Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Une faille critique dans la gestion des connexions TLS/SSL fragilise Linux

Une similitude troublante avec la faille d'iOS et OS X

Une faille critique dans la gestion des connexions TLS/SSL fragilise Linux

Le 05 mars 2014 à 10h15

La semaine dernière, nous nous faisions l’écho d’un important correctif de sécurité déployé par Apple sur ses appareils. La faille colmatée touchait la vérification des connexions TLS/SSL et il était plus que recommandé aux utilisateurs de procéder rapidement à la mise à jour. On sait désormais que de nombreux produits basés sur un composant open source sont touchés par une faille similaire, dont plusieurs distributions Linux.

ubuntu 14.04 trusty tahr

La distribution Ubuntu est vulnérable

Une faille très similaire dans iOS, OS X et la bibliothèque GnuTLS 

La faille TLS/SSL qui affectait aussi bien iOS qu’OS X est désormais colmatée, mais elle n’en reste pas moins critique. Ce sont respectivement les mises à jour 7.0.6 et 10.9.2 qui se sont occupées du problème. Ce dernier provenait d’une importante lacune dans la vérification des connexions sécurisées qui pouvait permettre à de faux certificats d’être considérés comme authentiques. Des pirates pouvaient donc très bien faire passer un site malveillant comme parfaitement légitime.

 

Alors qu'elle avait largement fait parler d’elle, le monde de l’open source vit une autre onde de choc : une faille similaire a été détectée dans le composant GnuTLS, utilisé par de très nombreux produits, dont des distributions Linux. Comme son nom l’indique, cette bibliothèque gère les connexions sécurisées, et une erreur dans son code permet le même type d’attaques que dans le cas d’iOS et OS X.

Des étapes manquant dans la vérification de l'authenticité des certificats  

Cette similitude est inhérente au détail de la faille. Une liste de commandes permet normalement de vérifier l’authenticité des certificats TLS, ou X509. Certaines étapes critiques dans cette vérification ne fonctionnent tout simplement pas car certains codes d’erreurs ne sont pas gérés correctement. Conséquence : des certificats TLS qui ne devraient pas être validés sont considérés comme parfaitement légitimes. Comme l’indique Red Hat (qui a découvert la faille au cours d'un audit) dans un bulletin de sécurité, un pirate pourrait tout à fait créer un certificat qui pourrait être appliqué sur un faux site en le faisant passer pour le véritable site.

 

gnutls

 

L’erreur est nécessairement humaine et semble grossière. L’un des aspects inquiétants de l’affaire est que le code affecté pourrait remonter à 2005, ce qui signifie qu’il pourrait exister depuis neuf ans sans que personne ne l’ait repéré et alors qu’il était en accès libre. Mais le problème le plus sérieux est que la bibliothèque GnuTLS est utilisée dans de très nombreux produits, ce qui pourrait entraîner des conséquences multiples.

De nombreux produits touchés, un correctif déjà disponible 

Ainsi, des distributions l’utilisent, notamment Debian (qui a publié également un bulletin de sécurité) et Ubuntu, déjà largement représentées dans la sphére Linux. La présence dans ces deux seules distributions suffit à rendre la faille exploitable sur de nombreuses machines. Certains composants, comme la version 3 de lib-curl ou encore des applications de réseau privé virtuel fonctionnant avec le matériel Cisco, s’appuient sur GnuTLS et sont donc vulnérables.

 

Pour les développeurs de GnuTLS, la situation est simple : toutes les versions de la bibliothèque sont atteintes, à l’exception des dernières révisions des deux branches en cours, estampillées 3.2.12 et 3.1.22. Ils encouragent donc vivement les utilisateurs à mettre à jour ce composant aussi vite que possible. La faille a par ailleurs fait son entrée sur la Common Vulnerabilities and Exposures List sous la référence CVE-2014-0092. Les détails n’y sont par contre pas encore présents.

 

La mise à jour des distributions sera probablement l’étape la plus simple. Cependant, la diffusion de correctifs pour l’ensemble des produits touchés prendra plus de temps. La faille pose également la question, comme dans le cas d’Apple, d’une éventuelle implication de la NSA. Bien qu’il puisse s’agir d’un scénario de film d’espionnage, les documents dérobés par Edward Snowden ont montré combien l’agence américaine s’investissait dans le contournement des protections informatiques, allant jusqu’à noyauter le développement de certains standards. Une interrogation que l’on peut d’ailleurs voir surgir dans une discussion sur Reddit à propos de la faille.

Commentaires (233)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar







refuznik a écrit :



Oui enfin dès qu’une faille est utilisé par pas mal de monde, on le sait rapidement voir on retrouve son exploitation chez les scripts kiddies. Celle-ci soit personne ne l’a vue, soit juste un très petit nombre de personne ont pu l’exploiter (nsa, etc…).







Il me semble que l’exploitation de celle-ci ne laisse pas beaucoup de traces, il faut que l’utilisation d’un mauvais certificat est des conséquences et que la recherche de l’origine du problème permette de trouver que c’est l’acceptation d’un nouveau certificat bidon, pas automatiquement évident.



