Prism : la participation de la NSA au code d’Android fait débat

Truth is out there

Dernièrement, de nombreuses actualités ont abordé les multiples tentacules de la NSA depuis qu’Edward Snowden a fait les premières révélations sur le programme Prism. De grandes entreprises américaines sont ainsi pointées du doigt pour leur participation directe, ce dont elles se défendent. Alors que nous évoquions ce matin la situation de Microsoft, des informations contradictoires circulent au sujet d’Android, auquel la NSA a effectivement contribué.

Prism, un terreau pour de multiples craintes

Les échos du programme Prism se propagent et provoquent de nombreuses réactions, qu’il s’agisse de paranoïa chez les utilisateurs, de fatalisme, de déclarations politiques ou d’ondes de choc diplomatiques. Prism permet à la NSA d’aspirer un très grand nombre de données à travers le monde, à la condition que ce ne soit pas (en théorie) sur le sol américain. Les documents détenus par Edward Snowden et révélés graduellement par The Guardian et le Washington Post ont déjà permis d’en apprendre beaucoup sur les rouages internes, mais certains aspects clés, telle que la relation « directe » entre les entreprises et la NSA, restent encore flous.

SELinux, la première participation de la NSA à des projets open source

Ce matin, nous exposions le cas de Microsoft, mais l’éditeur fait partie d’un lot de sociétés censément impliquées dans Prism. Google en fait également partie et c’est justement Android dont il est maintenant question. La NSA ne pratique pas uniquement des activités dans le plus grand secret et certains travaux sont connus. C’est le cas notamment de ceux qui ont mené à la création de SELinux, autrement dit Security-Enhanced Linux, une fonctionnalité permettant d’améliorer la sécurité du système libre.

Ce travail a été mené dans un but bien précis : fournir aux gouvernements des garanties précises de sécurité, notamment en instaurant des groupes d’applications, chacun régis par des règles différentes. Les premiers résultats concrets ont été inclus en 2000 dans le noyau Linux (version 2.6.0) et d’autres contributeurs, à l’instar de Red Hat, ont rejoint le projet. Bien qu’il s’agisse de travaux menés par la NSA, ils comportaient une différence capitale avec les activités décrites depuis plusieurs semaines : le code publié a toujours été open source et a donc été révisé par de nombreux développeurs. La participation de la NSA est abordée sur le propre site officiel de l’agence de renseignement.

De Linux à Android

De Linux, on passe fort logiquement à Android, le système mobile de Google étant basé sur le célèbre noyau. Or, voilà qu’un article publié récemment par Bloomberg se penchait justement sur le cas de cette plateforme équipant désormais les trois quarts des smartphones vendus dans le monde (selon IDC). Problème : non seulement la NSA a développé une version spécifique de SELinux pour Android, mais Google a confirmé que ce code était bien implémenté dans son système.

Les premières contributions de la NSA au code d’Android datent de 2011. Elles ont trait là encore à l’isolation des applications pour empêcher tout accès non autorisé aux données qu’elles contiennent. Une porte-parole de la NSA a confirmé à Bloomberg que le but était tout simplement d’augmenter le niveau global de sécurité des appareils mobiles. Seulement voilà, du seul fait que la NSA avait participé au développement d’Android, des craintes se sont fait jour.

Pourquoi se pencher sur la sécurité d'Android ?

Bloomberg indiquait ainsi s’être procuré une présentation de la NSA datant de 2011 et dans laquelle l’agence expliquait que le programme pour Android servait deux objectifs : mieux comprendre la sécurité du système mobile et lui apporter des barrières supplémentaires. Bien qu’aucun lien réel n’ait pu être établi avec Prism ou tout autre programme de surveillance, il devenait raisonnable d’estimer qu’il y avait peut-être « anguille sous roche ».

Pourtant, comme le rappelle justement la porte-parole de la NSA, « le code-source est disponible publiquement à toute personne souhaitant l’utiliser, et cela inclut la possibilité de le vérifier ligne par ligne ». Selon la présentation récupérée par Bloomberg, l’agence avait simplement décidé de créer un projet séparé car Android avait ses propres spécificités, tant dans sa construction que dans sa finalité.

Mais alors, pourquoi la NSA se serait-elle penchée sur la plateforme mobile de Google ? L’hypothèse la plus probable tient dans la politique du gouvernement américain et de ses émanations, tel que le département de la Défense, concernant la gestion des appareils mobiles utilisés dans un cadre officiel. Comme nous l’indiquions en mai dernier, le Pentagone a mené des tests pour dégager un tronc commun servant de référentiel de sécurité. Il est donc plus que probable que dans une optique de projet à long terme, la NSA ait été impliquée dans la création des conditions nécessaires à l’utilisation d’Android. Le projet étant open source, il était d’autant plus simple pour l’agence d’y participer.

Des contributions en dormance pour l'instant

Contrairement à SELinux toutefois, le code développé par la NSA pour Android est beaucoup plus récent. Le projet a été ainsi officiellement lancé en janvier 2012 et il comportait entre autres une chasse aux failles de sécurité. Selon Bloomberg, une partie du code « Security-Enhanced Android » est déjà présente dans les versions les plus récentes d’Android et donc dans des modèles tels que le Galaxy S4 et le HTC One. Elle n'est cependant pas active par défaut, ce qui pourrait changer dans les prochains moutures.

Et pourtant, l’article de Bloomberg se termine sur une note particulièrement troublante : « La NSA écrit en silence du code pour le système Android de Google ». Il est aisé d’imaginer que la NSA fait tout ce qu’elle peut pour installer des portes dérobées dans Android. Cependant, et comme nous l’avons déjà indiqué, la grande différence tient dans l’aspect open source et dans la possibilité pour des milliers de développeurs d’inspecter le code. Jeff Zemlin, directeur de la Linux Foundation, a d’ailleurs indiqué que la NSA n’avait ajouté aucun moyen « d’écouter aux portes », en précisant que le code avait justement « été vérifié par de nombreuses personnes ».

Difficile donc de juger de la situation, d’autant qu’aucun document volé par Snowden n’a encore été révélé pour aborder cette problématique. Notez qu’Apple, troisième principal acteur pour les systèmes d’exploitation, a indiqué via une porte-parole ne pas accepter « de code source d'une quelconque agence gouvernementale » pour ses produits.

Batterie de nouveautés pour Dropbox, dont le chiffrement de bout en bout pour les équipes

07:19 0

TikTok suspend le système de récompense de sa version Lite

07:00 11

L’Union européenne se dote d’une directive sur les violences numériques faites aux femmes

06:55 11

L’Espagne relance son enquête sur le logiciel espion Pegasus, avec l’aide de la France

06:50 1

Ariane 6 : le corps central se tient debout sur la rampe de lancement

06:45 26

Commentaires (115)

Futureman

Le 12/07/2013 à 15h 14

J’adore la dernière phrase

" />

edit: ya un bug dans l’odre des comms ou quoi ?

anonyme_5308cee4763677866e1421efa4474f79

C’est l’énorme avantage du code open source largement public et diffusé.

oufledingue

Le 12/07/2013 à 15h 17

nick_t a écrit :

J’adore la dernière phrase

" />

Bah oui, ils n’ont rien accepté, ils l’ont écrit eux même !!

metaphore54

Le 12/07/2013 à 15h 18

Crysalide a écrit :

C’est l’énorme avantage du code open source largement public et diffusé.

Il est donc plus que probable que dans une optique de projet à long terme, la NSA ait été impliquée dans la création des conditions nécessaires à l’utilisation d’Android. Le projet étant open source, il était d’autant plus simple pour l’agence d’y participer.

Oui, je vois ça. " />

Reste plus que IOS et BB 10 à passer.

Pofpof

Le 12/07/2013 à 15h 19

oufledingue a écrit :

Bah oui, ils n’ont rien accepté, ils l’ont écrit eux même !!

Comma ça ils peuvent mettre ce qu’ils veulent " />

after_burner

Le 12/07/2013 à 15h 23

Ben voyons, la NSA débarque tel le père noël pour améliorer le niveau de sécurité d’Androïd???? sans retour sur investissement??

