Une faille critique dans la gestion des connexions TLS/SSL fragilise Linux

jamian

Le 05/03/2014 à 10h 20

#1

Et comme chez Apple, c’est dans un code où il y a du Goto.

Coïncidence ? Je ne crois pas… " />

zempa Abonné

Le 05/03/2014 à 10h 21

#2

La faille pose également la question, comme dans le cas d’Apple, d’une éventuelle implication de la NSA. Bien qu’il puisse s’agir d’un scénario de film d’espionnage, les documents dérobés par Edward Snowden ont montré combien l’agence américaine s’investissait dans le contournement des protections informatiques, allant jusqu’à noyauter le développement de certains standards.

A priori, un logiciel de “versioning” est utilisé pour le développement de cette lib ?

Si c’est le cas, il suffirait de remonter aux commits concernés pour vérifier s’il y a eu véritablement intervention de la NSA ou pas, non ?

Tirr Mohma

Le 05/03/2014 à 10h 21

#3

C’est bon dans 2 jours il y a un patch complet. Par contre ça va être une news à troll.

luxian Abonné

Le 05/03/2014 à 10h 21

#4

Ah ceci explique pourquoi ce matin j’ai eu cette mise à jour sur ma Ubuntu 13.10

Les paquets suivants ont été mis à jour :

libgnutls-openssl27 (2.12.23-1ubuntu4.1) to 2.12.23-1ubuntu4.2

libgnutls26 (2.12.23-1ubuntu4.1) to 2.12.23-1ubuntu4.2

libgnutls26:i386 (2.12.23-1ubuntu4.1) to 2.12.23-1ubuntu4.2

Et pour quelles raisons ces patchs ?

gnutls26 (2.12.23-1ubuntu4.2) saucy-security; urgency=medium

* SECURITY UPDATE: certificate validation bypass

 - debian/patches/CVE-2014-0092.patch: correct return codes in   


   lib/x509/verify.c.   


 - CVE-2014-0092

Une fois qu’ils s’en sont rendus compte, il a fallu combien de temps à Apple pour corriger son bogue déjà ?

Je ne veux pas rajouter de poils au " /> , mais ….

lateo

Le 05/03/2014 à 10h 21

#5

" />

Edtech Abonné

Le 05/03/2014 à 10h 23

#6

C’est pensé à l’envers leur truc. Ça devrait échouer par défaut et réussir uniquement si tous les tests sont bons.

Là ça fait l’inverse, ça accepte par défaut et échoue si un des tests est faux. Du coup, si un test n’est pas effectué (c’était le cas pour Apple), il accepte !

lateo

Le 05/03/2014 à 10h 23

#7

zempa a écrit :

A priori, un logiciel de “versioning” est utilisé pour le développement de cette lib ?

Si c’est le cas, il suffirait de remonter aux commits concernés pour vérifier s’il y a eu véritablement intervention de la NSA ou pas, non ?

difficile de prouver que telle ou telle agence a ou n’a pas fait pression sur le dev…

Vanilys

Le 05/03/2014 à 10h 23

#8

Depuis 2005, 9 années ?

Hé ben… moi qui pensais que mettre du code open source garantissait que les failles soient rapidement trouvées et corrigées … " />

Cependant, la diffusion de correctifs pour l’ensemble des produits touchés prendra plus de temps.

.. sans compter que même après diffusion, il est clair que ce ne sont pas tous les posts qui seront mis à jour, du moins je pense : est-ce que les updates sont obligatoirement automatiques sur tous les posts et installés sans intervention de l’utilisateur ?

La faille pose également la question, comme dans le cas d’Apple, d’une éventuelle implication de la NSA.

E on se pose encore la question ? " />

lateo

Le 05/03/2014 à 10h 23

#9

Edtech a écrit :

C’est pensé à l’envers leur truc. Ça devrait échouer par défaut et réussir uniquement si tous les tests sont bons.

Là ça fait l’inverse, ça accepte par défaut et échoue si un des tests est faux. Du coup, si un test n’est pas effectué (c’était le cas pour Apple), il accepte !

oui.

C’est exactement le même problème qu’avec apple.

Étrange, non?

re-" />

refuznik Abonné

Le 05/03/2014 à 10h 24

#10

Oui enfin dès qu’une faille est utilisé par pas mal de monde, on le sait rapidement voir on retrouve son exploitation chez les scripts kiddies. Celle-ci soit personne ne l’a vue, soit juste un très petit nombre de personne ont pu l’exploiter (nsa, etc…).

anonyme_8ce6f4774d9018fb0696aa6b7572a96b

Le 05/03/2014 à 10h 25

#11

Edtech a écrit :

C’est pensé à l’envers leur truc. Ça devrait échouer par défaut et réussir uniquement si tous les tests sont bons.

Là ça fait l’inverse, ça accepte par défaut et échoue si un des tests est faux. Du coup, si un test n’est pas effectué (c’était le cas pour Apple), il accepte !

exactement, c’est là qu’est le principal problème.

animus

Le 05/03/2014 à 10h 26

#12

zempa a écrit :

A priori, un logiciel de “versioning” est utilisé pour le développement de cette lib ?

Si c’est le cas, il suffirait de remonter aux commits concernés pour vérifier s’il y a eu véritablement intervention de la NSA ou pas, non ?

J’ai pensé directement à la même chose.

On peut directement retrouver le fautif pour essayer de déterminer s’il s’agit d’une erreur humaine ou d’autre chose non?

Bon, divulguer son nom ça fait un peu lynchage collectif, mais n’y a t’il pas des actions mis en place par la communauté pour comprendre l’origine du problème?

DorianM

Le 05/03/2014 à 10h 26

#13

luxian a écrit :

Il a fallu combien de temps à Apple pour corriger son bogue déjà ?

Je ne veux pas rajouter de poils au " /> , mais ….

²⁄₃ jours pour les correctifs d’iOS et d’OSX, rien d’aberrant.

Si tu regardes sur Gitourious, le commit date d’il y a 6 jours et donc la faille a été découvert il y a ~ 1 semaine au minimum.

luxian Abonné

Le 05/03/2014 à 10h 29

#14

Vanilys a écrit :

Depuis 2005, 9 années ?

Hé ben… moi qui pensais que mettre du code open source garantissait que les failles soient rapidement trouvées et corrigées … " />

Garantis que les failles soient plus facilement détectable et que code soit plus facilement corrigeable en laissant un accès à une plus grande quantité de gens capables de comprendre et modifier le dit code.

" />

Cela ne garantit pas la vitesse de détection, mais facilite grandement la réactivité.

Combien de fois es-tu passé devant une publicité qui a une faute d’orthographe dans son texte sans voir la faute ? La raison est que tu n’y prêtes pas attention ? Et bien c’est pareil pour tous les autres gens qui passent devant.

http://www.ouille.com/images/carotte.gif

Seulement une fois que quelqu’un a compris le problème … pouf ! Le lendemain, c’est corrigé, là ou chez Apple, il faut non seulement qu’un grand chef décide, mais en plus que tous les processus internes à l’entreprise soient respectés et chez Mµ$oft, il faut souvent attendre le patch tuesday du mois suivant.

DorianMonnier a écrit :

²⁄₃ jours pour les correctifs d’iOS et d’OSX, rien d’aberrant.

Si tu regardes sur Gitourious, le commit date d’il y a 6 jours et donc la faille a été découvert il y a ~ 1 semaine au minimum.

Oui, pour cette fois, l’image de marque a manqué d’en prendre un coup et ils se sont bougés en mode Panic and Dirty et en contournant tous leurs process.

Quand aux nunuxien, il aura fallu que quelqu’un se dise … tiens personne ne s’est occupé de ce truc, il va falloir que je le fasse sinon personne ne le fera et ça restera en plan ….

Shyfer

Le 05/03/2014 à 10h 30

#15

Oh tiens, le open source c’est mieux car revu en permanence par des centaines de bénévoles…

Mouais.

Là encore, je pense qu’on a une démonstration que open source != plus sécurisé.

Après je ne dis rien du côté de Microsoft, ils ont sûrement pleins de failles, mais de ce type moins car ils ont un process de test assez rôdé, et assez plébiscité par de nombreux experts.

minette Abonné

Le 05/03/2014 à 10h 32

#16

Tirr Mohma a écrit :

C’est bon dans 2 jours il y a un patch complet. Par contre ça va être une news à troll.

C’est tout ce que tu trouves à dire ? Tu peux déplacer les questions sur le terrain de l’utilisation du goto aussi comme plein de commentateurs sur ars hier soir.

Ou alors tu prends acte, tu réfléchis fort fort et tu participes au brainstorming pas nouveau sur comment il est possible de limiter les risques au maximum. Ce qui relève du technique, de l’économique et du politique et est moins facile que de balancer le premier truc qui te traverse la tête et continuer à survendre à Mme Michu une sécurité qui dans les fait n’y était pas de peur qu’elle s’obstine sur ses logiciels privateurs.

jfchadeyron

Le 05/03/2014 à 10h 33

#17

Mon serveur ubuntu 12.04 reste vulnérable malgré qu’il soit a jour…une idée ?

luxian Abonné

Le 05/03/2014 à 10h 33

#18

Shyfer a écrit :

Oh tiens, le open source c’est mieux car revu en permanence par des centaines de bénévoles…

Mouais.

Là encore, je pense qu’on a une démonstration que open source != plus sécurisé.

Après je ne dis rien du côté de Microsoft, ils ont sûrement pleins de failles, mais de ce type moins car ils ont un process de test assez rôdé, et assez plébiscité par de nombreux experts.

Pas plus sécurisé

Mais plus facilement sécurisable

Vincent_H Abonné

Le 05/03/2014 à 10h 33

#19

Par contre, ceux qui attendaient qu’une actu de ce genre arrive pour vider leurs frustrations, ce sera blocage très rapidement. Merci de rester constructifs.

zempa Abonné

Le 05/03/2014 à 10h 33

#20

lateo a écrit :

difficile de prouver que telle ou telle agence a ou n’a pas fait pression sur le dev…

C’est effectivement une possibilité.

Néanmoins, on peut retrouver l’auteur du “backdoor”, si tel est le cas.

CoooolRaoul

Le 05/03/2014 à 10h 34

#21

Faut pas forcément paniquer: c’est “GnuTLS” qui est touché et pas “OpenSSL” (jusqu’à qu’on trouve aussi une faille du même genre dans ce dernier)

Et OpenSSL est largement plus utilisé que gnutls (par exemple c’est sur ce dernier que s’appuie le mod_ssl d’Apache)

La phrase “utilisé par de très nombreux produit” est à prendre avec des pincettes.

Il est exact que GnuTLS est inclus dans toutes les distribs Linux mais cela ne veut pas dire qu’il est effectivement utilisé par vos applis.

NiCr Abonné

Le 05/03/2014 à 10h 34

#22

Shyfer a écrit :

Oh tiens, le open source c’est mieux car revu en permanence par des centaines de bénévoles…

Mouais.

Là encore, je pense qu’on a une démonstration que open source != plus sécurisé.

Après je ne dis rien du côté de Microsoft, ils ont sûrement pleins de failles, mais de ce type moins car ils ont un process de test assez rôdé, et assez plébiscité par de nombreux experts.

Ce qu’il ne faut pas lire comme idioties…

Si tu es si bien informé des bugs et correctifs du monde open source, c’est justement parce que c’est ouvert et que donc il y a de la communication autour.

Quand Apple, MS ou d’autres acteurs du monde propriétaire découvrent un bug en interne, si vieux soit-il, ils le corrigent et font passer ça dans une simple mise à jour de sécurité. Au final tu n’es au courant de rien alors que c’était peut-être la plus grosse backdoor jamais découverte sur leur OS.

On a entendu parler de la faille OSX/iOS car elle a été découverte par d’autres. Mais si elle avait été trouvée en interne, on ne l’aurait jamais su.

Donc il ne faut tirer aucune conclusion sur l’open source ou le propriétaire de ces évènements, car ça ne veut absolument rien dire sur le sérieux/la qualité du code de chacun.

luxian Abonné

Le 05/03/2014 à 10h 35

#23

jfchadeyron a écrit :

Mon serveur ubuntu 12.04 reste vulnérable malgré qu’il soit a jour…une idée ?

ben ….

estimation de ton risque pour voir si ça vaut vraiment la peine d’intervenir

téléchargement des derniers paquetages sur la 13.10

ou recompilation de tes sources “dev” en corrigeant toi-même là ou il faut, puis réinstallation

… en gros, tires-toi un peu les doigts du …" />

coket

Le 05/03/2014 à 10h 37

#24

luxian a écrit :

Une fois qu’ils s’en sont rendus compte, il a fallu combien de temps à Apple pour corriger son bogue déjà ?

Je ne veux pas rajouter de poils au " /> , mais ….

Ouais enfin, chez Apple, elle serait là depuis 1 à 2 ans, alors que chez vous, ça fait presque 10 ans… " />

luxian Abonné

Le 05/03/2014 à 10h 38

#25

coket a écrit :

Ouais enfin, chez Apple, elle serait là depuis 1 à 2 ans, alors que chez vous, ça fait presque 10 ans… " />

Il semble qu’ils aient repris tel quel un produit opensource.

Donc ils n’ont rien vérifié ….

Obi-Wan Kenobi : Qui est le plus fou des deux ? Le fou, ou le fou qui le suit ?

" />" />" />

le podoclaste

Le 05/03/2014 à 10h 38

#26

zempa a écrit :

A priori, un logiciel de “versioning” est utilisé pour le développement de cette lib ?

Si c’est le cas, il suffirait de remonter aux commits concernés pour vérifier s’il y a eu véritablement intervention de la NSA ou pas, non ?

Il faut peut-être arrêter de voir la NSA partout. Il n’y a pas besoin d’elle pour faire des bugs.

Au passage, les commentaires de la news reportant ce problème sur Ars Technica nous apprennent que cette lib est signalée comme faillible depuis 2008 par des observateurs, et pas spécifiquement sur ce bug.

Jarodd Abonné

Le 05/03/2014 à 10h 38

#27

goto fail

Oui c’est un bon résumé.

DorianM

Le 05/03/2014 à 10h 41

#28

luxian a écrit :

Oui, pour cette fois, l’image de marque a manqué d’en prendre un coup et ils se sont bougés en mode Panic and Dirty et en contournant tous leurs process.

Quand aux nunuxien, il aura fallu que quelqu’un se dise … tiens personne ne s’est occupé de ce truc, il va falloir que je le fasse sinon personne ne le fera et ça restera en plan ….

Certaines failles moins critique trainent assez longtemps c’est clair.

Je voulais juste souligner que pour le coup, on peut difficilement dire qui a été le plus réactif.

Et il reste encore le problème du déploiement du correctif, corriger une faille c’est bien, mais faut que les mises à jours chez les utilisateurs suivent derrières, et que ce soit sur iOS, OSX, ou une distribution Linux lamba, rien ne t’oblige à faire les MAJ de sécurité malheureusement.

Il doit encore avoir beaucoup de machines qui tournent avec la faille.

Khalev

Le 05/03/2014 à 10h 41

#29

Vanilys a écrit :

Depuis 2005, 9 années ?

Hé ben… moi qui pensais que mettre du code open source garantissait que les failles soient rapidement trouvées et corrigées … " />

Une fois l’existence d’un bug trouvé oui.

Trouver un bug quand on en a pas connaissance c’est extrèmement difficile puisque potentiellement chaque ligne est susceptible de créer un bug en prenant en compte tout ce qui peut interagir avec les variables à un instant t. Seul un robot peut faire ça, si le robot sait ce que le programme cherche à faire et à éviter (on tombe dans la problématique des langages formels là). Là je pense que le dév a voulu vérifier s’il n’y avait pas un soucis similaire à celui de la pomme.

Edtech a écrit :

C’est pensé à l’envers leur truc. Ça devrait échouer par défaut et réussir uniquement si tous les tests sont bons.

Là ça fait l’inverse, ça accepte par défaut et échoue si un des tests est faux. Du coup, si un test n’est pas effectué (c’était le cas pour Apple), il accepte !

Sans compter que la méthode de correction n’est pas consistante entre _gnutls_verify_certificate2 et check_if_ca

D’un côté il rajoute un “goto fail;” qui s’occupe de mettre le résultat à 0 et ensuite le code continue sur “cleanup” et de l’autre il rajoute un “result=0;” avant de faire un “goto cleanup;”…

Minikea

Le 05/03/2014 à 10h 42

#30

à l’exception des dernières révisions des deux branches en cours, estampillées 3.2.12 et 3.1.22.

justement, j’ai lancé un petit pacman -Syu ce matin et :

gnutls-3.2.12-1-i686 1867,0 KiB

Les rolling Release, c’est quand même bien! " />

zempa Abonné

Le 05/03/2014 à 10h 43

#31

le podoclaste a écrit :

Il faut peut-être arrêter de voir la NSA partout. Il n’y a pas besoin d’elle pour faire des bugs.

Il faut peut être arrêter de voir des paranos partout.

J’envisage simplement une solution pour couper court (ou pas " />) à cette rumeur NSA.

C’est plus clair comme ça ? " />

cid_Dileezer_geek

Le 05/03/2014 à 10h 43

#32

Une faille critique dans la gestion des connexions TLS/SSL fragilise Linux

Une similitude troublante avec la faille d’iOS et OS X

Un peu trop semblable…je ne crois pas aux coïncidences de ce type, c’est forcément voulu.

barlav Abonné

Le 05/03/2014 à 10h 44

#33

luxian a écrit :

Combien de fois es-tu passé devant une publicité qui a une faute d’orthographe dans son texte sans voir la faute ? La raison est que tu n’y prêtes pas attention ? Et bien c’est pareil pour tous les autres gens qui passent devant.

http://www.ouille.com/images/carotte.gif

J’ai pas vu la faute d’orthographe sur ton exemple " />

coket

Le 05/03/2014 à 10h 44

#34

luxian a écrit :

Il semble qu’ils aient repris tel quel un produit opensource.

Donc ils n’ont rien vérifié ….

Obi-Wan Kenobi : Qui est le plus fou des deux ? Le fou, ou le fou qui le suit ?

" />" />" />

Je m’en fou " />

Suis sur 7 " />

Zimt

Le 05/03/2014 à 10h 45

#35

Goto …

Khalev

Le 05/03/2014 à 10h 45

#36

CoooolRaoul a écrit :

Et OpenSSL est largement plus utilisé que gnutls (par exemple c’est sur ce dernier que s’appuie le mod_ssl d’Apache)

Me semble que sous debian c’est GnuTLS qui est utilisé dans apache à la place d’OpenSSL " />

Si quelqu’un peut confirmer.

KP2

Le 05/03/2014 à 10h 45

#37

Vanilys a écrit :

Depuis 2005, 9 années ?

Hé ben… moi qui pensais que mettre du code open source garantissait que les failles soient rapidement trouvées et corrigées … " />

Rapidement ne veut pas dire grand chose…

Peut etre que pour ce cas, rapidement, ca veut dire 9 ans. Peut etre que d’autres editeurs proprios trainent des failles du meme type depuis 12, 13 ou 14 ans sans s’en rendre compte, qui sait ?

CUlater

Le 05/03/2014 à 10h 46

#38

Vanilys a écrit :

Depuis 2005, 9 années ?

Hé ben… moi qui pensais que mettre du code open source garantissait que les failles soient rapidement trouvées et corrigées … " />

" />" />" />" />

Hum pardon :transpi, ça beau être vieux, ça me fait toujours aussi rire. Mais bon si ça peut te rassurer tu es looiiiiiin d’être le seul." />

Turkal Abonné

Le 05/03/2014 à 10h 47

#39

jfchadeyron a écrit :

Mon serveur ubuntu 12.04 reste vulnérable malgré qu’il soit a jour…une idée ?

T’es sûr de toi ? Personnellement il y a eu une mise à jour de sécurité sur le mien ce matin avec un upgrade de gnutls, j’imagine donc que la faille a été corrigée.

DorianM

Le 05/03/2014 à 10h 47

#40

cid_Dileezer_geek a écrit :

Un peu trop semblable…je ne crois pas aux coïncidences de ce type, c’est forcément voulu.

C’est peut-être juste qu’un mec a suivi l’actu, a vu le code incriminé chez Apple c’est dit “Ouah mais c’est laid ce code ! Fais voir comme c’est fait chez GNU”, et ce dernier est tombé sur la même faille.

En revanche je suis d’accord avec ce qui est dit au dessus, je trouve ça vraiment codé à l’envers, et ça fait peur !

KP2

Le 05/03/2014 à 10h 52

#41

Shyfer a écrit :

Oh tiens, le open source c’est mieux car revu en permanence par des centaines de bénévoles…

Mouais.

Là encore, je pense qu’on a une démonstration que open source != plus sécurisé.

Après je ne dis rien du côté de Microsoft, ils ont sûrement pleins de failles, mais de ce type moins car ils ont un process de test assez rôdé, et assez plébiscité par de nombreux experts.

Personne (connaissant vraiment l’opensource) n’a dit qu’il y avait moins de failles. On dit juste qu’a partir du moment ou elles sont decouvertes, elles sont corrigées bien plus vite.

Parce qu’au final, un code securisé tient plus a la vitesse de correction des failles qu’a leur nombre.

Car a partir du moment ou il suffit d’une seule faille pour penetrer un systeme et qu’il est rigoureusement impossible de garantir l’absence totale de faille dans un logiciel alors le nombre de failles n’a pas vraiment d’importance en fait puisqu’il est vulnerable a partir de 1 et qu’on ne peut pas atteindre 0.

Donc c’est bien la vitesse de correction et de deploiement de la correction qui importe vraiment…

Jed08

Le 05/03/2014 à 10h 52

#42

La mise à jour des distributions sera probablement l’étape la plus simple. Cependant, la diffusion de correctifs pour l’ensemble des produits touchés prendra plus de temps. La faille pose également la question, comme dans le cas d’Apple, d’une éventuelle implication de la NSA.

Et le cas où Apple reprend du code de GnuTLS en le modifiant à sa guise mais en gardant la vulnérabilité ?

Je trouve cela un peu plus crédible ^^

fred42 Abonné

Le 05/03/2014 à 10h 52

#43

C’est la seconde faille détectée dans ce fichier en quelques jours.

Voir mon commentaire dans la news “OS X Mavericks 10.9.2 est disponible …”.

C’est le même qui a corrigé les 2 failles. Il a peut-être continué la relecture pour voir s’il n’y en avait pas d’autres.

Cela confirme la réputation que j’avais lu sur GNI TLS qui a un code de mauvaise qualité et qui est donc susceptible de failles.

L’utilisation de Open SSL est préférable quand c’est possible. Par contre, il faut bien étudier les compatibilités de licences : elle est incompatible avec la GPL quand elle n’est pas embarquée dans l’operating system sauf s’il est prévu une exception dans le soft GPL.

tiny_naxos

Le 05/03/2014 à 10h 53

#44

L’open source super secure car le code est relu et tout ça en prend un coup !

OK on le voit mais si c’est 9 ans après " />

Jed08

Le 05/03/2014 à 10h 55

#45

animus a écrit :

Bon, divulguer son nom ça fait un peu lynchage collectif, mais n’y a t’il pas des actions mis en place par la communauté pour comprendre l’origine du problème?