Ce qui m’étonne c’est que personne n’est découvert la faille en faisant des test avec de mauvais certificat pour voir si une application fonctionne.


votre avatar







DorianMonnier a écrit :



C’est peut-être juste qu’un mec a suivi l’actu, a vu le code incriminé chez Apple c’est dit “Ouah mais c’est laid ce code ! Fais voir comme c’est fait chez GNU”, et ce dernier est tombé sur la même faille.



En revanche je suis d’accord avec ce qui est dit au dessus, je trouve ça vraiment codé à l’envers, et ça fait peur !



On a la même erreur de code dans deux OS différents, donc codés par quelqu’un de différent, enfin normalement, et comme par hasard ça touche des deux côtés aux code gérant les certificats de sécurité, soit c’est le dev de chez Apple qui a codé ces lignes et qui a codé pour GNU/linux(possible mais bon…) soit on est face à une erreur préméditée pour laisser la porte ouverte délibérément….dans les deux cas, ça fait un peu peur. <img data-src=" />


votre avatar

Ça montre bien a quelle point linux est un OS vulnérable.



Je m’y connais beaucoup en langue anglaise et il aurait fallu écrire “go to” et pas “goto”. Les gens qui ont fais ce programme parlaient manifestement très mal anglais. Peut-être qu’ils on fais anglais LV3 et pris allemand ou espagnol en LV2.



Avec windows (Qui veut dire “fenêtre” en anglais), un programme écrit par des gens qui parlent vraiment la langue de shakespear, on a jamais aucun virus de mauvaise orthographe anglaise.



Les écossais de Macintosh parlaient moyennement bien anglais et on probablement écrit leur code avec leur accent, ce qui explique la faille.

votre avatar



’un des aspects inquiétants de l’affaire est que le code affecté pourrait remonter à 2005, ce qui signifie qu’il pourrait exister depuis neuf ans sans que personne ne l’ait repéré et alors qu’il était en accès libre.



Problème classique du libre: tout le monde s’appuie sur la disponibilité du code pour supposer que celui-ci est relu et analysé… Ce qui n’est pas toujours le cas.



(C’est sans doute encore pire avec du propriétaire… )

votre avatar







jfchadeyron a écrit :



Mon serveur ubuntu 12.04 reste vulnérable malgré qu’il soit a jour…une idée ?







Le mettre à jour à nouveau ?

J’ai vu la mise à jour aujourd’hui.



Sinon, pourquoi dis-tu que ton serveur reste vulnérable ?

Il s’agit ici de contrôler la validité d’un certificat. La plupart du temps, c’est un client qui fait ça.

Cela peut aussi être un serveur mais pour authentifier un client, ce qui est plus rare.

En plus, il faut que le logiciel utilise la lib GNU TLS et pas Open SSL


votre avatar

“La mise à jour des distributions sera probablement l’étape la plus simple. Cependant, la diffusion de correctifs pour l’ensemble des produits touchés prendra plus de temps.”



Bah non justement : La distribution mets à jour la lib, tous les logiciels qui l’utilisent en profitent.



C’est un des intérêts de bien gérer les dépendances comme le font les distributions Linux : Les logiciels ne s’installent pas avec leur version à eux des bibliothèques tierces.

votre avatar

Ah, donc maintenant à chaque faille on aura le paragraphe à copier coller sur la NSA histoire de passer en mode théorie du complot sans le début du commencement d’un indice … mouais, non, on va plutôt parti sur l’hypothèse du foirage avec 0 audit de sécurité correct depuis <img data-src=" />



Le lien cité quand on parle de l’age du commit remonte le bug à novembre 2003, par le mainteneur principal de la lib, un employé red hat européen…

votre avatar







KP2 a écrit :



Personne (connaissant vraiment l’opensource) n’a dit qu’il y avait moins de failles. On dit juste qu’a partir du moment ou elles sont decouvertes, elles sont corrigées bien plus vite.



Parce qu’au final, un code securisé tient plus a la vitesse de correction des failles qu’a leur nombre.

Car a partir du moment ou il suffit d’une seule faille pour penetrer un systeme et qu’il est rigoureusement impossible de garantir l’absence totale de faille dans un logiciel alors le nombre de failles n’a pas vraiment d’importance en fait puisqu’il est vulnerable a partir de 1 et qu’on ne peut pas atteindre 0.

Donc c’est bien la vitesse de correction et de deploiement de la correction qui importe vraiment…







Alors tu diras à la FSF d’arrêter ses FUD concernant le code fermé des logiciels proprios. <img data-src=" />


votre avatar







Jed08 a écrit :



Pourtant Numerama n’a pas hésité <img data-src=" />





bisou a toi Nikos Mavragionnopoulos travaillant pour Red Hat <img data-src=" />


votre avatar







fred42 a écrit :



Sinon, pourquoi dis-tu que ton serveur reste vulnérable ?







Les version GnuTLS patchées sont 3.2.12 ou 3.1.22

http://www.gnutls.org/security.html#GNUTLS-SA-2014-2



Hors mon serveur 12.04 indique 3.0.xx

(apt-cache show gnutls-bin)


votre avatar







Queno a écrit :



Ça montre bien a quelle point linux est un OS vulnérable.