La faille qui touchait les 99% des appareils c’était quoi alors…

" />

Le 12/07/2013 à 15h 24

La question est de savoir si les entreprises US ont encore un mot à dire face au gvt et agences US… avec le Patriot Act…

Si elles refusent => terroriste => Guantanamo

Le 12/07/2013 à 15h 27

nick_t a écrit :

La question est de savoir si les entreprises US ont encore un mot à dire face au gvt et agences US… avec le Patriot Act…

Si elles refusent => terroriste => Guantanamo

Pas que américaine, dès que tu vas sur le sol américain quelque soit ta nationalité.

NiCr Abonné

Le 12/07/2013 à 15h 28

Notez qu’Apple, troisième principal acteur pour les systèmes d’exploitation, a indiqué via une porte-parole ne pas accepter « de code source d’aucune agence gouvernementale » pour ses produits.

Attention à la double négation…

Le 12/07/2013 à 15h 32

#10

NiCr a écrit :

Attention à la double négation…

Nan mais c’est juste pour insister sur le fait qu’Apple est ultra clean…" />

wonder36

Le 12/07/2013 à 15h 33

#11

Je ne veux pas dire de bêtises mais le code IPSec n’était pas aussi open source?

Le 12/07/2013 à 15h 34

#12

nick_t a écrit :

Nan mais c’est juste pour insister sur le fait qu’Apple est ultra clean…" />

Au contraire, rien n’empêche Apple d’écrire lui même le code qui permettra à des agences d’interagir avec leurs OS.

Mais là la double négation est à mon avis une erreur.

fred42 Abonné

Le 12/07/2013 à 15h 35

#13

after_burner a écrit :

Ben voyons, la NSA débarque tel le père noël pour améliorer le niveau de sécurité d’Androïd???? sans retour sur investissement??

La faille qui touchait les 99% des appareils c’était quoi alors…

" />

Il faut attendre le premier août pour le savoir.

paisible ruminant

Le 12/07/2013 à 15h 36

#14

Si la NSA veut des failles, ils sont capables de les chercher eux-mêmes (ou faire appel à des prestataires je suppose). Et même si ils préféraient les failles faites maison, ils les proposeraient de manière un peu plus détournée, pas avec un mail @nsa.gov.

Anonyme

Le 12/07/2013 à 15h 37

#15

after_burner a écrit :

Ben voyons, la NSA débarque tel le père noël pour améliorer le niveau de sécurité d’Androïd???? sans retour sur investissement??

La faille qui touchait les 99% des appareils c’était quoi alors…

" />

Aucun rapport

nucl3arsnake

Le 12/07/2013 à 15h 40

#16

wonder36 a écrit :

Je ne veux pas dire de bêtises mais le code IPSec n’était pas aussi open source?

Si tu parle pour bsd faut relire les news, a chaque fois on le cite et on redonne le lien xD

ErGo_404

Le 12/07/2013 à 15h 41

#17

after_burner a écrit :

Ben voyons, la NSA débarque tel le père noël pour améliorer le niveau de sécurité d’Androïd???? sans retour sur investissement??

La faille qui touchait les 99% des appareils c’était quoi alors…

" />

>_<

La NSA a aussi et surtout pour rôle de protéger les USA. S’ils ont un système sécurisé, ils en profitent aussi, et c’est là leur retour sur investissement.

Quand à la faille qui touche 99% des devices, elle ne touche pas 99% des appareils. Elle touche POTENTIELLEMENT 99% des appareils, si ces 99% installent d’utilisateurs installent des applis hors market, ce qui n’est pas le cas.

Et elle n’a rien à voir avec SELinux ni la NSA, cette faille est liée à un problème dans la compression zip, à côté de laquelle de nombreux auditeurs auraient pu passer. Ca n’empêche pas qu’elle puisse avoir été introduite volontairement, mais vu les conséquences et le caractère vicieux du bug, je pense que c’était totalement involontaire.

Quand à SE Linux pour Android, il est lui aussi open source comme c’est dit dans l’article (c’est d’ailleurs la même implémentation que sur Linux). Je ne vois vraiment pas le soucis. S’il y a des backdoor installées sur Android, elles sont probablement dans des couches plus haute du système, par exemple dans les Google Apps, qui ne sont pas open source et qui ont à peu près tous les droits sur le système.

levhieu

Le 12/07/2013 à 15h 42

#18

after_burner a écrit :

Ben voyons, la NSA débarque tel le père noël pour améliorer le niveau de sécurité d’Androïd???? sans retour sur investissement??

…

Le retour sur investissement pour la NSA c’est aussi de savoir ce qu’ont dans le ventre les téléphones sensibles de l’administration US.

(et comme dit ailleurs, pour injecter une back-door, on n’utilise pas une adresse mail en nsa.org)

Edit Mon premier barbecue

Zaouli

Le 12/07/2013 à 15h 44

#19

Donc la NSA participe juste pour apporter sa pierre à l’édifice sans arrière pensée ? Hahahaha !

John Shaft Abonné

#20

after_burner a écrit :

La faille qui touchait les 99% des appareils c’était quoi alors…

Elle existait à priori avant que le NSA ne mette son nez dans le code d’Android.

L’hypothèse pour que la NSA pondent du code open source pour Android afin d’en renforcer la sécurité en vue d’une utilisation par des agences gouvernementales sensibles est quand même fort plausible. En plus l’open source à l’avantage pour eux de rendre accessible le code aux devs du monde entier qui ensuite peuvent eux tester la solidité de la couche de protection rajoutée par la NSA.

A noter qu’en 2000 lors de l’apparition du code de SELinux, on sortait de l’affaire _NSAKEY, le code avait déjà du être scrutée de toutes part à l’époque. Là avec les révélations récentes, la scrutation sera à mon avis d’autant plus importante.

C’est gagnant-gagnant pour tous le monde :

Le tout-venant (dont les agences du gouvernement ricain) qui se retrouve avec un système plus sûr

La NSA qui fait des économies en salaire de développeurs pour la traque aux bugs et autres failles

EDIT : grillé mais je détaille un peu " />

GruntZ Abonné

Le 12/07/2013 à 15h 50

#21

ErGo_404 a écrit :

S’il y a des backdoor installées sur Android, elles sont probablement dans des couches plus haute du système, par exemple dans les Google Apps, qui ne sont pas open source et qui ont à peu près tous les droits sur le système.

+1 " />

anonyme_8fe67b0cabbd915c2ea96e7f993f0b32

#22

Crysalide a écrit :

C’est l’énorme avantage du code open source largement public et diffusé.

Encore faut-il avoir suffisamment de gens suffisamment compétents pour analyser les millions de lignes de codes…

Avant qu’une faille mise volontairement et donc camouflée ne soit trouvée je pense qu’il y’a le temps de voir venir les choses…

Le 12/07/2013 à 15h 52

#23

ErGo_404 a écrit :

Quand à SE Linux pour Android, il est lui aussi open source comme c’est dit dans l’article (c’est d’ailleurs la même implémentation que sur Linux). Je ne vois vraiment pas le soucis. S’il y a des backdoor installées sur Android, elles sont probablement dans des couches plus haute du système, par exemple dans les Google Apps, qui ne sont pas open source et qui ont à peu près tous les droits sur le système.

" />

charon.G

Le 12/07/2013 à 15h 53

#24

chacalVSdundee a écrit :

Encore faut-il avoir suffisamment de gens suffisamment compétents pour analyser les millions de lignes de codes…

Avant qu’une faille mise volontairement et donc camouflée ne soit trouvée je pense qu’il y’a le temps de voir venir les choses…

+1 et si vraiment un audit suffisait à trouver toutes les failles ça veut dire qu”il y aurai plus aucune faille dans Windows , Firefox ou chrome par exemple. On en est loin….

Vincent_H Abonné

#25

NiCr a écrit :

Attention à la double négation…

C’est corrigé merci " />

Le 12/07/2013 à 16h 00

#26

Oui bon , je me doutais un peu que ça n’avait rien à voir en fait…

" />" />

Pour la participation sur la sécurité, je vois pas pourquoi ils donneraient cela dans le code d’androïd en général, sur les téléphones de leur administration Ok, mais le reste?

Le 12/07/2013 à 16h 01

#27

charon.G a écrit :

+1 et si vraiment un audit suffisait à trouver toutes les failles ça veut dire qu”il y aurai plus aucune faille dans Windows , Firefox ou chrome par exemple. On en est loin….

Il y a toujours des failles car de nouvelles fonctionnalités sont constamment ajoutées. En fait si on prenait une version à un instant T et qu’on l’auditait pendant quelques années je pense qu’on finirait pas être pas mal sûrs de tout. Après évidemment il faut que le code soit bien foutu dès le départ…

Mais effectivement un audit ne trouvera jamais toutes les failles. Le problème c’est qu’à un moment il faut bien faire confiance à un soft ou un autre.

