La NSA publie des outils de sécurité sous licence Apache

La NSA publie des outils de sécurité sous licence Apache

Ne jamais douter

Avatar de l'auteur
Vincent Hermann

Publié dans

Internet

21/07/2015
75

La NSA publie des outils de sécurité sous licence Apache

La NSA a publié voilà peu un kit d’outils conçu pour améliorer la sécurité des systèmes d’informations. Proposé sous licence Apache et pour les distributions Linux, le kit pose surtout la question de la confiance que les développeurs et administrateurs peuvent réellement faire à une telle solution.

La situation ne manque pas de piquant et la NSA choisit un timing assez particulier pour proposer ses outils, réunis sous l’appellation « Systems Integrity Management Platform », ou SIMP. Pour beaucoup, le nom-même de la NSA évoque la surveillance, l’espionnage et les portes dérobées. De nombreuses informations ont été dévoilées à travers les documents dérobés par Edward Snowden sur les deux dernières années, notamment sur la manière dont l’agence américaine cultivait presque les failles de sécurité 0-day, c’est-à-dire exploitables sans qu’aucun correctif ne soit disponible (l’éditeur concerné n’est peut-être même au courant).

La NSA débarque sur Github

La National Security Agency a été souvent pointée du doigt depuis pour cette activité parallèle, mais elle est loin d’être la seule à œuvrer de cette manière. On se souvient que l’US Navy avait publié directement une annonce (consultable publiquement) afin de récolter elle aussi ce type de faille, pour ses propres besoins. L’annonce avait été rapidement supprimée une fois sa présence révélée, mais elle avait montré combien cette thématique était sensible et dangereuse.

De fait, quand la NSA publie sur Github des outils destinés à renforcer la sécurité des systèmes d’exploitation, la question se pose de savoir si on peut leur faire confiance. Mais qu’est-ce que SIMP ? Une collection d’outils et de scripts, basés sur Ruby et Puppet pour l'essentiel, afin d’automatiser une partie de la gestion de la sécurité. Les systèmes pris en charge sont essentiellement les moutures 6.6 et 7.1 de Red Hat Enterprise Linux (RHEL) et de CentOS.

Le code est publié sur Github et est sous licence Apache, ce qui signifie que la NSA laisse les développeurs faire à peu près n’importe quoi de ce code. Globalement, l’agence de sécurité se sert d’ailleurs d’outils assez connus pour la gestion de son projet, notamment les Google Groups, HipChat (l’un des grands concurrents de Slack) ou encore JIRA (gestionnaire de bugs et de tickets de maintenance).

simp core github nsa

Des outils destinés aux gouvernements, mais avec quelle confiance ?

Si la plateforme a pour objectif de renforcer avant tout la sécurité, l’agence indique que SIMP tâche de faire le juste milieu entre sécurité et « flexibilité opérationnelle » et s’adresse avant toute chose aux gouvernements : « SIMP garde les systèmes reliés en réseaux conformes avec les standards de sécurité définis ». La NSA souhaite par ailleurs freiner la duplication des nombreux projets du même acabit, soulignant que d’autres gouvernements se sont lancés dans des travaux similaires. En partageant le code de SIMP, l’agence espère qu’un plus grand nombre de personnes se concentrera sur un même lot d’outils, et pourquoi pas que les gouvernements se tournent vers une solution qui deviendrait alors la référence.

Comme on s’en doute, la question de la confiance est primordiale. La NSA ne peut pas espérer que sa trousse à outils sera utilisée sans le moindre questionnement. Certains s’amuseront sans doute à utiliser la solution telle quelle, mais la méfiance est grande désormais pour tout ce qui a trait aux activités du renseignement américain (mais le problème serait sans doute le même avec les équivalents d’autres pays). On imagine mal un gouvernement considérer sérieusement la solution SIMP sans lancer au minimum un vaste audit sur les moindres recoins de son code, car le fait de l’assortir d’une licence Apache est loin d’être suffisant.

Notez que ce partage du code de SIMP fait partie d’une initiative plus grande. Il s’agit du Technology Transfer Program, dont la finalité est de transférer justement des technologies vers l’industrie, le monde de l’enseignement ou même d’autres agences fédérales, par le biais du monde de l’open source. Un échange bénéfique selon la NSA, puisque « la communauté open source peut tirer profit du travail effectué », en échange de quoi l’agence « peut bénéficier de l'expertise et de la perspective de cette communauté ».

75

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

La NSA débarque sur Github

Des outils destinés aux gouvernements, mais avec quelle confiance ?

next n'a pas de brief le week-end

Le Brief ne travaille pas le week-end.
C'est dur, mais c'est comme ça.
Allez donc dans une forêt lointaine,
Éloignez-vous de ce clavier pour une fois !

Commentaires (75)


Le 21/07/2015 à 07h 19

Pas mal celle-là ; ils sont couillus les mecs quand même, respect <img data-src=" />


Le 21/07/2015 à 07h 22

La NSA souhaite par ailleurs freiner la duplication des nombreux projets du même acabit, soulignant que d’autres gouvernements se sont lancés dans des travaux similaires



Bah oui, faudrait surtout pas qu’ils utilisent un outils que la NSA ne maitrise pas.


Le 21/07/2015 à 07h 28

Ils ont surtout un coup d’avance.

Donc s’ils proposent leurs outils c’est qu’ils ont beaucoup mieux à la maison. Ils ne sont pas idiots et ce genre d’initiative peut très bien permettre de recruter de nouveaux talents ou des gars motivés où même des idées fraîches…

&nbsp;

Je les trouve drôlement bons en plus d’être couillus :)


Le 21/07/2015 à 07h 28

Moui, après en mettant de côté la partie ironique de la chose, faudrait pas non plus leur tirer à boulet rouge dessus dès qu’ils font une initiative qui part dans le bon sens.