Je m’y connais beaucoup en langue anglaise et il aurait fallu écrire “go to” et pas “goto”. Les gens qui ont fais ce programme parlaient manifestement très mal anglais. Peut-être qu’ils on fais anglais LV3 et pris allemand ou espagnol en LV2.



Avec windows (Qui veut dire “fenêtre” en anglais), un programme écrit par des gens qui parlent vraiment la langue de shakespear, on a jamais aucun virus de mauvaise orthographe anglaise.



Les écossais de Macintosh parlaient moyennement bien anglais et on probablement écrit leur code avec leur accent, ce qui explique la faille.







<img data-src=" />


votre avatar







minette a écrit :



C’est tout ce que tu trouves à dire ? Tu peux déplacer les questions sur le terrain de l’utilisation du goto aussi comme plein de commentateurs sur ars hier soir.



Ou alors tu prends acte, tu réfléchis fort fort et tu participes au brainstorming pas nouveau sur comment il est possible de limiter les risques au maximum. Ce qui relève du technique, de l’économique et du politique et est moins facile que de balancer le premier truc qui te traverse la tête et continuer à survendre à Mme Michu une sécurité qui dans les fait n’y était pas de peur qu’elle s’obstine sur ses logiciels privateurs.







N’ayant pas les compétences techniques pour entrer dans ce genre de débat, je ne peux que faire part de mes convictions concernant les capacités de correction de ce problème de la communauté.

Mais si tu veux parler du politique et de l’économie associé il n’y a pas de problèmes. On peut commencer par le thème suivant : une sécurisation absolue dans les domaines de l’informatique est-elle possible ?

Ceux à quoi je serais plutôt dans le camp de ceux qui disent que ce n’est pas possible. Par conséquent il faut montrer à madame michu que ses logiciels privateurs sont tout aussi vulnérables voir plus que des logiciels libres qui ont l’appuie d’une forte communauté réactive ayant des capacités diverses et variés pouvant explorer et corriger le code plus rapidement qu’une entreprise limitée au maximum à quelques centaines d’employés sur un logiciel.



Mis à part ça, je serais plutôt d’avis que tu laisses de côté le ton condescendant.


votre avatar







CoooolRaoul a écrit :



Faut pas forcément paniquer: c’est “GnuTLS” qui est touché et pas “OpenSSL” (jusqu’à qu’on trouve aussi une faille du même genre dans ce dernier)



Et OpenSSL est largement plus utilisé que gnutls (par exemple c’est sur ce dernier que s’appuie le mod_ssl d’Apache)



La phrase “utilisé par de très nombreux produit” est à prendre avec des pincettes.



Il est exact que GnuTLS est inclus dans toutes les distribs Linux mais cela ne veut pas dire qu’il est effectivement utilisé par vos applis.





+1. Perso je ne l’utilise pas. Mais bon, corrigé par une màj quand-même sur ma Debian et mon RaspberryPi.<img data-src=" />


votre avatar







jfchadeyron a écrit :



Mon serveur ubuntu 12.04 reste vulnérable malgré qu’il soit a jour…une idée ?





Tu as relancé les programmes qui utilisent la lib en question ? (lsof |grep DEL|grep tls je pense).


votre avatar







jfchadeyron a écrit :



Les version GnuTLS patchées sont 3.2.12 ou 3.1.22

http://www.gnutls.org/security.html#GNUTLS-SA-2014-2



Hors mon serveur 12.04 indique 3.0.xx

(apt-cache show gnutls-bin)





Fallait pas utiliser un serveur Ubuntu. <img data-src=" />


votre avatar







KP2 a écrit :



Personne (connaissant vraiment l’opensource) n’a dit qu’il y avait moins de failles. On dit juste qu’a partir du moment ou elles sont decouvertes, elles sont corrigées bien plus vite.







Il va falloir que les libristes de bonne foi ouvrent les yeux un peu !

Il y a plein de trolls dont le principal argument est : c’est open source, c’est lisible par tout le monde (sous entendu “compétents” car je doute que ces gens là fasse un audit de code chaque soir avant de dormir) donc c’est sécurisé (puisque personne ne trouvent rien).



Oui, la plus grande arme des soft open source c’est la réactivité de la communauté, mais sa plus grande faiblesse, c’est que s’il y a pas de communauté tu as pas grand chose comme soutient.





Parce qu’au final, un code securisé tient plus a la vitesse de correction des failles qu’a leur nombre.





Euuu non, un code sécurisé tient du nombre de failles présentes dans le code :/

Avoir un code sécurisé c’est pas dire : “Alors on a codé ça un peu comme on voulait, mais ne vous inquiétez pas à chaque vulnérabilités publiée on vous assure une réactivité du tonnerre”





Car a partir du moment ou il suffit d’une seule faille pour penetrer un systeme et qu’il est rigoureusement impossible de garantir l’absence totale de faille dans un logiciel alors le nombre de failles n’a pas vraiment d’importance en fait puisqu’il est vulnerable a partir de 1 et qu’on ne peut pas atteindre 0.