Le 12/07/2013 à 16h 02

#28

after_burner a écrit :

Oui bon , je me doutais un peu que ça n’avait rien à voir en fait…

" />" />

Pour la participation sur la sécurité, je vois pas pourquoi ils donneraient cela dans le code d’androïd en général, sur les téléphones de leur administration Ok, mais le reste?

Déjà expliqué plus haut. Ca permet de faire relire leur code par d’autres et d’avoir des milliers d’audits gratuits. Et puis ça ne leur coûte rien non plus, ça permet à toutes les entreprises américaines de se protéger et pas seulement au gouvernement, ce qui n’est pas rien non plus pour leur économie.

Stargateur

Le 12/07/2013 à 16h 11

#29

Le NSA a beaucoup de branche cela ne m’étonnerais pas que cette acte soit vraiment positif pour une fois ^^ pis bon si il veulent des failles le mieux c’est de les chercher pas de les créer en mettant sa signature a la limite il le ferais anonymement ça serait plus crédible

Le 12/07/2013 à 16h 13

#30

ErGo_404 a écrit :

Déjà expliqué plus haut. Ca permet de faire relire leur code par d’autres et d’avoir des milliers d’audits gratuits. Et puis ça ne leur coûte rien non plus, ça permet à toutes les entreprises américaines de se protéger et pas seulement au gouvernement, ce qui n’est pas rien non plus pour leur économie.

C’est bizarre quand même, bien beau mais bizarre.

On a pas entendu de telles “précautions” prises sur d’autres systèmes tout aussi critiques. Tout n’est pas dit mais par rapport à leur défense habituelle sur la lutte contre le terrorisme… et vu le mode de distribution pour un projet Open source et libre, ça ne profiterais pas qu’aux entreprise US…

Horrza

Le 12/07/2013 à 16h 22

#31

nick_t a écrit :

La question est de savoir si les entreprises US ont encore un mot à dire face au gvt et agences US… avec le Patriot Act…

Si elles refusent => terroriste => Guantanamo

Je vois que tu n’as pas encore compris que le gvt des USA, ce sont les entreprises…

Le 12/07/2013 à 16h 36

#32

after_burner a écrit :

C’est bizarre quand même, bien beau mais bizarre.

On a pas entendu de telles “précautions” prises sur d’autres systèmes tout aussi critiques. Tout n’est pas dit mais par rapport à leur défense habituelle sur la lutte contre le terrorisme… et vu le mode de distribution pour un projet Open source et libre, ça ne profiterais pas qu’aux entreprise US…

Un truc comme SE Linux ça verrouille bien le système quand même. Après ils n’ont pas réinventé la roue non plus sur tout non plus, mais là ça me paraît plutôt plausible comme raison.

Encore au tout début on aurait pu croire à un coup foireux, mais depuis le temps que ça existe SE Linux ça a sûrement été audité de nombreuses fois. Il y a peut être des backdoors mais elles sont vraiment très très très très très bien cachées.

Ingénieur informaticien

Le 12/07/2013 à 16h 39

#33

Et Ubuntu mobile, quelqu’un l’a testé pour voir ?

Anthony25

Le 12/07/2013 à 16h 43

#34

Vue qu’ils ont un accord avec google qui leur permet d’avoir accès directement aux données qu’ils veulent, je ne vois pas vraiment pourquoi il faudrait s’inquiéter d’un bout de code venant de la NSA.

À mon avis ils se sont dit que patcher certaines failles éviterait que d’autres gouvernements les espionnent (eux et les américains).

Le 12/07/2013 à 16h 47

#35

ErGo_404 a écrit :

Un truc comme SE Linux ça verrouille bien le système quand même. Après ils n’ont pas réinventé la roue non plus sur tout non plus, mais là ça me paraît plutôt plausible comme raison.

Encore au tout début on aurait pu croire à un coup foireux, mais depuis le temps que ça existe SE Linux ça a sûrement été audité de nombreuses fois. Il y a peut être des backdoors mais elles sont vraiment très très très très très bien cachées.

Backdoor dans le sens code actif type cheval de troie surement pas ,ca aurait été repéré depuis longtemps.

Mais faille c’est plus que certains qu’ils puissent en avoir. Les mecs de la NSA ne sont pas vraiment des billes. Il y a moyen de cacher quelques failles délibérés. Et même sur le code qu’ils n’ont pas écrit eux même, je pense qu’ils ont surement des outils internes pour trouver de nouvelle failles dans les différents systèmes. Ils ont surement une réserve de failles 0 day pour faire leur travail.

Bylon

Le 12/07/2013 à 16h 49

#36

Ingénieur informaticien a écrit :

Et Ubuntu mobile, quelqu’un l’a testé pour voir ?

S’ils ont fait comme sur Ubuntu Desktop, ce n’est pas SELinux, car même si le code est ouvert, il est vrai que la participation de la NSA fait se poser des questions, mais AppArmor.

Ca fait la même chose, mais sans participation de la NSA, et c’est également libre/open source.

Le 12/07/2013 à 16h 52

#37

ErGo_404 a écrit :

Un truc comme SE Linux ça verrouille bien le système quand même. Après ils n’ont pas réinventé la roue non plus sur tout non plus, mais là ça me paraît plutôt plausible comme raison.

Encore au tout début on aurait pu croire à un coup foireux, mais depuis le temps que ça existe SE Linux ça a sûrement été audité de nombreuses fois. Il y a peut être des backdoors mais elles sont vraiment très très très très très bien cachées.

le terme backdoors est vaste, c’est p-e pas un boulevard pour prélever les données en l’état mais des outils pour que quand certaines applications des grands éditeurs soient utilisées, certaines méthodes facilitent la récupérations de données sur le disque. Si par exemple chrome se sert des infos que l’on lui donne en plus de fouiller les répertoires, on sait que le navigateur envoie des données donc en l’observant on voit rien d’inconnu, mais comment on sait ce qu’il envoie?

bon c’est pas très clair, mais l’idée est là, vous comprendrez que je m’interroge malgré tout. " />

BlackTrust

Le 12/07/2013 à 16h 55

#38

Après, a NSA espionne avec grand nombre d’outils : c’est pas parce que t’as un OS bien protégé que tes communications (quel que soit le protocole) sont elles-mêmes protégées, puis, PRIMS est un système d’écoute de communication, pas nécessairement un système qui peut voir ce que fait chacun sur son propre ordi.

mtaapc

Le 12/07/2013 à 16h 56

#39

Cet aspect Open-Source ouvert aux audits extérieurs me fait penser, je ne sais pouquoi, aux débats concernant l’open-bar micro$oft de notre ministère de la défense… open-bar oui, mais pour qui exactement ?" />

coket

Le 12/07/2013 à 16h 59

#40

Bon, ben reste BlackBerry, Bada , MeeGo…

Quoique, pour le dernier on Intel…

Et pour Bada je ne sais pas si il est toujours distribué.

Simfr24

Le 12/07/2013 à 17h 05

#41

Horrza a écrit :

Je vois que tu n’as pas encore compris que le gvt des USA, ce sont les entreprises…

Tiens, un gauchiste ! " /> Je me sens mois seul ^^

Le 12/07/2013 à 17h 14

#42

charon.G a écrit :

Ils ont surement une réserve de failles 0 day pour faire leur travail.

Y a pas qu’eux, sinon Stuxnet n’aurait jamais existé (un record pour le nombre de failles utilisées d’ailleurs).

#43

Simfr24 a écrit :

Tiens, un gauchiste ! " /> Je me sens mois seul ^^

Ou plutôt quelqu’un qui a compris à quoi sert le lobbying …

sr17

Le 12/07/2013 à 17h 40

#44

BlackTrust a écrit :

Après, a NSA espionne avec grand nombre d’outils : c’est pas parce que t’as un OS bien protégé que tes communications (quel que soit le protocole) sont elles-mêmes protégées, puis, PRIMS est un système d’écoute de communication, pas nécessairement un système qui peut voir ce que fait chacun sur son propre ordi.

Pour ça, il y a certainement d’autres programmes.

Allez savoir s’il n’y a pas déjà des moyens d’espionnage intégrés directement dans le silicium " />

Bug

Le 12/07/2013 à 17h 41

#45

Android

Winphone

iPhone

Reste quoi ?