Pourtant Numerama n’a pas hésité " />

bilbonsacquet Abonné

Le 05/03/2014 à 10h 56

#46

DorianMonnier a écrit :

C’est peut-être juste qu’un mec a suivi l’actu, a vu le code incriminé chez Apple c’est dit “Ouah mais c’est laid ce code ! Fais voir comme c’est fait chez GNU”, et ce dernier est tombé sur la même faille.

Je pense comme cela également, la faille chez Apple aurait permis un audit de celui de GnuTLS, ce qui est pas mal.

TaigaIV

Le 05/03/2014 à 10h 56

#47

refuznik a écrit :

Oui enfin dès qu’une faille est utilisé par pas mal de monde, on le sait rapidement voir on retrouve son exploitation chez les scripts kiddies. Celle-ci soit personne ne l’a vue, soit juste un très petit nombre de personne ont pu l’exploiter (nsa, etc…).

Il me semble que l’exploitation de celle-ci ne laisse pas beaucoup de traces, il faut que l’utilisation d’un mauvais certificat est des conséquences et que la recherche de l’origine du problème permette de trouver que c’est l’acceptation d’un nouveau certificat bidon, pas automatiquement évident.

Ce qui m’étonne c’est que personne n’est découvert la faille en faisant des test avec de mauvais certificat pour voir si une application fonctionne.

cid_Dileezer_geek

Le 05/03/2014 à 10h 56

#48

DorianMonnier a écrit :

C’est peut-être juste qu’un mec a suivi l’actu, a vu le code incriminé chez Apple c’est dit “Ouah mais c’est laid ce code ! Fais voir comme c’est fait chez GNU”, et ce dernier est tombé sur la même faille.

En revanche je suis d’accord avec ce qui est dit au dessus, je trouve ça vraiment codé à l’envers, et ça fait peur !

On a la même erreur de code dans deux OS différents, donc codés par quelqu’un de différent, enfin normalement, et comme par hasard ça touche des deux côtés aux code gérant les certificats de sécurité, soit c’est le dev de chez Apple qui a codé ces lignes et qui a codé pour GNU/linux(possible mais bon…) soit on est face à une erreur préméditée pour laisser la porte ouverte délibérément….dans les deux cas, ça fait un peu peur. " />

Queno

Le 05/03/2014 à 10h 58

#49

Ça montre bien a quelle point linux est un OS vulnérable.

Je m’y connais beaucoup en langue anglaise et il aurait fallu écrire “go to” et pas “goto”. Les gens qui ont fais ce programme parlaient manifestement très mal anglais. Peut-être qu’ils on fais anglais LV3 et pris allemand ou espagnol en LV2.

Avec windows (Qui veut dire “fenêtre” en anglais), un programme écrit par des gens qui parlent vraiment la langue de shakespear, on a jamais aucun virus de mauvaise orthographe anglaise.

Les écossais de Macintosh parlaient moyennement bien anglais et on probablement écrit leur code avec leur accent, ce qui explique la faille.

Faith

Le 05/03/2014 à 10h 58

#50

’un des aspects inquiétants de l’affaire est que le code affecté pourrait remonter à 2005, ce qui signifie qu’il pourrait exister depuis neuf ans sans que personne ne l’ait repéré et alors qu’il était en accès libre.

Problème classique du libre: tout le monde s’appuie sur la disponibilité du code pour supposer que celui-ci est relu et analysé… Ce qui n’est pas toujours le cas.

(C’est sans doute encore pire avec du propriétaire… )

fred42 Abonné

Le 05/03/2014 à 10h 59

#51

jfchadeyron a écrit :

Mon serveur ubuntu 12.04 reste vulnérable malgré qu’il soit a jour…une idée ?

Le mettre à jour à nouveau ?

J’ai vu la mise à jour aujourd’hui.

Sinon, pourquoi dis-tu que ton serveur reste vulnérable ?

Il s’agit ici de contrôler la validité d’un certificat. La plupart du temps, c’est un client qui fait ça.

Cela peut aussi être un serveur mais pour authentifier un client, ce qui est plus rare.

En plus, il faut que le logiciel utilise la lib GNU TLS et pas Open SSL

Tim-timmy

Le 05/03/2014 à 11h 01

#52

Ah, donc maintenant à chaque faille on aura le paragraphe à copier coller sur la NSA histoire de passer en mode théorie du complot sans le début du commencement d’un indice … mouais, non, on va plutôt parti sur l’hypothèse du foirage avec 0 audit de sécurité correct depuis " />

Le lien cité quand on parle de l’age du commit remonte le bug à novembre 2003, par le mainteneur principal de la lib, un employé red hat européen…

Wawet76

Le 05/03/2014 à 11h 01

#53

“La mise à jour des distributions sera probablement l’étape la plus simple. Cependant, la diffusion de correctifs pour l’ensemble des produits touchés prendra plus de temps.”

Bah non justement : La distribution mets à jour la lib, tous les logiciels qui l’utilisent en profitent.

C’est un des intérêts de bien gérer les dépendances comme le font les distributions Linux : Les logiciels ne s’installent pas avec leur version à eux des bibliothèques tierces.

240-185

Le 05/03/2014 à 11h 03

#54

KP2 a écrit :

Personne (connaissant vraiment l’opensource) n’a dit qu’il y avait moins de failles. On dit juste qu’a partir du moment ou elles sont decouvertes, elles sont corrigées bien plus vite.

Parce qu’au final, un code securisé tient plus a la vitesse de correction des failles qu’a leur nombre.

Car a partir du moment ou il suffit d’une seule faille pour penetrer un systeme et qu’il est rigoureusement impossible de garantir l’absence totale de faille dans un logiciel alors le nombre de failles n’a pas vraiment d’importance en fait puisqu’il est vulnerable a partir de 1 et qu’on ne peut pas atteindre 0.

Donc c’est bien la vitesse de correction et de deploiement de la correction qui importe vraiment…

Alors tu diras à la FSF d’arrêter ses FUD concernant le code fermé des logiciels proprios. " />

Dicé Abonné

Le 05/03/2014 à 11h 05

#55

Jed08 a écrit :

Pourtant Numerama n’a pas hésité " />

bisou a toi Nikos Mavragionnopoulos travaillant pour Red Hat " />

jfchadeyron

Le 05/03/2014 à 11h 05

#56

fred42 a écrit :

Sinon, pourquoi dis-tu que ton serveur reste vulnérable ?

Les version GnuTLS patchées sont 3.2.12 ou 3.1.22

http://www.gnutls.org/security.html#GNUTLS-SA-2014-2

Hors mon serveur 12.04 indique 3.0.xx

(apt-cache show gnutls-bin)

Tirr Mohma

Le 05/03/2014 à 11h 06

#57

minette a écrit :

C’est tout ce que tu trouves à dire ? Tu peux déplacer les questions sur le terrain de l’utilisation du goto aussi comme plein de commentateurs sur ars hier soir.

Ou alors tu prends acte, tu réfléchis fort fort et tu participes au brainstorming pas nouveau sur comment il est possible de limiter les risques au maximum. Ce qui relève du technique, de l’économique et du politique et est moins facile que de balancer le premier truc qui te traverse la tête et continuer à survendre à Mme Michu une sécurité qui dans les fait n’y était pas de peur qu’elle s’obstine sur ses logiciels privateurs.

N’ayant pas les compétences techniques pour entrer dans ce genre de débat, je ne peux que faire part de mes convictions concernant les capacités de correction de ce problème de la communauté.

Mais si tu veux parler du politique et de l’économie associé il n’y a pas de problèmes. On peut commencer par le thème suivant : une sécurisation absolue dans les domaines de l’informatique est-elle possible ?

Ceux à quoi je serais plutôt dans le camp de ceux qui disent que ce n’est pas possible. Par conséquent il faut montrer à madame michu que ses logiciels privateurs sont tout aussi vulnérables voir plus que des logiciels libres qui ont l’appuie d’une forte communauté réactive ayant des capacités diverses et variés pouvant explorer et corriger le code plus rapidement qu’une entreprise limitée au maximum à quelques centaines d’employés sur un logiciel.

Mis à part ça, je serais plutôt d’avis que tu laisses de côté le ton condescendant.

KP2

Le 05/03/2014 à 11h 07

#58

Queno a écrit :

Ça montre bien a quelle point linux est un OS vulnérable.

Je m’y connais beaucoup en langue anglaise et il aurait fallu écrire “go to” et pas “goto”. Les gens qui ont fais ce programme parlaient manifestement très mal anglais. Peut-être qu’ils on fais anglais LV3 et pris allemand ou espagnol en LV2.

Avec windows (Qui veut dire “fenêtre” en anglais), un programme écrit par des gens qui parlent vraiment la langue de shakespear, on a jamais aucun virus de mauvaise orthographe anglaise.

Les écossais de Macintosh parlaient moyennement bien anglais et on probablement écrit leur code avec leur accent, ce qui explique la faille.

" />

Ricard

Le 05/03/2014 à 11h 07

#59

CoooolRaoul a écrit :

Faut pas forcément paniquer: c’est “GnuTLS” qui est touché et pas “OpenSSL” (jusqu’à qu’on trouve aussi une faille du même genre dans ce dernier)

Et OpenSSL est largement plus utilisé que gnutls (par exemple c’est sur ce dernier que s’appuie le mod_ssl d’Apache)

La phrase “utilisé par de très nombreux produit” est à prendre avec des pincettes.

Il est exact que GnuTLS est inclus dans toutes les distribs Linux mais cela ne veut pas dire qu’il est effectivement utilisé par vos applis.

+1. Perso je ne l’utilise pas. Mais bon, corrigé par une màj quand-même sur ma Debian et mon RaspberryPi." />

TaigaIV

Le 05/03/2014 à 11h 08

#60

jfchadeyron a écrit :

Mon serveur ubuntu 12.04 reste vulnérable malgré qu’il soit a jour…une idée ?

Tu as relancé les programmes qui utilisent la lib en question ? (lsof |grep DEL|grep tls je pense).

Ricard

Le 05/03/2014 à 11h 09

#61

jfchadeyron a écrit :

Les version GnuTLS patchées sont 3.2.12 ou 3.1.22

http://www.gnutls.org/security.html#GNUTLS-SA-2014-2

Hors mon serveur 12.04 indique 3.0.xx

(apt-cache show gnutls-bin)

Fallait pas utiliser un serveur Ubuntu. " />

Jed08

Le 05/03/2014 à 11h 10

#62

KP2 a écrit :

Personne (connaissant vraiment l’opensource) n’a dit qu’il y avait moins de failles. On dit juste qu’a partir du moment ou elles sont decouvertes, elles sont corrigées bien plus vite.

Il va falloir que les libristes de bonne foi ouvrent les yeux un peu !

Il y a plein de trolls dont le principal argument est : c’est open source, c’est lisible par tout le monde (sous entendu “compétents” car je doute que ces gens là fasse un audit de code chaque soir avant de dormir) donc c’est sécurisé (puisque personne ne trouvent rien).

Oui, la plus grande arme des soft open source c’est la réactivité de la communauté, mais sa plus grande faiblesse, c’est que s’il y a pas de communauté tu as pas grand chose comme soutient.

Parce qu’au final, un code securisé tient plus a la vitesse de correction des failles qu’a leur nombre.

Euuu non, un code sécurisé tient du nombre de failles présentes dans le code :/

Avoir un code sécurisé c’est pas dire : “Alors on a codé ça un peu comme on voulait, mais ne vous inquiétez pas à chaque vulnérabilités publiée on vous assure une réactivité du tonnerre”

Car a partir du moment ou il suffit d’une seule faille pour penetrer un systeme et qu’il est rigoureusement impossible de garantir l’absence totale de faille dans un logiciel alors le nombre de failles n’a pas vraiment d’importance en fait puisqu’il est vulnerable a partir de 1 et qu’on ne peut pas atteindre 0.

Donc c’est bien la vitesse de correction et de deploiement de la correction qui importe vraiment…

Tout à fait ! Mais pas que ça !

Tu as beau avoir un serveur Linux, si tu le configures comme un cochon ce n’est pas parce que c’est Linux qu’il sera plus sûr qu’un serveur Windows bien durçit (contre-CMB)

Le libre ne se suffit pas à lui même.

Commentaire_supprime

Le 05/03/2014 à 11h 13

#63

Je peux vous dire, ayant à régler le même genre de problématique (correction orthographique d’écrits personnels pouvant atteindre les 600 pages) que les fautes les plus connes sont souvent les plus difficiles à détecter !

Je trouve régulièrement de belles gaffes dans mes écrits, tant point de vue typo que mise en page ou orthographe/grammaire/syntaxe, alors que j’ai relu le texte en question 2 ou 3 fois avant mise en publication, sans parler des tiers qui me font la remarque…

Donc, une erreur aussi grotesque pas détectée pendant 9 ans, ça ne me paraît pas incroyable, connaissant la nature humaine et ayant la même pratique…

arno53

Le 05/03/2014 à 11h 14

#64

" />

Et maintenant on relis les commentaires de la news parlant de l’approche de Linus par la NSA …

Morceaux choisis :

C’est ça le souci, ceux qui n’utilisent pas Linux et ne font pas un minimum d’administration système, consulté les docs, ne comprennent pas et ne font que spéculer : « il y a des failles, et la NSA installe leur backdoor ni vu ni connu » alors que non, forcément à un moment ou à un autre quelqu’un le verrait puisque le kernel est modifié, scanné, en permanence, par des instances différentes, par du privé, du public, partout dans le monde et y compris au niveau du particulier.

Le jour ou vous verrez une porte dérobée sous nunux faites moi signe, on parle d’un truc ou la moindre modification d’une ligne de code, conduit inévitablement un nombre relativement important de personne a y regarder de plus près.

Tout est décortiqué, analysé, rectifié, refusé suivant l’intérêt du patch, sa qualité, son élégance, pas même Linus ne pourrait s’il le voulait faire passer quelque chose en douce, il y a un historique complet de toutes les modifications qui sont apportés au code.

Voila maintenant si les gens pouvaient se remettre en question de temps en temps en acceptant que tout les systèmes soient vulnérables et qu’au final la NSA a suffisamment de moyen pour pénétré n’importe quelle systèmes.

Soriatane Abonné

Le 05/03/2014 à 11h 15

#65

Jed08 a écrit :

Et le cas où Apple reprend du code de GnuTLS en le modifiant à sa guise mais en gardant la vulnérabilité ?

Je trouve cela un peu plus crédible ^^

Sauf qu’Apple, un code sous licence Gnu Public Licence (GPL), ils évitent de le recopier.

Obidoub

Le 05/03/2014 à 11h 16

#66

Apparemment FreeBSD n’est pas concerné (ils ne sont pas très amis avec tout ce qui touche à gnu " /> ), j’ai rien dans les rapports de sécurité.

Il faut juste faire attention aux ports.

Commentaire_supprime

Le 05/03/2014 à 11h 19

#67

cid_Dileezer_geek a écrit :

On a la même erreur de code dans deux OS différents, donc codés par quelqu’un de différent, enfin normalement, et comme par hasard ça touche des deux côtés aux code gérant les certificats de sécurité, soit c’est le dev de chez Apple qui a codé ces lignes et qui a codé pour GNU/linux(possible mais bon…) soit on est face à une erreur préméditée pour laisser la porte ouverte délibérément….dans les deux cas, ça fait un peu peur. " />

Ne pas imputer à la malveillance ce qui s’explique très bien par l’incompétence… La faute est tellement grotesque que son caractère intentionnel est plus que douteux.

Et puis, la sécurité, quel que soit l’outil, c’est une affaire de mentalité et de discipline avant tout.

Bon, j’ai un su yum update à faire ce soir en rentrant chez moi, faut pas que j’oublie.

anonyme_95bde7ad91b4483068f10094cf1c28ca

Le 05/03/2014 à 11h 20

#68

en tout cas, l’argument comme quoi c’est open source donc plus secure en prend un coup dans la gueule.

fred42 Abonné

Le 05/03/2014 à 11h 21

#69

cid_Dileezer_geek a écrit :

On a la même erreur de code dans deux OS différents, donc codés par quelqu’un de différent, enfin normalement, et comme par hasard ça touche des deux côtés aux code gérant les certificats de sécurité, soit c’est le dev de chez Apple qui a codé ces lignes et qui a codé pour GNU/linux(possible mais bon…) soit on est face à une erreur préméditée pour laisser la porte ouverte délibérément….dans les deux cas, ça fait un peu peur. " />

Non, ce n’est pas la même erreur.

Ce n’est pas parce qu’il y a goto fail dans les 2 que c’est le même code !

La GNU TLS a mauvaise réputation au niveau de sa qualité de code et on en a juste l’illustration.

De plus, les 5 premières modifications du fichier ne servent à rien et ne corrigent pas de bugs. La fonction retourne une valeur négative (à chaque fois un test if (result < 0) et le retour de la fonction check_if_ca utilisée une seule fois se fait par un test avec la valeur 1). Il y a ici surtout une homogénéisation du code avec la suite.

J’aurais presque la même opinion sur la suite fonction verify_crt pour les mêmes raisons, mais j’ai la flemme de passer le temps nécessaire dessus. Si quelqu’un veut s’y coller.

KP2

Le 05/03/2014 à 11h 21

#70

240-185 a écrit :

Alors tu diras à la FSF d’arrêter ses FUD concernant le code fermé des logiciels proprios. " />

Tout le monde ne voit pas les prises de position de la FSF comme etant legitimes…

seb2411

Le 05/03/2014 à 11h 26

#71

jfchadeyron a écrit :

Mon serveur ubuntu 12.04 reste vulnérable malgré qu’il soit a jour…une idée ?

12.04 est LTS est toujours maintenu. Si tu fais les mises a jours un fix est déjà diffuse.

cid_Dileezer_geek

Le 05/03/2014 à 11h 27

#72

Commentaire_supprime a écrit :

Ne pas imputer à la malveillance ce qui s’explique très bien par l’incompétence… La faute est tellement grotesque que son caractère intentionnel est plus que douteux.

Et puis, la sécurité, quel que soit l’outil, c’est une affaire de mentalité et de discipline avant tout.

Bon, j’ai un su yum update à faire ce soir en rentrant chez moi, faut pas que j’oublie.

On ne parle pas d’une erreur d’orthographe faite par un même auteur dans deux livres différents, mais d’une erreur similaire et ayant un résultat identique dans la structure d’une portion de code gérant le contrôle des certificats de sécurité, erreur retrouvée dans dans deux libs différentes de deux OS différents codées par deux devs différents(enfin normalement), I think you’re not getting the point here." />

fred42 Abonné

Le 05/03/2014 à 11h 28

#73

jfchadeyron a écrit :

Les version GnuTLS patchées sont 3.2.12 ou 3.1.22

http://www.gnutls.org/security.html#GNUTLS-SA-2014-2

Hors mon serveur 12.04 indique 3.0.xx

(apt-cache show gnutls-bin)

Ma ubuntu 12.04 LTS affiche après mise à jour :

Version: 3.0.11+really2.12.14-5ubuntu3.7

Ce que tu regardais, c’est la lib chez gnutls.

La correction a été reportée par ubuntu sur la version de la lib qui était utilisée.

Dans ce genre de problèmes de sécurité, on ne reporte que les évolutions liées à la sécurité et pas toutes les évolutions. C’est tout l’intérêt d’utiliser une version LTS qui gère plus longtemps les mises à jour de sécurité.

seb2411

Le 05/03/2014 à 11h 28

#74

luxian a écrit :

ben ….

estimation de ton risque pour voir si ça vaut vraiment la peine d’intervenir

téléchargement des derniers paquetages sur la 13.10

ou recompilation de tes sources “dev” en corrigeant toi-même là ou il faut, puis réinstallation

… en gros, tires-toi un peu les doigts du …" />

Plus simplement il fait une actualisation normale car les correctifs sont déjà dispos sur toute les versions supporte d’Ubuntu. Pas besoin de passer a Ubuntu 13.10 (surtout pas sur un serveur)

cid_Dileezer_geek

Le 05/03/2014 à 11h 29

#75

fred42 a écrit :

Non, ce n’est pas la même erreur.

Ce n’est pas parce qu’il y a goto fail dans les 2 que c’est le même code !

La GNU TLS a mauvaise réputation au niveau de sa qualité de code et on en a juste l’illustration.

De plus, les 5 premières modifications du fichier ne servent à rien et ne corrigent pas de bugs. La fonction retourne une valeur négative (à chaque fois un test if (result < 0) et le retour de la fonction check_if_ca utilisée une seule fois se fait par un test avec la valeur 1). Il y a ici surtout une homogénéisation du code avec la suite.

J’aurais presque la même opinion sur la suite fonction verify_crt pour les mêmes raisons, mais j’ai la flemme de passer le temps nécessaire dessus. Si quelqu’un veut s’y coller.

Le résultat de l’erreur est identique et la structure du code est similaire, c’est assez troublant(sauf si c’est codé par la même personne)

Commentaire_supprime

Le 05/03/2014 à 11h 31

#76

cid_Dileezer_geek a écrit :

On ne parle pas d’une erreur d’orthographe faite par un même auteur dans deux livres différents, mais d’une erreur similaire et ayant un résultat identique dans la structure d’une portion de code gérant le contrôle des certificats de sécurité, erreur retrouvée dans dans deux libs différentes de deux OS différents codées par deux devs différents(enfin normalement), I think you’re not getting the point here." />

Il doit y en avoir un qui a fait un copier/coller sur l’autre… Et pas de vérif derrière d’un code réputé mal codé (ce qui en dit long sur le sérieux des codeurs et du suivi dudit code) pendant des années, ça donne le résultat que l’on a aujourd’hui…

Désolé, mais le caractère intentionnel de la faille reste à prouver…

arno53

Le 05/03/2014 à 11h 32

#77

A la limite avec le code closed source on peut coder une vrai backdoor demandant login + password …

Avec l’open source t’es obligé de fragiliser le système dans sa globalité pour que la NSA puisse rentrer…

Z’ont vraiment aucun savoir vivre les linuxiens

" />

zempa Abonné

Le 05/03/2014 à 11h 32

#78

Queno a écrit :

Ça montre bien a quelle point linux est un OS vulnérable.

Je m’y connais beaucoup en langue anglaise et il aurait fallu écrire “go to” et pas “goto”. Les gens qui ont fais ce programme parlaient manifestement très mal anglais. Peut-être qu’ils on fais anglais LV3 et pris allemand ou espagnol en LV2.

Avec windows (Qui veut dire “fenêtre” en anglais), un programme écrit par des gens qui parlent vraiment la langue de shakespear, on a jamais aucun virus de mauvaise orthographe anglaise.

Les écossais de Macintosh parlaient moyennement bien anglais et on probablement écrit leur code avec leur accent, ce qui explique la faille.

" />

Geolim4

Le 05/03/2014 à 11h 33

#79

Je rajoute du poil au " />

Il semblerait que Windows ne soit pas impactés par ce problème " />

Mihashi Abonné

Le 05/03/2014 à 11h 33

#80

jfchadeyron a écrit :

Mon serveur ubuntu 12.04 reste vulnérable malgré qu’il soit a jour…une idée ?

Apparemment c’est bon.

gnutls26 (2.12.14-5ubuntu3.7) precise-security; urgency=medium

* SECURITY UPDATE: certificate validation bypass
 - debian/patches/CVE-2014-0092.patch: correct return codes in   


   lib/x509/verify.c.   


