[MàJ] Défense : le libre veut la lumière sur l’offre Open Bar de Microsoft

Ulysse Ithaka a écrit :



http://www.latribune.fr/technos-medias/20120719trib000709979/telecoms-les-chinoi…



Et fait l’effort de lire quelques lignes… c’est un des premiers liens dans Google, mais c’est ultra-connu







Ce qui est très connu pour les gens qui bossent dans les réseaux c’est surtout que ces attaques contre Huawei c’est politique/économique et pas du tout technique.



Il n’y a rien qui indique que les routeurs Huawei aient des backdoors, et techniquement si il y a accès via une backdoor ce n’est pas très difficile à détecter avec un tcpdump devant.



Ensuite la Chine a des énormes partenariats avec Cisco (américain pour rappel) notamment pour son Great Firewall alors que la proportion de routeurs chinois aux USA et Europe est très petite donc c’est un peu du gros foutage de gueule. Si un pays devrait s’inquiéter du matériel étranger dans son infra ça serait plutôt la Chine.



Enfin qu’un député français veuille faire interdire les routeurs chinois en Europe ça en devient même un sketch : on a pas ni en France ni même en Europe d’équipementier réseau alors notre indépendance dans l’infra réseau elle est déjà foutue d’avance qu’on achète Cisco/Juniper d’un coté ou Huawei de l’autre.

Sam LAYBRIZ a écrit :



Des logiciels Microsoft… au sein de la defense francaise…



Et tu trouve cela normal ?!









GruntZ a écrit :



Voir _un_ code source, c’est une chose; déployer un exécutable que l’on a compilé soit même, avec ses propres outils (pour être plus sûr), c’en est une autre.







Que vous soyez contre le logiciel propriétaire, anti-Microsoft, fanatique du libre et adorateur de Stallman c’est votre droit, mais avancer l’argument de la sécurité dans ce cas c’est n’importe quoi.



Le gouvernement n’a ni les moyens humains ni financiers pour analyser le code de tout un OS " />. Penser qu’ils misent sur la sécurité à ce niveau c’est se mettre le doigt dans l’oeil bien profond.



Comme n’importe quelle grosse entreprise qui veut luter contre l’espionnage (dans ce cas industriel mais qui n’a pas forcement moins de moyens que l’espionnage militaire), la sécurité des donnés passe par des Firewall et des IDS (Intrusion Detection System) qui fait de l’analyse d’activité réseau pour éviter que des données sortent.



Donc c’est bien militez pour que les ministères adoptent du libre si ça vous chante, mais faire reposer ça sur une question de sécurité non.

Para-doxe a écrit :



Justement, avec du logiciel libre tu peux mutualiser la vérification avec plusieurs services tout en garantissant le sérieux du travail par la transparence des actions menées. C’est ainsi que les communautés du logiciel libre fonctionnent et vérifient leur code.







Non ce n’est pas comparable, les “communautés du logiciel libre” dont tu parles comptent des dizaines/centaines (selon les projets) de milliers de personnes qui vérifient le code le plus souvent bénévolement. Encore une fois l’Etat n’a pas les moyens humains ni financier (car là ça serait pas du bénévolat) pour faire de la vérification de code de tout un OS. (Au passage le libre ne garantie pas aucune backdoor, voir l’exemple de la stack IPsec dans OpenBSD il y a quelques années).



La vérification du code source d’un OS c’est juste une stratégie non tenable en matière de sécurité. Et d’ailleurs ils ont évidemment aussi des serveurs sous du Linux et BSD et ce n’est pas pour que le ministère a relu tout le code de GNU/Linux ou BSD.

C’est juste que la sécurité n’est pas appliqué à ce niveau là car cela demande des ressources gigantesques pour un résultat plutôt aléatoire (car beaucoup dépendant des compétences des personnes qui s’en occupent).

Para-doxe a écrit :



Ok, ce running FUD commence vraiment à devenir lourd. Il a été démontré que la fameuse backdoor n’existe pas et que l’individu ayant avoué l’avoir mise n’a jamais travaillé sur la partie sois-disant incriminée.



Concernant la vérification du code-source, l’état n’est pas obligé de le vérifier seul. Il peut établir des partenariats avec des entreprises privées de même nationalité qui ont elles aussi ce besoin de sécurité.







Même si c’est un FUD (je veux bien un lien) … ce n’est pas le seul exemple, il y a eu proftpd, phpmyadmin … et surement d’autres. Mais c’était juste une remarque au passage, le fond de mon argumentation c’est que de toute façon ils ne relisent pas le code source de Linux ou BSD qui eux sont open-source, tout simplement car c’est pas comme ça qu’on fait de la sécurité informatique, sinon autant aller faire du reverse-engineering de tout les composants utilisés par leurs PCs et serveurs ce qui n’est évidemment pas jouable non plus.



Pour résumer simplement : si tu veux vérifier si un PC envoie/reçois des donnés à l’extérieur tu ne décompiles pas chaque processus qui tourne sur le PC, ou tu ne relis pas chaque ligne du code source de l’OS pour vérifier qu’il n’y pas de backdoor interne à l’OS ou même au noyeau. Tu fais un tcpdump sur un équipement devant le PC et tu as ta réponse.

CaptainDangeax a écrit :



Moi, ça ne me fait pas rire de savoir que la défense de mon pays est tributaire d’un éditeur étranger, dont la politique technique n’est pas particulièrement tournée vers la sécurité qui plus est.







Je passe sur le troll de MS qui n’est pas sécurisé.



La sécurité informatique c’est la science du compromis (elle est de moi celle là mais comme tu as l’air un libriste convaincu je te laisse la réutiliser).

Evidemment tu peux toujours faire plus sûr, jusqu’au moment où tu te rends compte que le seul moyen d’avoir une vraie sécurité est de débrancher l’alimentation.

Car dans ton raisonnement il faut aussi se vérifier chaque puce de chaque composant du PC. C’est beau en théorie mais c’est pas faisable.



Bref cette discussion commence à tourner en rond vu que j’ai déjà eu ce débat ici même il y a 2 mois.