Donc c’est bien la vitesse de correction et de deploiement de la correction qui importe vraiment…





Tout à fait ! Mais pas que ça !

Tu as beau avoir un serveur Linux, si tu le configures comme un cochon ce n’est pas parce que c’est Linux qu’il sera plus sûr qu’un serveur Windows bien durçit (contre-CMB)

Le libre ne se suffit pas à lui même.


votre avatar







lateo a écrit :



sur Arch la correction/update c’était hier en fait je crois.





ouais mais je fais pas les mises à jours tout les jours… <img data-src=" />


votre avatar







psn00ps a écrit :



Tu as essayé de virer gnutls ? J’ai fait l’essai et ça vire 450 packages du système,

gnome, kde, libreoffice, vlc, qemu, networkmanager,nautilus,… (2Gigas)





J’ai regardé par curiosité, et sur mon poste de travail (Arch + enlightenment) ça donne ça :

:: aria2 : requiert gnutls

:: connman : requiert gnutls

:: ffmpeg : requiert gnutls

:: glib-networking : requiert gnutls

:: libimobiledevice : requiert gnutls

:: smbclient : requiert gnutls

:: wireshark-cli : requiert gnutls





édit: bref, si ça te dégage masse de trucs sur ta machine, c’est des histoires de dépendances de dépendances (de dépendances…), peut-être avec ton interface graphique préférée.


votre avatar

J’avoue ne pas avoir lu tous les commentaires précédents. Mais voilà : autant coder un truc comme ça c’est moche mais on peut comprendre que ça se produise (fatigue ou plus probablement “merge” foireux), autant valider un truc comme ça, c’est assez énorme. Surtout pour une lib sensible qui a en charge le TLS.

On aurait pu s’attendre à ce qu’une telle lib dispose d’un jeu de tests couvrant les cas nominaux mais aussi des cas d’erreur et des cas tordus, avec des certificats volontairement foireux.

Bref, c’est assez flippant…

votre avatar







KP2 a écrit :



Tout a fait…

Le Libre n’a jamais proposé de garantie sur quoique ce soit.

On peut voir effectivement qq jeunes idealistes qui connaissent tres mal le fonctionnement du Libre venir raconter l’inverse dans des forums mais il faut etre aussi idiots qu’eux pour croire a ce qu’ils racontent.



D’ailleurs, coté garanties, je sais pas si qqn ici a deja lu des licences de logiciels proprietaires mais ils ne proposent pas plus de garantie d’aucune sorte… meme pas celle du bon foonctionnement de l’appli et encore moins celle de la securité ou l’absence de risque pour vos données. Microsoft, par exemple, se dedouane TOTALEMENT de ses produits. Et il est loin d’etre le seul… Je ne sais meme pas si c’est vraiment legal en France..



Bref, tomber sur le dos du Libre a cause de cette annonce, c’est juste ridicule. Et ca denote surtout une tres mauvaise connaissance non seulement du Libre mais aussi du proprio et du marche informatique d’une maniere generale de la part des auteurs des commentaires.









Je pense que si il y a de telles réactions, c’est que quelques libristes moins sages que toi, orgueilleux, condescendants, ont eu tendance a traiter tout non libriste avec beaucoup de mépris et énormément de certitudes sur la supériorité naturelle de Linux en terme de sécurité…



Peut être cet épisode aura du bon finalement, au moins dans l’apaisement entre communautés.



Ce n’est là que mon avis…


votre avatar

Et qu’est ce qu’on en a à foutre des failles de sécurité ?

Sérieux ! (à part faire marcher le business de la sécurité et de la peur !!!)



Puisqu’on sait que l’ordinateur est insécurisable.



Les informations qui ne doivent être divulguées n’ont pas leur place sur un ordinateur.



Il faut jusque accepté cela et agir en conséquence.

votre avatar

Pour moi il faut juste mettre la capote, le reste il faut l’accepter.

votre avatar







ledufakademy a écrit :



Pour moi il faut juste mettre la capote, le reste il faut l’accepter.





Pourquoi mettre une capote ? Sa fiabilité n’est pas de 100%, autant ne rien mettre…


votre avatar







ledufakademy a écrit :



Et qu’est ce qu’on en a à foutre des failles de sécurité ?

Sérieux ! (à part faire marcher le business de la sécurité et de la peur !!!)



Puisqu’on sait que l’ordinateur est insécurisable.



Les informations qui ne doivent être divulguées n’ont pas leur place sur un ordinateur.



Il faut jusque accepté cela et agir en conséquence.







Merci pour cet avis éclairé. Tiens, prends une cacahuète.


votre avatar







le podoclaste a écrit :



Merci pour cet avis éclairé. Tiens, prends une cacahuète.





<img data-src=" />


votre avatar







lateo a écrit :



édit: bref, si ça te dégage masse de trucs sur ta machine, c’est des histoires de dépendances de dépendances (de dépendances…), peut-être avec ton interface graphique préférée.





après vérification, j’ai une dépendance directe sur environ 50 paquets.