 - CVE-2014-0092   
– Marc Deslauriers Mon, 03 Mar 2014 14:16:13 -0500

Tu peux quand même vérifier que tu as la bonne version d’installée avec cette commande : apt-cache show libgnutls26 | grep Version

Il faut que ce soit la 2.12.14-5ubuntu3.7

seb2411

Le 05/03/2014 à 11h 36

#81

arno53 a écrit :

" />

Et maintenant on relis les commentaires de la news parlant de l’approche de Linus par la NSA …

Morceaux choisis :

Voila maintenant si les gens pouvaient se remettre en question de temps en temps en acceptant que tout les systèmes soient vulnérables et qu’au final la NSA a suffisamment de moyen pour pénétré n’importe quelle systèmes.

Sauf que tu confonds Linux le noyau et une librairie externe. Linux est globalement bien protégé pour pas mal de raisons. Ça ne veut pas dire qu’il est

infaillible mais simplement qu’il y a derrière une énorme communauté et pas mal de travail d’audit et de test.

Il faudrait voir quelle est la communauté derrière la lib GNU TLS.

le podoclaste

Le 05/03/2014 à 11h 37

#82

cid_Dileezer_geek a écrit :

On ne parle pas d’une erreur d’orthographe faite par un même auteur dans deux livres différents, mais d’une erreur similaire et ayant un résultat identique dans la structure d’une portion de code gérant le contrôle des certificats de sécurité, erreur retrouvée dans dans deux libs différentes de deux OS différents codées par deux devs différents(enfin normalement), I think you’re not getting the point here." />

Oui, sauf que l’une traîne depuis 8 ans, l’autre depuis 2 mois (à la louche, je n’ai pas les durée en tête, mais c’est l’ordre d’idée). Donc l’hypothèse de la coïncidence reste forte, amha.

Commentaire_supprime

Le 05/03/2014 à 11h 37

#83

seb2411 a écrit :

Sauf que tu confonds Linux le noyau et une librairie externe. Linux est globalement bien protégé pour pas mal de raisons. Ça ne veut pas dire qu’il est

infaillible mais simplement qu’il y a derrière une énorme communauté et pas mal de travail d’audit et de test.

Il faudrait voir quelle est la communauté derrière la lib GNU TLS.

+1.

C’est plus un problème humain que logiciel cette faille. Et c’est du côté des mainteneurs qu’il faut voir ce qui ne va pas, à mon avis.

KP2

Le 05/03/2014 à 11h 41

#84

Jed08 a écrit :

Il va falloir que les libristes de bonne foi ouvrent les yeux un peu !

Il y a plein de trolls dont le principal argument est : c’est open source, c’est lisible par tout le monde (sous entendu “compétents” car je doute que ces gens là fasse un audit de code chaque soir avant de dormir) donc c’est sécurisé (puisque personne ne trouvent rien).

Ben ouais… et ca reste des trolls…

Ou juste des gens qui ne savent pas de quoi ils parlent et se font des films sur la realité du Libre.

Jed08 a écrit :

Oui, la plus grande arme des soft open source c’est la réactivité de la communauté, mais sa plus grande faiblesse, c’est que s’il y a pas de communauté tu as pas grand chose comme soutient.

Quel rapport ?

Un dev unique peut faire des choses incroyables… Nagios a longtemps tenu grace a a une equipe extremement reduite de developpeurs (1 seul pendantr plusieurs annees).

Slackware a ete faite pendant des annees et des annees par 1 seul type.

Etc etc etc

Bref, c’est pas le nombre qui compte, c’est la qualité.

Jed08 a écrit :

Euuu non, un code sécurisé tient du nombre de failles présentes dans le code :/

Avoir un code sécurisé c’est pas dire : “Alors on a codé ça un peu comme on voulait, mais ne vous inquiétez pas à chaque vulnérabilités publiée on vous assure une réactivité du tonnerre”

Et pourtant, quand on y reflechit 5 min, c’est pas si important en fait… J’explique pourquoi en dessous

Jed08 a écrit :

Tout à fait ! Mais pas que ça !

Tu as beau avoir un serveur Linux, si tu le configures comme un cochon ce n’est pas parce que c’est Linux qu’il sera plus sûr qu’un serveur Windows bien durçit (contre-CMB)

Le libre ne se suffit pas à lui même.

J’ai jamais dit ca…

Pour reprendre ton analogie et la mettre dans le meme contexte, il faudrait dire que d’un coté tu as un windows et de l’autre un linux. Les 2 sont configurés moyennement.

Mais dans le cas linux, il faut 1h pour changer une conf non securisée en conf securisée et dans le cas windows, il faut 3j.

Lequel va tu preferer ?

Bourrique

Le 05/03/2014 à 11h 45

#85

Queno a écrit :

bla bla

langue à l’école toussa

" /> " />

patapé.

Elfique LV4 —->[]

tazvld Abonné

Le 05/03/2014 à 11h 46

#86

Faith a écrit :

Problème classique du libre: tout le monde s’appuie sur la disponibilité du code pour supposer que celui-ci est relu et analysé… Ce qui n’est pas toujours le cas.

(C’est sans doute encore pire avec du propriétaire… )

Tout a fait.

C’est bien souvent ce qu’un bon nombre d’autoproclamés “libristes” suppose. Je parle de ces libristes qui vantent les mérites de l’open sources alors qu’il n’ont pas lu une ligne de code. Ces personnes qui subissent une ablation du bon sens lorsque l’on parle de logiciel open source.

Pour la vitesse de correction, oui, généralement quand la faille est trouvé et dévoilé, elle vient avec sont correctif bien souvent. Mais dans le cadre de distribution, il y a déjà un temps de rétention du packet qu’il ne faut pas négliger. Pour ubuntu, débian, Fedora… ok ça sera surement assez rapide pour ce genre de faille, pour des distribution plus obscure (puppylinux par exemple) ça risque de prendre plus de temps. Alors, oui, tu peux aussi patcher par toi même, mais cela necessite d’être au courant de tous les problèmes de sécurité de tous tes logiciels, que tu accèdes par toi même aux correctifs que tu recompiles et déploies le module… t’as pas fini.

Je suis tout de même assez étonné que pour des modules aussi crucial, aucun audit de contrôle qualité n’est réaliser derrière de manière régulière et a chaque modification du code.

fred42 Abonné

Le 05/03/2014 à 11h 49

#87

cid_Dileezer_geek a écrit :

Le résultat de l’erreur est identique et la structure du code est similaire, c’est assez troublant(sauf si c’est codé par la même personne)

Tu as regardé les codes en question combien de temps pour affirmer cela ?

le bug sur Apple était un doublement d’une ligne goto fail; après un if sans qu’il n’y ait de { } après le if.

Ce qui faisait que l’on sautait à la fin de la fonction avec un code retour qui était nul (= pas d’erreur).

Ici, tous les if sont suivis de {} et le problème est plus dans un code un peu pourri.

Que la structure du code soit similaire pour faire dans les 2 cas la même chose : vérifier la validité des certificats X509, ce n’est pas vraiment surprenant. Il faut faire dans les 2 cas les mêmes vérifications.

seb2411

Le 05/03/2014 à 11h 49

#88

KP2 a écrit :

Bref, c’est pas le nombre qui compte, c’est la qualité.

Les deux comptent. Un bon dev qui fait du bon code et qui est a l’origine du projet c’est important. Mais avoir une communauté derrière avec d’autres devs compétents c’est important aussi. Ca permet de croiser les idées, d’apporter une autre manière de voir les choses, de gommer certaines mauvaises pratiques des uns et des autres, souvent un complémentarité, ça permet aussi de relire le code et d’avoir un processus de qualité mieux foutu.

arno53

Le 05/03/2014 à 11h 52

#89

seb2411 a écrit :

Sauf que tu confonds Linux le noyau et une librairie externe. Linux est globalement bien protégé pour pas mal de raisons. Ça ne veut pas dire qu’il est

infaillible mais simplement qu’il y a derrière une énorme communauté et pas mal de travail d’audit et de test.

Il faudrait voir quelle est la communauté derrière la lib GNU TLS.

En effet mais pas y’a pas forcement besoin de créer une faille dans le kernel pour compromettre un système. Ça peut être le navigateur, la gestion du réseau et de ses sécurités etc … Open source ou pas, tout est vulnérable. Le seul avantage du libre est surtout sa réactivité après la découverte de la faille (et encore des fois c’est pas trop ca non plus).

Mais l’argument open source = no faille me fait toujours hurler " />

Une faille de ce type aurait pu être tout a fait découvert en utilisant cette lib en boite noire. Le closed source n’empêche pas la découverte de faille non plus, il suffit juste de voir le petit jeu entre des sociétés comme Vupen et Microsoft

Mais bon le simple fait que ça puisse faire réfléchir certains linuxiens condescendant et obtus des qu’il s’agit de sécurité informatique, ca me fait plaisir " />

Para-doxe

Le 05/03/2014 à 11h 54

#90

Pour les développeurs de GnuTLS, la situation est simple : toutes les versions de la bibliothèque sont atteintes, à l’exception des dernières révisions des deux branches en cours, estampillées 3.2.12 et 3.1.22

Sur Fedora, la faille est corrigée depuis 3.1.20-4, dispo pour Fedora 19 et 20 dans le dépôt update-testing. Construit lundi, le paquet sera dans le dépôt updates sous peut.

cid_Dileezer_geek

Le 05/03/2014 à 11h 57

#91

fred42 a écrit :

Tu as regardé les codes en question combien de temps pour affirmer cela ?

le bug sur Apple était un doublement d’une ligne goto fail; après un if sans qu’il n’y ait de { } après le if.

Ce qui faisait que l’on sautait à la fin de la fonction avec un code retour qui était nul (= pas d’erreur).

Ici, tous les if sont suivis de {} et le problème est plus dans un code un peu pourri.

Que la structure du code soit similaire pour faire dans les 2 cas la même chose : vérifier la validité des certificats X509, ce n’est pas vraiment surprenant. Il faut faire dans les 2 cas les mêmes vérifications.

Combien de temps j’ai regardé le code, je vois pas ce que ça vient faire là dedans.

Et ce n’est pas moi qui affirme, c’est la news:

Une faille très similaire dans iOS, OS X et la bibliothèque GnuTLS

La faille TLS/SSL qui affectait aussi bien iOS qu’OS X est désormais colmatée, mais elle n’en reste pas moins critique. Ce sont respectivement les mises à jour 7.0.6 et 10.9.2 qui se sont occupées du problème. Ce dernier provenait d’une importante lacune dans la vérification des connexions sécurisées qui pouvait permettre à de faux certificats d’être considérés comme authentiques. Des pirates pouvaient donc très bien faire passer un site malveillant comme parfaitement légitime.

Alors qu’elle avait largement fait parler d’elle, le monde de l’open source vit une autre onde de choc : une faille similaire a été détectée dans le composant GnuTLS, utilisé par de très nombreux produits, dont des distributions Linux. Comme son nom l’indique, cette bibliothèque gère les connexions sécurisées, et une erreur dans son code permet le même type d’attaques que dans le cas d’iOS et OS X.

" />

psn00ps

Le 05/03/2014 à 12h 06

#92

le podoclaste a écrit :

Oui, sauf que l’une traîne depuis 8 ans, l’autre depuis 2 mois (à la louche, je n’ai pas les durée en tête, mais c’est l’ordre d’idée). Donc l’hypothèse de la coïncidence reste forte, amha.

" />Partant de là, tu peux mettre une coïncidence à n’importe quoi.

Vellou

Le 05/03/2014 à 12h 06

#93

arno53 a écrit :

En effet mais pas y’a pas forcement besoin de créer une faille dans le kernel pour compromettre un système. Ça peut être le navigateur, la gestion du réseau et de ses sécurités etc … Open source ou pas, tout est vulnérable. Le seul avantage du libre est surtout sa réactivité après la découverte de la faille (et encore des fois c’est pas trop ca non plus).

Mais l’argument open source = no faille me fait toujours hurler " />

Une faille de ce type aurait pu être tout a fait découvert en utilisant cette lib en boite noire. Le closed source n’empêche pas la découverte de faille non plus, il suffit juste de voir le petit jeu entre des sociétés comme Vupen et Microsoft

Mais bon le simple fait que ça puisse faire réfléchir certains linuxiens condescendant et obtus des qu’il s’agit de sécurité informatique, ca me fait plaisir " />

Tu te rends compte que tu es super content de clouer le bec a des gens, alors que tu as sorti une telle enormite que tout credit pouvant t’etre accorde tombe au sous sol ?

Si tu as un coffre fort dans une maison avec une porte en bois, c’est pas parce que la porte est en bois que ton coffre fort est faillible.

Et il a raison quand il dit que c’est audite regulierement, les differents noyaux sont utilises dans tellement de configurations differentes (embarque, super calculateurs, …), qu’il s’agit d’un besoin intrinseque.

Donc, avant de compromettre le noyau avec une faille gnuTLS, euh … comment dire … c’est quoi ton boulot ? " />

Mais bon, la terminologie que tu emploies est tellement vague que tu as libre court pour une reponse rethorique. Fais-toi plaisir …

(condescendant et obtus, tu disais ? … hoptial, charite, tout ca ..)

after_burner

Le 05/03/2014 à 12h 11

#94

L’un des aspects inquiétants de l’affaire est que le code affecté pourrait remonter à 2005

Ahem…

Mais le problème le plus sérieux est que la bibliothèque GnuTLS est utilisée dans de très nombreux produits

Ahem..

On sait désormais que de nombreux produits basés sur un composant open source sont touchés par une faille similaire, dont plusieurs distributions Linux.

Ahemhemm.. (je m’étouffe)

Commentaire inintéressant mais est-il besoin d’en dire plus… " />

" />" />" />

z00p

Le 05/03/2014 à 12h 12

#95

cough cough, quand on fait bien les choses, on utilise pas gnutls mais openssl. Et ça fait un bail que l’info est connue, 2008 pour être précis, source mailing-list d’openldap:

http://www.openldap.org/lists/openldap-devel/200802/msg00072.html

le seul package installé ici dépendant de gnutls c’est… wireshark (étrangement). Tout le reste (firefox inclus), c’est openssl.

Bon, j’ai pas lu l’intégralité des commentaires, mais j’imagine la floppée de trolls qui ont dû se faire plaisir pour, au final, que dalle.

anonyme_e186b7865d4971c1a4c38b90521f44b5

Le 05/03/2014 à 12h 15

#96

Les distributions linux c’est plus sécure par ce que c’est opensource et donc tout le monde peut vérifier.

Ca en fout un coup à ce type d’argumentaire puis qu’apparemment personne ne vérifie " />

Une distrib linux c’est pas plus sécure qu’un windows ou macos " />

after_burner

Le 05/03/2014 à 12h 19

#97

z00p a écrit :

cough cough, quand on fait bien les choses, on utilise pas gnutls mais openssl. Et ça fait un bail que l’info est connue, 2008 pour être précis, source mailing-list d’openldap:

http://www.openldap.org/lists/openldap-devel/200802/msg00072.html

le seul package installé ici dépendant de gnutls c’est… wireshark (étrangement). Tout le reste (firefox inclus), c’est openssl.

Bon, j’ai pas lu l’intégralité des commentaires, mais j’imagine la floppée de trolls qui ont dû se faire plaisir pour, au final, que dalle.

Et comment ça se fait que gnutls est corrigé que maintenant si l’info est connue depuis 2008. " />

Apparemment, beaucoup de produits sont encore touchés donc dire c’est “connue” ça fait encore plus bizarre…

Obidoub

Le 05/03/2014 à 12h 25

#98

Bon allez je mets les pieds dans le troll :

Xarkam a écrit :

Les distributions linux c’est plus sécure par ce que c’est opensource et donc tout le monde peut vérifier.

Ca en fout un coup à ce type d’argumentaire puis qu’apparemment personne ne vérifie " />

En l’occurrence une fois la faille découverte on a pu citer le bout de code en cause. Donc oui c’est ouvert et ça facilite la recherche du problème. Après si les fabricants considèrent l’opensource comme un moyen gratuit de piller du code pour l’intégrer dans leurs produits, sans vérifier et sans contribuer, le souci est peut-être là.

Je ne crois pas avoir vu dans les licences OpenSource une mention “cette licence vous garanti 0 failles de sécurité”.

Une distrib linux c’est pas plus sécure qu’un windows ou macos " />

Tout dépend de l’usage mais il y a énormément de serveurs Linux sur internet et je préfère utiliser un CentOS en mode texte qui est à jour avec un SELinux et un bon parefeu qu’un Windows 2012 qui vient avec énormément de composants inutiles qui consomment des ressources, sont potentiellement des failles de sécurité supplémentaires et nécessite un reboot chaque fois qu’une mise à jour du notepad est disponible. Et je ne compte pas les backdoor NSA et les failles tenues secrètes tant qu’on ne buzz pas dessus.

Enfin tu t’égares un peu, la faille touche gnutls et pas Linux.

A33

Le 05/03/2014 à 12h 30

#99

Seuls les pirates chevronnés pourraient nous dire qui d’entre Linux, Mac OS et Windows est le plus sécurisé (en évitant de comparer les machines desktops et les serveurs qui n’ont probablement pas les mêmes angles d’attaque).

Les affirmations des libristes et des commerciaux me paraissent être du blabla et de l’idéologie qu’aucun fait ne vient étayer.

arno53

Le 05/03/2014 à 12h 32

#100

Vellou a écrit :

Donc, avant de compromettre le noyau avec une faille gnuTLS, euh … comment dire … c’est quoi ton boulot ? " />

J’ai dit ca où " />

Je parle de compromettre la sécurité dans son ensemble … Il suffit d’un maillon faible pour que la chaine ne tienne plus … On a pas forcement tout le temps besoin des droits root pour s’amuser notamment avec l’utilisateur. On peut imaginer un faux site mozilla/chome store qui te propose d’installé une extension verolé type keylogger etc…

Cette exemple permet de créer très facilement un site de phishing ou de faire du man-in-the-middle (typiquement le passe temps des agences de renseignement pour attaqué un haut fonctionnaire etc).

Fin bref, j’ai jamais remis en cause la sécurité intrinsèque du noyau Linux … Juste que tout les systèmes peuvent être vulnérable open-source comme closed-source… En tout cas tu m’as pas fait changé d’avis sur l’ouverture de certains libristes " />

Khalev

Le 05/03/2014 à 12h 32

#101

Obidoub a écrit :

En l’occurrence une fois la faille découverte on a pu citer le bout de code en cause. Donc oui c’est ouvert et ça facilite la recherche du problème. Après si les fabricants considèrent l’opensource comme un moyen gratuit de piller du code pour l’intégrer dans leurs produits, sans vérifier et sans contribuer, le souci est peut-être là.

Sans compter les débats qui tournent autour et qui sont autant de leçons pour les développeurs un minimum attentifs sur ce qu’il faut faire et ne pas faire.

Idem pour la faille goto fail d’Apple vu que le code était open-source on a eu des gros débats sur l’utilisation des gotos et des outils qu’on aurait pu utiliser pour signaler ce genre de soucis.

Pour les failles closed-source souvent tout ce que tu as c’est le patch binaire qui permet de savoir ce qu’était le soucis, ce qui ne permet que rarement de remonter à l’erreur exact dans le code original.

picatrix

Le 05/03/2014 à 12h 33

#102

jfchadeyron a écrit :

Mon serveur ubuntu 12.04 reste vulnérable malgré qu’il soit a jour…une idée ?

sur ubuntu ? " />

Mr.Nox Abonné

Le 05/03/2014 à 12h 35

#103

DorianMonnier a écrit :

²⁄₃ jours pour les correctifs d’iOS et d’OSX, rien d’aberrant.

Si tu regardes sur Gitourious, le commit date d’il y a 6 jours et donc la faille a été découvert il y a ~ 1 semaine au minimum.

La faille datait de plus d’un an en revanche.

Pour ce qui est de cette faille, c’est assez flippant alors que normalement le code est audité régulièrement.

Pour le grand public ça ne changera pas grandement l’image des distributions mais c’est tout de même regrettable.

Baldurien Abonné

Le 05/03/2014 à 12h 41

#104

luxian a écrit :

Seulement une fois que quelqu’un a compris le problème … pouf ! Le lendemain, c’est corrigé, là ou chez Apple, il faut non seulement qu’un grand chef décide, mais en plus que tous les processus internes à l’entreprise soient respectés et chez Mµ$oft, il faut souvent attendre le patch tuesday du mois suivant.

Oui enfin que ce soit le patch tuesday du mois suivant ou pas, si la faille est vieille (9 ans quand même !) … Ce n’est pas un mois de plus qui va changer la donne :)

(ça et sans compter la non mise à jour inhérente à la fainéantise des gens).

baldodo

Le 05/03/2014 à 12h 47

#105

after_burner a écrit :

Et comment ça se fait que gnutls est corrigé que maintenant si l’info est connue depuis 2008. " />

de ce que je lis, on sait que le code de gnuTLS est mal écrit depuis 2008, parce que notamment il utilise des fonctions non sécurisés de traitement de chaine pour traiter des flux binaires : ça n’est pas directement lié au bug révélé ici.

En 2008 ça disait juste “vu comment c’est écrit il y a des chances que ça soit buggué” sans pointer un bug spécifique.

Khalev

Le 05/03/2014 à 12h 48

#106

Mr.Nox a écrit :

Pour ce qui est de cette faille, c’est assez flippant alors que normalement le code est audité régulièrement.

Vu que GnuTLS était déconseillé depuis 6 ans c’est pas si étonnant que ça en fait. La communauté autour ne devait pas être si grosse que ça.

C’est juste dommage que la lib ait continué à être utilisée alors qu’elle était déconseillée…

fred42 Abonné

Le 05/03/2014 à 12h 51

#107

cid_Dileezer_geek a écrit :

Combien de temps j’ai regardé le code, je vois pas ce que ça vient faire là dedans.

Et ce n’est pas moi qui affirme, c’est la news:

" />

C’est toi qui as dit :

On a la même erreur de code

dans un premier message auquel j’ai répondu puis qui as dit :

la structure du code est similaire

dans ton second message qui répondait à ma propre réponse.

Ce n’est pas la news qui dit ça.

Comme je ne suis pas de cet avis, il me semble normal de demander si tu as bien étudié les codes en question avant d’en parler.

Et le fait que des erreurs de code différentes dans des lib de vérification de certificats amènent à un bug de même type : des certificats non valides sont considérés valides ça n’a rien de surprenant.

La news ne va pas plus loin que cela. Dans les 2 cas, on peut attaquer par des certificats non valides, mais je ne suis pas sûr que les mêmes certificats mettent en défaut les 2 libs.

psn00ps

Le 05/03/2014 à 12h 52

#108

z00p a écrit :

cough cough, quand on fait bien les choses, on utilise pas gnutls mais openssl. Et ça fait un bail que l’info est connue, 2008 pour être précis, source mailing-list d’openldap:

http://www.openldap.org/lists/openldap-devel/200802/msg00072.html

le seul package installé ici dépendant de gnutls c’est… wireshark (étrangement). Tout le reste (firefox inclus), c’est openssl.

Bon, j’ai pas lu l’intégralité des commentaires, mais j’imagine la floppée de trolls qui ont dû se faire plaisir pour, au final, que dalle.