&nbsp;

Et je suis à peu près persuadé que le code en question est clean. Déjà car un nombre assez important de gens pas mal suspicieux vont décortiquer ce code dans tous les sens juste pour essayer d’être les premiers à leur mettre le nez dedans au cas où il y a effectivement quelque chose.&nbsp;

Et que ça serait complètement contre productif pour eux de se saborder à la première initiative du genre. Non si ils doivent jouer au fourbe ça sera de manière nettement plus subtile, je pense.

&nbsp;

@edrin17 : oui & non ; c’est sûr qu’ils vont pas filer les clés de leur SI, mais je ne vois pas pourquoi ils n’auraient pas des outils internes d’admin basés sur puppet… Et ils ont effectivement tout à y gagner sur ce genre d’outil de le rendre open source.

Si android est un projet Open Source, c’est pas juste car Google est un grand gentil, pour faire une comparaison <img data-src=" />


Le 21/07/2015 à 07h 31

Génial un backdoor public


Le 21/07/2015 à 07h 33

<img data-src=" /> Ah mince, moi qui croyais qu’ils allaient publier Xkeyscore


Le 21/07/2015 à 07h 34







Haemy a écrit :



Génial un backdoor public







Génial, un troll au cinquième commentaire, on s’améliore.



Le 21/07/2015 à 07h 35

Il s’agit d’une news troll ou c’est vraiment sérieux ? Pas très rassurant tout ça … :(


Le 21/07/2015 à 07h 36







philanthropos a écrit :



Génial, un troll au cinquième commentaire, on s’améliore.



tu a déjà oublier comment fonctionne la nsa ? c’est triste.



Le 21/07/2015 à 07h 37

Un avis sur cette news, Amiral Ackbar?&nbsp;


Ce serait pas non plus la première fois…

&nbsp;

&nbsp;Le NIST (qui n’est pas la NSA mais dont on peut penser qu’ils travaillent ensemble) propose des recommandations quant aux méthodes de chiffrement (protocoles AES). Ces protocoles sont ouverts et les spécialistes sont raisonnablement convaincus que ces algorithmes sont sûrs (ie que personne n’y a volontairement introduit des faiblesses)


Le 21/07/2015 à 07h 37







Dez a écrit :



Moui, après en mettant de côté la partie ironique de la chose, faudrait pas non plus leur tirer à boulet rouge dessus dès qu’ils font une initiative qui part dans le bon sens.

 

Et je suis à peu près persuadé que le code en question est clean. Déjà car un nombre assez important de gens pas mal suspicieux vont décortiquer ce code dans tous les sens juste pour essayer d’être les premiers à leur mettre le nez dedans au cas où il y a effectivement quelque chose. 

Et que ça serait complètement contre productif pour eux de se saborder à la première initiative du genre. Non si ils doivent jouer au fourbe ça sera de manière nettement plus subtile, je pense.







+1.



Et, de toute façon, si vous avez des choses vraiment secrètes à garder ou transmettre, vous faites tout hors net. Voire hors informatique tout court.



Sinon, point important à mon avis, tout le monde a la NSA en ligne de mire pour ses abus de pouvoir réels, mais, pendant ce temps, les mêmes font preuve d’un silence assourdissant sur ce que des sociétés privées, donc potentiellement hors de contrôle politique et citoyen, font comme collecte de données privées, et pour quelle utilisation effective ou potentielle. Et pas seulement Google…



Le 21/07/2015 à 07h 38

C’est pas leur première contribution, y a eu SELinux.









canti a écrit :



Un avis sur cette news, Amiral Ackbar?







It’s a TRAP !!! ^^



Le 21/07/2015 à 07h 39







33A20158-2813-4F0D-9D4A-FD05E2C42E48 a écrit :



Ce serait pas non plus la première fois…

 

 Le NIST (qui n’est pas la NSA mais dont on peut penser qu’ils travaillent ensemble) propose des recommandations quant aux méthodes de chiffrement (protocoles AES). Ces protocoles sont ouverts et les spécialistes sont raisonnablement convaincus que ces algorithmes sont sûrs (ie que personne n’y a volontairement introduit des faiblesses)







Pour précision, le NIST (National Institude of Standards and Technologies) est un organisme de normalisation industrielle aux USA, l’équivalent de l’AFNOR français.



Le 21/07/2015 à 07h 39

La NSA sont quand même aussi impliqué dans SE Linux et dans la publication de quelques guides de sécurisation pour Linux / Red Hat qui sont parfaitement valables…


Le 21/07/2015 à 07h 40

Personnellement je n’ai aucun problème avec ce que propose la NSA

&nbsp;

&nbsp;Le code est ouvert donc tout le monde peut voir ce que le programme fait !

&nbsp;



&nbsp;… mais tout aussi personnellement je n’installerais rien sans que quelqu’un &nbsp;… quelques uns en fé qui s’y connaît bien (= au même niveau supposé des gens de la NSA ;)) ait testé le bousin

&nbsp;

&nbsp;Il n’y avait pas il y a quelques années une “distribution” Linux ultra méga supra extra sécurisée par une agence zétasunienne ? Je ne me souviens plus du nom :/


tazvld Abonné
Le 21/07/2015 à 07h 41







canti a écrit :



Un avis sur cette news, Amiral Ackbar?





Moi ça m’a fait plutôt pensé à une histoire d’indien et de couverture.









Commentaire_supprime a écrit :



Sinon, point important à mon avis, tout le monde a la NSA en ligne de mire pour ses abus de pouvoir réels, mais, pendant ce temps, les mêmes font preuve d’un silence assourdissant sur ce que des sociétés privées, donc potentiellement hors de contrôle politique et citoyen, font comme collecte de données privées, et pour quelle utilisation effective ou potentielle. Et pas seulement Google…





Non seulement ça, mais un bon nombre utilisent des systèmes d’exploitation ou logiciels américains en toute conscience que des failles peuvent être exploitées voire implantées sur demande de la NSA.