Ramené aux familles de paquets, ça en fait encore une trentaine.





2:ntfsprogs-2013.1.13-6.fc20.x86_64

2:qemu-system-x86-1.6.1-3.fc20.x86_64

5:mutt-1.5.21-26.fc20.x86_64

ffmpeg-libs-2.1.4-1.fc20.x86_64

filezilla-3.7.3-1.fc20.x86_64

glib-networking-2.38.2-1.fc20.x86_64

gstreamer-plugins-bad-0.10.23-5.fc20.x86_64

gtk-vnc2-0.5.3-1.fc20.x86_64

gvfs-afc-1.18.3-2.fc20.x86_64

gvnc-0.5.3-1.fc20.x86_64

ifuse-1.1.2-7.fc20.x86_64

lftp-4.4.9-1.fc20.x86_64

libgadu-1.12.0-0.3.rc2.fc20.x86_64

libgpod-0.8.3-1.fc20.x86_64

libimobiledevice-1.1.5-3.fc20.x86_64

libmicrohttpd-0.9.33-1.fc20.x86_64

librtmp-2.4-1.20131205.gitdc76f0a.fc20.x86_64

libvirt-client-1.1.3.4-1.fc20.x86_64

libvncserver-0.9.9-10.fc20.x86_64

loudmouth-1.4.3-13.fc20.x86_64

neon-0.30.0-2.fc20.x86_64

rtmpdump-2.4-1.20131205.gitdc76f0a.fc20.x86_64

tigervnc-1.3.0-12.fc20.x86_64

vino-3.10.1-1.fc20.x86_64

vlc-core-2.1.4-1.fc20.x86_64

vpnc-0.5.3-19.svn457.fc20.x86_64

wireshark-1.10.5-3.fc20.x86_64


votre avatar







luxian a écrit :



Une fois qu’ils s’en sont rendus compte, il a fallu combien de temps à Apple pour corriger son bogue déjà ?

Je ne veux pas rajouter de poils au <img data-src=" /> , mais ….







Et y-a-t-il fallu 9 ans pour qu’Apple se rendre compte du bogue?

Je ne veux pas rajouter de poils au <img data-src=" /> , mais ….


votre avatar

J’ai eu la mise à jour aujourd’hui (openSUSE 13.1).



Donc le libre permet de corriger les failles vite, mais pas de les connaitre plus vite.

votre avatar

Bon, ça explique le joli mail qu’unattended-upgrades m’a envoyé hier pour me dire que libgnutls passer en version 2.12.20-8+deb7u1.

votre avatar







zart a écrit :



Et y-a-t-il fallu 9 ans pour qu’Apple se rendre compte du bogue?

Je ne veux pas rajouter de poils au <img data-src=" /> , mais ….





C’est pas eux qui s’en sont rendu compte <img data-src=" />


votre avatar







Khalev a écrit :



C’est pas eux qui s’en sont rendu compte <img data-src=" />





Je ne peux plus éditer mais je me suis un peu avancé là.



<img data-src=" />



C’est là qu’il me faudrait le petit truc des MIBs…


votre avatar







boglob a écrit :



en tout cas, l’argument comme quoi c’est open source donc plus secure en prend un coup dans la gueule.







En quoi ca remet en cause. C’est juste que l’open-source a permit de voir cette faille donc ensuite de la corrigé. Tu peut très bien avoir la même sous ton Windows mais tu ne le sauras jamais.



Sinon le libre et l’open-source ne sont pas à l’abri des failles de sécurité mais sont toujours plus sécurisé que leur homologue privateurs dont on ne peut voir les failles et qui par définition sont des malware donc forcément beaucoup moins sécurisé.





Bref une faille de moins dans le monde du libre et vu que le système de mises à jours sous GNU/linux est cohérent (centralisé par une logithèque) le déploiement sera rapide et automatique (vu que mise à jour de sécurité).


votre avatar

Je peux vous dire, ayant à régler le même genre de problématique (correction orthographique d’écrits personnels pouvant atteindre les 600 pages) que les fautes les plus connes sont souvent les plus difficiles à détecter !



Je trouve régulièrement de belles gaffes dans mes écrits, tant point de vue typo que mise en page ou orthographe/grammaire/syntaxe, alors que j’ai relu le texte en question 2 ou 3 fois avant mise en publication, sans parler des tiers qui me font la remarque…



Donc, une erreur aussi grotesque pas détectée pendant 9 ans, ça ne me paraît pas incroyable, connaissant la nature humaine et ayant la même pratique…

votre avatar

<img data-src=" />

Et maintenant on relis les commentaires de la news parlant de l’approche de Linus par la NSA



Morceaux choisis :





C’est ça le souci, ceux qui n’utilisent pas Linux et ne font pas un minimum d’administration système, consulté les docs, ne comprennent pas et ne font que spéculer : « il y a des failles, et la NSA installe leur backdoor ni vu ni connu » alors que non, forcément à un moment ou à un autre quelqu’un le verrait puisque le kernel est modifié, scanné, en permanence, par des instances différentes, par du privé, du public, partout dans le monde et y compris au niveau du particulier.