Simfr24 a écrit :

Tiens, un gauchiste ! " /> Je me sens mois seul ^^

" />

Horzza gauchiste ? " />

linkin623 Abonné

Le 12/07/2013 à 17h 46

#46

Zaouli a écrit :

Donc la NSA participe juste pour apporter sa pierre à l’édifice sans arrière pensée ? Hahahaha !

ErGo_404 a écrit :

S’il y a des backdoor installées sur Android, elles sont probablement dans des couches plus haute du système, par exemple dans les Google Apps, qui ne sont pas open source et qui ont à peu près tous les droits sur le système.

J’allais dire que les backdoors, elles sont au niveau de Gmail et tous les services Google (obligatoires je crois pour activer le téléphone). Pourquoi se faire suer à mettre du code, qui pourra être relu, alors que la NSA a accès à tout Google?

L’intelligence (en anglais et en français) est à la périphérie, pas sur le terminal ou le réseau. Donc allons là où sont les données, chez Google!

Le 12/07/2013 à 17h 47

#47

Bug a écrit :

Android

Winphone

iPhone

Reste quoi ?

Firefox OS ?

Le 12/07/2013 à 17h 58

#48

GruntZ a écrit :

Firefox OS ?

" />

Mais BB si, et pour les 2 méthodes de collecte avec le cryptage… Reste le cas de Skype sur BB que je n’ai pas étudié…

Le 12/07/2013 à 18h 09

#49

GruntZ a écrit :

Firefox OS ?

Le talkie walkie ou les pots de yaourt, quoique pour le premier c’est pas sur. " />

Le 12/07/2013 à 18h 12

#50

after_burner a écrit :

Le talkie walkie ou les pots de yaourt, quoique pour le premier c’est pas sur. " />

Tu as oublié le pigeon voyageur. " />

teddyalbina Abonné

Le 12/07/2013 à 18h 23

#51

Zaouli a écrit :

Donc la NSA participe juste pour apporter sa pierre à l’édifice sans arrière pensée ? Hahahaha !

La NSA a comme premier objectif la sécurité informatique des USA dans ce cadre elle crée des algorithmes de cryptage comme le sha-1 par exemple, emet des recommandations de sécurité, dit si oui ou non tel ou tel système peut être utilisé et pourquoi (activité d’audit).

Sa seconde mission si on lui demande est de faire de l’interception et de casser des systèmes sécurisé, elle ne fait pas “d’intelligence” c-à-d d’analyse de données en soit ça c’est le boulot de CIA (qui en veut à la NSA pk la NSA le fait aussi si on lui demande).

Il faut voir la NSA comme un fabricant de coffre fort, elle sait faire des systèmes sécurisé et casser des systèmes sécurisé.

Donc la NSA fait de l’audit sur les projets open source, et effectue des tests de sécurité sur les systèmes non open source, puisque c’est elle qui dit aux agences US (police, etc.) si elles peuvent utiliser tel ou tel soft et quel niveau de sécurité peut être atteint.

Le 12/07/2013 à 18h 24

#52

metaphore54 a écrit :

Tu as oublié le pigeon voyageur. " />

La RFC1149, ya que ça de vrai ! " />

(ou mieux la RFC 2549. Par contre, je reste dubitatif sur la RFC 6214 pour l’instant. 2^32 pigeons, ça laisse le temps de voir venir " />)

#53

John Shaft a écrit :

Elle existait à priori avant que le NSA ne mette son nez dans le code d’Android.

L’hypothèse pour que la NSA pondent du code open source pour Android afin d’en renforcer la sécurité en vue d’une utilisation par des agences gouvernementales sensibles est quand même fort plausible. En plus l’open source à l’avantage pour eux de rendre accessible le code aux devs du monde entier qui ensuite peuvent eux tester la solidité de la couche de protection rajoutée par la NSA.

A noter qu’en 2000 lors de l’apparition du code de SELinux, on sortait de l’affaire _NSAKEY, le code avait déjà du être scrutée de toutes part à l’époque. Là avec les révélations récentes, la scrutation sera à mon avis d’autant plus importante.

C’est gagnant-gagnant pour tous le monde :

Le tout-venant (dont les agences du gouvernement ricain) qui se retrouve avec un système plus sûr

La NSA qui fait des économies en salaire de développeurs pour la traque aux bugs et autres failles

EDIT : grillé mais je détaille un peu " />

Ah ouais la NSA KEY, la Namespace Assembly Key que connais tout développeur C/C++ sous windows, aucun rapport avec la nsa mais boon

Le 12/07/2013 à 18h 27

#54

BlackTrust a écrit :

Après, a NSA espionne avec grand nombre d’outils : c’est pas parce que t’as un OS bien protégé que tes communications (quel que soit le protocole) sont elles-mêmes protégées, puis, PRIMS est un système d’écoute de communication, pas nécessairement un système qui peut voir ce que fait chacun sur son propre ordi.

Enfin un qui a compris, j’me sens moins seul

maestro321

Le 12/07/2013 à 18h 29

#55

John Shaft a écrit :

C’est gagnant-gagnant pour tous le monde :

Le tout-venant (dont les agences du gouvernement ricain) qui se retrouve avec un système plus sûr

La NSA qui fait des économies en salaire de développeurs pour la traque aux bugs et autres failles

+1

Ils sécurisent face au “restes du monde”, et se gardent à moindre frais les failles les plus inexploitables. et exploitent à moindre frais les failles les plus indécelables.

Edit : Pas tout les jours facile le français…

Le 12/07/2013 à 18h 32

#56

teddyalbina a écrit :

Ah ouais la NSA KEY, la Namespace Assembly Key que connais tout développeur C/C++ sous windows, aucun rapport avec la nsa mais boon

OSEF de ce que c’est ou ce que ce n’est pas. Ce qui est intéressant ce sont les effets de bord (que la fameuse NSAKEY avait la forme d’une clé publique 1024 bits, d’autant plus que MS n’a jamais nier http://www.microsoft.com/security/bulletins/backdoor.asp” target=”_blank” rel=“nofollow”>le lien entre cette clé et la NSA)

Le 12/07/2013 à 18h 40

#57

Damned, je peux plus éditer : lien correct :

http://web.archive.org/web/20000520001558/http://www.microsoft.com/security/bulletins/backdoor.asp

(dur dur les http imbriqué pour la balise URL)

befa508

Le 12/07/2013 à 18h 57

#58

si ça se trouve. Google n’est qu’une société écran de la NSA.

Moi qui pensait que c’était Google qui avait avalé la NSA, j’ai tout faux

methos1435

Le 12/07/2013 à 19h 06

#59

befa508 a écrit :

si ça se trouve. Google n’est qu’une société écran de la NSA.

Moi qui pensait que c’était Google qui avait avalé la NSA, j’ai tout faux

Google à bien investi du fric dans un ordinateur quantique. Il me semble qu’en théorie c’est top pour mettre à mal certains systèmes de chiffrement…

Le 12/07/2013 à 19h 34

#60

methos1435 a écrit :

Google à bien investi du fric dans un ordinateur quantique. Il me semble qu’en théorie c’est top pour mettre à mal certains systèmes de chiffrement…

C’est vrai que c’est la seule utilité des systèmes quantiques

Le 12/07/2013 à 19h 38

#61

ff9098 a écrit :

C’est vrai que c’est la seule utilité des systèmes quantiques

J’ai jamais dit ça.

Mais si cette info se révèle exacte (parce que beaucoup de scientifiques doutent de l’existence d’un véritable ordinateur quantique pleinement opérationnel, à la capacité annoncée) ça montre juste que même l’utilisation du chiffrement ne permettrai plus forcément de garantir quoi que ce soit.

Et voir un tel outil dans les mains de Gogole ne me réjouis pas tant que ça.

matroska

Le 12/07/2013 à 19h 39

#62

Mais qui fait donc ces présentations de type à moitié PowerPoint pour Prism et UPStream ?! Quelle horreur ! " />

Vous savez l’image de la mort qui tue qui présente Prism et UPStream !!

" />

Obidoub

Le 12/07/2013 à 19h 47

#63

Quel intérêt d’espionner le terminal, puisqu’ils ont déjà accès à tout le cloud Google, ce dernier contenant toutes les informations nécessaires sur l’utilisateur.

