@Traroth2 : http://fr.wikipedia.org/wiki/USA_PATRIOT_Act
Depuis le 11 septembre, ils ont droit a tout...
Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter
Discussion :
@Traroth2 : http://fr.wikipedia.org/wiki/USA_PATRIOT_Act
Depuis le 11 septembre, ils ont droit a tout...
Pourtant OpenBSD n'est pas un linuxEnvoyé par Lana.Bauer
C'est un peu vague. La section 505 du patriot act permet au FBI (et seulement le FBI) d'accéder à la base utilisateurs d'organisations comme les FAI ou les opérateurs télécoms et leur interdit de communiquer le fait que le FBI ait mené une investigation aux personnes concernées, mais là, il s'agit de bien autre chose. Il s'agit d'ajouter un dispositif d'espionnage systématique à un logiciel, c'est à dire sans aucun ciblage.
Il aurait pu répondre "oui" mais dans ce cas, "ils" auraient dû le tuer...
Amen !![...] Linus Torvalds a sans doute répondu à la NSA qu’il ne pouvait pas insérer de backdoor même s’il le voulait, du fait de la disponibilité en open source du code Linux.
Je pense qu'il est fort possible qu'il y ait des backdoors dans le noyau Linux à l'insu de Torvalds.
D'une part l'accès aux sources ne garantit pas qu'elles sont lues et encore moins comprises* et d'autre part il est toujours possible d'y laisser des bugs intentionnels, voir le "underhanded C contest" par exemple.
* combien existe t il dans le monde développeurs qui ont le niveau requis pour lire les sources du noyau Linux ?
Et parmi ces devs combien lisent ces sources à la recherche de bugs malicieux ?
Pour moi faut pas rêver : un OS ouvert (Linux / BSD) est le meilleur candidat au titre d'OS de confiance, mais il n'y a aucune garantie.
Surtout que Torvalds n'est pas américain. Il aurait donc eu normalement le droit de redire mot pour mot sa conversation avec la NSA.
Je n'ai pas lu toute la page wiki, mais d'après ce que j'ai cru comprendre c'est une loi américaine non ?
Donc ça n'a pas de valeur pour un non-américain comme Torvalds.
Lire le texte du Patriot Act, c'est un peu comme lire le code source du noyau de linux, pas grand monde n'y comprend quelque chose.
La différence entre le Patriot Act et le noyau linux, c'est que pour Linux, ceux qui comprennent peuvent proposer des changements.
En fait, il s'est fait naturaliser il y a quelques années. Et les lois d'un pays s'appliquent à tous les résidents, même non-ressortissants.
Ah ok, je n'étais pas au courant de sa naturalisation.
ça change rien de toute manière, on parle de la NSA là
Quand bien même Linus Torvalds avait été Américain la NSA ne se serait pas gênée...
Tant que le code source sera ouvert, la NSA sera appelé à voir chez les autres comme d'habitude.... encore heureux d'avoir fait le choix raisonnable
Bonjour,
Cela revient au sujet présenté ici sur le faite que la sécurité doit être ou pas Open source.
Cette affirmation est tout de même très prétentieuse...
Sécurité ou respect de la vie privée ?
As-tu des études le prouvant ou est-ce une idée reçue ?
Quel est le pourcentage d'utilisateur grand public Windows et ainsi quel est le ratio adapté d'attaque par utilisateur d'OS ? C'est comme dire que Ferrari a les moteurs les plus fiables car ils n'ont que quelques pannes dans l'année alors que Toyota en a des millions
Tu voulais dire "n'avait pas été Américain" je suppose ?ça change rien de toute manière, on parle de la NSA là
Quand bien même Linus Torvalds avait été Américain la NSA ne se serait pas gênée...
Je demande car sinon c'est que tu as mal compris mon post.
Par contre "ne se serait pas gênée" pour quoi ? Le tuer ? Le kidnapper ?
Imaginons que je crée un OS et je me fais approcher par la NSA. Je suis Français uniquement, à partir de là, rien ne m'empêche de rapporter l'intégralité de la conversation. La NSA ne peut strictement rien faire. Et puis au delà de ça, c'est fait c'est fait, trop tard pour eux.
Ce qui me ferait surtout peur dans le monde de l'informatique, c'est d'être un hacker et avoir des corporations pas contentes sur le dos.
http://fr.wikipedia.org/wiki/Boris_Floricic
Oui, d'accord sur ce point ... mais qui pourrait répondre à cette question précisément ... à part la NSA elle-même ?
Et à supposer que la NSA ait la réponse à cette question, peut-on croire qu'elle y répondra publiquement ?
Ce qui semble "probable", c'est que les OS "made in USA" aient plus de chances d'être surveillés de près par la NSA que des OS ouverts dont les développeurs sont répartis sur toute la planète.
Mais, je me trompe peut-être
Salut,
Je n'ai pas lu toutes les interventions, mais il faut se dire qu'il est "logique" (du moins, de leur point de vue) que les organismes américains dont le sigle est composé d'un I ou d'un A aient recours à l'espionnage : en dehors de l'espionnage, leur seule source d'information serait la délation et cette source est loin d'être suffisante.
Et quand on parle d'espionnage, on a le choix entre :
- les jumelles et autres systèmes qui permettent de voir de loin (voir les micros directionnels) qui offrent une marge de manoeuvre assez limitée malgré tout
- placer des micros et autres système d'écoute / de vision à l'intérieur des salles de conférence / conseil, mais bon, on n'est pas dans un film de James Bond
- le recours aux complicités internes pour obtenir des informations ou placer des systèmes qui permettent de le faire.