Tu as essayé de virer gnutls ? J’ai fait l’essai et ça vire 450 packages du système,

gnome, kde, libreoffice, vlc, qemu, networkmanager,nautilus,… (2Gigas)

arno53

Le 05/03/2014 à 12h 53

#109

Baldurien a écrit :

Oui enfin que ce soit le patch tuesday du mois suivant ou pas, si la faille est vieille (9 ans quand même !) … Ce n’est pas un mois de plus qui va changer la donne :)

(ça et sans compter la non mise à jour inhérente à la fainéantise des gens).

Et Ms sort aussi, bien que rarement, des patch hors cycle si la faille est vraiment grave.

after_burner

Le 05/03/2014 à 12h 53

#110

baldodo a écrit :

de ce que je lis, on sait que le code de gnuTLS est mal écrit depuis 2008, parce que notamment il utilise des fonctions non sécurisés de traitement de chaine pour traiter des flux binaires : ça n’est pas directement lié au bug révélé ici.

En 2008 ça disait juste “vu comment c’est écrit il y a des chances que ça soit buggué” sans pointer un bug spécifique.

Je vois. C’est compliqué la sécurité informatique, hein. " />" />

Bon il serait bien de savoir quel produits utilise gnutls, parce que j’imagine que ça peut toucher tous les systèmes, pas seulement OSX, iOS et certaines distribs linux?

le podoclaste

Le 05/03/2014 à 12h 55

#111

psn00ps a écrit :

" />Partant de là, tu peux mettre une coïncidence à n’importe quoi.

Et inversement, tu peux mettre un complot derrière n’importe quoi.

le podoclaste

Le 05/03/2014 à 12h 59

#112

after_burner a écrit :

Et comment ça se fait que gnutls est corrigé que maintenant si l’info est connue depuis 2008. " />

Apparemment, beaucoup de produits sont encore touchés donc dire c’est “connue” ça fait encore plus bizarre…

Le message en question ne parle pas du bug de la news, mais d’une autre faille potentielle.

spike_boon

Le 05/03/2014 à 13h 00

#113

jfchadeyron a écrit :

Mon serveur ubuntu 12.04 reste vulnérable malgré qu’il soit a jour…une idée ?

aujourd’hui une mise à jour de gnutls est sortie sur les dépots ubuntu donc à priori ton serveur est protégé par rapport à cette faille (si tu as fait la mise à jour bien entendu)

anonyme_b3e05f43bed326da32611ec4ad59c217

Le 05/03/2014 à 13h 02

#114

luxian a écrit :

Garantis que les failles soient plus facilement détectable et que code soit plus facilement corrigeable en laissant un accès à une plus grande quantité de gens capables de comprendre et modifier le dit code.

" />

Cela ne garantit pas la vitesse de détection, mais facilite grandement la réactivité.

Combien de fois es-tu passé devant une publicité qui a une faute d’orthographe dans son texte sans voir la faute ? La raison est que tu n’y prêtes pas attention ? Et bien c’est pareil pour tous les autres gens qui passent devant.

http://www.ouille.com/images/carotte.gif

Seulement une fois que quelqu’un a compris le problème … pouf ! Le lendemain, c’est corrigé, là ou chez Apple, il faut non seulement qu’un grand chef décide, mais en plus que tous les processus internes à l’entreprise soient respectés et chez Mµ$oft, il faut souvent attendre le patch tuesday du mois suivant.

Oui, pour cette fois, l’image de marque a manqué d’en prendre un coup et ils se sont bougés en mode Panic and Dirty et en contournant tous leurs process.

Quand aux nunuxien, il aura fallu que quelqu’un se dise … tiens personne ne s’est occupé de ce truc, il va falloir que je le fasse sinon personne ne le fera et ça restera en plan ….

Alors, mon avis strictement personnel à moi sur la question :

trouver des bugs en relisant simplement un code source, je crois que dans les systèmes actuels, avec des millions de lignes et la complexité inhérente, ça doit représenter peanuts. La majorité doit être trouvée via des outils divers qui s’attaquent aux fichiers compilés. Pour moi, le côté open source ne change rien du tout, aujourd’hui, à la détection des bugs. A la limite, le côté populaire d’un soft a bien plus de chance d’attirer l’attention.

un bug peut être caché des années sans qu’on s’en rende compte. Ca arrive souvent, et ça continuera d’arriver. La preuve ici. Après, il y a x raisons qui font que ça peut rester des années, ou moins.

Corriger un bug en 2h, ça dépend du bug. Soit c’est une erreur de logique vite modifiée, soit c’est le truc qui va te demander des jours pour analyser les dépendances.

Balancer un correctif sans un minimum de test de régression est tout aussi inconscient. Un correctif, ça peut avoir des effets de bord monstrueux, et je ne fais pas confiance à un patch sorti illico après la découverte d’une faille : ça confirme que le code a peut-être été corrigé, mais que personne n’a vérifié s’il y avait des effets de bord. Et encore une fois, ça dépend de l’importance et de l’impact du bug.

En bref, open source ou pas, même combat. Il y a des étapes incompressibles et qui dépendent de l’importance du bug, la suite dépend de qui va faire quoi dans la chaine. En gros, des tests de régression sont fait en interne, ou laissés à discrétion de l’utilisateur ou de la communauté.

Tout le reste n’est que flan ou parti pris.

CR_B7 Abonné

Le 05/03/2014 à 13h 06

#115

Et dire qu’on nous dit a longueur de temps que l’open source est la parade a la NSA.

En fait personne ne lit le code, ou en tout cas, pas des personnes qui le comprennent.

psikobare

Le 05/03/2014 à 13h 10

#116

cid_Dileezer_geek a écrit :

Le résultat de l’erreur est identique et la structure du code est similaire, c’est assez troublant(sauf si c’est codé par la même personne)

ouai ça se saurait si les développeurs s’inspirait et se recopiait les uns les autres…

KP2

Le 05/03/2014 à 13h 11

#117

seb2411 a écrit :

Les deux comptent. Un bon dev qui fait du bon code et qui est a l’origine du projet c’est important. Mais avoir une communauté derrière avec d’autres devs compétents c’est important aussi. Ca permet de croiser les idées, d’apporter une autre manière de voir les choses, de gommer certaines mauvaises pratiques des uns et des autres, souvent un complémentarité, ça permet aussi de relire le code et d’avoir un processus de qualité mieux foutu.

Ouais bien sur, il vaut toujours mieux avoir le beure et l’argent du beurre avec un noyau de dev motivés et tres competents epaulés par une large communauté reactive et participative. C’est evident.

Mais quand il faut choisir, Je prefererai toujours la petite equipe motivée a un gros groupe de “moustiques”.

Et dans les faits, ce sont toujours les projets avec un leader meme tout seul qui survivent contrairement aux projets qui federent une communauté qui doit s’auto-organiser.

Les exemples classiques du 2e cas, ce sont les editeurs qui decident un beau jour de “liberer” un de leur logiciel comme moi je vais poser mon offrande a mere nature le matin. Ils font un peu de buzz, ca genere vite une communauté mais comme y’a pas de leadership (car, bien evidemment, l’editeur souhaite completement se retirer du projet) alors ca se vautre vite en qq mois.

Mais quand un projet mené par un noyau de dev solides arrive a faire monter la mayonnaise et creer une large communauté, c’est bingo. Mais c’est pas le cas general malheureusement…

KP2

Le 05/03/2014 à 13h 12

#118

CR_B7 a écrit :

Et dire qu’on nous dit a longueur de temps que l’open source est la parade a la NSA.

En fait personne ne lit le code, ou en tout cas, pas des personnes qui le comprennent.

Ben c’est quand meme mieux qu’un logiciel completement fermé de toute facon…

Thald'

Le 05/03/2014 à 13h 14

#119

Bien que l’erreur semble assez grossière.

il me semble que les commentaires oublient qu’un soft libre ou proprio avec 0 bug n’existe pas.

CR_B7 Abonné

Le 05/03/2014 à 13h 17

#120

KP2 a écrit :

Ben c’est quand meme mieux qu’un logiciel completement fermé de toute facon…

Tout a fait d’accord, mais ce n’est pas une garantie.

Si la défense prend du linux, elle peut (a grand renfort de €) s’assurer qu’il n’y a pas de backdoor, mais c’est pas juste avec un achat open-source qu’elle en aura la garantie.

after_burner

Le 05/03/2014 à 13h 23

#121

le podoclaste a écrit :

Le message en question ne parle pas du bug de la news, mais d’une autre faille potentielle.

Il semble que le composants ne respecte pas les règles de sécurités, du coup il peut y avoir plein d’autres failles en effet.

le podoclaste

Le 05/03/2014 à 13h 27

#122

after_burner a écrit :

Il semble que le composants ne respecte pas les règles de sécurités, du coup il peut y avoir plein d’autres failles en effet.

En tout cas, grâce à cette faille, tout le monde sait depuis hier que tout le monde sait depuis 6 ans que cette bibliothèque est pourrite " />

luxian Abonné

Le 05/03/2014 à 13h 28

#123

seb2411 a écrit :

Plus simplement il fait une actualisation normale car les correctifs sont déjà dispos sur toute les versions supporte d’Ubuntu. Pas besoin de passer a Ubuntu 13.10 (surtout pas sur un serveur)

J’ai une ubuntu server installée chez moi car avec la 13.10 … seule cette version gérait simplement mon raid 0 logiciel. Lors de la question, l’ami JF était un rien perdu … s’il avait été un admin pure player, il n’aurait même pas posé la question. Donc on pouvait suggérer sans honte de passer en mode bidouille.

luxian Abonné

Le 05/03/2014 à 13h 33

#124

seblutfr a écrit :

Alors, mon avis strictement personnel à moi sur la question :

Tout le reste n’est que flan ou parti pris.

J’ai relu à deux fois ton pavé … mais non, je maintiens ce que je pense en lisant ta prose.

En l’occurence, je ne vois pas en quoi tu contredis ce que j’ai écrit. Pour moi, tu le complètes (et c’est fort vrai ce que tu dis).

Si tu vois un parti pris ou du flan dans ce que j’ai indiqué, c’est que tu n’as pas dû comprendre quelques chose quelque part dans mes propos.

KP2

Le 05/03/2014 à 13h 35

#125

CR_B7 a écrit :

Tout a fait d’accord, mais ce n’est pas une garantie.

Si la défense prend du linux, elle peut (a grand renfort de €) s’assurer qu’il n’y a pas de backdoor, mais c’est pas juste avec un achat open-source qu’elle en aura la garantie.

Tout a fait…

Le Libre n’a jamais proposé de garantie sur quoique ce soit.

On peut voir effectivement qq jeunes idealistes qui connaissent tres mal le fonctionnement du Libre venir raconter l’inverse dans des forums mais il faut etre aussi idiots qu’eux pour croire a ce qu’ils racontent.

D’ailleurs, coté garanties, je sais pas si qqn ici a deja lu des licences de logiciels proprietaires mais ils ne proposent pas plus de garantie d’aucune sorte… meme pas celle du bon foonctionnement de l’appli et encore moins celle de la securité ou l’absence de risque pour vos données. Microsoft, par exemple, se dedouane TOTALEMENT de ses produits. Et il est loin d’etre le seul… Je ne sais meme pas si c’est vraiment legal en France..

Bref, tomber sur le dos du Libre a cause de cette annonce, c’est juste ridicule. Et ca denote surtout une tres mauvaise connaissance non seulement du Libre mais aussi du proprio et du marche informatique d’une maniere generale de la part des auteurs des commentaires.

lateo

Le 05/03/2014 à 13h 47

#126

geekounet85 a écrit :

justement, j’ai lancé un petit pacman -Syu ce matin et :

Les rolling Release, c’est quand même bien! " />

sur Arch la correction/update c’était hier en fait je crois.

Minikea

Le 05/03/2014 à 13h 50

#127

lateo a écrit :

sur Arch la correction/update c’était hier en fait je crois.

ouais mais je fais pas les mises à jours tout les jours… " />

lateo

Le 05/03/2014 à 13h 55

#128

psn00ps a écrit :

Tu as essayé de virer gnutls ? J’ai fait l’essai et ça vire 450 packages du système,

gnome, kde, libreoffice, vlc, qemu, networkmanager,nautilus,… (2Gigas)

J’ai regardé par curiosité, et sur mon poste de travail (Arch + enlightenment) ça donne ça :

:: aria2 : requiert gnutls

:: connman : requiert gnutls

:: ffmpeg : requiert gnutls

:: glib-networking : requiert gnutls

:: libimobiledevice : requiert gnutls

:: smbclient : requiert gnutls

:: wireshark-cli : requiert gnutls

édit: bref, si ça te dégage masse de trucs sur ta machine, c’est des histoires de dépendances de dépendances (de dépendances…), peut-être avec ton interface graphique préférée.

Niflheims

Le 05/03/2014 à 14h 01

#129

J’avoue ne pas avoir lu tous les commentaires précédents. Mais voilà : autant coder un truc comme ça c’est moche mais on peut comprendre que ça se produise (fatigue ou plus probablement “merge” foireux), autant valider un truc comme ça, c’est assez énorme. Surtout pour une lib sensible qui a en charge le TLS.

On aurait pu s’attendre à ce qu’une telle lib dispose d’un jeu de tests couvrant les cas nominaux mais aussi des cas d’erreur et des cas tordus, avec des certificats volontairement foireux.

Bref, c’est assez flippant…

coket

Le 05/03/2014 à 14h 06

#130

KP2 a écrit :

Tout a fait…

Le Libre n’a jamais proposé de garantie sur quoique ce soit.

On peut voir effectivement qq jeunes idealistes qui connaissent tres mal le fonctionnement du Libre venir raconter l’inverse dans des forums mais il faut etre aussi idiots qu’eux pour croire a ce qu’ils racontent.

D’ailleurs, coté garanties, je sais pas si qqn ici a deja lu des licences de logiciels proprietaires mais ils ne proposent pas plus de garantie d’aucune sorte… meme pas celle du bon foonctionnement de l’appli et encore moins celle de la securité ou l’absence de risque pour vos données. Microsoft, par exemple, se dedouane TOTALEMENT de ses produits. Et il est loin d’etre le seul… Je ne sais meme pas si c’est vraiment legal en France..

Bref, tomber sur le dos du Libre a cause de cette annonce, c’est juste ridicule. Et ca denote surtout une tres mauvaise connaissance non seulement du Libre mais aussi du proprio et du marche informatique d’une maniere generale de la part des auteurs des commentaires.

Je pense que si il y a de telles réactions, c’est que quelques libristes moins sages que toi, orgueilleux, condescendants, ont eu tendance a traiter tout non libriste avec beaucoup de mépris et énormément de certitudes sur la supériorité naturelle de Linux en terme de sécurité…

Peut être cet épisode aura du bon finalement, au moins dans l’apaisement entre communautés.

Ce n’est là que mon avis…

anonyme_97254becd5c5b064755d6772703ed968

Le 05/03/2014 à 14h 06

#131

Et qu’est ce qu’on en a à foutre des failles de sécurité ?

Sérieux ! (à part faire marcher le business de la sécurité et de la peur !!!)

Puisqu’on sait que l’ordinateur est insécurisable.

Les informations qui ne doivent être divulguées n’ont pas leur place sur un ordinateur.

Il faut jusque accepté cela et agir en conséquence.

anonyme_97254becd5c5b064755d6772703ed968

Le 05/03/2014 à 14h 07

#132

Pour moi il faut juste mettre la capote, le reste il faut l’accepter.

Faith

Le 05/03/2014 à 14h 14

#133

ledufakademy a écrit :

Pour moi il faut juste mettre la capote, le reste il faut l’accepter.

Pourquoi mettre une capote ? Sa fiabilité n’est pas de 100%, autant ne rien mettre…

le podoclaste

Le 05/03/2014 à 14h 15

#134

ledufakademy a écrit :

Et qu’est ce qu’on en a à foutre des failles de sécurité ?

Sérieux ! (à part faire marcher le business de la sécurité et de la peur !!!)

Puisqu’on sait que l’ordinateur est insécurisable.

Les informations qui ne doivent être divulguées n’ont pas leur place sur un ordinateur.

Il faut jusque accepté cela et agir en conséquence.

Merci pour cet avis éclairé. Tiens, prends une cacahuète.

lateo

Le 05/03/2014 à 14h 16

#135

le podoclaste a écrit :

Merci pour cet avis éclairé. Tiens, prends une cacahuète.

" />

psn00ps

Le 05/03/2014 à 14h 19

#136

lateo a écrit :

édit: bref, si ça te dégage masse de trucs sur ta machine, c’est des histoires de dépendances de dépendances (de dépendances…), peut-être avec ton interface graphique préférée.

après vérification, j’ai une dépendance directe sur environ 50 paquets.

Ramené aux familles de paquets, ça en fait encore une trentaine.

2:ntfsprogs-2013.1.13-6.fc20.x86_64

2:qemu-system-x86-1.6.1-3.fc20.x86_64

5:mutt-1.5.21-26.fc20.x86_64

ffmpeg-libs-2.1.4-1.fc20.x86_64

filezilla-3.7.3-1.fc20.x86_64

glib-networking-2.38.2-1.fc20.x86_64

gstreamer-plugins-bad-0.10.23-5.fc20.x86_64

gtk-vnc2-0.5.3-1.fc20.x86_64

gvfs-afc-1.18.3-2.fc20.x86_64

gvnc-0.5.3-1.fc20.x86_64

ifuse-1.1.2-7.fc20.x86_64

lftp-4.4.9-1.fc20.x86_64

libgadu-1.12.0-0.3.rc2.fc20.x86_64

libgpod-0.8.3-1.fc20.x86_64

libimobiledevice-1.1.5-3.fc20.x86_64

libmicrohttpd-0.9.33-1.fc20.x86_64

librtmp-2.4-1.20131205.gitdc76f0a.fc20.x86_64

libvirt-client-1.1.3.4-1.fc20.x86_64

libvncserver-0.9.9-10.fc20.x86_64

loudmouth-1.4.3-13.fc20.x86_64

neon-0.30.0-2.fc20.x86_64

rtmpdump-2.4-1.20131205.gitdc76f0a.fc20.x86_64

tigervnc-1.3.0-12.fc20.x86_64

vino-3.10.1-1.fc20.x86_64

vlc-core-2.1.4-1.fc20.x86_64

vpnc-0.5.3-19.svn457.fc20.x86_64

wireshark-1.10.5-3.fc20.x86_64

zart

Le 05/03/2014 à 14h 28

#137

luxian a écrit :

Une fois qu’ils s’en sont rendus compte, il a fallu combien de temps à Apple pour corriger son bogue déjà ?

Je ne veux pas rajouter de poils au " /> , mais ….

Et y-a-t-il fallu 9 ans pour qu’Apple se rendre compte du bogue?

Je ne veux pas rajouter de poils au " /> , mais ….

Winderly Abonné

Le 05/03/2014 à 14h 28

#138

J’ai eu la mise à jour aujourd’hui (openSUSE 13.1).

Donc le libre permet de corriger les failles vite, mais pas de les connaitre plus vite.

John Shaft Abonné

Le 05/03/2014 à 14h 30

#139

Bon, ça explique le joli mail qu’unattended-upgrades m’a envoyé hier pour me dire que libgnutls passer en version 2.12.20-8+deb7u1.

Khalev

Le 05/03/2014 à 14h 41

#140

zart a écrit :

Et y-a-t-il fallu 9 ans pour qu’Apple se rendre compte du bogue?

Je ne veux pas rajouter de poils au " /> , mais ….

C’est pas eux qui s’en sont rendu compte " />

Khalev

Le 05/03/2014 à 14h 48

#141

Khalev a écrit :

C’est pas eux qui s’en sont rendu compte " />

Je ne peux plus éditer mais je me suis un peu avancé là.

" />

C’est là qu’il me faudrait le petit truc des MIBs…

coolspot

Le 05/03/2014 à 14h 48

#142

boglob a écrit :

en tout cas, l’argument comme quoi c’est open source donc plus secure en prend un coup dans la gueule.

En quoi ca remet en cause. C’est juste que l’open-source a permit de voir cette faille donc ensuite de la corrigé. Tu peut très bien avoir la même sous ton Windows mais tu ne le sauras jamais.

Sinon le libre et l’open-source ne sont pas à l’abri des failles de sécurité mais sont toujours plus sécurisé que leur homologue privateurs dont on ne peut voir les failles et qui par définition sont des malware donc forcément beaucoup moins sécurisé.

Bref une faille de moins dans le monde du libre et vu que le système de mises à jours sous GNU/linux est cohérent (centralisé par une logithèque) le déploiement sera rapide et automatique (vu que mise à jour de sécurité).

zart

Le 05/03/2014 à 14h 52

#143

Khalev a écrit :

Je ne peux plus éditer mais je me suis un peu avancé là.

" />

C’est là qu’il me faudrait le petit truc des MIBs…

" /> Ca ne marche pas sur moi " />

Khalev

Le 05/03/2014 à 14h 55

#144

zart a écrit :

" /> Ca ne marche pas sur moi " />

Normal avec ton nom, c’est toi la petite lumière en fait:

“Regardez par là s’il vous plaît…”

ZART

“En fait ce que vous voyez n’est que la réaction de deux atomes de polonium qui ont poussé ce développeur d’Apple à regarder le code à l’envers. C’est pour cela qu’il a vu ce que personne n’avait vu avant lui. La nsa et nous-mêmes n’avons aucun lien avec ceci. Merci de votre attention!”

coolspot

Le 05/03/2014 à 14h 56

#145

Enfin pour ajouter je dirai que cette faille donne tord à Linus quand il dit que les développeur BSD sont des “paranoïaque de la sécurité” parce que cette faille montre qu’être paranoïaque peut avoir du bon et montre la supérieur d’OpenSSL sur GNU.

Bref ca montre qu’avec les logiciel GNU il y a à boire et à manger n’en déplaisent à notre chère RMS. " />

Para-doxe

Le 05/03/2014 à 15h 00

#146

coolspot a écrit :

Enfin pour ajouter je dirai que cette faille donne tord à Linus quand il dit que les développeur BSD sont des “paranoïaque de la sécurité” parce que cette faille montre qu’être paranoïaque peut avoir du bon et montre la supérieur d’OpenSSL sur GNU.

Bref ca montre qu’avec les logiciel GNU il y a à boire et à manger n’en déplaisent à notre chère RMS. " />

Je m’attendais pas à un troll pro-BSD sur PCI. " />

KP2

Le 05/03/2014 à 15h 01

#147

coket a écrit :

Je pense que si il y a de telles réactions, c’est que quelques libristes moins sages que toi, orgueilleux, condescendants, ont eu tendance a traiter tout non libriste avec beaucoup de mépris et énormément de certitudes sur la supériorité naturelle de Linux en terme de sécurité…

Personnellement, je pense que Linux a une superiorité naturelle en terme de securité mais pas dans les failles de secu dans le code mais plutot au niveau de l’architecture du systeme.

Mais c’est plus du a son heritage Unix qu’a la qualité des gens qui font linux.

MacOSX est, pour moi, dans un cas de figure equivalent.