Alors, utiliser SIMP ou Windows, ça revient peu ou prou au même.



Le 21/07/2015 à 07h 44

@raphke : SELinux

&nbsp;

&nbsp;Et globalement, si effectivement la NSA c’est des grôpâbô, faut relativiser, le code est open source, ils savent très bien que le truc va être décortiqué de A à Z, il n’y aura pas de backdoor dedans.. On peut leur reprocher beaucoup de choses, mais certainement pas d’être des idiots qui ne réfléchissent pas.&nbsp;


linkin623 Abonné
Le 21/07/2015 à 07h 45

Comme lu ailleurs, il faut pas oublier que la NSA a deux missions : être offensif en collectant du renseignement, et promouvoir des techniques de défenses auprès des acteurs américains.



Donc l’outil publié ici entre dans la défensif. Et je vois pas pourquoi la NSA s’amusera à publier un code avec des failles, surtout en ce moment, alors que le but de cet outil est de gérer des parcs ou des infrastructures…



Alors oui, c’est pas des bisounours, et ils connaissent les limites de leurs outils. Mais je vois pas leur intérêt de filer du code, utilisé par des entreprises US, avec une faille dedans et potentiellement trouvable par des puissances étrangères.


Le 21/07/2015 à 07h 52







Haemy a écrit :



tu a déjà oublier comment fonctionne la nsa ? c’est triste.







Non on n’a pas oublié comment fonctionne la NSA : ils vont voir les grosses entreprises influentes (Microsoft, Apple, Google, Facebook…) pour leur demander de les obliger à « coopérer » (introduire des backdoors ? accès à leurs Clouds ? difficile à dire…) ; ils surveillent les réseaux en se branchant directement sur les câbles sous-marins ; ils interceptent les communications téléphoniques à la volée dans le monde entier ; etc. etc.



Là il s’agit d’un projet déposé sur Github, en Open Source, et ils n’obligent personne (ni aucune distribution GNU/Linux) à l’installer ou à l’activer par défaut. D’un côté, je ne doute pas que des spécialistes de la sécurité partout dans le monde vont scruter le code et chercher d’éventuelles failles/backdoors. Je pense notamment à la Chine qui conçoit son propre système basé sur Linux, et qui n’a certainement pas envie de voir débarquer des saloperies américaines dans leur OS. D’un autre côté, j’imagine mal la NSA être assez couillonne pour publier en Open Source un code truffé de backdoors. Leur réputation est déjà très mauvaise, ce serait vraiment masochiste de leur part de tendre un bâton aussi gros pour se faire battre.



Bref, tu as raison il faut se méfier de la NSA, mais il ne faut pas tout mélanger AMHA.



Le 21/07/2015 à 07h 52

Vivi SELinux, je connaissais mais non je croyais avoir autre chose en tête. Soit …

&nbsp;

&nbsp;Opensource: oui oui je crois à ça mais open source sur des choses simples ce n’est pas si évident autant sur des mécanismes de sécurité qui s’attaque sur des choses complexes et profondes je n’y crois pas des masses.

&nbsp;

&nbsp;Ceux qui travaillent à la NSA ne sont pas des manches et pour suivre un peu le monde Linux les questions de sécurités … bin il n’y en a pas tant que ça qui s’y intéressent et encore BEAUCOUP moins qui s’y connaissent (sinon z’auraient été embauchés à la NSA ? :p :p)


Le 21/07/2015 à 08h 02

C’est pas parce que c’est open-source que c’est safe. ^^



&nbsp;&nbsp;Un chercheur en sécurité&nbsp;avait avoué il y a quelques années avoir introduit des backdoors dans OpenBSD à la demande du FBI. Quand on sait que c’est&nbsp;une des&nbsp;communautés les plus paranos en matière de sécu…



&nbsp;Après, il y a certainement moins de code que dans un OS, mais ça ne veut pas dire qu’il n’y a pas de risque de se faire avoir.


Le 21/07/2015 à 08h 02







karma1911 a écrit :



@raphke : SELinux

 

 Et globalement, si effectivement la NSA c’est des grôpâbô, faut relativiser, le code est open source, ils savent très bien que le truc va être décortiqué de A à Z, il n’y aura pas de backdoor dedans.. On peut leur reprocher beaucoup de choses, mais certainement pas d’être des idiots qui ne réfléchissent pas.







Pour autant ce n’est surement pas 100% inviolable



“Alors ce truc sécure ?”

“C’est pas mal mais on se le fait quand même patron !”

“C’est bon les gars publiez le on se fera un peu de pub”



Le 21/07/2015 à 08h 05

Il y a peu de chances de trouver directement des backdoors dans le code, ou alors un cas d’or a réussi à poser un truc que personne n’arrivera détecter. (peu probable)

&nbsp;Je penche plus pour “on vous propose un truc sur github&nbsp;qu’on sait déjà casser en moins de 2 minutes, c’est bon mangez-en.”


Le 21/07/2015 à 08h 08

Ce n’est pas parce ce open source que c’est safe (je te rejoins 100% là-dessus)

&nbsp;

&nbsp;… c’est parce que c’est open source que ça peut être vu de tout le monde

&nbsp;

&nbsp;… correct ! mais (comme je l’ai écrit) si c’est ouvert … l faut encore avoir les gars qui savent de quoi on parle et là c’est ENCORE MOINS DE GENS.

&nbsp;

&nbsp;Le noyau Linux c’est vachement pas facile de base (moi j’essaye avec les compte rednus sur linuxfr ^^⁾ bin la couche de sécurité ça emm…e tout le monde &nbsp;:p (il y a quelques articles avec Linus notamment là-dessus ;))

&nbsp;

&nbsp;

&nbsp;

&nbsp;Remaque:

&nbsp;Vous avez vu comment ce code ((open)ssl) par exemple est soutenu ? Tout le monde s”appuie dessus car ce n’est pas mauvais.

