Discussion :

[abriotde]

Il y a 2 poids 2 mesure :
Le système OpenSource est le plus sur et le plus économique, c'est pourquoi la plupart des système récents ultra sensible tournent sous des système OpenSource (OpenBSD, SELinux...). Ces systèmes sont très testé et il est impensable de refaire entièrement tout un système même pour un état, ce serait trop cher. Deplus il existe un large choix en OpenSource répondant a de très nombreux besoin y compris dans le domaine de la sécurité.

Cependant cela ne veut pas dire que tout doit être OpenSource, une entreprise a intérêt a garder une partie fermé pour ne pas être trop concurrencé. Et dans un système de sécurité il est préférable de garder, les IP, les mots de passe secret . Il est d'ailleurs toujours recommandé de changer la configuration par défaut. (Port, protocole, login administrateur...) Développé une petite sécurité en non OpenSource, un piège supplémentaire est justifié mais cela doit resté minime pour garantir une bonne maintenance.

[TNT89]

Je vais te donner un exemple très concret, en France on a des entreprises qui vendent des systèmes sensibles à des pays étrangers.
Tu crois sincèrement qu'ils achètent sans savoir ce qu'il y a dedans ?
Non...
Lors de la livraison ils ont une tonne d'experts qui s'enferment dans une salle avec le code source et qui l'étudient dans les moindres recoins.
Puis avec un CRC de ce code ils ont moyen de vérifier que les produits qu'on leur livre ont bien ce que l'on leur a montré.
A noter que le code source n'est pas vendu, c'est la première et dernière fois qu'ils le voient.

Donc, par exemple, l'Armée Française fait une review du code source de tous les produits Microsoft qu'elle achète, de tous les Firmware des équipements de son infrastructure réseau, etc?

Je n'y crois pas une seule seconde. Et l'actualité d'il y a quelques années sur les failles constatés de Scada sous des attaques d'envergure (Stuxnet, 2010), entre autres choses, me prouve que personne ne fait cette review de fond en comble, si elle est faite...

[Neckara]

Bonjour,

Croire que parce que un code n'est pas open-source est plus "sûr", c'est se donner un faux sentiment de sécurité et parier sur le fait que jamais personne ne pourra avoir accès au code source.

Or comme nous le montre cette actualité, le code source peut être "volé" puis publié comme quoi un code obscur n'est pas la solution ultime en terme de protection de sécurité.

Après comme l'a déjà dit un de mes voisins du dessus, pour des logiciels "massivement utilisé", l'open source aura de grands avantages. En revanche pour des logiciels "très peu répandus", la question peut se poser.


Mais je pense que la raison pour laquelle ils ne veulent pas que les codes soient publiés en open source n'est pas vraiment une question de sécurité mais une question de concurrence.
Si tout le monde peut avoir accès au code, on pourra s'en inspirer pour créer un logiciel équivalent voir même faire un fork.

[Arnard]

Et l'actualité d'il y a quelques années sur les failles constatés de Scada sous des attaques d'envergure (Stuxnet, 2010), entre autres choses, me prouve que personne ne fait cette review de fond en comble, si elle est faite...

Attention, le SCADA est un environnement particulier. L'un des rôles de stuxnet était d'empoisonner les trames modbus émises. Envoyer une trame modbus demande 10 minutes de lecture de doc, puis d'ouvrir une socket et de balancer 10 octets. Donc le contexte est assez particulier, il est impossible de faire de l'identification client/serveur dans ce protocole.

Après, on parle ici d'un logiciel de sécurité au sens, j'imagine, de détecter les attaques réseaux, mais ça manque de précisions

[Traroth2]

un système de sécurité lisible par tous c'est comme un coffre fort avec le code écrit sur la porte.

Non, c'est faux. Une analogie n'est pas une démonstration, et là, c'est juste n'importe quoi.

[transgohan]

Donc, par exemple, l'Armée Française fait une review du code source de tous les produits Microsoft qu'elle achète, de tous les Firmware des équipements de son infrastructure réseau, etc?

Je ne saurais le confirmer je ne travaille pas dans l'armée.
Mais par contre je peux te confirmer que l'armée française le fait pour les produits que nous lui vendons.

Après il y a différent niveau de sécurité/sensibilité dans une infrastructure.
Les PCs bureautiques sont sous windows et là aucune vérification n'est faite j'en suis certain.
Et par définition un PC confidentiel est dans un réseau fermé. Donc la seule faille possiblement exploitable serait en rapport avec un accès physique à la machine. Et là on a largement moins besoin de connaître les failles du système pour y entrer. :/

[Traroth2]

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

L'actualité doit nous faire rappeler que le code sur la sécurité doit être ouvert afin de voir ce qu'il s'y passe réellement et qu'un état comme les Etats-Unis ne demande pas d'y mettre un "Backdoor"

1) Les USA auront l'info qu'ils veulent. Que se soit Linux Microsoft ou autres

Personne n'a parlé de ça. Si le code est ouvert, les Etats-Unis ne pourront pas y mettre ce qu'ils veulent. C'est ça, le sujet. Parce que, oui, dans Windows et Mac OS X, les Etats-Unis y mettent ce qu'ils veulent ! La NSA dit "on veut mettre une backdoor" à Microsoft ou Apple, et ils répondent "OK". Les lois votées après le 11 septembre le permettent !