Sans même verser dans la paranoïa, on peut très certainement imaginer que, le meilleur moyen parmi les trois que je viens de citer, celui qui apportera le plus de résultats exploitables en présentant le moins de risque pour "l'espion", c'est très clairement la complicité interne
Depuis le patriot act, les différents organismes américains ont "une base légale" qui leur permet de recourir à l'espionnage. Quelque part, ils auraient tord (de leur point de vue du moins) de ne pas profiter de cette possibilité!
D'une certaine manière, je serais pour ma part réellement étonné que de grands noms / de grandes firmes n'aient pas été abordées (ne serait-ce qu'au niveau d'un "pisseur de code quelconque") afin de trouver une complicité interne!
Et les raisons qui peuvent décider "quelqu'un" à devenir complice sont malgré tout nombreuses
Faut il s'en inquiétertrès certainement! Ne serait-ce que parce que cela va à l'encontre même de certains articles de la constitution même des états unis, mais, surtout, parce que les systèmes d'exploitation sont distribués bien au delà des frontières US.
Faut-il verser dans la paranoïa pour la cause
Faut-il s'émouvoir de ce genre de demandes
Y a-t-il quoi que ce soit que l'on puisse faire
Notez bien que j'ai écrit "logique" et non "normal", "justifié" et encore moins "admissible (par le public)" car on ne peut en aucun cas estimer qu'il soit justifié ni même normal d'espionner les gens à grande échelle
A méditer: La solution la plus simple est toujours la moins compliquée
question de néophyte
Je me demandes si, pour un code source lu et relu et corrigé, le compilateur lui même, ne peut pas être vérolé et créer des portes dérobées ...
Oui, il est possible d'installer une porte dérobée dans le noyau Linux pour toutes les distributions qui distribuent le code compilé du noyau et avec la collaboration de chacune des entreprises qui gère une distribution Linux.
Non, il n'est pas possible d'installer une porte dérobée dans le code source distribué de Linux qui serait vite identifiée par la communauté utilisant le code source et n'étant pas soumise aux dictats d'un employeur.
Bref, il n'est pas impossible que certaines distributions de Linux roulent un noyau modifié avec porte dérobée.
En théorie (et même en pratique), c'est possible. Après si on utilise un compilateur open source, on peut aussi vérifier ses sources.
Mais comme dit précédemment, c'est vrai que souvent un télécharge une version pré-compilé (avec un compilateur pas forcément open source) et donc on ne peut pas certifier à 100% que le produit final ne contient pas de backdoor.
A priori, c'est tout à fait possible!!!
Tous les compilateurs ne font jamais qu'une et une seule chose : traduire un langage donné en un langage compréhensible par le processeur.
Et le processeur se contente d'appliquer les instructions qu'il reçoit, sans s'inquiéter de savoir s'il est opportun d'effectuer telle instruction à tel moment particulier!
Et le pire de tout, c'est qu'il y a énormément d'étapes entre le moment où tu lances la compilation et le moment où tu obtiens un exécutable et que chacune de ces étapes est une possibilité supplémentaire d'introduire une backdoor! :
Typiquement, un compilateur va créer un code assembleur sur base du code que tu as écrit. Il n'y a strictement rien qui interdise au compilateur de rajouter les commandes assembleur nécessaires à la backdoor
Juste après, c'est l'assembleur lui-même qui prend le relais pour convertir les instructions en assembleur en données binaires, compréhensibles par le processeur. S'il veut rajouter quelques dizaines d'octets à ton code, il n'y a a priori rien qui l'en empêche
Ensuite, c'est au tour de l'éditeur de liens et ou de l'archiveur de bouloter, soit pour créer l'exécutable, soit pour créer une bibliothèque. Ils pourraient eux aussi parfaitement rajouter quelques instructions par-ci par-là : le rôle de l'éditeur de liens est déjà de modifier le code binaire afin de faire correspondre des symboles particuliers à des adresses précises, il n'y aurait rien de plus facile pour lui de faire en sorte q'un symbole renvoie vers une adresse qui ouvre une porte dérobée!
Enfin, quand je dis que c'est "facile", qu'il "n'y a rien qui l'empêche" ou qu'il "n'y a rien qui interdise", on se comprend : ce n'est sans doute pas à la portée du premier venu, nous sommes d'accord, mais c'est -- malgré tout -- parfaitement réalisable.
Et l'on peut continuer, bien que l'on sorte de la seule compilation, avec les systèmes de packaging et d'installateurs divers.
Et, d'une certaine manière, comme le fait remarquer atha2, du seul fait qu'il faut un compilateur pour arriver à compiler un compilateur, on est confronté au paradoxe de la poule et de l'oeuf : sans oeuf pas de poule mais si pas de poule, pas d'oeuf: A moins de revenir 40ans (ou 50ans) en arrière et de réimplémenter, directement en langage machine (pour être tout à fait sur de ce qu'il contient), un compilateur minimum qui nous permettra de compiler le code source du compilateur, il semble particulièrement difficile d'obtenir la certitude que le compilateur que l'on utilise ne fait pas des choses non souhaitées lorsque l'on compile le code source de n'importe quelle application
C'est dans cet ordre d'idées que je disais qu'il fallait très certainement s'émouvoir que certains grands noms soient abordés par la NSA, qu'il faut être particulièrement vigilant, mais qu'il est au final très difficile d'y faire quoi que ce soit :
Il "suffit" (en théorie du moins) d'un outil vérolé "bien placé" dans la chaine de distribution pour que même un code open source, lu, relu et corrigé, finisse lui aussi vérolé!
C'est ce qui fait peur! Mais j'essaye malgré tout de me dire que les grands noms de l'open source refuseront de se faire les complices de ces pratiques... C'est le seul moyen que j'ai trouvé pour ne pas verser dans la paranoïa
Répondre avec citation
Partager