Le 12/07/2013 à 19h 50

#64

Obidoub a écrit :

Quel intérêt d’espionner le terminal, puisqu’ils ont déjà accès à tout le cloud Google, ce dernier contenant toutes les informations nécessaires sur l’utilisateur.

Récupérer l’information à la base (le terminal) peut éventuellement faire sauter quelques barrières, notamment pour les informations chiffrées…

Imagines un service cloud où les données sont stockées de façon sécurisée. Accéder au serveur ne sert à rien (en admettant qu’il n’existe aucune backdoor ou mesure de contournement). Par contre le document: il apparait en clair sur le terminal de consultation…

Le 12/07/2013 à 19h 57

#65

setenforce 0

de rien " />

Le 12/07/2013 à 19h 58

#66

methos1435 a écrit :

Récupérer l’information à la base (le terminal) peut éventuellement faire sauter quelques barrières, notamment pour les informations chiffrées…

Oui, mais balancer du code sous licence open source, en précisant bien que le dit-code est dév’ par la NSA et y foutre une faille/backdoor/whatever, faudrait vraiment être neuneu.

Mieux vaut balancer du code “pourri” sous pseudonyme en prenant soin d’être sûr de pouvoir tout nier en bloc facilement si on se fait prendre la main dans la sac

Le 12/07/2013 à 20h 04

#67

methos1435 a écrit :

J’ai jamais dit ça.

Mais si cette info se révèle exacte (parce que beaucoup de scientifiques doutent de l’existence d’un véritable ordinateur quantique pleinement opérationnel, à la capacité annoncée) ça montre juste que même l’utilisation du chiffrement ne permettrai plus forcément de garantir quoi que ce soit.

Et voir un tel outil dans les mains de Gogole ne me réjouis pas tant que ça.

Je vois pas pourquoi ça serait plus dangereux dans les mains de Google que de quelqu’un d’autre

Le 12/07/2013 à 20h 09

#68

John Shaft a écrit :

Oui, mais balancer du code sous licence open source, en précisant bien que le dit-code est dév’ par la NSA et y foutre une faille/backdoor/whatever, faudrait vraiment être neuneu.

Mieux vaut balancer du code “pourri” sous pseudonyme en prenant soin d’être sûr de pouvoir tout nier en bloc facilement si on se fait prendre la main dans la sac

Ba personne n’a pu prouver quoi que ce soit par rapport au code fournit par la NSA donc peut être qu’il n’y a rien à chercher. On se fait beaucoup de films suites aux révélations de Snowden.

Après, je sais pas du tout ce qu’ils ont ajouté et comment. Mais on pourrait imaginer qu’ils utilisent des technologies sécurisées pour lesquelles ils maitrisent des failles ou des méthode de contournement qui ne sont pas connues publiquement. JE parle là de problèmes dans la méthode même de chiffrement donc peu importe que le code soit propre ou non.

A partir d’un moment, avoir un code propre ne suffit plus. On a des méthodes de chiffrement tellement développées que trouver des failles exploitables n’est pas à la portée de beaucoup de monde. Je pense qu’ils ont des têtes à bosser dans la recherche de failles ou de faiblesses.

Des failles peuvent être exploitées au nez et à la barbe de beaucoup de monde sans éveiller de soupçon si elles ne sont pas rendues publiques. Et pour Mr tout le monde dès qu’on dit que c’est chiffré ça leur suffit pour penser que c’est sécurisé à 100%….

Mais encore une fois, avec les révélations récentes, on a tendance à être un peu plus parano que d’habitude…

Le 12/07/2013 à 20h 11

#69

ff9098 a écrit :

Je vois pas pourquoi ça serait plus dangereux dans les mains de Google que de quelqu’un d’autre

C’est pas plus dangereux que pour d’autres mais faut avouer que tout le monde n’a pas les moyens de se payer un joujou pareil.

Et Google est pas spécialement connu pour être parfaitement respectueux de la vie privée de chacun…

WereWindle

Le 12/07/2013 à 20h 13

#70

linkin623 a écrit :

J’allais dire que les backdoors, elles sont au niveau de Gmail et tous les services Google (obligatoires je crois pour activer le téléphone).

absolument pas (par exemple, un cyanogen mod tout neuf ne comprend pas les GG Appz qu’il faut installer à part. Dit autrement, l’utilisateur de base activera à coup quasi sûr son tel chez Google mais le connaisseur peut s’en passer - moyennant pas mal de suées " />

methos1435 a écrit :

J’ai jamais dit ça.

Mais si cette info se révèle exacte (parce que beaucoup de scientifiques doutent de l’existence d’un véritable ordinateur quantique pleinement opérationnel, à la capacité annoncée) ça montre juste que même l’utilisation du chiffrement ne permettrai plus forcément de garantir quoi que ce soit.

Et voir un tel outil dans les mains de Gogole ne me réjouis pas tant que ça.

ça me fait penser à Digital Fortress de Dan Brown (lu il y a bien longtemps) qui traite un peu de cela (NSA et super Ordinateur casseur de code… je ne me rappelle plus s’il est quantique ou non, cela dit)

2show7

Le 12/07/2013 à 20h 24

#71

J’adore le mode avion permanent " />" />" />" />" />

Pour moi, ce n’est pas un problème" />

Le 12/07/2013 à 20h 32

#72

methos1435 a écrit :

Mais encore une fois, avec les révélations récentes, on a tendance à être un peu plus parano que d’habitude…

Yup.

Ami-Kuns Abonné

Le 12/07/2013 à 20h 36

#73

http://www.leparisien.fr/international/la-russie-accepte-de-donner-asile-a-snowden-12-07-2013-2977619.php

http://actualite.portail.free.fr/insolite/12-07-2013/les-services-secrets-russes-reviennent-agrave-la-machine-agrave-eacutecrire/" />

#74

Cela me fait penser que doit vérifier ma batterie " />" />" />

Le 12/07/2013 à 20h 39

#75

amikuns a écrit :

http://www.leparisien.fr/international/la-russie-accepte-de-donner-asile-a-snowden-12-07-2013-2977619.php

Si et seulement si, il arrête d’ennuyer les Etats-unis " /> " />

Le 12/07/2013 à 20h 43

#76

Ouais ben en attendant les Feds ne sont pas les bienvenus à la Def Con …

http://it.slashdot.org/story/13/07/11/0258228/def-con-advises-feds-not-to-attend…

#77

2show7 a écrit :

Si et seulement si, il arrête d’ennuier les Etats-unis " /> " />

Troller pour emmerder les USA et le boulot de Poutine, il veut pas ce faire voler la vedette.

Le 12/07/2013 à 20h 48

#78

amikuns a écrit :

Troller pour emmerder les USA et le boulot de Poutine, il veut pas ce faire voler la vedette.

La vedette de troller tranquilou (c’est bien son attitude) " /> " />(ça plaît aux Russes de l’ancienne garde) " />

Le 12/07/2013 à 20h 54

#79

Autre chose, peut-on faire passer un smartphone pour un PC portable en changeant d’OS ? (je suis sérieux ici " />)

poshu

Le 12/07/2013 à 22h 15

#80

2show7 a écrit :

Autre chose, peut-on faire passer un smartphone pour un PC portable en changeant d’OS ? (je suis sérieux ici " />)

Euh, pffff, c’est pas très clair comme question… Un smartphone est techniquement un ordinateur comme un autre, si tu veux parler des infos fournies par ton navigateur, s’pas bien difficile de changer l’user agent…

Le 12/07/2013 à 22h 20

#81

poshu a écrit :

Euh, pffff, c’est pas très clair comme question… Un smartphone est techniquement un ordinateur comme un autre, si tu veux parler des infos fournies par ton navigateur, s’pas bien difficile de changer l’user agent…

Par exemple mettre un Ubuntu 8.04 Lts amélioré " />

Le 12/07/2013 à 22h 40

#82

intro pixar version NSA

Le 12/07/2013 à 23h 10

#83

WereWindle a écrit :

absolument pas (par exemple, un cyanogen mod tout neuf ne comprend pas les GG Appz qu’il faut installer à part. Dit autrement, l’utilisateur de base activera à coup quasi sûr son tel chez Google mais le connaisseur peut s’en passer - moyennant pas mal de suées " />

" />

Oui, donc tout le monde va lier son Gmail, avec contact et tout le reste à un téléphone android, qui possède un GPS et plein d’autres capteurs.