Si on faisait du mauvais esprit, on pourrait même dire que la véritable motivation de ce jugement est là : éviter qu'on puisse empêcher la NSA de mettre une backdoor dans le système. Mais ça n'est possible, pas vrai ?

[Traroth2]

« Toute personne qui se revendique comme étant hacker » perd le droit au quatrième amendement qui protège les citoyens des fouilles, perquisitions et saisies de biens a déclaré la juge.

Le vrai scandale est là : être un hacker serait désormais un crime ? Le "juge" ne devrait utiliser que les termes dont il maitrise le sens, et manifestement il ne sait pas ce qu'est un hacker. Et je ne suis pas certain que les décisions d'un juge soient supposées aller contre les principes constitutionnels. La hiérarchie du droit, c'est du poulet ?

[Traroth2]

En 12 ans j'ai jamais eu d'attaque sur mes serveurs Windows. Par contre je vois sur les forum de tres nombreuse ataque sur les linux et autres.

Et tu ne vois pas d'attaque sur des serveurs Windows sur les forums ? tu ne dois vraiment pas bien regarder !

[Neckara]

En 12 ans j'ai jamais eu d'attaque sur mes serveurs Windows. Par contre je vois sur les forum de tres nombreuse ataque sur les linux et autres.

ça dépend aussi de la "popularité" de tes serveurs.

Ensuite est-ce que tu n'as jamais eu d'attaques ou est-ce que tu ne t'es jamais aperçut qu'on t'attaquait ?

Sinon, il faudrait aussi voir la proportions de serveurs Linux par rapport aux serveurs Windows (et puis à part pour des serveurs pour des réseaux internes pour lancer des logiciels Windows (pour partager les licences et autres), je ne vois pas trop l'intérêt d'avoir des serveurs Windows ).

[Traroth2]

Je ne saurais le confirmer je ne travaille pas dans l'armée.
Mais par contre je peux te confirmer que l'armée française le fait pour les produits que nous lui vendons.

Après il y a différent niveau de sécurité/sensibilité dans une infrastructure.
Les PCs bureautiques sont sous windows et là aucune vérification n'est faite j'en suis certain.
Et par définition un PC confidentiel est dans un réseau fermé. Donc la seule faille possiblement exploitable serait en rapport avec un accès physique à la machine. Et là on a largement moins besoin de connaître les failles du système pour y entrer. :/

Et donc les documents classés secret défense ne sont pas écrits sous Word, c'est ça ? Laisser entendre que parce que c'est de la bureautique, ce n'est pas sensible, il fallait oser !

[HelpmeMM]

Et donc les documents classés secret défense ne sont pas écrits sous Word, c'est ça ? Laisser entendre que parce que c'est de la bureautique, ce n'est pas sensible, il fallait oser !

? le rapport ? on sécurise l'accès a la bureautique pas la bureautique c'est ce qu'il laissait entendre?

je comprend pas ton intervention ?

[fredoche]

Et tu ne vois pas d'attaque sur des serveurs Windows sur les forums ? tu ne dois vraiment pas bien regarder !

Je travaillais chez HP quand des trucs comme Code Red et code Blue ont mis down un bon paquet des serveurs win2K de la planète. C'était il y a 12 ans.

Pour le fun, dissémination de code Red le 19 juillet : http://www.caida.org/research/securi...-small-log.mov

A HP, qui avait choisi le tout windows 2 ans auparavant, c'était assez drôle...

[fredoche]

Et donc les documents classés secret défense ne sont pas écrits sous Word, c'est ça ? Laisser entendre que parce que c'est de la bureautique, ce n'est pas sensible, il fallait oser !

Quand bien même les documents ... ces simples logiciels peuvent être des vecteurs d'attaque de tes réseaux

[Marco46]

C'est bon calme tois...

Les fait son la. Microsoft et autres vendent leurs produits tres cher et ils continuent a en vendre alors que les open source se telecharge gratuit avec codes source. Ca c'est un fait que personne ne peus negliger.

Le fait d'avoir les codes source d'un systeme rend le systeme plus vulnerable. C'est la logique meme. Meme pas besoin d'etre programmeur pour comprendre ca.

Le sujet du post est que si le code source d'un systeme est open source alors tous le monde peu trouver des failles car il y en aura toujours. Et ma reponse etait donc bien sur le sujet.

Le fait qu'un logiciel soit opensource ou au code fermé n'a aucune importance.

Pour auditer un logiciel on ne lit plus le code source de A à Z, on utilise des suites de logiciels de sécurité qui vont générer des dizaines de milliers de requêtes sur tous les points d'entrés du programme pour essayer de trouver des failles (overflow, injection de code, etc ...) ou carrément analyser le code source directement.
Il est évident que sur un code fermé le deuxième point est plus que compliqué ...