&nbsp;

&nbsp;.. . mais personne ne supporte en vrai&nbsp;

&nbsp;

&nbsp;jusque au moment où une Katazrophhhheee survient et là on injecte quelques dollars

&nbsp;

&nbsp;La sécurité ce n’est pas le fait de quelqu’un/quelques uns …&nbsp;


Le 21/07/2015 à 08h 13







canti a écrit :



Un avis sur cette news, Amiral Ackbar?&nbsp;



Il est en vacances <img data-src=" />



Le 21/07/2015 à 08h 15







shadowfox a écrit :



C’est pas parce que c’est open-source que c’est safe. ^^



  Un chercheur en sécurité avait avoué il y a quelques années avoir introduit des backdoors dans OpenBSD à la demande du FBI. Quand on sait que c’est une des communautés les plus paranos en matière de sécu…



 Après, il y a certainement moins de code que dans un OS, mais ça ne veut pas dire qu’il n’y a pas de risque de se faire avoir.







D’ailleurs je ne me souviens pas comment çà a fini cette histoire. OpenBSD a lancé un audit et je m’en étais arrêté à l’hypothèse que c’était un canular…



Le 21/07/2015 à 08h 16

je les trouve un peu hater la sécurité us <img data-src=" />

&nbsp;



&nbsp;Bah oui ils hainent ca. (NSA) c’est capiltracté, j’ai honte mais fallait ca sorte&nbsp; lol


Citan666 Abonné
Le 21/07/2015 à 08h 17

Clairement, la NSA s’il y a bien deux trucs qu’on peut pas leur reprocher c’est d’être idiots ou de ne voir qu’à court terme. Pour le coup, vu qu’ils connaissent déjà tout de la France, je serais limite tenté d’inviter un de leurs hauts cadres à venir diriger la France. Là au moins on aurait un plan stratégique avec les couilles nécessaires pour le mettre en oeuvre (bon, ce serait certainement un plan d’abord profitable aux Américains, mais bon <img data-src=" />)







Meallia a écrit :



La NSA souhaite par ailleurs freiner la duplication des nombreux projets du même acabit, soulignant que d’autres gouvernements se sont lancés dans des travaux similaires



Bah oui, faudrait surtout pas qu’ils utilisent un outils que la NSA ne maitrise pas.





S’pas faux non plus. <img data-src=" />

&nbsp;

En tout cas, je m’attends à ce que personne n’utilise le code avant qu’au moins 3 ou 4 équipes reconnues aient analysé à fond le code… <img data-src=" />

&nbsp;

&nbsp;EDIT :





balifred_alias fred a écrit :



je les trouve un peu hater la sécurité us <img data-src=" />

&nbsp;



&nbsp;Bah oui ils hainent ca. (NSA) c’est capiltracté, j’ai honte mais fallait ca sorte&nbsp; lol





Ouh la vache c’est du lourd ! <img data-src=" />

&nbsp;

<img data-src=" /> pour l’intense effort intellectuel nécessaire à sa naissance et pour avoir eu les balls de le présenter en place publique ! <img data-src=" />



inextenza Abonné
Le 21/07/2015 à 08h 18







raphke a écrit :



Ce n’est pas parce ce open source que c’est safe (je te rejoins 100% là-dessus)



&nbsp;      

&nbsp;... c'est parce que c'est open source que ça peut être vu de tout le monde

&nbsp;



&nbsp; &nbsp;





&nbsp;D’autant que ce genre d’équipes savent très bien rendre un code illisible.

&nbsp;



raphke a écrit :



&nbsp;Vous avez vu comment ce code ((open)ssl) par exemple est soutenu ? Tout le monde s”appuie dessus car ce n’est pas mauvais.

&nbsp;

&nbsp;.. . mais personne ne supporte en vrai&nbsp;

&nbsp;

&nbsp;jusque au moment où une Katazrophhhheee survient et là on injecte quelques dollars





Ou bien on forke <img data-src=" />

&nbsp;

Vivement l’avènement de LibreSSL ^^



John Shaft Abonné
Le 21/07/2015 à 08h 18

Il me fait dire que depuis qu’il utilise SELinux, il tombe moins souvent sur des pièges


Le 21/07/2015 à 08h 21

openssl ? ouaiche :) mais le fond du problème reste (selon moi)

&nbsp;

&nbsp;ça ne tient qu’à quelques pékenots car le domaine est vraiment ardu je pense, ça demande de gros moyens de pas mal de monde :/


Le 21/07/2015 à 08h 31

Pourquoi mettre une backdoor dedans quand on pourra le faire tranquillou depuis W10 <img data-src=" />


barlav Abonné
Le 21/07/2015 à 08h 34







shadowfox a écrit :



Il y a peu de chances de trouver directement des backdoors dans le code, ou alors un cas d’or a réussi à poser un truc que personne n’arrivera détecter. (peu probable)

&nbsp;Je penche plus pour “on vous propose un truc sur github&nbsp;qu’on sait déjà casser en moins de 2 minutes, c’est bon mangez-en.”





Exactement! Contrairement a la plupart des comms ici, il n’y aura pas de “backdoors” au sens gras du terme; au grand pire juste des failles exploitables.

&nbsp;Il faut aussi regarder a quoi ressemblent les vulnerabilites: heartbleed ou autre. Des fois c’est un trou dans la serrure, des fois c’est une brique creuse… Il faut etre creatif, il a y plein de moyens de s’introduire. Mais ca s’appelle un bug.



inextenza Abonné
Le 21/07/2015 à 08h 40







raphke a écrit :



&nbsp;

&nbsp;ça ne tient qu’à quelques pékenots car le domaine est vraiment ardu je pense, ça demande de gros moyens de pas mal de monde :/





Des moyens? Bof. OpenSSL est le jouet de 3 geeks anglais (bon, 4 maintenant, le projet s’est européanisé) à la base, avec quelques commiters. C’est pourquoi les incendies sont éteints dans l’urgence, sans se soucier de la fragilité des fondations.