En fait, c’est windows qui est mal concu surtout… Il a peut etre (et meme probablement) moins de failles que linux ou macosx mais les impacts sont tout de suite beaucoup plus grave a cause de son architecture interne, de sa conception et des choix de configuration par defaut. Les choses se sont ameliorées depuis 7 mais ca n’est pas folichon pour autant…

coolspot

Le 05/03/2014 à 15h 03

#148

Para-doxe a écrit :

Je m’attendais pas à un troll pro-BSD sur PCI. " />

Bah je suis pas pro-BSD (je tourne sous GNU/Linux : Ubuntu Gnome depuis plus d’un an) mais il faut reconnaître qu’en terme de sécurité BSD > GNU/Linux > OSX & Windows.

Donc que BSD > All.

Bon après BSD c’est moins user-friendly que GNU/Linux et tu a pas la logithèque monstrueuse d’une Debian. " />

Après il faut reconnaitre que les licence BSD sont ,de moins point de vu, mieux ficelé que les licences GNU qui sont de plus en plus restrictive au fil des version à contrario des BSD ou tu peut faire quasiment ce que tu veut.

Khalev

Le 05/03/2014 à 15h 04

#149

coolspot a écrit :

Enfin pour ajouter je dirai que cette faille donne tord à Linus quand il dit que les développeur BSD sont des “paranoïaque de la sécurité” parce que cette faille montre qu’être paranoïaque peut avoir du bon et montre la supérieur d’OpenSSL sur GNU.

Bref ca montre qu’avec les logiciel GNU il y a à boire et à manger n’en déplaisent à notre chère RMS. " />

http://www.kevinmarks.com/personality.html

coolspot

Le 05/03/2014 à 15h 06

#150

Khalev a écrit :

http://www.kevinmarks.com/personality.html

Traduction en français ?

coolspot

Le 05/03/2014 à 15h 08

#151

En fait l’OS ultime c’est Debian kFreeBSD auquel tu vire les outil GNU. " />

malock

Le 05/03/2014 à 15h 17

#152

Khalev a écrit :

http://www.kevinmarks.com/personality.html

About the authors

Kevin Marks works for Apple Computer in the QuickTime Group.

Maf Vosburgh works for Microsoft in the Mac Business Unit.

By an amazing coincidence, both are British, both like sushi, and both used to work at the same company in London, where they both wrote “3D Atlas” (well, half each).

" />

anonyme_97254becd5c5b064755d6772703ed968

Le 05/03/2014 à 15h 19

#153

Faith a écrit :

Pourquoi mettre une capote ? Sa fiabilité n’est pas de 100%, autant ne rien mettre…

si, on fait le minimum syndical, le reste et bien on ne le contrôle pas …

j’ai vu les autres commentaires : ils me font bien marrés ceux qui prétendent “sécurisé” un SI … Belle bande d’imposteurs qui quand ils se font ouvrir font toujours profil bas.

Allez shuss, cela fait juste 25 ans que je bosse sur les infra.

… et les seuls que je vois à niveau … ce sont les hacker !

et pas les experts en sécurité (que j’ai côtoyé) qui ont toujours 2 ans de retard sur les failles -360 days.

coolspot

Le 05/03/2014 à 15h 23

#154

arno53 a écrit :

J’ai dit ca où " />

Je parle de compromettre la sécurité dans son ensemble … Il suffit d’un maillon faible pour que la chaine ne tienne plus … On a pas forcement tout le temps besoin des droits root pour s’amuser notamment avec l’utilisateur. On peut imaginer un faux site mozilla/chome store qui te propose d’installé une extension verolé type keylogger etc…

Cette exemple permet de créer très facilement un site de phishing ou de faire du man-in-the-middle (typiquement le passe temps des agences de renseignement pour attaqué un haut fonctionnaire etc).

Sauf que non c’est pas possible vu que les navigateur n’utilise pas GNU/TLS mais OpenSSL.

Okki Abonné

Le 05/03/2014 à 15h 50

#155

jfchadeyron a écrit :

Les version GnuTLS patchées sont 3.2.12 ou 3.1.22

http://www.gnutls.org/security.html#GNUTLS-SA-2014-2

Hors mon serveur 12.04 indique 3.0.xx

(apt-cache show gnutls-bin)

Dans la FAQ sécurité de Debian (qui s’applique également à Ubuntu), on peut lire

* Le numéro de version d’un paquet indique-t-il une version vulnérable ?

* Pourquoi vous embêtez-vous avec une vieille version de ce paquet ?

Khalev

Le 05/03/2014 à 15h 53

#156

coolspot a écrit :

Traduction en français ?

C’est juste une comparaison des différents “caractères” des développeurs et les façon de programmer.

Il y a justement une description du développeur paranoïaque. Tellement parano qu’il met trop de sécurité… ce qui crée des bugs " />

coolspot

Le 05/03/2014 à 15h 55

#157

Khalev a écrit :

C’est juste une comparaison des différents “caractères” des développeurs et les façon de programmer.

Il y a justement une description du développeur paranoïaque. Tellement parano qu’il met trop de sécurité… ce qui crée des bugs " />

" /> mais bon la réputation de BSD en terme de sécurité n’est pas une légende urbaine non plus.

Okki Abonné

Le 05/03/2014 à 15h 59

#158

z00p a écrit :

le seul package installé ici dépendant de gnutls c’est… wireshark (étrangement). Tout le reste (firefox inclus), c’est openssl.

Bon, j’ai pas lu l’intégralité des commentaires, mais j’imagine la floppée de trolls qui ont dû se faire plaisir pour, au final, que dalle.

Après vérification des programmes dépendants de GNU TLS, on peut citer ffmpeg (bibliothèque audio/vidéo pas mal utilisée), filezilla et lftp (le meilleur client ftp qui soit), gnome-vfs (pour les fous qui utiliseraient encore GNOME 2), libvirt, qemu, samba, weechat, wine…

De mon côté, j’en ai trois qui l’utilisent encore

luxian Abonné

Le 05/03/2014 à 16h 05

#159

zart a écrit :

Et y-a-t-il fallu 9 ans pour qu’Apple se rendre compte du bogue?

Je ne veux pas rajouter de poils au " /> , mais ….

Il faut croire que oui puisqu’ils ont intégré le dit code bogué depuis 9 ans dans leur propre solution. En gros pour le coup, c’est …. Tous à Poil !

http://media.rtl.fr/online/image/2013/1120/7767066332_dorial-tillier-presente-la…

John Shaft Abonné

Le 05/03/2014 à 16h 07

#160

Khalev a écrit :

Me semble que sous debian c’est GnuTLS qui est utilisé dans apache à la place d’OpenSSL " />

Si quelqu’un peut confirmer.

Nope, c’est bien OpenSSL qui est utilisé sous Apache (voir les dépendances -> libssl1.0.0) " />

Apache utilise de base OpenSSL (qui n’est pas exempt de bugs par ailleurs) donc ça serait un peu se compliquer la vie de faire une version spéciale Debian basée sur GnuTLS. " />

arno53

Le 05/03/2014 à 16h 12

#161

coolspot a écrit :

Sauf que non c’est pas possible vu que les navigateur n’utilise pas GNU/TLS mais OpenSSL.

Je parlais en général pas forcement de cette faille précise qui selon la petite liste de psn00ps a une porté limité (bon y’a quand meme Fillezilla, vlc, ffmpeg et libmicrohttpd qui sont touché (c’est les seul qui me parle)).

Mon propos d’origine ne porte pas vraiment sur cette faille précise dont je me fous un peu, c’est surtout qu’aucun système n’est infaillible et que l’adage “c’est open source donc obligatoirement sécure” (comme on l’entend souvent dès qu’il s’agit de la NSA ou de Windows) est complétement erroné. Il y’a et on trouve des failles dans des programmes closed-source comme open-source. Le seul vrai avantage de l’Open-Source c’est sa réactivité après la découverte publique de la faille.

Des failles y’en a toujours eu et il y’en aura toujours et dans tout les programme, OpenSSL en avait eu une qui faisait baisser l’entropie du chiffrement, Firefox en a malgré son ouverture etc.

Personnellement vu le budget et les compétences internes de la NSA, je pense qu’ils ont déjà réussi, au moins une fois, a implémenté une faille dans un logiciel open-source suffisamment complexe pour ne pas être détecté au premier audit venu … Après il fort probable qu’un développeur l’aie vu quelques mois/années plus tard et aie soumis un rapport de bug annihilant cette faiblesse sans savoir qu’à la NSA des gens ont pleurés en voyant ce rapport " />

Et puis même si ils n’ont pas réussi a implémenté une faille dans un logiciel donné, ils ont des équipes dont le seul rôle est d’auditer des programmes afin d’y trouver une faiblesse. Et dans le cas d’une joyeuse découverte ils ne font pas de rapport de bug eux " />

Le but d’une section cyberattaque étatique n’est pas d’utilisé massivement une brèche pour faire du spam ou un botnet, mais d’avoir une liste de faille a un instant T afin de pénétrer/saboter un objectif précis afin de rester le plus discret possible.

Enfin bref, je suis peut être un complotiste incompris mais je trouve ca plus raisonnable que d’être certain de la sécurité d’un système sous prétexte qu’il est ouvert. Alors certes l’ouverture permet une meilleurs sécurité que du closed-source (et encore ca se debat … Vu le nombre de faille qu’on découvre dans des programmes dont les sources sont inaccessible) mais ce n’est clairement pas infaillible et encore moins NSA-Proof-By-Design.

Signé l’homme à la cigarette " />

baldodo

Le 05/03/2014 à 16h 12

#162

John Shaft a écrit :

Apache utilise de base OpenSSL (qui n’est pas exempt de bugs par ailleurs) donc ça serait un peu se compliquer la vie de faire une version spéciale Debian basée sur GnuTLS. " />

on m’a dit qu’openSSL était en licence type firefox …" />

ok je sors.

Anonyme

Le 05/03/2014 à 16h 23

#163

Allez… 1 de trouvée… plus qu’1 milliard…

" />

Okki Abonné

Le 05/03/2014 à 16h 26

#164

coolspot a écrit :

Après il faut reconnaitre que les licence BSD sont ,de moins point de vu, mieux ficelé que les licences GNU qui sont de plus en plus restrictive au fil des version à contrario des BSD ou tu peut faire quasiment ce que tu veut.

Personnellement, j’ai les licences BSD en horreur. Les licences GNU protègent les utilisateurs et leurs libertés. Les licences BSD autorisent quiconque à piller le code (comme a pu le faire Apple) sans rien donner en retour, et en privant les utilisateurs de leurs libertés (comme c’est le cas sous OSX).

Il n’y a donc pas une licence mieux ficelée que l’autre, ce sont juste deux philosophies différentes.

sr17

Le 05/03/2014 à 16h 32

#165

A33 a écrit :

Seuls les pirates chevronnés pourraient nous dire qui d’entre Linux, Mac OS et Windows est le plus sécurisé (en évitant de comparer les machines desktops et les serveurs qui n’ont probablement pas les mêmes angles d’attaque).

Les affirmations des libristes et des commerciaux me paraissent être du blabla et de l’idéologie qu’aucun fait ne vient étayer.

Le fait est qu’un code qui est ouvert à tous a plus de chance de voir les failles repérées. C’est un argument évident pour n’importe quel professionnel.

Pour information, de nombreuses sociétés dédiées à la sécurité travaillent à chercher des failles dans tous les OS.

Xarkam a écrit :

Les distributions linux c’est plus sécure par ce que c’est opensource et donc tout le monde peut vérifier.

Ca en fout un coup à ce type d’argumentaire puis qu’apparemment personne ne vérifie " />

Une distrib linux c’est pas plus sécure qu’un windows ou macos " />

Le fait qu’une faille n’ait pas été trouvée ne signifie pas que personne ne vérifie.

Apprenez de quoi nous parlons avant de critiquer : Un système d’exploitation complet, ça se compte en millions de ligne de code.

Même ouvert, même accessible à tous, il peut arriver que des failles perdurent longtemps avant d’être trouvées. Simple question de malchance.

Ca laisse imaginer ce que ça peut donner dans un OS ou personne ne peut jamais vérifier.

Comme l’ont dit certains, la transparence des corrections de bugs dans le libre peut laisser penser à tort qu’il y a plus de faille.

Il n’empêche que contrairement aux affirmations, de nombreuses entreprises dédiées à la sécurité cherchent en permanence des failles dans le code de Linux. Et de nombreuses failles sont ainsi trouvées et éliminées.

Le fait que ce problème n’ait pas été mis en lumière avant prouve juste qu’il n’était pas si évident à trouver qu’on pourrait le penser.

Au passage, pour les non spécialistes, ce n’est pas parce qu’un bug est trivial qu’il est forcément plus facile à trouver.

coolspot

Le 05/03/2014 à 16h 38

#166

arno53 a écrit :

Je parlais en général pas forcement de cette faille précise qui selon la petite liste de psn00ps a une porté limité (bon y’a quand meme Fillezilla, vlc, ffmpeg et libmicrohttpd qui sont touché (c’est les seul qui me parle)).

Mon propos d’origine ne porte pas vraiment sur cette faille précise dont je me fous un peu, c’est surtout qu’aucun système n’est infaillible et que l’adage “c’est open source donc obligatoirement sécure” (comme on l’entend souvent dès qu’il s’agit de la NSA ou de Windows) est complétement erroné. Il y’a et on trouve des failles dans des programmes closed-source comme open-source. Le seul vrai avantage de l’Open-Source c’est sa réactivité après la découverte publique de la faille.

Des failles y’en a toujours eu et il y’en aura toujours et dans tout les programme, OpenSSL en avait eu une qui faisait baisser l’entropie du chiffrement, Firefox en a malgré son ouverture etc.

Personnellement vu le budget et les compétences internes de la NSA, je pense qu’ils ont déjà réussi, au moins une fois, a implémenté une faille dans un logiciel open-source suffisamment complexe pour ne pas être détecté au premier audit venu … Après il fort probable qu’un développeur l’aie vu quelques mois/années plus tard et aie soumis un rapport de bug annihilant cette faiblesse sans savoir qu’à la NSA des gens ont pleurés en voyant ce rapport " />

Et puis même si ils n’ont pas réussi a implémenté une faille dans un logiciel donné, ils ont des équipes dont le seul rôle est d’auditer des programmes afin d’y trouver une faiblesse. Et dans le cas d’une joyeuse découverte ils ne font pas de rapport de bug eux " />

Le but d’une section cyberattaque étatique n’est pas d’utilisé massivement une brèche pour faire du spam ou un botnet, mais d’avoir une liste de faille a un instant T afin de pénétrer/saboter un objectif précis afin de rester le plus discret possible.

Enfin bref, je suis peut être un complotiste incompris mais je trouve ca plus raisonnable que d’être certain de la sécurité d’un système sous prétexte qu’il est ouvert. Alors certes l’ouverture permet une meilleurs sécurité que du closed-source (et encore ca se debat … Vu le nombre de faille qu’on découvre dans des programmes dont les sources sont inaccessible) mais ce n’est clairement pas infaillible et encore moins NSA-Proof-By-Design.

Signé l’homme à la cigarette " />

On a jamais dit que l’open source est à l’épreuve des faille et jamais personne n’a dit que l’open source c’est totalement sécurisé. On dit simplement que l’open source est plus sécurisé que le closed source ce qui ce traduit par le réel ou les protocol les plus sécurisé sont open source par exemple.

coolspot

Le 05/03/2014 à 16h 41

#167

Okki a écrit :

Personnellement, j’ai les licences BSD en horreur. Les licences GNU protègent les utilisateurs et leurs libertés. Les licences BSD autorisent quiconque à piller le code (comme a pu le faire Apple) sans rien donner en retour, et en privant les utilisateurs de leurs libertés (comme c’est le cas sous OSX).

Il n’y a donc pas une licence mieux ficelée que l’autre, ce sont juste deux philosophies différentes.

Ben disons que c’est deux philosophie différente. La GNU veut protéger le libre à tout prix tandis que les licence Apache/BSD elle prônent la “liberté absolue” avec pour philosophie que même si un code proprio fait du copier/coller par rapport à la version libre BSD/Apache il sera toujours à la traîne derrière elle et qu’au final cette guerre sera toujours gagné par le logiciel mère libre.

sr17

Le 05/03/2014 à 16h 45

#168

coolspot a écrit :

Bah je suis pas pro-BSD (je tourne sous GNU/Linux : Ubuntu Gnome depuis plus d’un an) mais il faut reconnaître qu’en terme de sécurité BSD > GNU/Linux > OSX & Windows.

Donc que BSD > All.

Bon après BSD c’est moins user-friendly que GNU/Linux et tu a pas la logithèque monstrueuse d’une Debian. " />

Après il faut reconnaitre que les licence BSD sont ,de moins point de vu, mieux ficelé que les licences GNU qui sont de plus en plus restrictive au fil des version à contrario des BSD ou tu peut faire quasiment ce que tu veut.

Malheureusement, nous voyons aujourd’hui le fiasco de la logique BSD qui as pêché par naïveté : des libristes qui donnent leur temps… pour que de gros industriels puissent piller leur code et faire des systèmes fermés qui enlève toute liberté aux utilisateurs.

Tout cela sans compter le très faible retour sur le plan professionnel pour les programmeurs du fait que l’usage de code libre BSD dans des produits propriétaires est quasiment ignoré de tous.

Et non, la GPL n’est pas devenue plus restrictive. Elle a simplement évoluée pour contrer les astuces qu’avaient trouvé certains industriels pour contourner la GPL et enlever les libertés des utilisateurs en utilisant des DRM.

Elle permet également d’empêcher qu’un industriel ne publie un code sous licence libre pour ensuite piéger les utilisateurs avec des demandes de royalties sur la base de brevets.

arno53

Le 05/03/2014 à 16h 46

#169

coolspot a écrit :

On a jamais dit que l’open source est à l’épreuve des faille et jamais personne n’a dit que l’open source c’est totalement sécurisé. On dit simplement que l’open source est plus sécurisé que le closed source ce qui ce traduit par le réel ou les protocol les plus sécurisé sont open source par exemple.

Malheureusement tout les libristes ne sont pas toujours aussi réaliste " />

coolspot

Le 05/03/2014 à 16h 49

#170

arno53 a écrit :

Malheureusement tout les libristes ne sont pas toujours aussi réaliste " />

Franchement ca m’étonne je suis surement peut être une jeune pousse dans le monde du libre mais en parcourant les différent forum j’ai jamais vu un post dire que les logiciel libre est 100% sécurisé et à l’épreuve des faille/bug

arno53

Le 05/03/2014 à 16h 52

#171

coolspot a écrit :

Franchement ca m’étonne je suis surement peut être une jeune pousse dans le monde du libre mais en parcourant les différent forum j’ai jamais vu un post dire que les logiciel libre est 100% sécurisé et à l’épreuve des faille/bug

C’est surtout sur le terme backdoor que ca tique… Sauf que pour moi une faille découverte/implémenté par un état mais non connu de la communauté par exemple c’est une sorte de backdoor.

yl

Le 05/03/2014 à 16h 55

#172

Bien qu’il puisse s’agir d’un scénario de film d’espionnage…

La similitude est en effet troublante… en plus ca fait vraiment erreur de copier/coller et l’oeuil ayant tendance à être moins attentif aux doublons " />

Bon, ca fait quand même un peu tâche… quand l’accès aux sources est là, c’est dingue que ca puisse trainer 9 ans. C’est dire la situation potentielles des OS boite noires avec le dev en Inde par des mecs payés à coups de trique?

coolspot

Le 05/03/2014 à 16h 57

#173

arno53 a écrit :

C’est surtout sur le terme backdoor que ca tique… Sauf que pour moi une faille découverte/implémenté par un état mais non connu de la communauté par exemple c’est une sorte de backdoor.

Même pour une backdoor. Ce qui est dit c’est que si une backdoor est implémenté dans un logiciel libre, celle-ci est visible (contrairement à un logiciel privateur ou c’est quasiment invisible) et comme le code est libre le logiciel backdooré peut être forké sans le code qui contient la backdoor (Le site GNU et RMS ont suffisamment insisté la dessus)

En clair c’est une nuance, avec un logiciel privateur tu est sur qu’il y a une backdoor alors qu’avec un logiciel libre la chance est minime car c’est extrêmement plus visible et si ca arrive il ne faut pas longtemps pour viré la backdoor ou/et forké le logiciel pour être backdoor free.

sr17

Le 05/03/2014 à 16h 57

#174

coolspot a écrit :

Ben disons que c’est deux philosophie différente. La GNU veut protéger le libre à tout prix tandis que les licence Apache/BSD elle prônent la “liberté absolue” avec pour philosophie que même si un code proprio fait du copier/coller par rapport à la version libre BSD/Apache il sera toujours à la traîne derrière elle et qu’au final cette guerre sera toujours gagné par le logiciel mère libre.

Sauf que la pratique semble démentir complètement cette affirmation.

Tout le monde connait l’iPhone, le Mac et iOS. Mais seul un petit public de spécialistes connaissent BSD qui est pourtant largement utilisé dans ces produits.

Cela démontre que Stallman avait raison et que la persistance des libertés voulues par les auteurs d’un logiciel libre doit être garantie par la licence comme le fait la constitution d’un pays démocratique.

coolspot

Le 05/03/2014 à 17h 05

#175

sr17 a écrit :

Sauf que la pratique semble démentir complètement cette affirmation.

Tout le monde connait l’iPhone, le Mac et iOS. Mais seul un petit public de spécialistes connaissent BSD qui est pourtant largement utilisé dans ces produits.

Cela démontre que Stallman avait raison et que la persistance des libertés voulues par les auteurs d’un logiciel libre doit être garantie par la licence comme le fait la constitution d’un pays démocratique.

Ouais enfin comparé un iPhone avec certain logiciel BSD c’est un peu rapide. Faut comparé ce qui est comparable. Moi je voyais plus une comparaison du style Apple prend le code du serveur Apache pour créer son serveur proprio qu’il vend en entreprise et deviens le leader mondiale en terme de serveur web.

Ou encore prendre les bibliothèque OpenSSL pour créer ses propre bibliothèque SSL qu’on vend au établissement bancaire pour plus de sécurité.

Or c’est pas du tout le cas.

arno53

Le 05/03/2014 à 17h 07

#176

coolspot a écrit :

Même pour une backdoor. Ce qui est dit c’est que si une backdoor est implémenté dans un logiciel libre, celle-ci est visible (contrairement à un logiciel privateur ou c’est quasiment invisible) et comme le code est libre le logiciel backdooré peut être forké sans le code qui contient la backdoor (Le site GNU et RMS ont suffisamment insisté la dessus)

En clair c’est une nuance, avec un logiciel privateur tu est sur qu’il y a une backdoor alors qu’avec un logiciel libre la chance est minime car c’est extrêmement plus visible et si ca arrive il ne faut pas longtemps pour viré la backdoor ou/et forké le logiciel pour être backdoor free.

Ah mais sur ce point je suis complétement d’accord … Mais pour avoir un fork non-Backdooré encore faut il que la faille d’origine soit découverte.

Mais je t’invite a lire les commentaires de la news sur l’approche de Linus par la NSA. Certain sont persuadé que c’est strictement impossible … Pour moi la probabilité a beau être faible, elle ne sera jamais nul.