La sécurité d'un système moderne ne doit pas reposer sur le masquage d'information mais sur une fiabilité mathématique. Tes conceptions sur la sécurité sont obsolètes depuis la fin de Enigma dans les années 40 .

[HelpmeMM]

Le fait qu'un logiciel soit opensource ou au code fermé n'a aucune importance.

Pour auditer un logiciel on ne lit plus le code source de A à Z, on utilise des suites de logiciels de sécurité qui vont générer des dizaines de milliers de requêtes sur tous les points d'entrés du programme pour essayer de trouver des failles (overflow, injection de code, etc ...) ou carrément analyser le code source directement.
Il est évident que sur un code fermé le deuxième point est plus que compliqué ...

La sécurité d'un système moderne ne doit pas reposer sur le masquage d'information mais sur une fiabilité mathématique. Tes conceptions sur la sécurité sont obsolètes depuis la fin de Enigma dans les années 40 .

je suis bien d'accord la sécurité ne doit pas reposer sur le masquage d'information

mais le problème de rendre un code disponible sur le net c'est que si la communauté ne s'y intéresse pas les potentielles failles ne sont pas corrigées et rendu disponible à n'importe quelle personne mal intentionné qui pourrait alors découvrir la faille et s'en servir. vous me direz qu'elle peut faire pareil avec un logiciel "boite noire". La différence ? l'analyse. dans un cas on analyse après effraction dans l'autre on analyse avant effraction.

je ne parlerai même pas du coté challenge,'hack me if you can', du genre mon logiciel de sécurité est le meilleur , je met à disposition le code source, allez y trouver moi la faille...

Tout ça fait que un logiciel de sécurité fermé est pour moi ce qui ce fait de mieux en matière de sécurité. après savoir si Y est meilleur que W est un autre débat, a capacité identique un code fermé sera toujours plus sécuritaire qu'un code ouvert du moins c'est ce que je pense.

[fredoche]

Tout ça fait que un logiciel de sécurité fermé est pour moi ce qui ce fait de mieux en matière de sécurité. après savoir si Y est meilleur que W est un autre débat, a capacité identique un code fermé sera toujours plus sécuritaire qu'un code ouvert du moins c'est ce que je pense.

Je pense pour ma part que ton analyse repose uniquement sur la confiance...

Ce qui est le meilleur moyen de te faire entuber. La nature humaine est comme ça.

Par contre le fait que les logiciels ouverts puissent être disséqués par différents acteurs du métier de manière croisée et ouverte, dans ce cas soit ils t'entubent tous de manière concertée, soit justement après cette analyse tu peux avoir confiance.

Pour info sorti ce mois-ci :
http://www.devttys0.com/2013/10/reve...link-backdoor/
http://www.devttys0.com/2013/10/from-china-with-love/

les joies des codes fermés... t'as du D-link dans ta boite, du tenda ?

Avec open-wrt ou DD-wrt t'as pas ça
Avec ubiquity qui publie son SDK t'as pas ça

Avec cisco, juniper, netgear, hp, ibm, mikrotik...? va savoir...?

[Paul TOTH]

Pour info sorti ce mois-ci :
http://www.devttys0.com/2013/10/reve...link-backdoor/
http://www.devttys0.com/2013/10/from-china-with-love/

excellent alors que hacker Linux c'est plus difficile à cacher

[Nagato Yuki]

Il semblerait que tout message n'étant pas en faveur aveugle de l'Open Source aient été noté négativement de manière accrue... Un système de + - sur un forum c'est risible, surtout avec l'éternel Linux c'est le mieux, l'open source c'est le mieux, Windows/Apple c'est que des [insérer n'importe quel mot grossier ici] de capitaliste qui vole votre argent, qui ne veut pas montrer ses sources et qui contient plein de failles...

Sérieux quand allez vous sortir de ces mentalité réductrices à c'est bien, c'est mal ?
[hr]En ce qui concerne mon premier commentaire il s'appliquait au cas exposé par l'article en question, c'était un programme de sécurité d'une entreprise, j'ai pris pour exemple, un coffre fort de banque, mais je n'ai jamais parlé des fond du FMI, c'est pas du tout la même porté.[hr]Enfin bref, je ne vois pas l'intérêt de débattre là dessus sachant que comme tout débat la plupart sont fermés et les autres ont pas le courage de sortir d'un bouton pouce rouge, pouce vert zador utub... J'aurais mieux fait de ne pas faire de remarque j'aurais été moins déçue de la communauté française -_-'

[Arnard]

Tu compares une faille d'il y a 10 ans avec un bulletin de sécurité récent ? Tu veux pas aussi parler de win 3.1 ?


Un logiciel avec sources fermé n'est potentiellement pas meilleur en terme de sécurité, on peut toujours tester des failles tel le sql injection, buffer overflow sur de la saisie de données, ou autres erreurs récurrentes, sniffer les trames réseau...

par contre j'aime beaucoup la remarque "la sécurité d'un logiciel open source ne peut être bonne si personne ne s'intéresse au code".

@Nagato Yuki : tu as fait une analogie douteuse, à toi d'en tirer les conclusions au lieu d'en renvoyer la faute sur les pouces rouges...