&nbsp;

&nbsp;Chez OpenBSD, ils ont mis une vraie équipe plus dense, et expérimentée (la core team de OBSD n’est pas tout à fait composée de ce qu’on pourrait qualifier de rigolos, même si ils sont souvent taquins), en partant d’une feuille blanche. Ce que ne peut pas se permettre la core team de OpenSSL hélas (et c’est ce qui est en train de les tuer: ce n’est pas un hasard si ça a forké y compris chez Oracle ou IBM: au premier incendie de OpenSSL, les spécialistes ont commencé à mettre le nez dans le code de OpenSSL. Il y a eu des infarctus)



Le 21/07/2015 à 08h 45

&nbsp;Je n’ai jamais entendu parler de la fin de cette histoire, je ne pourrai pas te répondre. ^^’


Le 21/07/2015 à 08h 46







Konrad a écrit :



Non on n’a pas oublié comment fonctionne la NSA : ils vont voir les grosses entreprises influentes (Microsoft, Apple, Google, Facebook…) pour leur demander de les obliger à « coopérer » (introduire des backdoors ? accès à leurs Clouds ? difficile à dire…) ; ils surveillent les réseaux en se branchant directement sur les câbles sous-marins ; ils interceptent les communications téléphoniques à la volée dans le monde entier ; etc. etc.



Là il s’agit d’un projet déposé sur Github, en Open Source, et ils n’obligent personne (ni aucune distribution GNU/Linux) à l’installer ou à l’activer par défaut. D’un côté, je ne doute pas que des spécialistes de la sécurité partout dans le monde vont scruter le code et chercher d’éventuelles failles/backdoors. Je pense notamment à la Chine qui conçoit son propre système basé sur Linux, et qui n’a certainement pas envie de voir débarquer des saloperies américaines dans leur OS. D’un autre côté, j’imagine mal la NSA être assez couillonne pour publier en Open Source un code truffé de backdoors. Leur réputation est déjà très mauvaise, ce serait vraiment masochiste de leur part de tendre un bâton aussi gros pour se faire battre.



Bref, tu as raison il faut se méfier de la NSA, mais il ne faut pas tout mélanger AMHA.





Je me doute bien qu’ils ne vont pas inclure un fichier backdoor.h dans le projet :‘) L’intention de la NSA est de faire un projet “ouvert”, réputé afin que tout le monde l’utilisent..

&nbsp;la raison est le contrôle, ils ont les moyens financier et humain de “trouver”&nbsp; des failles donc c’est pour eux un moyen d’accès garanti à tout ceux qui utilisent leurs logiciels de sécurité. C’est certainement pas des barbus du dimanche qui se disent spécialiste en sécurité qui vont détecté quoi que ce soit..



inextenza Abonné
Le 21/07/2015 à 09h 01

Après, c’est un débat (que j’ai eu récemment sur un gros projet à utilisation militaire, à propos de SELinux) : vaut-il mieux une protection minimale, mais sans utilisation du moindre outil passé entre les mains de la NSA, ou une couche de sécurisation, même si on la préjuge perforée ?


Le 21/07/2015 à 09h 03







raphke a écrit :



Ce n’est pas parce ce open source que c’est safe (je te rejoins 100% là-dessus)

 

 … c’est parce que c’est open source que ça peut être vu de tout le monde

 

 … correct ! mais (comme je l’ai écrit) si c’est ouvert … l faut encore avoir les gars qui savent de quoi on parle et là c’est ENCORE MOINS DE GENS.

 

 Le noyau Linux c’est vachement pas facile de base (moi j’essaye avec les compte rednus sur linuxfr ^^⁾ bin la couche de sécurité ça emm…e tout le monde  :p (il y a quelques articles avec Linus notamment là-dessus ;))

 

 

 

 Remaque:

 Vous avez vu comment ce code ((open)ssl) par exemple est soutenu ? Tout le monde s”appuie dessus car ce n’est pas mauvais.

 

 .. . mais personne ne supporte en vrai 

 

 jusque au moment où une Katazrophhhheee survient et là on injecte quelques dollars

 

 La sécurité ce n’est pas le fait de quelqu’un/quelques uns …











Haemy a écrit :



Je me doute bien qu’ils ne vont pas inclure un fichier backdoor.h dans le projet :‘) L’intention de la NSA est de faire un projet “ouvert”, réputé afin que tout le monde l’utilisent..

 la raison est le contrôle, ils ont les moyens financier et humain de “trouver”  des failles donc c’est pour eux un moyen d’accès garanti à tout ceux qui utilisent leurs logiciels de sécurité. C’est certainement pas des barbus du dimanche qui se disent spécialiste en sécurité qui vont détecté quoi que ce soit..







Tout à fait, Open Source ne veut pas dire « sécurisé à 100% », je pense que c’est évident pour tout le monde. L’introduction d’une backdoor sera aussi sûrement plus subtile qu’un fichier “backdoor.h”… Du coup ça peut être difficile de savoir s’il s’agit d’une vraie faille introduite par erreur, ou bien d’une backdoor placée volontairement. En tout cas, la découverte de failles n’est pas une question de « si », mais une question de « quand ».



Quand une faille est découverte dans un code Open Source, on peut savoir quand elle a été introduite, par qui, pourquoi (commentaires du commit), et en déduire si elle a été introduite volontairement (backdoor) ou non (faille de sécurité). C’est ce qui s’est passé avec HeartBleed par exemple : on sait précisément quand la faille a été introduite, par qui, et que c’était une erreur, et non pas du code malveillant introduit volontairement. C’est aussi ce qui s’est passé avec la tentative d’introduire une backdoor dans Linux en 2003 (par la NSA ? on ne sait pas), qui a aussi échoué. Au passage cet exemple montre que la sécurité autour du noyau Linux n’est pas si frêle que certains le disent ici… Il y a quand même pas mal de garde-fous pour prévenir de l’introduction de backdoors, ou simplement de failles ou de bugs.