Inutile dans ce cas de mettre des backdoors sur l’OS, Google récupère toutes les données comme un grand, et l’utilisateur accepte en plus le CLUF!

D’ailleurs, la NSA a tout intérêt à sécuriser le code de Android, vu que surement les agents l’utilisent, et qu’ils constitue la meilleure source de donnée…

Le 13/07/2013 à 00h 08

#84

after_burner a écrit :

Ben voyons, la NSA débarque tel le père noël pour améliorer le niveau de sécurité d’Androïd???? sans retour sur investissement??

La faille qui touchait les 99% des appareils c’était quoi alors…

" />

after_burner a écrit :

Pour la participation sur la sécurité, je vois pas pourquoi ils donneraient cela dans le code d’androïd en général, sur les téléphones de leur administration Ok, mais le reste?

after_burner a écrit :

C’est bizarre quand même, bien beau mais bizarre.

On a pas entendu de telles “précautions” prises sur d’autres systèmes tout aussi critiques. Tout n’est pas dit mais par rapport à leur défense habituelle sur la lutte contre le terrorisme… et vu le mode de distribution pour un projet Open source et libre, ça ne profiterais pas qu’aux entreprise US…

after_burner a écrit :

le terme backdoors est vaste, c’est p-e pas un boulevard pour prélever les données en l’état mais des outils pour que quand certaines applications des grands éditeurs soient utilisées, certaines méthodes facilitent la récupérations de données sur le disque. Si par exemple chrome se sert des infos que l’on lui donne en plus de fouiller les répertoires, on sait que le navigateur envoie des données donc en l’observant on voit rien d’inconnu, mais comment on sait ce qu’il envoie?

bon c’est pas très clair, mais l’idée est là, vous comprendrez que je m’interroge malgré tout. " />

Ce que je comprends surtout c’est que tu vas passer une nuit super cauchemardesque à te repasser la bobine de ton cinéma en boucle… " /> " />

En ce qui concerne les données de ton navigateur, et si tu n’es pas dans le domaine, tu ne peux rien savoir…

Je sais, ça va pas te rassurer pour autant… " />

Après, tout dépend comment les données sont transmises, soit en clair et dans ce cas, “il suffit” de se placer entre ta machine et le destinataire, et “n’importe qui” serait en possibilité d’intercepter l’ensemble du flux de données et de faire un tri entre ce qui est pertinent ou pas : technique du “man in the middle”…

Dans le cas de données chiffrées, c’est la même technique, mais il y a une phase supplémentaire consistant à décoder ce qui est chiffré. mais cela demande déjà plus de technicité, de moyen matériel et ÉNORMÉMENT de temps ne serait-ce que pour “écouter” un seul individu.

Alors pour ce qui est de le faire à l’échelle d’un pays, d’un continent ou du monde entier, c’est tout simplement impossible, même à l’échelle de la NSA et malgré toutes ses ressources tant matérielles qu’humaine…

Il faudrait déjà qu’elle arrive à stocker la totalité des données en brut pendant un temps indéterminé et ensuite que des dizaines de millions (voir centaines de millions) de personnes soient affectées plein temps à écouter/lire ses données afin de trier et d’en tirer des informations pertinentes dans le contexte et dans toutes les langues et à la condition qu’elle arrive à faire un lien entre les données et un ou quelques individus/entreprises, pour ensuite les restocker quelque part en attendant de trouver quelqu’un que cela intéressera…

Donc, l’une des techniques utilisées est/étaient de faire des recherches par mot-clés, mais même comme cela cela fait toujours trop de données à traiter, sans garantie qu’elle arrive à localiser et identifier les individus, car il y a beaucoup trop de “bruits” comme notre discussion actuelle, par exemple… " />" />

Donc, à moins que tu sois une personne “spécifiquement” connue (ce qui fait encore beaucoup de monde), et que tu sois déjà dans le collimateur de la NSA (donc déjà ciblé) et reconnu comme exerçant une activité “sensible”, il y a peu de chance que en tant after_burner, tu ne les intéresses plus que cela : à moins que tu te retrouves au mauvais endroit et au mauvais moment… ^^ " />

Mais après, faudrait que la NSA alerte son gouvernement afin que celui-ci décide de déclarer la guerre à la France pour venir te choper ou qu’elle envoit un commando secret non officiel pour venir te cueillir/t’enlever dans un endroit isolé sans qu’il y aie de témoins parce que la France ne va pas extrader un de ses citoyens sans qu’elle-même ne fasse une enquête sur ta personne… " />

Tu vois que cela fait beaucoup de paramètres à prendre ne compte même si c’est très schématisé… " />

Il est même probable qu’elle s’intéresse davantage à “l’Intelligence” industrielle/économique/hautement politique qu’à déjouer les attentats sur ses intérêts extérieurs et même sur son propre sol, quand on connaît son niveau d’efficacité… ^^ (là je prends un très grand risque en les narguant et en me moquant d’elle " /> ). Je les sens même entrain de quadriller sinon mon arrondissement, sinon quelques gros pâtés de maisons. " />

Pour ce qui est des smartphones de la NSA, tu crois qu’ils viennent d’où ???

Tu penses qu’elle possède sa propre usine qui produirait des smartphones uniquement à l’attention de son personnel et que celui-ci n’aurait pas le droit d’apporter son matos personnel interne ou externe, acheté dans le commerce ???

Zaouli a écrit :

Donc la NSA participe juste pour apporter sa pierre à l’édifice sans arrière pensée ? Hahahaha !

Son arrière pensée c’est évidemment de protéger ses intérêts pour les raisons ci-dessus indiquées pour éviter que se propagent des troyans “ennemis” qui infiltreraient ses propres systèmes… " />

Le 13/07/2013 à 00h 16

#85

Stargateur a écrit :

intro pixar version NSA

" />" />

Le 13/07/2013 à 00h 22

#86

fred42 a écrit :

Il faut attendre le premier août pour le savoir.

Pourquoi le 1° août ???

coket a écrit :

Bon, ben reste BlackBerry, Bada , MeeGo…

Quoique, pour le dernier on Intel…

Et pour Bada je ne sais pas si il est toujours distribué.

Ben si tu trouves des Samsung Wave dans le commerce, cela répond à ton questionnement… " />

linkin623 a écrit :

J’allais dire que les backdoors, elles sont au niveau de Gmail et tous les services Google (obligatoires je crois pour activer le téléphone). Pourquoi se faire suer à mettre du code, qui pourra être relu, alors que la NSA a accès à tout Google?

L’intelligence (en anglais et en français) est à la périphérie, pas sur le terminal ou le réseau. Donc allons là où sont les données, chez Google!

Des croyances sans fondement, car même hors Cyanogen et les Geeks, il y plus de Michus que tu ne penses qui n’ont jamais crée de compte Gmail et qui se servent de leurs smartphones avant tout pour téléphoner ou pour des usages de base… ^^

metaphore54 a écrit :

Tu as oublié le pigeon voyageur. " />

Même/surtout les pigeons voyageur peuvent avoir une puce implantée sous la peau… " />

Le 13/07/2013 à 00h 45

#87

SHA1 et 2 sortent des labos de la NSA… confiance?

Le 13/07/2013 à 00h 47

#88

Obidoub a écrit :

Quel intérêt d’espionner le terminal, puisqu’ils ont déjà accès à tout le cloud Google, ce dernier contenant toutes les informations nécessaires sur l’utilisateur.

Pfu !

Dans ce cas, elle n’a pas besoin d’avoir ses propres serveurs et ses propres ressources. Ca fait doublon et du gaspillage des deniers des contribuables américains… " />

methos1435 a écrit :

Récupérer l’information à la base (le terminal) peut éventuellement faire sauter quelques barrières, notamment pour les informations chiffrées…

Imagines un service cloud où les données sont stockées de façon sécurisée. Accéder au serveur ne sert à rien (en admettant qu’il n’existe aucune backdoor ou mesure de contournement). Par contre le document: il apparait en clair sur le terminal de consultation…

C’est évident qu’elle envoie des millions de marmottes pour farfouiller dans les centaines de millions de smartphones utilisés de par le monde… " />

methos1435 a écrit :

Et Google est pas spécialement connu pour être parfaitement respectueux de la vie privée de chacun…

Ni plus ni moins que les autres…

Et après tout dépend de ce que tu entends par “vie privée de chacun” ???