Apres j’ai bien conscience que le closed-source est forcement verrolé de part l’existence du patriot act qui fait économisé énormément de R&D au equipe de la NSA chargé d’attaqué Windows " />

Mais comme je disais ironiquement précédemment, j’espères juste que la backdoor closed-source demande un login/password là ou de l’open source fragilise le système au profit de n’importe quel hacker tombant sur la faiblesse général.

sr17

Le 05/03/2014 à 17h 10

#177

arno53 a écrit :

Malheureusement tout les libristes ne sont pas toujours aussi réaliste " />

Le fait d’avoir accès aux sources d’un logiciel est un avantage évident pour la sécurité.

Mais personne n’a jamais prétendu pour autant que cela permettait d’obtenir des logiciels sans failles.

N’importe quel programmeur vous dira qu’on peut trouver des méthodes pour écrire de meilleurs logiciels, mais qu’un logiciels garanti sans failles, cela n’existe pas.

L’ordinateur et ses logiciels sont les créations humaines les plus complexes jamais créées. Et compte tenue de cette énorme complexité, la question n’est plus de savoir s’il y a des défauts, mais combien il y en a.

sr17

Le 05/03/2014 à 17h 23

#178

coolspot a écrit :

Ouais enfin comparé un iPhone avec certain logiciel BSD c’est un peu rapide.

Non, c’est au contraire un très bon exemple.

Apple est bien devenu un leader mondial alors que BSD est complètement inconnu.

Faut comparé ce qui est comparable. Moi je voyais plus une comparaison du style Apple prend le code du serveur Apache pour créer son serveur proprio qu’il vend en entreprise et deviens le leader mondiale en terme de serveur web.

Ou encore prendre les bibliothèque OpenSSL pour créer ses propre bibliothèque SSL qu’on vend au établissement bancaire pour plus de sécurité.

Or c’est pas du tout le cas.

Sauf que tu ignore combien de code BSD est repris chaque année par les entreprises qui font du logiciel propriétaire.

WereWindle

Le 05/03/2014 à 17h 26

#179

Commentaire_supprime a écrit :

Je peux vous dire, ayant à régler le même genre de problématique (correction orthographique d’écrits personnels pouvant atteindre les 600 pages) que les fautes les plus connes sont souvent les plus difficiles à détecter !

Je trouve régulièrement de belles gaffes dans mes écrits, tant point de vue typo que mise en page ou orthographe/grammaire/syntaxe, alors que j’ai relu le texte en question 2 ou 3 fois avant mise en publication, sans parler des tiers qui me font la remarque…

Donc, une erreur aussi grotesque pas détectée pendant 9 ans, ça ne me paraît pas incroyable, connaissant la nature humaine et ayant la même pratique…

trouve toi cela et porte hauts les couleurs de tes convictions !

sr17

Le 05/03/2014 à 17h 34

#180

arno53 a écrit :

Ah mais sur ce point je suis complétement d’accord … Mais pour avoir un fork non-Backdooré encore faut il que la faille d’origine soit découverte.

Mais je t’invite a lire les commentaires de la news sur l’approche de Linus par la NSA. Certain sont persuadé que c’est strictement impossible … Pour moi la probabilité a beau être faible, elle ne sera jamais nul.

Apres j’ai bien conscience que le closed-source est forcement verrolé de part l’existence du patriot act qui fait économisé énormément de R&D au equipe de la NSA chargé d’attaqué Windows " />

Mais comme je disais ironiquement précédemment, j’espères juste que la backdoor closed-source demande un login/password là ou de l’open source fragilise le système au profit de n’importe quel hacker tombant sur la faiblesse général.

Je pense que la meilleure réponse à ces problèmes est quand même dans le libre.

Il faut simplement que tous les états de la terre se mettent d’accord pour consacrer chacun des ressources suffisantes à l’audit des logiciels libres.

Au bout d’un certain temps, la probabilité d’avoir des failles diminuera considérablement.

A ce moment la, il suffira de promettre une très forte récompense à des hackers qui trouveraient une faille.

Par la suite, même si la probabilité d’avoir des failles ne sera jamais nulle, une logique de mesures croisées permettra de rendre leur exploitation impossible de fait.

Mais le problème le plus épineux, c’est qu’on se rends compte que le matériel doit également être l’objet d’une attention soutenue. Les puces pourraient intégrer des backdoors et même des transmetteurs. Il y a des gens du monde libre comme Theo de Raadt qu’on devrait écouter plus en la matière.

zempa Abonné

Le 05/03/2014 à 17h 44

#181

KP2 a écrit :

Tout a fait…

Le Libre n’a jamais proposé de garantie sur quoique ce soit.

On peut voir effectivement qq jeunes idealistes qui connaissent tres mal le fonctionnement du Libre venir raconter l’inverse dans des forums mais il faut etre aussi idiots qu’eux pour croire a ce qu’ils racontent.

D’ailleurs, coté garanties, je sais pas si qqn ici a deja lu des licences de logiciels proprietaires mais ils ne proposent pas plus de garantie d’aucune sorte… meme pas celle du bon foonctionnement de l’appli et encore moins celle de la securité ou l’absence de risque pour vos données. Microsoft, par exemple, se dedouane TOTALEMENT de ses produits. Et il est loin d’etre le seul… Je ne sais meme pas si c’est vraiment legal en France..

Bref, tomber sur le dos du Libre a cause de cette annonce, c’est juste ridicule. Et ca denote surtout une tres mauvaise connaissance non seulement du Libre mais aussi du proprio et du marche informatique d’une maniere generale de la part des auteurs des commentaires.

+1

arno53

Le 05/03/2014 à 18h 01

#182

sr17 a écrit :

Je pense que la meilleure réponse à ces problèmes est quand même dans le libre.

Il faut simplement que tous les états de la terre se mettent d’accord pour consacrer chacun des ressources suffisantes à l’audit des logiciels libres.

Au bout d’un certain temps, la probabilité d’avoir des failles diminuera considérablement.

A ce moment la, il suffira de promettre une très forte récompense à des hackers qui trouveraient une faille.

Par la suite, même si la probabilité d’avoir des failles ne sera jamais nulle, une logique de mesures croisées permettra de rendre leur exploitation impossible de fait.

Mais le problème le plus épineux, c’est qu’on se rends compte que le matériel doit également être l’objet d’une attention soutenue. Les puces pourraient intégrer des backdoors et même des transmetteurs.

Le problème c’est que chaque évolution d’un logiciel apporte son lot de faille possible. La solution miracle n’existe pas … L’open source est sans doute la meilleur solution possible après les langage formel (enfin tout ce qui est prouver la fiabilité/sécurité d’un outils par l’outil Mathématique (cela a un nom et je ne sais plus si langage formel est le bon " />) mais on y est pas encore…

Pour le grand publique la solution de l’open source est surement la meilleur, mais pour le domaine militaire, nucléaire, aérospatial je préfère l’obscurantisme associé au principe KISS : une tache précise = un os minimal.

L’histoire des centrifugeuse nucléaire iranienne est pour moi inimaginable : un os généraliste (windows) avec un logiciel industriel commercial. Au final la seul véritable sécurité reposait sur l’utilisation d’un réseau séparé … Ca a été bypassé par l’insertion d’un virus (utilisant une flopée de faille différentes) dans le réseau via une clé usb " />

J’imagine qu’un OS unique (afin qu’ils ne soit pas étudiable par une puissance étrangère) et minimaliste (pour un audit simplifié) aurait été préférable " />

Ca aurait demandé un effort supplémentaire au attaquant afin de se procurer le dit OS pour l’etudié

Mais bon c’est complétement irréaliste en matière de cout et de ressource etc…

Edit : Ah et un petit tweet que j’ai trouvé drôle :

You can say about Yahoo what you want, but Yahoo Chat isn’t affected by any of the recent TLS vulnerabilities. It doesn’t encrypt traffic.

pithiviers

Le 05/03/2014 à 18h 32

#183

En espérant que cet news aura le mérite de remettre les idées en place à certains lunixiens qu’on peut croiser ici qui avaient la trop fâcheuse tendance à se prendre pour des demi-dieux de l’informatique et à regarder dédaigneusement les utilisateurs de Windows ou OS X sous prétexte que Linux c’est trop de la balle et que c’est complètement invulnérable.

Calmés les gars là.

Commentaire_supprime

Le 05/03/2014 à 18h 44

#184

Bon, mise à jour en cours de ma Fedora 20, et je confirme : gnutls mis à jour.

Anonyme

Le 05/03/2014 à 19h 03

#185

CR_B7 a écrit :

Tout a fait d’accord, mais ce n’est pas une garantie.

Si la défense prend du linux, elle peut (a grand renfort de €) s’assurer qu’il n’y a pas de backdoor, mais c’est pas juste avec un achat open-source qu’elle en aura la garantie.

Pas besoin de cette news pour savoir ça.

Anonyme

Le 05/03/2014 à 19h 14

#186

pithiviers a écrit :

En espérant que cet news aura le mérite de remettre les idées en place à certains lunixiens qu’on peut croiser ici qui avaient la trop fâcheuse tendance à se prendre pour des demi-dieux de l’informatique et à regarder dédaigneusement les utilisateurs de Windows ou OS X sous prétexte que Linux c’est trop de la balle et que c’est complètement invulnérable.

Calmés les gars là.

Ça te rendra pas plus aimable en tout cas

sr17

Le 05/03/2014 à 19h 14

#187

arno53 a écrit :

Le problème c’est que chaque évolution d’un logiciel apporte son lot de faille possible. La solution miracle n’existe pas … L’open source est sans doute la meilleur solution possible après les langage formel (enfin tout ce qui est prouver la fiabilité/sécurité d’un outils par l’outil Mathématique (cela a un nom et je ne sais plus si langage formel est le bon " />) mais on y est pas encore…

Pour le grand publique la solution de l’open source est surement la meilleur, mais pour le domaine militaire, nucléaire, aérospatial je préfère l’obscurantisme associé au principe KISS : une tache précise = un os minimal.

L’histoire des centrifugeuse nucléaire iranienne est pour moi inimaginable : un os généraliste (windows) avec un logiciel industriel commercial. Au final la seul véritable sécurité reposait sur l’utilisation d’un réseau séparé … Ca a été bypassé par l’insertion d’un virus (utilisant une flopée de faille différentes) dans le réseau via une clé usb " />

J’imagine qu’un OS unique (afin qu’ils ne soit pas étudiable par une puissance étrangère) et minimaliste (pour un audit simplifié) aurait été préférable " />

Ca aurait demandé un effort supplémentaire au attaquant afin de se procurer le dit OS pour l’etudié

Mais bon c’est complétement irréaliste en matière de cout et de ressource etc…

Edit : Ah et un petit tweet que j’ai trouvé drôle :

Tout à fait.

C’est l’approche Micro-Noyau qui était vue il y a bien longtemps comme la meilleure réponse à ce problème.

C’était d’ailleurs ce qui était prévu avec GNU Hurd. Mais entre temps, Linux est arrivé et a conquis le marché.

Reste que l’approche Micronoyau véritable n’est pas aussi simple en pratique. Elle pose des problèmes d’architecture et de performance qui ont mené soit d’un côté à limiter l’usage à des secteurs de niche. Et de l’autre à dévoyer le concept pour essayer de limiter le problème (GNU hurd s’est conceptuellement égaré), mais en perdant la plupart de ses avantages, c’est à dire la simplicité et la sécurité.

Reste que l’arrivée de processeurs massivement multicores et sans doute dans le futur massivement multithreads va certainement diminuer les inconvénients de l’architecture micronoyaux(le cout des context switchs) et relancer le concept.

Okki Abonné

Le 05/03/2014 à 19h 17

#188

Shyfer a écrit :

Oh tiens, le open source c’est mieux car revu en permanence par des centaines de bénévoles…

Mouais.

Là encore, je pense qu’on a une démonstration que open source != plus sécurisé.

Après je ne dis rien du côté de Microsoft, ils ont sûrement pleins de failles, mais de ce type moins car ils ont un process de test assez rôdé, et assez plébiscité par de nombreux experts.

boglob a écrit :

en tout cas, l’argument comme quoi c’est open source donc plus secure en prend un coup dans la gueule.

Xarkam a écrit :

Les distributions linux c’est plus sécure par ce que c’est opensource et donc tout le monde peut vérifier.

Ca en fout un coup à ce type d’argumentaire puis qu’apparemment personne ne vérifie " />

Une distrib linux c’est pas plus sécure qu’un windows ou macos " />

coket a écrit :

Je pense que si il y a de telles réactions, c’est que quelques libristes moins sages que toi, orgueilleux, condescendants, ont eu tendance a traiter tout non libriste avec beaucoup de mépris et énormément de certitudes sur la supériorité naturelle de Linux en terme de sécurité…

Peut être cet épisode aura du bon finalement, au moins dans l’apaisement entre communautés.

pithiviers a écrit :

En espérant que cet news aura le mérite de remettre les idées en place à certains lunixiens qu’on peut croiser ici qui avaient la trop fâcheuse tendance à se prendre pour des demi-dieux de l’informatique et à regarder dédaigneusement les utilisateurs de Windows ou OS X sous prétexte que Linux c’est trop de la balle et que c’est complètement invulnérable.

Calmés les gars là.

Vous devriez monter un club " />

Et je vais vous dire un secret, non seulement ce n’est pas la première faille, mais on en a eu près d’une quarantaine depuis le début de l’année

https://www.debian.org/security/2014/index.fr.html

Par contre, à l’inverse d’un Windows, il s’agit ici du système (même si le noyau n’a pas encore été touché cette année), mais également des dizaines de milliers de logiciels libres fournis par les principales distributions. Et finalement, une quarantaine de failles (plus ou moins critiques) sur autant de programmes (qui ne sont pas utilisés par tout le monde), c’est peanuts.

Sinon oui, une distribution Linux sera toujours plus sûre qu’un Windows, pour plusieurs raisons. Déjà, c’est libre, donc une faille découverte peut être corrigée par n’importe quel développeur / distribution, sans avoir besoin d’attendre que le responsable du projet décide de s’en occuper. À l’inverse d’un Microsoft qui ne propose ses correctifs qu’une fois par mois, et de certains éditeurs qui refusent de corriger des failles connues depuis des lustres.

Ensuite, les dépôts des différentes distributions, et la centralisation permise par le fait que les logiciels soient libres, permet de mettre à jour l’ensemble du système, des pilotes de périphériques et de tous les logiciels installés. Là encore, à l’inverse d’un Windows Update qui ne tient compte que de Windows, IE et MS Office, et où il faut ensuite se débrouiller avec chaque programme ou pilote tiers.

On peut également ajouter que la liberté du code, et la gestion correcte des dépendances permise par les systèmes de packages utilisés, permet à tous les programmes d’utiliser des bibliothèques dynamiques, et de bénéficier des correctifs et améliorations lors des mises à jour de ces dernières. Sous Windows, pour éviter les conflits, et s’assurer qu’un programme continuera de fonctionner dans le temps, ces derniers ont tendance à être liés statiquement à certaines bibliothèques. Et bien évidemment, quand une faille est découverte dans l’une d’entre elles et qu’un correctif est disponible, cela ne s’applique pas au programme lié statiquement, et on retombe sur le bon vouloir des éditeurs.

Quoi que Microsoft fasse, n’ayant aucun contrôle sur les programmes tiers, la sécurité de Windows et de son écosystème sera toujours inférieure à ce que proposent les distributions Linux majeures.

coolspot

Le 05/03/2014 à 19h 29

#189

sr17 a écrit :

Non, c’est au contraire un très bon exemple.

Apple est bien devenu un leader mondial alors que BSD est complètement inconnu.

Sauf que tu ignore combien de code BSD est repris chaque année par les entreprises qui font du logiciel propriétaire.

Ben je persiste à dire que ca n’a aucun rapport. BSD ne sont pas et ne font pas de téléphone. Après si tu résume l’iphone à des composants dont certain sont issu du code BSD c’est comme si je résumé Android avec le noyau Linux.

Non seulement ca n’a rien à voir et en plus même si on tient avec cette comparaison la les licence GNU ne protège en rien vu que Google fait du propriétaire (les service et application google avec du code GNU (le noyau et la partie AOSP qui n’est pas propriétaire).

Elwyns

Le 05/03/2014 à 19h 44

#190

refuznik a écrit :

Oui enfin dès qu’une faille est utilisé par pas mal de monde, on le sait rapidement voir on retrouve son exploitation chez les scripts kiddies. Celle-ci soit personne ne l’a vue, soit juste un très petit nombre de personne ont pu l’exploiter (nsa, etc…).

donc les plus dangereuses en somme

WereWindle

Le 05/03/2014 à 20h 33

#191

Elwyns a écrit :

donc les plus dangereuses en somme

rooooh mais ils ne le font que dans notre intérêt et pour notre bien " />

arno53

Le 05/03/2014 à 20h 37

#192

Okki a écrit :

Ensuite, les dépôts des différentes distributions, et la centralisation permise par le fait que les logiciels soient libres, permet de mettre à jour l’ensemble du système, des pilotes de périphériques et de tous les logiciels installés. Là encore, à l’inverse d’un Windows Update qui ne tient compte que de Windows, IE et MS Office, et où il faut ensuite se débrouiller avec chaque programme ou pilote tiers.

On peut également ajouter que la liberté du code, et la gestion correcte des dépendances permise par les systèmes de packages utilisés, permet à tous les programmes d’utiliser des bibliothèques dynamiques, et de bénéficier des correctifs et améliorations lors des mises à jour de ces dernières. Sous Windows, pour éviter les conflits, et s’assurer qu’un programme continuera de fonctionner dans le temps, ces derniers ont tendance à être liés statiquement à certaines bibliothèques. Et bien évidemment, quand une faille est découverte dans l’une d’entre elles et qu’un correctif est disponible, cela ne s’applique pas au programme lié statiquement, et on retombe sur le bon vouloir des éditeurs.

Quoi que Microsoft fasse, n’ayant aucun contrôle sur les programmes tiers, la sécurité de Windows et de son écosystème sera toujours inférieure à ce que proposent les distributions Linux majeures.

Microsoft est en train de faire une transition vers des applications sandboxé et dont les majs sont gérés par le système via l’environnement WinRT pour pallier a ces erreurs de conception …

Mais c’est vrai que le coup du apt-get update|upgrade je trouve ca magique " />

Pour ce qui est des dépendances, je voudrais bien savoir comment c’est géré coté Windows.Next (WinRT) parce que c’est vrai qu’actuellement c’est pas trop ca " />

sr17 a écrit :

Tout à fait.

C’est l’approche Micro-Noyau qui était vue il y a bien longtemps comme la meilleure réponse à ce problème.

C’était d’ailleurs ce qui était prévu avec GNU Hurd. Mais entre temps, Linux est arrivé et a conquis le marché.

Reste que l’approche Micronoyau véritable n’est pas aussi simple en pratique. Elle pose des problèmes d’architecture et de performance qui ont mené soit d’un côté à limiter l’usage à des secteurs de niche. Et de l’autre à dévoyer le concept pour essayer de limiter le problème (GNU hurd s’est conceptuellement égaré), mais en perdant la plupart de ses avantages, c’est à dire la simplicité et la sécurité.

Reste que l’arrivée de processeurs massivement multicores et sans doute dans le futur massivement multithreads va certainement diminuer les inconvénients de l’architecture micronoyaux(le cout des context switchs) et relancer le concept.

Si tu suis PCI régulièrement depuis quelques année t’as deja du entendre parler du projet de recherche de Microsoft Singularity (open source mais non libre) commencé en 2003 puis qui a commencé à devenir un véritable projet a but commercial avec Midori à partir de 2006 jusqu’à aujourd’hui (au dernière nouvel ça fait même partie de la même unité que celle qui s’occupe de Windows).

C’est un OS a Micro Noyau n’ayant rien a voir avec Windows. Microsoft a une approche particulière basé sur les langage managé et la vérification possible que ca implique mais je suis persuadé que ce n’est pas la seul approche valable.

Par contre la création d’un os de ce genre implique de tout remettre a plat et je ne pense pas que Hurd arrivera à quelque chose de réellement exploitable tant qu’il cherchera à rester compatible avec avec le monde Unix & co. Et si jamais ils arrivent a faire un Hurd (ou tout autre micro noyau) exploitable et performant mais malheureusement incompatible avec Linux, j’ai peur que les nombreuse divisions au sein du libre empêche un micro noyau de percé a moyen terme dans le monde du libre… " />

Bon par contre si c’est un micro noyau compatible Unix/Linux/GNU ca va être champagne " />

En tout cas les 10 prochaines années risquent d’être très intéressante d’un point de vu recherche fondamental et j’adore ca " />

Edit : Si tu recherches des info sur Midori cherche avec pcinpact ou zdnet.com c’est les plus complets … Notamment grâce au commentaires de Charon sur PCI

Elwyns

Le 05/03/2014 à 20h 55

#193

le podoclaste a écrit :

En tout cas, grâce à cette faille, tout le monde sait depuis hier que tout le monde sait depuis 6 ans que cette bibliothèque est pourrite " />

et c’est pour cela que du monde l’utilise depuis 6 ans, donc ton “tout le monde sait” c’est limite

WereWindle

Le 05/03/2014 à 21h 00

#194

Elwyns a écrit :

et c’est pour cela que du monde l’utilise depuis 6 ans, donc ton “tout le monde sait” c’est limite

avant qu’Archimède ne sorte son principe, c’est la confiance des équipages et elle seule qui maintenait les navire à flot " />

(ce principe est également applicable à ce qu’on appelle, faute de mieux, l’économie)

CR_B7 Abonné

Le 05/03/2014 à 21h 18

#195

ff9098 a écrit :

Pas besoin de cette news pour savoir ça.

Non, mais elle illustre très bien le propos.

Je n’ai rien contre le libre, mais a lire un tas de commentaire sur les avantages du libre ou tu en fais ce que tu veux parce que le code est public, oui.

Mais je reste convaincu que les personnes capables de le faire ne sont pas si nombreuse que ça.

C’est pas un argument contre le libre juste un rappel que c’est pas parce qu’on a les schéma d’un A380, qu’on sait en faire un.

pithiviers

Le 05/03/2014 à 21h 27

#196

Et si tout à chacun peut faire ce qu’il veut avec linux sous prétexte que c’est libre, qu’est ce qui empêche une personne mal intentionnée de rajouter quelques lignes de codes à une distri linux lui permettant “d’aspirer” le contenu des ordis des utilisateurs de cet distri?

Okki Abonné

Le 05/03/2014 à 21h 28

#197

Elwyns a écrit :

et c’est pour cela que du monde l’utilise depuis 6 ans, donc ton “tout le monde sait” c’est limite

En même temps, certaines distributions, telle que Debian, qui privilégient ce qu’il y a de plus libre, ont préféré opter pour GnuTLS (sous licence GPL) plutôt qu’OpenSSL (sous licence BSD) quand elles avaient le choix.

Par exemple, lftp utilise GnuTLS. Pourtant, dans les options de configuration, le choix nous est donné :

–without-gnutls don’t use GNUTLS library

–with-openssl[=/path] use OpenSSL [at /path]

–without-openssl don’t use OpenSSL (default)

Tout ça pour dire qu’à mon avis, ce n’est pas forcément de l’ignorance, mais également un parti pris politique et/ou idéologique.

CR_B7 Abonné

Le 05/03/2014 à 21h 42

#198

pithiviers a écrit :

Et si tout à chacun peut faire ce qu’il veut avec linux sous prétexte que c’est libre, qu’est ce qui empêche une personne mal intentionnée de rajouter quelques lignes de codes à une distri linux lui permettant “d’aspirer” le contenu des ordis des utilisateurs de cet distri?