Du coup, je doute que la NSA s’amuse à publier un code vérolé. Il est évident que des backdoors ne vont pas être trouvées dès le premier jour, mais s’il y en a, elles finiront par être dénichées tôt ou tard. Et là ça va faire mal. Je doute qu’ils courent un tel risque.



Avec un code propriétaire en revanche le public n’a aucune traçabilité : quand une faille est découverte, impossible de savoir si c’était en fait une backdoor placée là volontairement, quand, par qui… Ça vaut aussi bien pour les produits de Microsoft, Apple, Google, Facebook… La NSA a-t-elle placé (ou demandé de placer) des backdoors dans ces produits ? Impossible à dire, mais le doute est permis…



Z-os Abonné
Le 21/07/2015 à 09h 04

Tout l’art réside dans la rédaction d’un code apparemment lisible et compréhensible mais capable de réaliser autre chose.


Le 21/07/2015 à 09h 16

C’est “marrant” ça&nbsp;

&nbsp;:

&nbsp;“Avec un code propriétaire en revanche le public n’a aucune traçabilité : quand une faille est découverte, impossible de savoir si c’était en fait une backdoor placée là volontairement, quand, par qui… Ça vaut aussi bien pour les produits de Microsoft, Apple, Google, Facebook… La NSA a-t-elle placé (ou demandé de placer) des backdoors dans ces produits ? Impossible à dire, mais le doute est permis…”&nbsp;

&nbsp;C’est juste l’objet d’un fil de discussion chez nous

&nbsp;Se demander si l’open source n’est en fait pas plus trougnougnoutable parce que c’est juste open source

&nbsp;… même pas eu envie de débattre là. Depuis quand le fait que tu paies bien cher des licences pour des softs propriétaires tu es mieux .. en fait il faudrait qu’on dise BIEN couverts ? C’est l’idée marketing sous-jacente selon moi, tu es pieds et poings liés à ton fournisseur ayi ! ça signifie que si tu veux te délier c’est soit impossible soit te coûtes la peau des fesses (‘fin encore plus quoi)


Le 21/07/2015 à 09h 19







Haemy a écrit :



Je me doute bien qu’ils ne vont pas inclure un fichier backdoor.h dans le projet :‘) L’intention de la NSA est de faire un projet “ouvert”, réputé afin que tout le monde l’utilisent..

 la raison est le contrôle, ils ont les moyens financier et humain de “trouver”  des failles donc c’est pour eux un moyen d’accès garanti à tout ceux qui utilisent leurs logiciels de sécurité. C’est certainement pas des barbus du dimanche qui se disent spécialiste en sécurité qui vont détecté quoi que ce soit..





Sinon, à part faire dans le péremptoire, qu’est-ce que t’y connais en sécurité, développement… etc. ou des personnes impliquées dans les projets libres ?

<img data-src=" />



Le 21/07/2015 à 09h 33

On est déjà le 1er avril? <img data-src=" />


Le 21/07/2015 à 09h 39

Par principe, il vaut mieux éviter tout ce qu’il vient de la NSA. Si le code semble sûr, c’est probablement juste un leurre.


Z-os Abonné
Le 21/07/2015 à 09h 39

Fête nationale belge ☺ ——-&gt;[]


Le 21/07/2015 à 10h 17







okeN a écrit :



Par principe, il vaut mieux éviter tout ce qu’il vient de la NSA. Si le code semble sûr, c’est probablement juste un leurre.







Ça tombe bien, ils ont juste mis ça sur un dépôt Github. Personnellement je n’installerai pas ça sur mes machines, je laisse le soin à d’autres de beta-tester <img data-src=" />



Le 21/07/2015 à 10h 38







CryoGen a écrit :



D’ailleurs je ne me souviens pas comment çà a fini cette histoire. OpenBSD a lancé un audit et je m’en étais arrêté à l’hypothèse que c’était un canular…







C’était du FUD de la part du développeur en question, qui a été le seul à parler de cette faille. Open BSD a fait un audit de son code par précaution, mais n’a rien trouvé.



Comme on dit dans le juridique, testimus unus, testimus nullus.



Le 21/07/2015 à 10h 44

Merci <img data-src=" />


Le 21/07/2015 à 10h 45







okeN a écrit :



Par principe, il vaut mieux éviter tout ce qu’il vient de la NSA. Si le code semble sûr, c’est probablement juste un leurre.





Jette un oeil à SELinux, son fonctionnement, son code… etc. On en reparlera de ta méfiance.

De toute façon, leur stratégie est très bonne dans la mesure où cette méfiance vis-à-vis de leurs outils les arrange car destinés à protéger les institutions américaines.



Ce qui est drôle dans cette affaire, c’est les commentaires des gens qui se croient à l’abri de cette agence, s’ils vous visent en particulier, vous et vos systèmes ne tiendront pas plus de 2 minutes (ie. ils n’ont pas besoin de publier des programmes avec backdoors intégrées, vu qu’ils peuvent se servir de la passoire Windows par exemple).

Ce qui est critiquable, c’est la surveillance de masse généralisée.



Le 21/07/2015 à 11h 11







Nikodym a écrit :



Ce qui est critiquable, c’est la surveillance de masse généralisée.





Et leur politique étrangère: guerres pour placer leurs hommes au pouvoir de pays riches en ressources, espionnage industrielle de leurs “alliées” <img data-src=" />



Le 21/07/2015 à 11h 14







Haemy a écrit :



tu a déjà oublier comment fonctionne la nsa ? c’est triste.





