S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité
Avatar de after_burner INpactien
after_burner Inscrit le mercredi 16 juillet 08 - 2159 commentaires -
Les derniers commentaires de after_burner :


Toi tu dois pas avoir beaucoup de connaissances (si pas du tout vu ton message) en programmation. Ce qui n'est pas un reproche non plus mais bon c'est toujours mieux de commenter un sujet quand on le connait un minimum.

Bien entendu qu'on peut vérifier dans le code source si la méthode de chiffrement est de bout en bout ou pas, le code source est ce que fait l'application et les méthodes qu'elle utilise pour chiffrer les messages.
Selon la méthodologie retenue on peut évidemment différencier du chiffrement "simple" du chiffrement de bout en bout ...


Je ne suis pas un expert en chiffrement, mais si le code de l'application du coté du client permet de s’assurer que les données sont chiffrées de bout en bout alors je retire ce que j'ai dit.

Mais comme on l'entend beaucoup ces temps ci, il y a des failles qui permettent de casser ces méthodes de chiffrements et cela concerne les programmes qu'ils soient open source ou pas.

Line est une société Japonaise, pas de Patriot act aussi facilement


Ouais mais ils ont des espions partout.

Pis Androïd, iOS, WP, c'est américain.


Avec messages se supprimant automatiquement au bout d'un certain délai non mais sans cela il y a Textsecure sinon :https://whispersystems.org/

Mais mon message voulait surtout faire remarquer que vous devez faire confiance totalement dans cette société :

1) Vous ne savez pas quelle est la méthode de chiffrement retenue, rien ne dit que ce soit du chiffrement de bout en bout. (J'ai cherché sur leur site, pas une seule mention des mécanismes, des algos ou librairies qui entrent en jeu)

2) Au vu du fait que le message passe par les servers de la société, si ce n'est pas du chiffrement de bout en bout, il est peut-être stocké en clair sur leurs servers (vu que le délai peut-être de plusieurs semaines)

3) Qu'est-ce qui vous dit que quand le message apparait supprimé pour les utilisateurs, il est bien réellement supprimé des servers de la société ? (cf Facebook)

Tout ça pour dire que qualifier cette messagerie de sécurisée me semble pour le moins capilotracté


Tu pense que NXI va aller réquisitionner les serveurs de line pour vérifier???

D'ailleurs que le code source soit open ne te permettra pas de savoir si les données sont chiffrées sur leur serveurs non plus...

Je pense qu'il est possible de voir si les messages envoyés le sont en clair ou pas, sans voir le code, ce que tu demandes est à un autre niveau, et avec les moyens de la NSA, rien n'est sûr à 100%.

D'un autre côté, si tu croises une vieille femme dans une ruelle sombre, tu as le choix entre:
- lui arracher son sac et gagner de l'argent facilement
- ne rien faire
Contrairement à la logique, tu vas ne rien faire.

Je ne dis pas que tout le monde est gentil, mais qu'il y a plein d'éléments qui poussent l'individu à respecter son prochain (cela va des conséquences sociales à l'empathie ou à la volonté de ne pas générer une situation à laquelle on peut soi-même être la victime un jour).

Sinon, pour les logiciels open-source, ce qui me rassure le plus, niveau sécurité, c'est que contrairement au cas des logiciels à source fermée:
- le fait que si j'ai besoin de la technologie, je ne suis pas obligé de mettre de côté ma confiance: si je n'ai plus confiance dans un acteur, je peux passer chez qlq'un d'autres bien plus facilement si la technologie est open-source que si elle est fermée.
- l'indépendence de ceux qui garantissent ces logiciels et la possibilité de pouvoir vérifier par moi-même (ou de pouvoir entendre l'opinion de bcp de gens ayant pu vérifié par eux-même) plutôt que de devoir me baser sur un témoignage.

Tout ça pour dire: bien sûr qu'il y a des failles dans l'open-source. Mais si je trouve qu'il est plus digne de confiance, ce n'est pas parce que je croyais qu'il y avait moins de failles dans l'open-source
(par contre, si j'ai bien compris, c'est l'opinion des "open-sourcistes" à la Eric S Raymond)


Il faut placer les choses dans leur contexte, le but d'exodus, ce n'est pas d'être sympa ou pas sympa, leur business c'est la recherche de failles pour les revendre au agences de renseignement. A quel degré de "sympathie" place tu ce business??

C'est étrange qu'il ait été voir les développeur de tail dans ce contexte, c'est ce que je trouve perso, et dans quel manoeuvre s'inscrit cette démarche? Essaient-il de renégocier quelquechose avec leur client habituels par ce genre de "coups d'éclats" ?

Bon de toute façons je connais pas trop ce domaine, mais vu comme ça on est en droit de se poser des questions?

Concernant l'exploitation des failles, c'est valables pour toutes les technologies, open ou closed source, du moment qu'elles soient répandues. Je pense juste que entre une techno avec les sources visibles et une autre avec sources non visibles, à "intérêt" égal, les chercheurs de failles auront tendance à examiner les sources visibles.

Ce n'est pas particulièrement nouveau, les distrib Linux ne sont surement pas plus sécurisées qu'un autre OS, voir elles le sont moins. Ils ont cherchés des failles spécifiquement dans Tails parce qu'il se dit sécurisé.

Hormis côté serveurs, les pirates n'ont pas vraiment d'intérêt à chercher des failles et développer des malware sur une plateforme utiliser par 1% des ordinateurs. Quand un dérivé de Linux devient une cible de choix tel que Android, c'est seulement là que l'on découvre les problèmes et que l'on se retrouve avec des anti-malware...


Je visais pas particulièrment linux, mais globalement les technologies dont le code est consultable, comme openssl par ex.

Le fait que le code soit lisible est forcément à double tranchant, ça facilite les recherches de faille en vue d'appliquer des corrections mais ceux qui font ces recherche ne le font pas tous dans le but d'être communiqué pour apporter des corrections.

Comme le dit la news, le cas d'exodus est particuliers puisqu'ils travaillent avec des agences de renseignements, et leur but habituel n'est donc pas de communiqué ces failles aux développeursde logiciels.

Si ça ce trouve, ils en ont trouvées certaines qu'ils n'ont pas indiquées.
Ces derniers temps, j'ai l'impression que l'on trouve pas mal de failles de sécurités dans les logiciels open source non?

Et ce ne sont que celles que leur chercheurs ont bien voulus annoncer.

Edité par after_burner le jeudi 24 juillet 2014 à 17:24
Effectivement, pas vraiment une killer-feature mais ça manquait et c'est toujours bon à prendre

Bon, quand est-ce qu'ils sortent les versions slim à 200€, que je passe à la next-gen dd.gif ?


Les versions slim, ça met en général au moins 3 ans pour arriver.

Étonnant que l'on trouve des quad cores sur des portables de -100€ maintenant.

Mon omnia7 fait vraiment plus dans le coup.

Ça c'est acquis de toute façon depuis Windows vista


Rien n'est acquis en informatique, même si win 7 et 8 sont stables, ça veut pas dire que les suivants le seront.

Ce qui était acquis c'est que MS allait de plus en plus unifier ses techno. Depuis l'interface de la xbox, en passant par WP, WinRT et le store MS, c'était quand même bien entamé.
et faire grossir un peu plus encore ses réserves de cash dont la valeur atteignait 164,5 milliards de dollars au 28 juin.


Eh bien, ils sont partis pour avoir plus de cash que de valeur boursière à ce rythme.

Edité par after_burner le mercredi 23 juillet 2014 à 15:41