La dessus il y a des contrôles, c’est gros.

Okki Abonné

Le 05/03/2014 à 21h 45

#199

pithiviers a écrit :

Et si tout à chacun peut faire ce qu’il veut avec linux sous prétexte que c’est libre, qu’est ce qui empêche une personne mal intentionnée de rajouter quelques lignes de codes à une distri linux lui permettant “d’aspirer” le contenu des ordis des utilisateurs de cet distri?

Sur Wikipédia, qui est une encyclopédie sous licence libre, n’importe qui peut modifier un article, et les contrôles / corrections se font après coup.

Dans le logiciel libre, c’est différent. Si t’es encore inconnu du projet, il faut envoyer ton patch (correctif, amélioration, traduction, ajout de fonctionnalité…) au mainteneur du projet, qui vérifiera la qualité de ton code et la pertinence de la contribution, et décidera ou non de l’intégrer. Selon les projets, le patch doit parfois être relu par plusieurs développeurs avant d’être accepté.

Ensuite, si tu deviens contributeur régulier du projet, et que par la qualité de ton travail, les mainteneurs ont confiance en toi, ils peuvent te donner un accès en écriture sur le gestionnaire de versions, histoire que tu puisses contribuer directement, et ainsi faire gagner du temps à tout le monde.

Et là, ça devient comme pour n’importe quel autre projet libre. Tout se fait de façon transparente. Les discussions sur les listes de diffusion sont publiques et accessibles à tout le monde, tous les commits sur les gestionnaires de versions sont également publics, et on peut donc savoir qui a fait quoi, et à quel moment. Et tout le code est bien évidemment accessible à tout le monde (en lecture seule, donc)

Maintenant, puisque c’est libre, et que n’importe qui peut forker un projet, ou carrément créer sa propre distribution (voir le fork d’une distribution existante), effectivement, cette personne peut faire n’importe quoi, mais seulement dans son coin. Mettre de la pub partout, ne pas mettre à jour les programmes qui corrigeraient des failles de sécurité, y ajouter volontairement des backdoors… Mais là, c’est comme pour tout, s’il se met à distribuer son travail, à toi de te renseigner un minimum et de ne pas accorder ta confiance au premier venu.

À ce propos, ça m’a toujours épaté de voir autant de gens installer des Windows customisés (soit disant plus légers, ou avec telle ou telle fonction ajoutée par défaut…) sans qu’on sache d’où ça sort réellement et ce qu’ils ont bien pu faire d’autre.

sr17

Le 05/03/2014 à 21h 55

#200

coolspot a écrit :

Ben je persiste à dire que ca n’a aucun rapport. BSD ne sont pas et ne font pas de téléphone. Après si tu résume l’iphone à des composants dont certain sont issu du code BSD c’est comme si je résumé Android avec le noyau Linux.

Non seulement ca n’a rien à voir et en plus même si on tient avec cette comparaison la les licence GNU ne protège en rien vu que Google fait du propriétaire (les service et application google avec du code GNU (le noyau et la partie AOSP qui n’est pas propriétaire).

La GPL oblige quand même Google à reverser une part très importante d’Android dans le libre. C’est quand même infiniement mieux que rien.

Après, le fait de laisser tourner des logiciels propriétaires sur des OS libre, c’est un choix.

Grace à une variante de la GPL, la LGPL, la délimitation est clairement tracée : un logiciel propriétaire ne peut se linker qu’avec les bibliothèques autorisées pour cela. Et je pense qu’il serait difficile de faire mieux. Aller plus loin supposerait d’interdire les logiciels propriétaires sur OS libres. Ce que la GPL permetrait totalement. Mais je pense que les libristes, dans leur grande majorité ne le veulent pas. Et ils ont raison.

Pour le reste, ce sera au monde libre de créer une logithèque libre pour le mobile.

Reste quelques soucis effectifs qui montrent les limites de la GPL comme la Tivoïsation de fait de certains téléphones. Mais la proposition de la GPL v3 me parait une réponse intelligente, même si cette licence mettra du temps à s’étendre à cause d’une portion de l’ancien code qui ne contenait pas la clause permettant l’upgrade de la licence.

sr17

Le 05/03/2014 à 22h 07

#201

pithiviers a écrit :

Et si tout à chacun peut faire ce qu’il veut avec linux sous prétexte que c’est libre, qu’est ce qui empêche une personne mal intentionnée de rajouter quelques lignes de codes à une distri linux lui permettant “d’aspirer” le contenu des ordis des utilisateurs de cet distri?

Sans doute parce qu’on ne rajoute pas non plus ce qu’on veut comme ça dans une distribution Linux réputée.

coket

Le 05/03/2014 à 22h 10

#202

Okki a écrit :

Vous devriez monter un club " />

Et je vais vous dire un secret, non seulement ce n’est pas la première faille, mais on en a eu près d’une quarantaine depuis le début de l’année

https://www.debian.org/security/2014/index.fr.html

Par contre, à l’inverse d’un Windows, il s’agit ici du système (même si le noyau n’a pas encore été touché cette année), mais également des dizaines de milliers de logiciels libres fournis par les principales distributions. Et finalement, une quarantaine de failles (plus ou moins critiques) sur autant de programmes (qui ne sont pas utilisés par tout le monde), c’est peanuts.

Sinon oui, une distribution Linux sera toujours plus sûre qu’un Windows, pour plusieurs raisons. Déjà, c’est libre, donc une faille découverte peut être corrigée par n’importe quel développeur / distribution, sans avoir besoin d’attendre que le responsable du projet décide de s’en occuper. À l’inverse d’un Microsoft qui ne propose ses correctifs qu’une fois par mois, et de certains éditeurs qui refusent de corriger des failles connues depuis des lustres.

Ensuite, les dépôts des différentes distributions, et la centralisation permise par le fait que les logiciels soient libres, permet de mettre à jour l’ensemble du système, des pilotes de périphériques et de tous les logiciels installés. Là encore, à l’inverse d’un Windows Update qui ne tient compte que de Windows, IE et MS Office, et où il faut ensuite se débrouiller avec chaque programme ou pilote tiers.

On peut également ajouter que la liberté du code, et la gestion correcte des dépendances permise par les systèmes de packages utilisés, permet à tous les programmes d’utiliser des bibliothèques dynamiques, et de bénéficier des correctifs et améliorations lors des mises à jour de ces dernières. Sous Windows, pour éviter les conflits, et s’assurer qu’un programme continuera de fonctionner dans le temps, ces derniers ont tendance à être liés statiquement à certaines bibliothèques. Et bien évidemment, quand une faille est découverte dans l’une d’entre elles et qu’un correctif est disponible, cela ne s’applique pas au programme lié statiquement, et on retombe sur le bon vouloir des éditeurs.

Quoi que Microsoft fasse, n’ayant aucun contrôle sur les programmes tiers, la sécurité de Windows et de son écosystème sera toujours inférieure à ce que proposent les distributions Linux majeures.

Qu’est ce que je disais déjà? " />

Anonyme

Le 05/03/2014 à 22h 34

#203

pithiviers a écrit :

Et si tout à chacun peut faire ce qu’il veut avec linux sous prétexte que c’est libre, qu’est ce qui empêche une personne mal intentionnée de rajouter quelques lignes de codes à une distri linux lui permettant “d’aspirer” le contenu des ordis des utilisateurs de cet distri?

Ah parce que tu crois qu’on peut contribuer comme ça ? " />

coolspot

Le 05/03/2014 à 23h 03

#204

sr17 a écrit :

La GPL oblige quand même Google à reverser une part très importante d’Android dans le libre. C’est quand même infiniement mieux que rien.

Après, le fait de laisser tourner des logiciels propriétaires sur des OS libre, c’est un choix.

Grace à une variante de la GPL, la LGPL, la délimitation est clairement tracée : un logiciel propriétaire ne peut se linker qu’avec les bibliothèques autorisées pour cela. Et je pense qu’il serait difficile de faire mieux. Aller plus loin supposerait d’interdire les logiciels propriétaires sur OS libres. Ce que la GPL permetrait totalement. Mais je pense que les libristes, dans leur grande majorité ne le veulent pas. Et ils ont raison.

Pour le reste, ce sera au monde libre de créer une logithèque libre pour le mobile.

Reste quelques soucis effectifs qui montrent les limites de la GPL comme la Tivoïsation de fait de certains téléphones. Mais la proposition de la GPL v3 me parait une réponse intelligente, même si cette licence mettra du temps à s’étendre à cause d’une portion de l’ancien code qui ne contenait pas la clause permettant l’upgrade de la licence.

Ben au vu des dernière version d’Android et de dire de certain développeur c’est l’effet inverse et tu a de plus en plus de privateur et de moins en moins de libre maintenant qu’Android a gagné la guerre du mobile/tablette.

D’ailleurs certain développeur crie au scandale donc la protection absolue ou quasi absolue de la GPL j’y crois moyen.

Après certe les licence BSD/Apache ne couvrent pas tous les logiciel ou bibliothèque mais de mon point de vue et notamment dans le domaine de la sécurité (l’orientation majeure de BSD) ce sont les leader incontesté et il me semble pas qu’il y est actuellement mieux que BSD en terme de sécurité par exemple.

Ce qui prouve qu’en fin de compte même avec une licence hyper permissive ben tu peut être leader même si la concurrence pique les idées/code.

coolspot

Le 05/03/2014 à 23h 14

#205

pithiviers a écrit :

Et si tout à chacun peut faire ce qu’il veut avec linux sous prétexte que c’est libre, qu’est ce qui empêche une personne mal intentionnée de rajouter quelques lignes de codes à une distri linux lui permettant “d’aspirer” le contenu des ordis des utilisateurs de cet distri?

Effectivement tu peut toujours créer ta distribution vérolé mais après faut trouver du monde à convaincre pour la télécharger plutôt qu’une Ubuntu/Fedora/Debian/Mageia etc…

Et pis bon même si tu arrive à convaincre des gus faut vraiment pas te faire choper parce que t’es définitivement grillé après.

coolspot

Le 05/03/2014 à 23h 21

#206

pithiviers a écrit :

En espérant que cet news aura le mérite de remettre les idées en place à certains lunixiens qu’on peut croiser ici qui avaient la trop fâcheuse tendance à se prendre pour des demi-dieux de l’informatique et à regarder dédaigneusement les utilisateurs de Windows ou OS X sous prétexte que Linux c’est trop de la balle et que c’est complètement invulnérable.

Calmés les gars là.

Oui enfin tu raconte n’importe quoi aussi vu que ce n’est pas Linux mais GNU/TLS. Mais sinon on a jamais dit que GNU/Linux était inviolable et avec 0 failles. On le dit et on le repète on dit juste que GNU/Linux est beaucoups plus sécurisé que OSX et Windows du fait d’être libre et ouvert entre autre qui est un avantage énorme.

Pour résumé on pourrait dire qu’avec GNU/Linux tu a un système à 99% sécurisé alors qu’avec OSX et Windows tu en a 0% vu que ce sont des logiciel privateur et donc contenant un/plusieurs malware par définition.

TopQuiSuisJe

Le 05/03/2014 à 23h 32

#207

9 ans… C’est le problème du libre c’est un truc de hippies ! dans l’idéal c’est bien, la “communauté” relis le code pour le bien collectif… sauf que au bout d’un moment les hippies sont trop défoncés et la communauté sensée bosser se transforme en équipée de branleurs végétatifs

:cartman:

Gorkk

Le 06/03/2014 à 01h 31

#208

lateo a écrit :

J’ai regardé par curiosité, et sur mon poste de travail (Arch + enlightenment) ça donne ça :

:: aria2 : requiert gnutls

:: connman : requiert gnutls

:: ffmpeg : requiert gnutls

:: glib-networking : requiert gnutls

:: libimobiledevice : requiert gnutls

:: smbclient : requiert gnutls

:: wireshark-cli : requiert gnutls

édit: bref, si ça te dégage masse de trucs sur ta machine, c’est des histoires de dépendances de dépendances (de dépendances…), peut-être avec ton interface graphique préférée.

Très probable qu’il y ait des dépendances complètement overkill sur des meta-packages quelque part.

Typiquement pour installer yakuake dans un environnement non kde, tu te retrouves à récupérer quasiment tout kde (mais aussi des libs de vlc, et d’autres trucs qui n’ont rien à voir) parce qu’il y a une dépendance sur kde-base, alors qu’en pratique ça doit avoir besoin de 2-3 librairies utilisées par kde-base (pour rappel c’est juste un terminal en drop down similaire à la console de Quake, comme Guake dans l’univers GTK - mais en vachement mieux ;))

Mais là également ça ressemble uniquement aux dépendances directes dans ce que tu affiches. Typiquement sur mon serveur debian stable, j’ai par exemple la libldap qui dépend de libgnutls26 (et postgresql qui dépend de la libldap, de mémoire pour gnupg et apache2 (*)), et en dépendance directe j’ai :

wget

libldap-2.4-2

mutt

libgcrypt11

lftp

Note : il me semble que pour apache2, c’est juste une dépendance du paquet, mais elle n’est utilisée que lorsque mod_gnutls est utilisé (en général on utilise plutôt mod_ssl qui utilise openssl)

P.S. pour ceux utilisant un dérivé debian, la commande suivante vous donnera récursivement les dépendances inverses (installées) :

apt-cache –recurse –installed rdepends libgnutls26 | less

lysbleu

Le 06/03/2014 à 08h 40

#209

sr17 a écrit :

Malheureusement, nous voyons aujourd’hui le fiasco de la logique BSD qui as pêché par naïveté : des libristes qui donnent leur temps… pour que de gros industriels puissent piller leur code et faire des systèmes fermés qui enlève toute liberté aux utilisateurs.

Tout cela sans compter le très faible retour sur le plan professionnel pour les programmeurs du fait que l’usage de code libre BSD dans des produits propriétaires est quasiment ignoré de tous.

Et non, la GPL n’est pas devenue plus restrictive. Elle a simplement évoluée pour contrer les astuces qu’avaient trouvé certains industriels pour contourner la GPL et enlever les libertés des utilisateurs en utilisant des DRM.

Elle permet également d’empêcher qu’un industriel ne publie un code sous licence libre pour ensuite piéger les utilisateurs avec des demandes de royalties sur la base de brevets.

Ha GPL VS BSD… Pour moi, la GPL se rapproche quand même du logiciel proprio. Imaginons qu’on ait 2 projets similaires, un sous licence BSD et l’autre sous GPL. Et bien le projet sous GPL va pouvoir pomper sur l’autre projet tout ce qu’il a besoin, ce qui est normal et productif, par contre en retour le projet BSD ne pourra pas reprendre les amélioration de l’autre projet. Pire, si jamais le projet GPL rajoute une fonctionnalité intéressante, ils devront faire attention à ne pas faire un code trop ressemblant dans leur coin, pour ne pas qu’on les soupçonne d’avoir enfreint la GPL. La GPL devrait être limité à Linux (le noyau) et peut être deux trois projets fondamentaux, mais pas plus.

coolspot

Le 06/03/2014 à 09h 09

#210

lysbleu a écrit :

Ha GPL VS BSD… Pour moi, la GPL se rapproche quand même du logiciel proprio. Imaginons qu’on ait 2 projets similaires, un sous licence BSD et l’autre sous GPL. Et bien le projet sous GPL va pouvoir pomper sur l’autre projet tout ce qu’il a besoin, ce qui est normal et productif, par contre en retour le projet BSD ne pourra pas reprendre les amélioration de l’autre projet. Pire, si jamais le projet GPL rajoute une fonctionnalité intéressante, ils devront faire attention à ne pas faire un code trop ressemblant dans leur coin, pour ne pas qu’on les soupçonne d’avoir enfreint la GPL. La GPL devrait être limité à Linux (le noyau) et peut être deux trois projets fondamentaux, mais pas plus.

+1 la GPL est trop restrictive (et ca s’améliore pas au fil des versions notamment avec la v3 dont Linus ne veut toujours pas en entendre parler) et pour pas mal de dev se prendre la tête à choisir une licence c’est lourd alors ils se calent sur une licence Apache ou BSD et comme ca plus de prise de tête.

A33

Le 06/03/2014 à 09h 22

#211

sr17 a écrit :

Le fait est qu’un code qui est ouvert à tous a plus de chance de voir les failles repérées. C’est un argument évident pour n’importe quel professionnel.

Que le code soit relu, OK, mais tu crois que les pirates ne relisent pas le code des éléments sensibles sur lesquels ils vont pouvoir jouer ?

La question est de savoir parmi ceux qui relisent le code, qui trouve le premier les failles, les libristes ou les pirates ?

Tu as des données sur ce point ? Moi, je n’ai jamais rien lu sur le sujet. Quand on sait que la qualité du code libre et proprio est à peu près la même, l’affirmation que l’ouverture du code offre une meilleure sécurité me semble totalement dénuée de fondement (je ne dis pas que c’est faux mais les preuves sont inexistantes). Faudrait qu’on soit sûr que les pirates trouvent les failles après les autres. Ça me paraît être un pari osé. " />

hansi Abonné

Le 06/03/2014 à 10h 00

#212

@A33

Je n’ai pas besoin d’antivirus sous GNU/Linux, alors que je n’irais pas surfer sous windows sans. Dans les faits, quelque soit l’OS, il y aura toujours des failles de sécurité à régler, mais le code source ouvert permet quand même d’aller bien plus vite pour les combler, et on l’a encore vu cette fois ci dans la réactivité des distributeurs.

La sécurité par l’obscurantisme, ça fait plus de 20 ans qu’elle échoue à faire de windows un système stable et sécurisé, quand à mac os x, je ne le prendrais pas comme exemple : il a aussi ses problèmes propres, et il n’y a que des fanboys pour dénier ce fait.

Je n’irais pas non plus rentrer mon numéro de carte bancaire sous windows ou mac os x, et de manière générale dans tout système fermé, parce que de base, je ne peux pas avoir confiance dans des dictateurs soumis au Patriot Act, qui sont allés jusqu’à fermer le compte Paypal de Wikileaks - en d’autres termes : des gens qui font ce qu’ils veulent et n’ont aucun compte à rendre au reste de la planète, à commencer par leurs usagers. Le dédain patent de microsoft pour ses anciens clients xp démontre à quel point ces gens n’en ont rien à cirer de leur cheptel : il faut vendre du neuf, du cher et du brillant à tout prix, même si c’est de la merde de type vista ou w8. Tant que le législateur ferme les yeux, ils en profitent un max pour racketter via vente forcée.

Alors on peut critiquer le Libre sur certains aspects, et sur une certaine “rectitude” parfois jusqu’au boutiste, mais s’il n’y avait pas les logiciels libres pour équilibrer un peu les choses, ça fait longtemps qu’on aurait perdu toute liberté. Et je ne veux pas d’une informatique sous le contrôle de Big Brother ^ 10.

Pour ma part, j’estime donc que la philosophie GNU a largement prouvé son efficacité - et quand on voit GNU/Linux aujourd’hui, j’ai tendance à dire que windows est définitivement enfoncé, et que mac os x n’a plus vraiment d’aura à défendre.

Le Libre actuel a largement dépassé ses concurrents en terme de facilité d’usage, de stabilité et de réactivité. Son seul défaut véritable, pour ne pas dire son aspect maudit, c’est d’être gratuit, et de ne pas arroser les marchands de pacotille qui vivent des subventions de leurs dictateurs respectifs.

C’est tout le problème d’une génération de marchands qui croit dur comme fer qu’elle peut aller contre le progrès… Et le progrès, ce n’est pas de mettre ses données sur un cloud US en ligne pour qu’on nous les pique, et ce n’est plus la vente de boîtes non plus.

ungars

Le 06/03/2014 à 10h 10

#213

C’est tellement énorme, que ça en devient risible, enfin pas trop, car c’est en fait d’une gravité effrayante. Je ne souhaite pas aux sales connards de la NSA de venir passer des vacances à Paris, ce n’est plus une ville très sûre

ungars

Le 06/03/2014 à 10h 19

#214

C’est tellement énorme, que ça en devient risible, enfin pas trop, car c’est en fait d’une gravité effrayante. Je ne souhaite pas aux sales connards de la NSA de venir passer des vacances à Paris, ce n’est plus une ville très sûre…

http://www.pcinpact.com/news/84830-blocage-certificats-par-google-interview-patr…

Google a dénoncé sur son blog dédié à la sécurité un problème de certificat ce 3 décembre. L’entreprise américaine a bloqué plusieurs certificats non autorisés visant ses domaines, émis par une autorité de certification en relation avec l’ANSSI. Pour faire le point, Patrick Pailloux, directeur général de l’Agence nationale des systèmes d’information, a bien voulu répondre à plusieurs de nos questions.

Okki Abonné

Le 06/03/2014 à 10h 38

#215

lysbleu a écrit :

La GPL devrait être limité à Linux (le noyau) et peut être deux trois projets fondamentaux, mais pas plus.

Et en quel honneur ? En tant que développeur ou photographe, encore heureux que je sois libre de choisir la licence qui me convient. Et ça sera toujours avec une clause partage à l’identique, parce que ça me ferait bien chier qu’on puisse créer du proprio à partir de mon travail. Si tel était le cas, j’arrêterai de faire du libre, et donc de contribuer. Autant changer de métier.

Ça m’emmerde déjà bien assez comme ça de voir tout un tas de projets libres redistribués sous Windows en y incluant publicités, barres de recherche à la con et autres merdes, pour imaginer le cauchemar que ça serait si c’était sous licence BSD.

lysbleu

Le 06/03/2014 à 12h 19

#216

Okki a écrit :

Et en quel honneur ? En tant que développeur ou photographe, encore heureux que je sois libre de choisir la licence qui me convient. Et ça sera toujours avec une clause partage à l’identique, parce que ça me ferait bien chier qu’on puisse créer du proprio à partir de mon travail. Si tel était le cas, j’arrêterai de faire du libre, et donc de contribuer. Autant changer de métier.

Ça m’emmerde déjà bien assez comme ça de voir tout un tas de projets libres redistribués sous Windows en y incluant publicités, barres de recherche à la con et autres merdes, pour imaginer le cauchemar que ça serait si c’était sous licence BSD.

Je ne vois pas le rapport, tu fais ce que tu veux. Ce que je dis, c’est que la GPL, pour moi, c’est de la daube parce que ça limite les possibilités de réutilisation dans le monde libre, donc ça devrait être limité au code qui n’a pas trop pour but d’être réutilisé.

Okki Abonné

Le 06/03/2014 à 13h 00

#217

Ça ne limite en rien les possibilités de réutilisation. Les développeurs de GNOME sont partis dans une direction qui déplaisait ? D’autres développeurs ont créé Mate et Cinnamon, en se basant sur le code de GNOME. Le rachat de Sun par Oracle et le destin d’OpenOffice ne convenait pas ? Certains ont repris le code pour créer LibreOffice. Des exemples de forks, de fusions ou autre, on en a à la pelle, dans le monde du libre.

Par contre, on reste entre nous, je te l’accorde. Mais je ne vois pas pourquoi ce serait les adeptes de la GPL les fautifs. Personne n’oblige les systèmes BSD à utiliser la licence BSD (leur licence permet même de tout passer sous GPL du jour au lendemain), Apache ou autre. Vous avez fait votre choix, en fonction de votre idéologie, de votre vision de la vie, de l’informatique et de ce que vous voulez.