Ce qui est triste c’est des gens comme toi qui sont incapables de faire la part des choses <img data-src=" />







33A20158-2813-4F0D-9D4A-FD05E2C42E48 a écrit :



Ce serait pas non plus la première fois…

 

 Le NIST (qui n’est pas la NSA mais dont on peut penser qu’ils travaillent ensemble) propose des recommandations quant aux méthodes de chiffrement (protocoles AES). Ces protocoles sont ouverts et les spécialistes sont raisonnablement convaincus que ces algorithmes sont sûrs (ie que personne n’y a volontairement introduit des faiblesses)







Ho oui je sais bien, de toute manière le code est ouvert comme tu le dis, donc si faille il y a elle sera trouvée tôt ou tard.

Et puis la NSA n’est pas la dernière des connes en ce qui s’agit de la protection des SI <img data-src=" />



Mon commentaire était juste dans le cadre de la “crise de confiance” (si on peut dire ça à propose d’une agence de renseignement ^^‘) que traverse la NSA aux yeux du monde entier.

Comme quoi l’actualité est trollesque par elle-même parfois ^^



Le 21/07/2015 à 11h 32







shadowfox a écrit :



Un chercheur en sécurité avait avoué il y a quelques années avoir introduit des backdoors dans OpenBSD à la demande du FBI. Quand on sait que c’est une des communautés les plus paranos en matière de sécu…







J’avais raté ce commentaire.



Il faut arrêter avec cette histoire, ça a été entièrement démenti depuis. Le développeur en question n’a fait que du FUD pour faire parler de lui et faire un scandale, justement parce que OpenBSD est centré sur la sécurité, que c’est Open Source, etc. Mais au final après un audit prolongé les développeurs n’ont rien trouvé dans le code ni dans les commits.



Donc stop de dire « une backdoor a été introduite dans OpenBSD à l’insu de tout le monde », c’est entièrement faux…



Le 21/07/2015 à 11h 44

Tu ne sait pas ce qu’est la licence Apache? c’est triste.


Le 21/07/2015 à 11h 45

Le code est ouvert et la disponibilité et son utilisation soumit à l’ appréciation de tous.



SELinux a prouvé qu’ il était un outil efficace au point d’ être intégré dans des distributions comme les dérivés de Red Hat (Fedora, CentOS, etc).



Le temps nous dira mais je n’ en doute pas, que SIMP suivra le même chemin.



Si la NSA voulait “piéger” des utilisateurs pourquoi le faire en public au yeux d’ une communauté qui n’ attend que ça pour encore plus les critiquer quand, on peut et qu’ on sodocule le monde entier dans l’ ombre sans aucun problème ?



Pour moi la seule question, c’ est pourquoi la NSA le fait et le fait maintenant, en pleine tourmente de critiques et à l’ encontre d’ une certaine politique maison actuelle cherchant et demandant justement à supprimer tout moyen de protection trop efficace chez le particulier et entreprise.



Le paradoxe pour moi il est là.

Le logiciel en lui même doit être certainement (en attendant que la communauté l’ étudie) clean.

Les raisons de le donner (même si il s’ agit pas de leur logiciel maison le plus efficace et imparable) peut être beaucoup moins et comme le dit le proverbe “Quand il y a un doute, il y a plus de doute…”


Le 21/07/2015 à 11h 48

Oui, donc, fuyez…..


Le 21/07/2015 à 11h 57







tic tac a écrit :



Pour moi la seule question, c’ est pourquoi la NSA le fait et le fait maintenant, en pleine tourmente de critiques et à l’ encontre d’ une certaine politique maison actuelle cherchant et demandant justement à supprimer tout moyen de protection trop efficace chez le particulier et entreprise.



Le paradoxe pour moi il est là.

Le logiciel en lui même doit être certainement (en attendant que la communauté l’ étudie) clean.

Les raisons de le donner (même si il s’ agit pas de leur logiciel maison le plus efficace et imparable) peut être beaucoup moins et comme le dit le proverbe “Quand il y a un doute, il y a plus de doute…”





Pour protéger leurs instituions (publiques ou privées) des hackers chinois pardi !



Le 21/07/2015 à 12h 03



la NSA choisit un timing assez particulier pour proposer ses outils, réunis sous l’appellation « Systems Integrity Management Platform », ou SIMP.

A leur place j’aurai appelé l’outil Data Transfert Control, c’est plus parlant <img data-src=" />


Le 21/07/2015 à 12h 12







Nikodym a écrit :



Sinon, à part faire dans le péremptoire, qu’est-ce que t’y connais en sécurité, développement… etc. ou des personnes impliquées dans les projets libres ?

<img data-src=" />





Je sais qu’en général ils ont les chevilles énorme et qu’ils redescendent très vite sur terre quand les hackers s’intéresse à leurs projets :‘)



Le 21/07/2015 à 12h 15







math67 a écrit :



Tu ne sait pas ce qu’est la licence Apache? c’est triste.





Une license empêche les hackeurs d’exploiter une faille de logiciel?&nbsp; Même si c’était le cas ils ne respectent même pas les loi alors ta vieille licence <img data-src=" />



Le 21/07/2015 à 12h 27

Houlala… du code de la NSA. C’est surement un virus/trojan.



On ferait surement mieux de rester avec nos super solutions actuelles, à savoir:




  • pour windows: les technos gratuites de Ms (firewall, essential, antimalware)

  • pour les pros: des logiciels proprios antivirus avec une note de 1820 sur sécurité-magazine

  • pour linux: rien. (bah, ouais. Linux c’est sécurisé par défaut)

  • pour mac: un autocollant S.Jobs qui éloigne le mauvais sort

  • pour tout le monde: le mode “automatic update” de tous les logiciels installés.



    100% plus sécurisé que s’intéresser à des publications de branquignoles ricains.



    /sarcasme


Le 21/07/2015 à 12h 36

La philosophie de la NSA ces derniers temps serait plutôt de “faciliter” le piratage plutôt que d’ aider le monde entier à se protéger.