Est-ce qu’il t’identifie par ton patronyme, voire même via ton pseudo pour afficher ses pubs ou simplement via un “profile” type ???

methos1435 a écrit :

Mais encore une fois, avec les révélations récentes, on a tendance à être un peu plus parano que d’habitude…

John Shaft a écrit :

Yup.

Ça ressemble plus à une autre forme de “guerre froide” à grands coups de bluffs. " />

2show7 a écrit :

Cela me fait penser que doit vérifier ma batterie " />" />" />

Ouaip, ça doit expliquer pourquoi les batteries ont tendance à se vider aussi rapidement… " />

Le 13/07/2013 à 00h 55

#89

2show7 a écrit :

Autre chose, peut-on faire passer un smartphone pour un PC portable en changeant d’OS ? (je suis sérieux ici " />)

2show7 a écrit :

Par exemple mettre un Ubuntu 8.04 Lts amélioré " />

C’est un peu dépassé comme version et plus du tout supporter, sans compter qu’il n’y a probablement pas de version ARM dans cette version, à moins que tu te sentes le courage de la développer toi-même en rajoutant la partie tactile qui n’existait pas.

Donc, il te faudra le piloter avec un ensemble clavier-souris que tu devras te trimbaler avec ton smartphone… " />

Reznor26

Le 13/07/2013 à 01h 06

#90

Stargateur a écrit :

intro pixar version NSA

LIDD " />" />

Ph11

Le 13/07/2013 à 01h 42

#91

metaphore54 a écrit :

Pas que américaine, dès que tu vas sur le sol américain quelque soit ta nationalité.

" />

Le 13/07/2013 à 05h 18

#92

arobase40 a écrit :

C’est évident qu’elle envoie des millions de marmottes pour farfouiller dans les centaines de millions de smartphones utilisés de par le monde… " />

Non mais ils pourraient avoir la possibilité de cibler certaines personnes si ça leur chante…

Le 13/07/2013 à 05h 48

#93

arobase40 a écrit :

C’est un peu dépassé comme version et plus du tout supporter, sans compter qu’il n’y a probablement pas de version ARM dans cette version, à moins que tu te sentes le courage de la développer toi-même en rajoutant la partie tactile qui n’existait pas.

Donc, il te faudra le piloter avec un ensemble clavier-souris que tu devras te trimbaler avec ton smartphone… " />

Bon, soit ! pour le 8.04 LTS " />, mais j’ai dit amélioré (avec softs pour du tactile) " />

dahu74

Le 13/07/2013 à 06h 46

#94

NiCr a écrit :

Attention à la double négation…

Pourquoi vous le corrigez? Ce qu’il a écrit est juste::

“Aucun” pronom indéfini

Se place avant un nom, reste au singulier et, dans ce cas, il est toujours accompagné de l’adverbe de négation “ne” ou de la préposition “sans” :

Aucun coureur ne peut éviter cette côte - Aucune raison ne sera valable. Il est dans ce cas le plus souvent suivi d’un complément : il souhaite qu’aucun d’eux ne vienne chez lui.

Je l’ai quitté sans aucun regret.

Il a plongé sans crainte aucune. (Ici, le terme “aucun” se trouve placé après le nom).

source:http://www.aidenet.eu/h_aucun.htm

Le 13/07/2013 à 08h 13

#95

dahu74 a écrit :

Pourquoi vous le corrigez? Ce qu’il a écrit est juste::

“Aucun” pronom indéfini

Se place avant un nom, reste au singulier et, dans ce cas, il est toujours accompagné de l’adverbe de négation “ne” ou de la préposition “sans” :

Aucun coureur ne peut éviter cette côte - Aucune raison ne sera valable. Il est dans ce cas le plus souvent suivi d’un complément : il souhaite qu’aucun d’eux ne vienne chez lui.

Je l’ai quitté sans aucun regret.

Il a plongé sans crainte aucune. (Ici, le terme “aucun” se trouve placé après le nom).

source:http://www.aidenet.eu/h_aucun.htm

" />

Avec la double négation, la phrase voulait dire qu’Apple accepte du code source d’agence, alors que si un porte parole s’est fendu d’un communiqué, c’était justement pour dire que NON, ils n’acceptent pas du code source d’agence.

Le 13/07/2013 à 08h 59

#96

arobase40 a écrit :

Ce que je comprends surtout c’est que tu vas passer une nuit super cauchemardesque à te repasser la bobine de ton cinéma en boucle… " /> " />

…

Pour ce qui est des smartphones de la NSA, tu crois qu’ils viennent d’où ???

Tu penses qu’elle possède sa propre usine qui produirait des smartphones uniquement à l’attention de son personnel et que celui-ci n’aurait pas le droit d’apporter son matos personnel interne ou externe, acheté dans le commerce ???

…

-Pardon? j’ai très bien dormi, merci. " />

-Ils peuvent bien avoir un téléphone pour les communication “banales” et un autre pour les sujets sensibles. Un smartphone paramétré pour ça ne me semble pas être une idée farfelue.

Ricard

Le 13/07/2013 à 09h 10

#97

http://slashdot.org/topic/datacenter/hp-keeps-installing-secret-backdoors-in-ent… " />

Winderly Abonné

Le 13/07/2013 à 10h 10

#98

NiCr a écrit :

Notez qu’Apple, troisième principal acteur pour les systèmes d’exploitation, a indiqué via une porte-parole ne pas accepter « de code source d’aucune agence gouvernementale » pour ses produits.

Attention à la double négation…
" /> C’est une triple négation :

ne

pas

aucune

Bon ok en français les 2 premières comptent pour une seule…

Le 13/07/2013 à 13h 20

#99

2show7 a écrit :

Bon, soit ! pour le 8.04 LTS " />, mais j’ai dit amélioré (avec softs pour du tactile) " />

Ubuntu for phones est en préparation :

http://www.ubuntu.com/phone

C’est pourquoi je posais la question, pour savoir si quelqu’un l’avait béta testée …

fred131

Le 13/07/2013 à 13h 46

#100

Android

Winphone

iPhone

Reste quoi ?

OPENMOKO

c’est libre mais faut bidouiller un poil

lateo

Le 13/07/2013 à 13h 59

#101

after_burner a écrit :

Pour la participation sur la sécurité, je vois pas pourquoi ils donneraient cela dans le code d’androïd en général, sur les téléphones de leur administration Ok, mais le reste?

AMHA : c’est plus rationnel de partager les fonctionnalités non-critiques que de devoir repatcher tout leur parc à chaque release.

Le 13/07/2013 à 15h 21

#102

fred131 a écrit :

OPENMOKO

c’est libre mais faut bidouiller un poil

" />

http://www.developpez.com/actu/37163/Aucun-OS-mobile-ne-respecterait-la-liberte-…

Le 13/07/2013 à 15h 35

#103

http://www.developpez.com/actu/37163/Aucun-OS-mobile-ne-respecterait-la-liberte-...

ben si ! selon eux même le hard est, si ce n’est libre, du moins bien connu et analysé.

Hardware components were selected based on the requirement of publicly available documentation.

" />

edit et ce n’est pas un android hein !

Le 13/07/2013 à 16h 23

#104

Winderly a écrit :

" /> C’est une triple négation :

ne

pas

aucune

Bon ok en français les 2 premières comptent pour une seule…

" />" />" />

Bonjour ça veut dire au revoir.

Bon ok en français bonjour ça veut dire bonjour…

" />" />" />

Le 13/07/2013 à 17h 11

#105

NiCr a écrit :

" />" />" />

" />" />" />

pour citer le JdG… : DROOOOOOOOOOOOOOOOGUUUUE !!!

Le 13/07/2013 à 21h 17

#106

methos1435 a écrit :

Non mais ils pourraient avoir la possibilité de cibler certaines personnes si ça leur chante…

C’est ce que j’expliquais à after_burner, mais encore faudrait il qu’elle (la NSA) aie réussi à faire installer un troyan dans les smartphones des “clients” cliblés… ^^

Sinon, elle ne peut écouter que les communications/informations sortantes, et là il faudrait qu’elle aie également piraté la totalité des serveurs des opérateurs…

Simplement d’un point de vue technique, c’est pas comme si elle écoutait les tuyaux Ethernet… mais là on retombe dans la problématique que j’exposais auparavant et encore à la condition qu’il y aie un adressage fixe et non DHCP…

Le 13/07/2013 à 21h 31

#107

2show7 a écrit :

Bon, soit ! pour le 8.04 LTS " />, mais j’ai dit amélioré (avec softs pour du tactile) " />

Va voir ce qui se fait sur XDA pour ton modèle de smartphone…

after_burner a écrit :

-Pardon? j’ai très bien dormi, merci. " />

-Ils peuvent bien avoir un téléphone pour les communication “banales” et un autre pour les sujets sensibles. Un smartphone paramétré pour ça ne me semble pas être une idée farfelue.