Le jour ou vous verrez une porte dérobée sous nunux faites moi signe, on parle d’un truc ou la moindre modification d’une ligne de code, conduit inévitablement un nombre relativement important de personne a y regarder de plus près.



Tout est décortiqué, analysé, rectifié, refusé suivant l’intérêt du patch, sa qualité, son élégance, pas même Linus ne pourrait s’il le voulait faire passer quelque chose en douce, il y a un historique complet de toutes les modifications qui sont apportés au code.





Voila maintenant si les gens pouvaient se remettre en question de temps en temps en acceptant que tout les systèmes soient vulnérables et qu’au final la NSA a suffisamment de moyen pour pénétré n’importe quelle systèmes.


votre avatar







Jed08 a écrit :



Et le cas où Apple reprend du code de GnuTLS en le modifiant à sa guise mais en gardant la vulnérabilité ?

Je trouve cela un peu plus crédible ^^





Sauf qu’Apple, un code sous licence Gnu Public Licence (GPL), ils évitent de le recopier.


votre avatar

Apparemment FreeBSD n’est pas concerné (ils ne sont pas très amis avec tout ce qui touche à gnu <img data-src=" /> ), j’ai rien dans les rapports de sécurité.

Il faut juste faire attention aux ports.

votre avatar







cid_Dileezer_geek a écrit :



On a la même erreur de code dans deux OS différents, donc codés par quelqu’un de différent, enfin normalement, et comme par hasard ça touche des deux côtés aux code gérant les certificats de sécurité, soit c’est le dev de chez Apple qui a codé ces lignes et qui a codé pour GNU/linux(possible mais bon…) soit on est face à une erreur préméditée pour laisser la porte ouverte délibérément….dans les deux cas, ça fait un peu peur. <img data-src=" />







Ne pas imputer à la malveillance ce qui s’explique très bien par l’incompétence… La faute est tellement grotesque que son caractère intentionnel est plus que douteux.



Et puis, la sécurité, quel que soit l’outil, c’est une affaire de mentalité et de discipline avant tout.



Bon, j’ai un su yum update à faire ce soir en rentrant chez moi, faut pas que j’oublie.


votre avatar

en tout cas, l’argument comme quoi c’est open source donc plus secure en prend un coup dans la gueule.


votre avatar







240-185 a écrit :



Alors tu diras à la FSF d’arrêter ses FUD concernant le code fermé des logiciels proprios. <img data-src=" />







Tout le monde ne voit pas les prises de position de la FSF comme etant legitimes…


votre avatar







cid_Dileezer_geek a écrit :



On a la même erreur de code dans deux OS différents, donc codés par quelqu’un de différent, enfin normalement, et comme par hasard ça touche des deux côtés aux code gérant les certificats de sécurité, soit c’est le dev de chez Apple qui a codé ces lignes et qui a codé pour GNU/linux(possible mais bon…) soit on est face à une erreur préméditée pour laisser la porte ouverte délibérément….dans les deux cas, ça fait un peu peur. <img data-src=" />





Non, ce n’est pas la même erreur.

Ce n’est pas parce qu’il y a goto fail dans les 2 que c’est le même code !



La GNU TLS a mauvaise réputation au niveau de sa qualité de code et on en a juste l’illustration.



De plus, les 5 premières modifications du fichier ne servent à rien et ne corrigent pas de bugs. La fonction retourne une valeur négative (à chaque fois un test if (result &lt; 0) et le retour de la fonction check_if_ca utilisée une seule fois se fait par un test avec la valeur 1). Il y a ici surtout une homogénéisation du code avec la suite.



J’aurais presque la même opinion sur la suite fonction verify_crt pour les mêmes raisons, mais j’ai la flemme de passer le temps nécessaire dessus. Si quelqu’un veut s’y coller.


votre avatar







jfchadeyron a écrit :



Mon serveur ubuntu 12.04 reste vulnérable malgré qu’il soit a jour…une idée ?





12.04 est LTS est toujours maintenu. Si tu fais les mises a jours un fix est déjà diffuse.


votre avatar







Commentaire_supprime a écrit :



Ne pas imputer à la malveillance ce qui s’explique très bien par l’incompétence… La faute est tellement grotesque que son caractère intentionnel est plus que douteux.



Et puis, la sécurité, quel que soit l’outil, c’est une affaire de mentalité et de discipline avant tout.



Bon, j’ai un su yum update à faire ce soir en rentrant chez moi, faut pas que j’oublie.



On ne parle pas d’une erreur d’orthographe faite par un même auteur dans deux livres différents, mais d’une erreur similaire et ayant un résultat identique dans la structure d’une portion de code gérant le contrôle des certificats de sécurité, erreur retrouvée dans dans deux libs différentes de deux OS différents codées par deux devs différents(enfin normalement), I think you’re not getting the point here.<img data-src=" />


votre avatar







jfchadeyron a écrit :



Les version GnuTLS patchées sont 3.2.12 ou 3.1.22

http://www.gnutls.org/security.html#GNUTLS-SA-2014-2



Hors mon serveur 12.04 indique 3.0.xx

(apt-cache show gnutls-bin)





Ma ubuntu 12.04 LTS affiche après mise à jour :

Version: 3.0.11+really2.12.14-5ubuntu3.7



Ce que tu regardais, c’est la lib chez gnutls.