Leur avis sur les réseaux cryptés, le chiffrement des données, la protection des échanges, l’ anonymat, etc est assez révélateur de leur vision des choses.



Autant d’ obstacle malsain à leur travail.



Les voir donner un logiciel de protection estampillé du logo de la NSA c’ est un peu comme voir du haut des remparts de Troie, le beau cheval de bois laissé par ceux qui la veille à peine, voulait raser toute la ville jusqu’à la dernière brique.



Si le cadeau est clean on est quand même en droit de se poser quelques questions car la raison “nous voulons aider la communauté à se protéger” est assez paradoxale à leur mission actuelle et bien éloignées des solutions qu’ ils réclament pour y arriver.



Le 21/07/2015 à 12h 45

Y’a tellement aucune solution de sécurité que la NSA a essayer d’imposer leur solution selinux comme seule solution de sécurité au noyau, mais Linus n’a pas céder.







127.0.0.1 a écrit :



Houlala… du code de la NSA. C’est surement un virus/trojan.



On ferait surement mieux de rester avec nos super solutions actuelles, à savoir:




  • pour windows: les technos gratuites de Ms (firewall, essential, antimalware)

  • pour les pros: des logiciels proprios antivirus avec une note de 1820 sur sécurité-magazine

  • pour linux: rien. (bah, ouais. Linux c’est sécurisé par défaut)

  • pour mac: un autocollant S.Jobs qui éloigne le mauvais sort

  • pour tout le monde: le mode “automatic update” de tous les logiciels installés.



    100% plus sécurisé que s’intéresser à des publications de branquignoles ricains.



    /sarcasme





Le 21/07/2015 à 13h 20

Ta “vieille licence” comme tu dit autorise l’audit et la modification du code. Ceux qui auraient un besoin pour ces applicatifs peuvent dans ce cas s’assurer que le code est valide et utilisable. Pour les gens qui ont les compétences ce n’est pas un problème. Dans ton cas ce n’est surement pas de ton niveau.


wagaf Abonné
Le 21/07/2015 à 13h 21

Exact, de plus les outils de la NSA sont ensuite utilisés par un certain nombre d’administrations américaines et de grosses boites.

&nbsp;

Les russes et les chinois, qui ne sont pas non plus des gros nuls, scrutent ces codes à la loupe, à la recherche de la moindre vulnérabilité.

&nbsp;

&nbsp;Le but de la NSA avant d’espionner est de proteger les systèmes informatiques critiques des US.


Le 21/07/2015 à 13h 28







math67 a écrit :



Ta “vieille licence” comme tu dit autorise l’audit et la modification du code. Ceux qui auraient un besoin pour ces applicatifs peuvent dans ce cas s’assurer que le code est valide et utilisable. Pour les gens qui ont les compétences ce n’est pas un problème. Dans ton cas ce n’est surement pas de ton niveau.





&nbsp;Rassure moi, tu ne crois pas qu’un projet ouvert avec une licence libre exclu les failles de logiciels <img data-src=" />



wagaf Abonné
Le 21/07/2015 à 13h 31

La “philosophie de la NSA” va au delà des fantasmes que les journalistes étalent depuis Snowden. Leur but est avant tout de permettre aux organisations gouvernementales américaines et aux entreprises américaines de se protéger efficacement.

&nbsp;

&nbsp;Ils souhaitent aussi avoir legalement accès aux clefs de chiffrement des entreprises américaines mais c’est simplement un tout autre sujet.


Le 21/07/2015 à 13h 33







Haemy a écrit :



Je sais qu’en général ils ont les chevilles énorme et qu’ils redescendent très vite sur terre quand les hackers s’intéresse à leurs projets :‘)









Haemy a écrit :



Y’a tellement aucune solution de sécurité que la NSA a essayer d’imposer leur solution selinux comme seule solution de sécurité au noyau, mais Linus n’a pas céder.





Ah oui ? Des sources ? Du FUD ?

grsecurity ?









math67 a écrit :



Ta “vieille licence” comme tu dit autorise l’audit et la modification du code. Ceux qui auraient un besoin pour ces applicatifs peuvent dans ce cas s’assurer que le code est valide et utilisable. Pour les gens qui ont les compétences ce n’est pas un problème. Dans ton cas ce n’est surement pas de ton niveau.





Cela ne fait pas tout.



Il y a déjà une question de moyens. Un audit de code n’est pas gratuit, et même avec un audit, on peut passer à côté d’une faille très discrète si elle est suffisamment bien implémentée.



Le 21/07/2015 à 13h 53







Nikodym a écrit :



Ah oui ? Des sources ? Du FUD ?

grsecurity ?





La 2ème phrase est ironique, il y’en a pas mal (et heureusement..)genre smack apparmor etc… La demande d’inclusion par la nsa date des années 2000, j’ai franchement pas envie de me retaper l’historique des mail de linus.



Le 21/07/2015 à 19h 30

git install backdoor


Le 21/07/2015 à 19h 48







dualboot a écrit :



git install backdoor





Lolilol.



Le 22/07/2015 à 06h 28

Outils sûrement remplis de portes dérobées&nbsp;<img data-src=" />


Le 22/07/2015 à 14h 41







dualboot a écrit :



git install backdoor











0xCyril a écrit :



Outils sûrement remplis de portes dérobées <img data-src=" />







Vendredi, c’est après-demain, merci de bien vouloir en tenir compte.



Le 22/07/2015 à 17h 56

Il vont développer une suite de sécurité avec protection des données personnelles, chiffrement, vpn, antivirus…

et un support avec prise de main a distance, gratuit et a installer sur tout les pc…<img data-src=" />

Sa s’appellera “TOKTOK QUI EST LA 2016” <img data-src=" />

&nbsp;



&nbsp;<img data-src=" />