier”]La question reste de la “liberté” et de la sécurité des logiciels libres.
Les distros linux sont elles réellement libres? Un exemple est la problématique de la lecture des dvd de films…pourquoi sur microsoft la question ne se pose même pas et que sur linux il faut se livrer à des tas de contorsions pour y arriver.
[/quote]
Tu confonds, ça n’a rien à voir avec le libre ou pas, c’est juste une question de brevet logiciel avec un brevet sur le codage CSS et les algorithmes correspondants. La lecture avec un matériel n’ayant pas payé une licence posait problème. C’est pour cela qu’on fleurit une ribambelle de tee shirts reproduisant l’algorithme interdit à cette époque là.
[quote]
Ensuite pour la problématique de la sécurité informatique: est ce qu’arriver à résoudre les difficultés de la configuration du GNUnet palliera aux manquements actuels
Je crains qu’il soit nécessaire de faire un tri dans les distros utilisées[/quote]
La configuration du GNUnet??? le tri dans les distributions??? Une distribution est un Linux, seyule la configuration change mais tu peux transformer une redhat en debian et vice versa…
[quote]
Mais Assange, comme Zimmerman, a le mérite de soulever de bonnes questions.[/quote]
Laquelle finalement en ce qui concerne Assange sur le libre?
Qu’il est tout à fait possible que la NSA ait infiltré la communauté Debian.
Y a t-il par ex une équipe sécurité qui passe en revue les domaines sensibles ou reste t-on, quelque soit le domaine, sur le principe de c’est celui qui fait qui décide ?
Il me semble que les révélations de la NSA devraient conduire à un audit collaboratif des parties les plus sensibles du code, mais c’est peut être déjà le cas ? Sinon il est temps de prendre les mesures à même de rétablir la confiance qui n’est jamais acquise et que la NSA a fragilisée
Fran-B: regarde les distributions et regarde qui est devenue une machine à fric.
Deuxio il est facile avec les os libres de se faire infiltrer (comme les autres) par big brother d’où la nécessité d’être vigilant. S’il est possible d’infiltrer une install Unix quid de Linux…
La vigilance
J’ai beaucoup plus confiance dans des distrib opensource, un code maveillant de piratage est pratiquement impossible a ajouté dans un source.
[quote=“antistress”]Qu’il est tout à fait possible que la NSA ait infiltré la communauté Debian.
Y a t-il par ex une équipe sécurité qui passe en revue les domaines sensibles ou reste t-on, quelque soit le domaine, sur le principe de c’est celui qui fait qui décide ?
Il me semble que les révélations de la NSA devraient conduire à un audit collaboratif des parties les plus sensibles du code, mais c’est peut être déjà le cas ? Sinon il est temps de prendre les mesures à même de rétablir la confiance qui n’est jamais acquise et que la NSA a fragilisée[/quote]Il suffit de regarder le changelog pour le vérifier. La NSA n’a rien révélé, c’est Assange qui suggère que la NSA noyaute Debian sous pretexte que le bug est trop gros pour être honnête. Les modifications sont parfaitement identifiées et expliquées. On peut envisager un noyautage, mais il est impossible que les modifications ayant conduit au bu de la libssl, introduites en 2011, n’aient pas été épluchées quant à leur origine et leur motivation. Si ce n’est pas par quelqu’un de debian, ça peut l’être par quelqu’un d’autre. Dans la mesure où il y a des tas de personnes rêvant de prouver l’infiltration d’un tel projet par la NSA, ça a du être fait un centaine de fois.
[quote]regarde les distributions et regarde qui est devenue une machine à fric.
[/quote]Qui? Crois tu que Ubuntu ou RedHat soit des entreprises particulièrement rentables et sures?[quote]
Deuxio il est facile avec les os libres de se faire infiltrer (comme les autres) par big brother d’où la nécessité d’être vigilant. S’il est possible d’infiltrer une install Unix quid de Linux…[/quote]Es tu vraiement sur de ce que tu viens d’énoncer? Autant je verrais comment insérer un code dans un logiciel propriétaire (voir le nombre de virus sous windows), autant sur un code ouvert il est impossible de faire cela sans que cela se voit rapidement. Même 2 lignes dissimulées dans le source du noyau n’ont pas tenu 2 jours sans être identifiées (porte dérobée introduite en 2003). Je crois que la porte dérobée introduite la dans du code libre la plus résistante a été sur le code source de proftp directement dans le tar.gz sur leur site. Elle a tenue 3 jours.
La faille libssl de 2006 vient du mainteneur de debian et d’un meli/melo dans le dialogue entre le mainteneur et les développeurs. Cette faille a existé pendant 1 an et 8 mois.Fais maintenant des recherches sur les portes dérobées dans windows et tu verras où c’est facile d’insérer une porte dérobée ou un code quelconque…
ça me rappelle les affirmations de Google récemment : on a réparé Gmail les gars, c’est désormais à l’abri de la NSA.
Tout cela reste des affirmations gratuites.
Ma question était sérieuse : j’ignore s’il existe un processus chez Debian de revue collaboratif du code sensible pour rendre difficile un noyautage. Est-ce le cas ?
Bien entendu, et seule les personnes habilitées peuvent modifier le code
À propos d’audit, la seule distribution libre qui revendique fièrement d’en faire est… OpenBSD, celle-là même qui pond OpenSSH. On peut dire qu’il va y avoir des sérieux débats.
fr.wikipedia.org/wiki/OpenBSD#La … it_du_code
EDIT
Petit rectificatif : OpenSSL n’est pas un projet OpenBSD mais OpenBSD utilise OpenSSL.
Un fil de discussion intéressant http://marc.info/?l=openbsd-misc&m=139702732621929&w=2
Mais alors qu’est ce que Debian a à voir dans tout ça? C’est OpenBSD qu’il faut saigner!
Par rapport à la NSA et aux dev infiltrés:
Pour la detection de failles qu’elles soient volontaires ou non, je fais confiance à la communauté. Il suffit d’un gus pour que l’affaire soit réglée.
De mon point de vue, c’est une affaire qui roule.
Ouais, faut pas non plus trop en faire …
Ok, il semble y avoir un défaut dans l’implémentation d’openssl, c’est cool
M’enfin, il ne faut pas oublier que le protocole TLS est intrinséquement troué, puisqu’il se base sur de fausses assertions.
De fait, 100% des implémentations de TLS sont insécures.
Je suis entrain de virer microsoft de ma vie (comme j’ai viré apple) et ce que je disais je le disais seulement pour que Linux reste le symbole de ceux qui ont encore un minimum de “liberté d’esprit” …rien de plus…vigilance