La correction a été reportée par ubuntu sur la version de la lib qui était utilisée.



Dans ce genre de problèmes de sécurité, on ne reporte que les évolutions liées à la sécurité et pas toutes les évolutions. C’est tout l’intérêt d’utiliser une version LTS qui gère plus longtemps les mises à jour de sécurité.


votre avatar







luxian a écrit :



ben ….





  • estimation de ton risque pour voir si ça vaut vraiment la peine d’intervenir

  • téléchargement des derniers paquetages sur la 13.10

  • ou recompilation de tes sources “dev” en corrigeant toi-même là ou il faut, puis réinstallation







    … en gros, tires-toi un peu les doigts du …<img data-src=" />





    Plus simplement il fait une actualisation normale car les correctifs sont déjà dispos sur toute les versions supporte d’Ubuntu. Pas besoin de passer a Ubuntu 13.10 (surtout pas sur un serveur)


votre avatar







fred42 a écrit :



Non, ce n’est pas la même erreur.

Ce n’est pas parce qu’il y a goto fail dans les 2 que c’est le même code !



La GNU TLS a mauvaise réputation au niveau de sa qualité de code et on en a juste l’illustration.



De plus, les 5 premières modifications du fichier ne servent à rien et ne corrigent pas de bugs. La fonction retourne une valeur négative (à chaque fois un test if (result &lt; 0) et le retour de la fonction check_if_ca utilisée une seule fois se fait par un test avec la valeur 1). Il y a ici surtout une homogénéisation du code avec la suite.



J’aurais presque la même opinion sur la suite fonction verify_crt pour les mêmes raisons, mais j’ai la flemme de passer le temps nécessaire dessus. Si quelqu’un veut s’y coller.



Le résultat de l’erreur est identique et la structure du code est similaire, c’est assez troublant(sauf si c’est codé par la même personne)


votre avatar







cid_Dileezer_geek a écrit :



On ne parle pas d’une erreur d’orthographe faite par un même auteur dans deux livres différents, mais d’une erreur similaire et ayant un résultat identique dans la structure d’une portion de code gérant le contrôle des certificats de sécurité, erreur retrouvée dans dans deux libs différentes de deux OS différents codées par deux devs différents(enfin normalement), I think you’re not getting the point here.<img data-src=" />







Il doit y en avoir un qui a fait un copier/coller sur l’autre… Et pas de vérif derrière d’un code réputé mal codé (ce qui en dit long sur le sérieux des codeurs et du suivi dudit code) pendant des années, ça donne le résultat que l’on a aujourd’hui…



Désolé, mais le caractère intentionnel de la faille reste à prouver…


votre avatar

A la limite avec le code closed source on peut coder une vrai backdoor demandant login + password …



Avec l’open source t’es obligé de fragiliser le système dans sa globalité pour que la NSA puisse rentrer…



Z’ont vraiment aucun savoir vivre les linuxiens



<img data-src=" />

votre avatar







Queno a écrit :



Ça montre bien a quelle point linux est un OS vulnérable.



Je m’y connais beaucoup en langue anglaise et il aurait fallu écrire “go to” et pas “goto”. Les gens qui ont fais ce programme parlaient manifestement très mal anglais. Peut-être qu’ils on fais anglais LV3 et pris allemand ou espagnol en LV2.



Avec windows (Qui veut dire “fenêtre” en anglais), un programme écrit par des gens qui parlent vraiment la langue de shakespear, on a jamais aucun virus de mauvaise orthographe anglaise.



Les écossais de Macintosh parlaient moyennement bien anglais et on probablement écrit leur code avec leur accent, ce qui explique la faille.





<img data-src=" />


votre avatar

Je rajoute du poil au <img data-src=" />

Il semblerait que Windows ne soit pas impactés par ce problème <img data-src=" />

votre avatar







jfchadeyron a écrit :



Mon serveur ubuntu 12.04 reste vulnérable malgré qu’il soit a jour…une idée ?





Apparemment c’est bon.





gnutls26 (2.12.14-5ubuntu3.7) precise-security; urgency=medium



* SECURITY UPDATE: certificate validation bypass 



 - debian/patches/CVE-2014-0092.patch: correct return codes in   


   lib/x509/verify.c.   


 - CVE-2014-0092




– Marc Deslauriers Mon, 03 Mar 2014 14:16:13 -0500





Tu peux quand même vérifier que tu as la bonne version d’installée avec cette commande : apt-cache show libgnutls26 | grep Version

Il faut que ce soit la 2.12.14-5ubuntu3.7


votre avatar







arno53 a écrit :



<img data-src=" />

Et maintenant on relis les commentaires de la news parlant de l’approche de Linus par la NSA



Morceaux choisis :











Voila maintenant si les gens pouvaient se remettre en question de temps en temps en acceptant que tout les systèmes soient vulnérables et qu’au final la NSA a suffisamment de moyen pour pénétré n’importe quelle systèmes.