Tu connais la taille de la NSA et le nombre de personnes travaillant pour elle, tout comme toutes les institutions gouvernementales ??? " />

Tu connais également le principe/la problématique du BOYD ???

C’est la raison pour laquelle il y a une sélection de constructeurs et de modèles répondant aux critères de sécurité suffisantes afin d’être autorisés à accéder aux “réseaux/serveurs/données” de l’organisation, comme cela a été fait avec le Pentagone.

Sinon, il faudrait qu’il y aie une équipe uniquement dédiée à la programmation de ROM pour tous les modèles et toutes les marques de smartphones dans le monde….

Sinon, heureux que tu aies passé une bonne nuit. " />

Le 13/07/2013 à 21h 41

#108

sylware a écrit :

SHA1 et 2 sortent des labos de la NSA… confiance?

La NSA recommande ne plus les utiliser pour des donnes vraimen vraiment sensible puisque les algos ont étés cassé par les chinois il y a quelques années

Le 14/07/2013 à 00h 34

#109

teddyalbina a écrit :

La NSA recommande ne plus les utiliser pour des donnes vraimen vraiment sensible puisque les algos ont étés cassé par les chinois il y a quelques années

sources ?

Le 14/07/2013 à 08h 18

#110

arobase40 a écrit :

..

Tu connais également le principe/la problématique du BOYD ???

C’est la raison pour laquelle il y a une sélection de constructeurs et de modèles répondant aux critères de sécurité suffisantes afin d’être autorisés à accéder aux “réseaux/serveurs/données” de l’organisation, comme cela a été fait avec le Pentagone.

Sinon, il faudrait qu’il y aie une équipe uniquement dédiée à la programmation de ROM pour tous les modèles et toutes les marques de smartphones dans le monde….

Pour le pentagone, je crois que c’était l’iPhone5 et le GS4, pour ce dernier samsung avait du revoir ses surcouches pour qu’il soit accepté. Je vois pas en quoi ça contredit ce que je disait, ils font justement un travail avec des constructeur pour s’assurer que les téléphones soient safe, j’ai pas dit qu’ils serait obligé de le faire pour tout les fabricants, ils choisissent 1 ou 2 modèles qu’ils paramètrent pour çà.

Concernant le code de base d’androïd, ok ils peuvent bien y inclure des “améliorations”, mais c’est comme pour tout, rien ne dit que les téléphones de fonctions de la NSA tournent avec des modifications identiques, même si ça demande du travail, ils peuvent remodifier ce qu’il veulent derrière.

Ce sont des hypothèses, tout est possible. " />

Le 14/07/2013 à 12h 26

#111

Je dois pas avoir été clair.

Mais jusqu’à preuve du contraire ‘ne’ est bien une négation, ‘pas’ en est une aussi.

Maintenant vous faites comme vous voulez.

Et j’ignore où j’ai écrit que bonjour veut dire au revoir.

Faut peut être arrêter la drogue justement.

Obelixator

Le 15/07/2013 à 06h 24

#112

metaphore54 a écrit :

Tu as oublié le pigeon voyageur le protocole IPoAC. " />

" />" />

EDITH :

John Shaft a écrit :

La RFC1149, ya que ça de vrai ! " />

(ou mieux la RFC 2549. Par contre, je reste dubitatif sur la RFC 6214 pour l’instant. 2^32 pigeons, ça laisse le temps de voir venir " />)

Barbecued " />

Zorglob

Le 15/07/2013 à 07h 31

#113

Tout ce là n’est que pur fantasme. Google se fait juste aider de professionnels pour améliorer la qualité de ses produits, c’est tout. D’ailleurs ils le disent :

http://www.androidauthority.com/nsa-android-code-239118/

Alpha Centauri

Le 15/07/2013 à 08h 23

#114

Entendu il y a quelques années par un responsable d’une entreprise “kaki” dans mon école.

Si l’un d’entre vous veut un stage / job très très bien payé, à vie, et que cette personne est un génie, je veux me débarrasser de SELinux, aujourd’hui c’est impossible…

il y avait aussi la phrase “La question n’est pas de savoir s’il y a une backdoor, la question est de savoir combien il y en a”.

spidy

Le 17/07/2013 à 13h 00

#115

John Shaft a écrit :

La RFC1149, ya que ça de vrai ! " />

(ou mieux la RFC 2549. Par contre, je reste dubitatif sur la RFC 6214 pour l’instant. 2^32 pigeons, ça laisse le temps de voir venir " />)

" /> " /> " />

le dessin dans la RFC QoS " />

le vocabulaire employé qui est utilisé pour les protocoles réseaux et les oiseaux est excellent.

Prism : la participation de la NSA au code d’Android fait débat

Truth is out there

Prism, un terreau pour de multiples craintes

SELinux, la première participation de la NSA à des projets open source

De Linux à Android

Pourquoi se pencher sur la sécurité d'Android ?

Des contributions en dormance pour l'instant

Tiens, en parlant de ça :

Qualcomm dévoile son Snapdragon X Plus et trois variantes du modèle Elite

Plus moins bien

Transhumanisme, long-termisme… des idéologies aux racines eugénistes ?

Science artificielle

Corrigée depuis deux ans, une faille Windows activement exploitée par des pirates russes

Faille 1460-days

Sommaire de l'article

Introduction

Prism, un terreau pour de multiples craintes

SELinux, la première participation de la NSA à des projets open source

De Linux à Android

Pourquoi se pencher sur la sécurité d'Android ?

Des contributions en dormance pour l'instant

Qualcomm dévoile son Snapdragon X Plus et trois variantes du modèle Elite

Transhumanisme, long-termisme… des idéologies aux racines eugénistes ?

Corrigée depuis deux ans, une faille Windows activement exploitée par des pirates russes

La CNIL fait le bilan de son année 2023, cinquième année après RGPD

#LeBrief : TikTok suspend sa version Lite, Ariane 6 debout, enquête sur Pegasus, l’Europe et la violence numérique aux femmes

Terrorgram, la fabrique de terroristes d’extrême-droite, à coups de mèmes et de shitposts

Fiabilité des disques durs HAMR de 30 To et plus : Seagate donne des chiffres

[Màj] Le Congrès des États-Unis vote la loi obligeant ByteDance à vendre TikTok

#LeBrief : Fedora 40, anniversaire Hubble, vidéosurveillance algorithmique à Cannes, Voyager 1, Android 15 bêta 1.1

Sur GitHub et GitLab, des commentaires détournés pour stocker des malwares

[FAQ] Notre antisèche sur l’informatique quantique

L’Université d’Oxford ferme le Future of Humanity Institute dirigé par Nick Bostrom

#LeBrief : Apple rachète le français Datakalab (IA), propagande de la Russie, fin de partie pour Roccat, Proton Mail vs dark web

Europol milite pour un chiffrement de bout en bout « flexible »

Inclusion dans la tech : critiqué, le CEO de Qovery menace une internaute de poursuites

L’extension des prestataires américains devant collaborer avec la NSA fait polémique

#LeBrief : fuite chez Speedy, Rust pour Thunderbird, Saint Exupéry et PhiFire AI pour le satellite Φsat-2

Des institutions internationales s’engagent pour l’ouverture des données sur la recherche

#Flock craque le slip et explose les quotas

[Édito] Au pays des VPN menteurs…

Les clients LastPass victimes d’une attaque par phishing orchestrée grâce à un kit clé en main

Les recommandations de la NSA pour « déployer des systèmes d’IA en toute sécurité »

#LeBrief : Windows Store amélioré, 28 licenciements chez Google, sécurité des données des français, compétition 404CTF

Batterie de nouveautés pour Dropbox, dont le chiffrement de bout en bout pour les équipes

TikTok suspend le système de récompense de sa version Lite

L’Union européenne se dote d’une directive sur les violences numériques faites aux femmes

L’Espagne relance son enquête sur le logiciel espion Pegasus, avec l’aide de la France

Ariane 6 : le corps central se tient debout sur la rampe de lancement

Commentaires (115)