Alors ok, on ne peut pas réutiliser du code GPL dans un logiciel BSD, mais ce n’est pas de la daube pour autant. Même si ça peut se comprendre que vous soyez un peu dégoûté. En même temps, estimez vous heureux d’avoir accès à des dizaine de milliers de logiciels sous licence GPL, sinon on ne pourrait pas faire grand chose sur un système BSD" />

(ok, fallait bien que je troll un peu) :)

On a juste une vision différente de la liberté. Pour nous, la liberté doit être préservée à tout jamais, tandis que pour vous, on doit pouvoir être libre de renoncer à cette liberté, aussi bien pour vous même, que pour les autres, dont vous ne vous souciez guère.

lysbleu

Le 06/03/2014 à 13h 46

#218

Okki a écrit :

Ça ne limite en rien les possibilités de réutilisation. Les développeurs de GNOME sont partis dans une direction qui déplaisait ? D’autres développeurs ont créé Mate et Cinnamon, en se basant sur le code de GNOME. Le rachat de Sun par Oracle et le destin d’OpenOffice ne convenait pas ? Certains ont repris le code pour créer LibreOffice. Des exemples de forks, de fusions ou autre, on en a à la pelle, dans le monde du libre.

Par contre, on reste entre nous, je te l’accorde. Mais je ne vois pas pourquoi ce serait les adeptes de la GPL les fautifs. Personne n’oblige les systèmes BSD à utiliser la licence BSD (leur licence permet même de tout passer sous GPL du jour au lendemain), Apache ou autre. Vous avez fait votre choix, en fonction de votre idéologie, de votre vision de la vie, de l’informatique et de ce que vous voulez.

Alors ok, on ne peut pas réutiliser du code GPL dans un logiciel BSD, mais ce n’est pas de la daube pour autant. Même si ça peut se comprendre que vous soyez un peu dégoûté. En même temps, estimez vous heureux d’avoir accès à des dizaine de milliers de logiciels sous licence GPL, sinon on ne pourrait pas faire grand chose sur un système BSD" />

(ok, fallait bien que je troll un peu) :)

On a juste une vision différente de la liberté. Pour nous, la liberté doit être préservée à tout jamais, tandis que pour vous, on doit pouvoir être libre de renoncer à cette liberté, aussi bien pour vous même, que pour les autres, dont vous ne vous souciez guère.

C’est justement la viralité de la GPL qui m’embête. C’est un peu une forme d’autoritarisme, même si c’est pour le bien de l’humanité. Après, faut avouer que si on ne veut pas que ça soit utilisé par les logiciels propriétaire, il faut empêcher que ça soit redistribuer sous une licence plus permissive.

zart

Le 06/03/2014 à 15h 17

#219

sr17 a écrit :

Sauf que tu ignore combien de code BSD est repris chaque année par les entreprises qui font du logiciel propriétaire.

Et plus personne n’a le droit d’utiliser le logiciel original en BSD à cause de la méchante entreprise?

Moi je vois dans la BSD une licence plus généreuse:

Je vous donne ça faites en ce qui vous plait

Personne n’oblige personne à fournir du code en licence BSD. Si les développeurs veulent le donner contrairement à d’autres qui sont aussi malades des copyrights (“c’est moi qui l’ai écrit personne n’a le droit de se servir de MON travail sans retour sauf si on ne touche pas à mon oeuvre, qu’on donne les sources etc…”) que les industriels (“c’est moi qui l’ai écrit personne n’a le droit de se servir de MON travail sans argent”), c’est leur droit…

sr17

Le 06/03/2014 à 16h 24

#220

coolspot a écrit :

Ben au vu des dernière version d’Android et de dire de certain développeur c’est l’effet inverse et tu a de plus en plus de privateur et de moins en moins de libre maintenant qu’Android a gagné la guerre du mobile/tablette.

Si Android avait été sous licence BSD, Google aurait pu refermer l’ensemble du code d’Android brutalement une fois l’OS devenu populaire. C’est un problème assez classique avec ce type de licence. Et cette base libre que Google sera obligé de continuer de maintenir et de faire évoluer sera très importante pour de futur projets libres.

La licence GPL offre de bien meilleure garantie à long terme pour l’utilisateur d’un logiciel.

Après certe les licence BSD/Apache ne couvrent pas tous les logiciel ou bibliothèque mais de mon point de vue et notamment dans le domaine de la sécurité (l’orientation majeure de BSD) ce sont les leader incontesté et il me semble pas qu’il y est actuellement mieux que BSD en terme de sécurité par exemple. Ce qui prouve qu’en fin de compte même avec une licence hyper permissive ben tu peut être leader même si la concurrence pique les idées/code.

OpenBSD est particulièrement réputé. Et d’une manière générale, côté BSD ils font vraiment de l’excellent travail. Mais du travail qui n’est malheureusement pas connu à hauteur de son mérite. J’ai expliqué plus haut pourquoi le choix de la licence BSD en était responsable.

sr17

Le 06/03/2014 à 16h 47

#221

lysbleu a écrit :

Ha GPL VS BSD… Pour moi, la GPL se rapproche quand même du logiciel proprio.

Je ne suis pas du tout d’accord.

Faire du logiciel qui garantit les libertés (GPL) et du logiciel propriétaire privateur qui enlève les libertés, ce n’est quand même pas du tout la même chose.

Je peux comprendre que le simple fait de poser des règles puisse heurter ceux pour qui l’idéal de la liberté c’est l’absence totale de règles.

Mais n’est ce pas une vision naïve de la liberté ?

Une question très fréquemment abordée en philosophie : Dans quel pays jouit t’on mieux de la liberté ? Dans celui qui interdit de tuer son voisin ? Ou dans celui qui ne l’interdit pas ? Est ce que la meilleure liberté est forcément la liberté totale et sans aucune règles ?

Imaginons qu’on ait 2 projets similaires, un sous licence BSD et l’autre sous GPL. Et bien le projet sous GPL va pouvoir pomper sur l’autre projet tout ce qu’il a besoin, ce qui est normal et productif, par contre en retour le projet BSD ne pourra pas reprendre les amélioration de l’autre projet. Pire, si jamais le projet GPL rajoute une fonctionnalité intéressante, ils devront faire attention à ne pas faire un code trop ressemblant dans leur coin, pour ne pas qu’on les soupçonne d’avoir enfreint la GPL. La GPL devrait être limité à Linux (le noyau) et peut être deux trois projets fondamentaux, mais pas plus.

La licence GPL a effectivement pour caractéristique d’être assez virale. Mais il faut réaliser que c’est aussi un immense avantage à de nombreux points de vue.

En offrant de meilleures garanties de non appropriation, la GPL fédère plus de programmeurs, plus de contributions et au final fait avancer bien plus le logiciel libre.

sr17

Le 06/03/2014 à 17h 10

#222

coolspot a écrit :

+1 la GPL est trop restrictive (et ca s’améliore pas au fil des versions notamment avec la v3 dont Linus ne veut toujours pas en entendre parler) et pour pas mal de dev se prendre la tête à choisir une licence c’est lourd alors ils se calent sur une licence Apache ou BSD et comme ca plus de prise de tête.

La GPL restrictive ? Renseignez vous : cette licence ne restreint absolument rien. Elle t’interdit seulement de redistribuer le logiciel sans les libertés que tu as reçues avec, ce qui est la moindre des choses.

Cette licence ne dérange vraiment que ceux qui veulent piller le travail du libre pour faire du logiciel propriétaire.

Quand à la GPL V3, renseignez vous aussi : elle n’est pas plus restrictive dans le fond, elle colmate simplement des brèches juridiques.

Pour ce qui est de la complexité à maîtriser le droit des licences, c’est de toute manière un passage obligé pour qui veut écrire du logiciel. Car le choix de la licence est aussi étroitement lié au business model qui te servira à financer ton œuvre.

Pour résumer simplement, tous les types de licences libres peuvent grosso modo se résumer selon 3 grands axes : GPL, LGPL et BSD.

Mon conseil personnel n’est pas de choisir systématiquement la GPL : La licence idéale dépends fortement du type de logiciel, du contexte et du but visé.

sr17

Le 06/03/2014 à 17h 32

#223

lysbleu a écrit :

C’est justement la viralité de la GPL qui m’embête. C’est un peu une forme d’autoritarisme, même si c’est pour le bien de l’humanité. Après, faut avouer que si on ne veut pas que ça soit utilisé par les logiciels propriétaire, il faut empêcher que ça soit redistribuer sous une licence plus permissive.

C’est parce que la notion même de liberté est quelque chose de très complexe. Il y a de nombreux paradoxes.

Imaginons un monde de liberté totale, sans aucune règles ni loi. On appelle cela l’anarchie.

Alors, c’est très beau sur le papier, mais c’est un système ou cela finit toujours de la même façon : le plus fort s’impose inévitablement par l’usage de la force… et supprime les libertés.

Donc la liberté totale aboutit en pratique à… créer une monarchie, donc à la destruction des libertés.

C’est pour cela que la meilleure liberté, c’est finalement la démocratie : Un système avec des règles qui garantissent la préservation des libertés individuelles et collectives. Ces règles sont justement censées garantir que personne ne s’approprie la liberté d’autrui.

C’est un peu le même problème avec les licences.

Le paradoxe de distribuer un logiciel sous une licence trop libre, c’est le risque de voir quelqu’un s’approprier les libertés tout en profitant du travail des libristes. Et l’utilisateur de se retrouver au final avec un système fermé. Et l’histoire du logiciel a montré que ce risque est bien réel.

Dans le systèmes des licences, on retrouve d’un côté une vision idéaliste de la liberté (BSD) comparable à l’anarchie et de l’autre une vision pragmatique de la liberté (GPL) que l’on pourrait comparer à la démocratie.

Commentaire_supprime

Le 06/03/2014 à 19h 15

#224

sr17 a écrit :

C’est parce que la notion même de liberté est quelque chose de très complexe. Il y a de nombreux paradoxes.

Imaginons un monde de liberté totale, sans aucune règles ni loi. On appelle cela l’anomie.

Merci de ne pas confondre.

L’anarchie, c’est l’ordre sans le pouvoir, pas le bordel total où tout le monde n’en fait qu’à sa tête en chiant sur le voisin et en se foutant de l’avis des autres.

Ça, cela s’appelle aussi, en économie, le libéralisme.

" />" />" />" />" />

coolspot

Le 06/03/2014 à 19h 25

#225

Okki a écrit :

Alors ok, on ne peut pas réutiliser du code GPL dans un logiciel BSD, mais ce n’est pas de la daube pour autant. Même si ça peut se comprendre que vous soyez un peu dégoûté. En même temps, estimez vous heureux d’avoir accès à des dizaine de milliers de logiciels sous licence GPL, sinon on ne pourrait pas faire grand chose sur un système BSD" />

(ok, fallait bien que je troll un peu) :)

Joli " /> mais c’est valable dans les deux sens. GNU/Linux sans BSD ca serait du gruyère total et cette news le prouve encore que GNu en terme de sécurité c’est pas très très fiable.

Et bim contre " />

coolspot

Le 06/03/2014 à 19h 32

#226

sr17 a écrit :

Si Android avait été sous licence BSD, Google aurait pu refermer l’ensemble du code d’Android brutalement une fois l’OS devenu populaire. C’est un problème assez classique avec ce type de licence. Et cette base libre que Google sera obligé de continuer de maintenir et de faire évoluer sera très importante pour de futur projets libres.

La licence GPL offre de bien meilleure garantie à long terme pour l’utilisateur d’un logiciel.

Ben pas si sur vu qu’au fil des versions le code libre s’amenuise. Après oui tu me dit que du jour au lendemain on passe tout le code en proprio mais bizarrement (un peu comme les troll CLA de Cannonical qui sois-disant permet à Ubuntu de tout passer en propriétaire si il le veut) on le voit jamais arrivé.

Et même si on réutilise tout le code BSD libre pour en faire un code proprio ben la version libre BSD reste toujours très très majoritaire en terme d’utilisation.

Par exemple j’ai jamais vu une bibliothèque SSL issu d’OpenSSL supplanté OpenSSL.

Tout comme avec le serveur apache qui reste incontournable.

sr17 a écrit :

OpenBSD est particulièrement réputé. Et d’une manière générale, côté BSD ils font vraiment de l’excellent travail. Mais du travail qui n’est malheureusement pas connu à hauteur de son mérite. J’ai expliqué plus haut pourquoi le choix de la licence BSD en était responsable.

D’un autre coté leur supériorité est aussi du au fait qu’il passe plus de temps à coder leur application qu’a trouver la licence libre ultime complètement inviolable comme essaye de le faire GNU. " />

coolspot

Le 06/03/2014 à 19h 39

#227

Sinon j’ajouterai que la meilleur des licence reste quand même la WTF-PL.

* This piece of software is under the WTF Public Licence.

* Everyone is permitted to copy and distribute verbatim or modified

* copies of this program, under the following terms of the WFTPL :

*

* DO WHAT THE FUCK YOU WANT TO PUBLIC LICENSE

* TERMS AND CONDITIONS FOR COPYING, DISTRIBUTION AND MODIFICATION

*

* 0. You just DO WHAT THE FUCK YOU WANT TO.

Ca c’est typiquement le genre de licence que j’aime, pas besoin d’avoir fait un doctorat en droit ou de passer 1 semaine à couper les poil de cul en quatre pour diffuser ton logiciel. " />

Au moins avec ce genre de licence il n’y aurait pas eu ce cirque pour VLC ou ils ont du mettre 6 mois à demander à tous les contributeur si ils étaient d’accord pour passer du GPL à LGPL pour faire cohabituer leur programme avec des machin proprio indispensable pour ce type de logiciel.

Avec une licence BSD il y aurait pas eu ce genre de connerie et l’énergie investi dedans aurait été redistribué dans le dev

2show7

Le 06/03/2014 à 22h 26

#228

arno53 a écrit :

Malheureusement tous les libristes ne sont pas toujours aussi réaliste " />

Encore heureux que tu n’en fasses pas une généralité, j’étais près à bondir " />

sr17

Le 06/03/2014 à 22h 26

#229

Commentaire_supprime a écrit :

Merci de ne pas confondre.

L’anarchie, c’est l’ordre sans le pouvoir, pas le bordel total où tout le monde n’en fait qu’à sa tête en chiant sur le voisin et en se foutant de l’avis des autres.

Ça, cela s’appelle aussi, en économie, le libéralisme.

" />" />" />" />" />

Tant qu’on reste dans la théorie, c’est vrai.

Dans la vraie vie, il y aura toujours un connard qui sera prêt à tout pour dominer les autres.

C’est bien cela la différence entre les idéalistes qui pensent que c’est différent et les pragmatiques qui savent que c’est exactement pareil dans la pratique.

Parce que dans la vraie vie, il y a la nature humaine, l’ordre sans le pouvoir aboutit toujours a un bordel total, ou plutôt à une succession de changements : Utopie => bordel total => Loi du plus fort => Le plus fort devient le roi => féodalisme -> fini la liberté.

C’est comme le libéralisme qui était sensé se réguler toute seul. Pourtant, sur le papier, ça marchait bien.

2show7

Le 06/03/2014 à 22h 38

#230

une question

Tu es commercial (hypothèse), vaut-il mieux vendre un truc qui marche ou un truc qui a du mal à se vendre ?

Dilemme, mais le type qui vendra le plus aura une avance, ça aussi c’est un dilemme pour son portefeuille hahahahahaha !! " />

La vente forcée marche une fois, mais, pas sûre, deux fois ? (FB en fait l’écho, je suppose)

zempa Abonné

Le 07/03/2014 à 16h 26

#231

sr17 a écrit :

Tant qu’on reste dans la théorie, c’est vrai.

Dans la vraie vie, il y aura toujours un connard qui sera prêt à tout pour dominer les autres.

C’est bien cela la différence entre les idéalistes qui pensent que c’est différent et les pragmatiques qui savent que c’est exactement pareil dans la pratique.

Parce que dans la vraie vie, il y a la nature humaine, l’ordre sans le pouvoir aboutit toujours a un bordel total, ou plutôt à une succession de changements : Utopie => bordel total => Loi du plus fort => Le plus fort devient le roi => féodalisme -> fini la liberté.

Et bien si on avait tous le même pouvoir comme par exemple dans la démocratie athénienne* qui a duré plus de 200 ans, le connard aurait beaucoup de mal à dominer.

* seul hic, les femmes et les esclaves n’avaient pas le statut de citoyen " />

sr17 a écrit :

C’est comme le libéralisme qui était sensé se réguler toute seul. Pourtant, sur le papier, ça marchait bien.

Effectivement, le papier qu’on nous a montré et pris pour argent comptant était vachement bien foutu.

Sauf qu’il manquait quelques détails… " />

sr17

Le 07/03/2014 à 21h 23

#232

zempa a écrit :

Et bien si on avait tous le même pouvoir comme par exemple dans la démocratie athénienne* qui a duré plus de 200 ans, le connard aurait beaucoup de mal à dominer.

…

La encore, les règles théoriques sont une chose, la réalité pratique est complètement différente.

Dans un groupe humain ou les règles disent que tout le monde disposerait du même pouvoir, il s’établit très rapidement des hiérarchies non écrites qui viennent contredire cela.

Donc dans la réalité, quand bien même les règles disent que tout le monde disposerait des mêmes pouvoirs, ce n’est pas le cas en réalité.

Un cas très amusant, c’est l’entreprise. L’organigramme des hiérarchies réelles qui s’établissent en pratique ne correspondent pas toujours à l’organigramme officiel.

sr17

Le 08/03/2014 à 01h 52

#233

coolspot a écrit :

Sinon j’ajouterai que la meilleur des licence reste quand même la WTF-PL.

Ca c’est typiquement le genre de licence que j’aime, pas besoin d’avoir fait un doctorat en droit ou de passer 1 semaine à couper les poil de cul en quatre pour diffuser ton logiciel. " />

Au moins avec ce genre de licence il n’y aurait pas eu ce cirque pour VLC ou ils ont du mettre 6 mois à demander à tous les contributeur si ils étaient d’accord pour passer du GPL à LGPL pour faire cohabituer leur programme avec des machin proprio indispensable pour ce type de logiciel.

Avec une licence BSD il y aurait pas eu ce genre de connerie et l’énergie investi dedans aurait été redistribué dans le dev

La WTF licence correspond grosso modo à une licence de type BSD. Donc, choisit plutôt une licence BSD parce que ça simplifiera la vie à tout le monde : en matière juridique, chaque mot compte et apporte ses effets de bord. Donc quand un logiciel choisit une licence exotique, ça apporte toujours son lot de prises de tête.

Ensuite, contrairement à une idée reçue, ce n’est pas parce que tu adopte une licence permissive que ça réduira forcément les problèmes juridiques et stratégiques que tu rencontrera par la suite. Chaque logique a ses avantages et inconvénients. Le tout est de choisir la bonne.

Si j’ai bien compris l’idée, certains adopteraient une logique permissive pour ne pas se prendre la tête avec l’aspect juridique ? C’est juste une très mauvaise idée. Un mauvais choix de licence peut condamner un projet. Et la licence idéale dépends du contexte.

L’exemple que tu donne, VLC montre qu’ils auraient sans doute gagné à mieux réfléchir au départ à la licence idéale compte tenue du fait qu’ils était prévisible qu’ils auraient sans doute à s’interfacer à du code propriétaire.

La licence BSD aurait effectivement posé moins de problème en la matière, mais en aurait posé d’autres sur le plan des retombées pour les participants.

Bref, il n’y a pas de licence idéale valable pour tous les projets. Cela implique malheureusement d’investir beaucoup de temps pour étudier le sujet. Et ce n’est pas facultatif. Nous vivons (hélas) dans un monde ou le juridique compte de plus en plus. C’est triste, mais c’est ainsi.

Une faille critique dans la gestion des connexions TLS/SSL fragilise Linux

Une similitude troublante avec la faille d'iOS et OS X

Une faille très similaire dans iOS, OS X et la bibliothèque GnuTLS

Des étapes manquant dans la vérification de l'authenticité des certificats

De nombreux produits touchés, un correctif déjà disponible

Tiens, en parlant de ça :

Les recommandations de la NSA pour « déployer des systèmes d’IA en toute sécurité »

NSA.I

EUCS : la certification cloud européenne sous le feu des critiques en France

Chiens de faïence

L’Institut des normes de télécommunication de l’UE (ETSI) défie la Commission européenne

Irréductible gaulois, #oupas

Sommaire de l'article

Introduction

Une faille très similaire dans iOS, OS X et la bibliothèque GnuTLS

Des étapes manquant dans la vérification de l'authenticité des certificats

De nombreux produits touchés, un correctif déjà disponible

Les recommandations de la NSA pour « déployer des systèmes d’IA en toute sécurité »

#LeBrief : Windows Store amélioré, 28 licenciements chez Google, sécurité des données des français, compétition 404CTF

EUCS : la certification cloud européenne sous le feu des critiques en France

L’Institut des normes de télécommunication de l’UE (ETSI) défie la Commission européenne

Le « payer ou accepter » de Meta incompatible avec le RGPD pour le CEPD

Le CERN libère les données de la découverte du boson de Higgs

Le ministère de l’Intérieur mise sur l’américain TRM Labs pour traquer les flux illégaux de cryptos

#LeBrief : spectre du gamergate, TikTok Lite sous pression, Freebox Ultra vs Deus Ex Silicium, Pegasus en Pologne

Le Slip français se fait trouer : 1,5 million d’emails et des données de 696 144 clients dérobés ?

Après l’affaire XZ Utils, la sécurité des projets open source en question

Samsung dépasse les 10 Gb/s avec sa mémoire LPDDR5X

Élections européennes : Meta échoue à modérer des publicités de propagande pro-russe

#LeBrief : fuite chez le Slip Français, YouTube et les antipubs, Firefox 125, délit pour les deepfakes, trou noir « dormant »

VMware by Broadcom : une situation tendue, l’Europe s’en mêle

Comment la désinformation d’extrême-droite sert les intérêts russes en France

Mars Sample : retour pas si sûr…

#LeBrief : « traumatisme » du deepfake pornographique, Tesla licencie, Samsung repasse devant Apple, Musk vs finances X

Aux USA, la surveillance des communications d’étrangers sans mandat (FISA) fait débat

Apple autorise puis supprime un émulateur Game Boy sur iOS

Android 15 bêta : Wallet par défaut, sécurité des réseaux mobiles et Wi-Fi, bugs sur le NFC

Rapidité vs précision : deux experts nous expliquent les enjeux des GPU modernes sur les IA

#LeBrief : Beeper rachetée, Cyber Command USA, incident technique BFMTV, « destin énergétique » de l’Europe

#Flock : de Game of Shithrones au jeu des sept différences

Google rassemble ses équipes Android et Appareils

« Projet Nimbus » : Google licencie 28 salariés qui ont manifesté contre un contrat cloud avec Israël

JOP : la préfecture de Paris autorise deux nouvelles expérimentations de vidéosurveillance algorithmique (VSA)

La DGSE lance la 3e édition de 404CTF, « la plus grande compétition de cybersécurité de France »

Sous Windows 10 et 11, le Store reçoit d’importantes améliorations

Changer de Cap demande aux administrations de garantir la sécurité des données des Français

Commentaires (234)