Sauf que tu confonds Linux le noyau et une librairie externe. Linux est globalement bien protégé pour pas mal de raisons. Ça ne veut pas dire qu’il est

infaillible mais simplement qu’il y a derrière une énorme communauté et pas mal de travail d’audit et de test.



Il faudrait voir quelle est la communauté derrière la lib GNU TLS.


votre avatar







cid_Dileezer_geek a écrit :



On ne parle pas d’une erreur d’orthographe faite par un même auteur dans deux livres différents, mais d’une erreur similaire et ayant un résultat identique dans la structure d’une portion de code gérant le contrôle des certificats de sécurité, erreur retrouvée dans dans deux libs différentes de deux OS différents codées par deux devs différents(enfin normalement), I think you’re not getting the point here.<img data-src=" />







Oui, sauf que l’une traîne depuis 8 ans, l’autre depuis 2 mois (à la louche, je n’ai pas les durée en tête, mais c’est l’ordre d’idée). Donc l’hypothèse de la coïncidence reste forte, amha.



votre avatar







seb2411 a écrit :



Sauf que tu confonds Linux le noyau et une librairie externe. Linux est globalement bien protégé pour pas mal de raisons. Ça ne veut pas dire qu’il est

infaillible mais simplement qu’il y a derrière une énorme communauté et pas mal de travail d’audit et de test.



Il faudrait voir quelle est la communauté derrière la lib GNU TLS.







+1.



C’est plus un problème humain que logiciel cette faille. Et c’est du côté des mainteneurs qu’il faut voir ce qui ne va pas, à mon avis.


votre avatar







Jed08 a écrit :



Il va falloir que les libristes de bonne foi ouvrent les yeux un peu !

Il y a plein de trolls dont le principal argument est : c’est open source, c’est lisible par tout le monde (sous entendu “compétents” car je doute que ces gens là fasse un audit de code chaque soir avant de dormir) donc c’est sécurisé (puisque personne ne trouvent rien).







Ben ouais… et ca reste des trolls…

Ou juste des gens qui ne savent pas de quoi ils parlent et se font des films sur la realité du Libre.







Jed08 a écrit :



Oui, la plus grande arme des soft open source c’est la réactivité de la communauté, mais sa plus grande faiblesse, c’est que s’il y a pas de communauté tu as pas grand chose comme soutient.







Quel rapport ?

Un dev unique peut faire des choses incroyables… Nagios a longtemps tenu grace a a une equipe extremement reduite de developpeurs (1 seul pendantr plusieurs annees).

Slackware a ete faite pendant des annees et des annees par 1 seul type.

Etc etc etc

Bref, c’est pas le nombre qui compte, c’est la qualité.







Jed08 a écrit :



Euuu non, un code sécurisé tient du nombre de failles présentes dans le code :/

Avoir un code sécurisé c’est pas dire : “Alors on a codé ça un peu comme on voulait, mais ne vous inquiétez pas à chaque vulnérabilités publiée on vous assure une réactivité du tonnerre”







Et pourtant, quand on y reflechit 5 min, c’est pas si important en fait… J’explique pourquoi en dessous









Jed08 a écrit :



Tout à fait ! Mais pas que ça !

Tu as beau avoir un serveur Linux, si tu le configures comme un cochon ce n’est pas parce que c’est Linux qu’il sera plus sûr qu’un serveur Windows bien durçit (contre-CMB)

Le libre ne se suffit pas à lui même.







J’ai jamais dit ca…

Pour reprendre ton analogie et la mettre dans le meme contexte, il faudrait dire que d’un coté tu as un windows et de l’autre un linux. Les 2 sont configurés moyennement.

Mais dans le cas linux, il faut 1h pour changer une conf non securisée en conf securisée et dans le cas windows, il faut 3j.

Lequel va tu preferer ?


votre avatar







Queno a écrit :



bla bla

langue à l’école toussa





<img data-src=" /> <img data-src=" />



patapé.



Elfique LV4 —-&gt;[]


votre avatar







Faith a écrit :



Problème classique du libre: tout le monde s’appuie sur la disponibilité du code pour supposer que celui-ci est relu et analysé… Ce qui n’est pas toujours le cas.



(C’est sans doute encore pire avec du propriétaire… )





Tout a fait.

C’est bien souvent ce qu’un bon nombre d’autoproclamés “libristes” suppose. Je parle de ces libristes qui vantent les mérites de l’open sources alors qu’il n’ont pas lu une ligne de code. Ces personnes qui subissent une ablation du bon sens lorsque l’on parle de logiciel open source.



Pour la vitesse de correction, oui, généralement quand la faille est trouvé et dévoilé, elle vient avec sont correctif bien souvent. Mais dans le cadre de distribution, il y a déjà un temps de rétention du packet qu’il ne faut pas négliger. Pour ubuntu, débian, Fedora… ok ça sera surement assez rapide pour ce genre de faille, pour des distribution plus obscure (puppylinux par exemple) ça risque de prendre plus de temps. Alors, oui, tu peux aussi patcher par toi même, mais cela necessite d’être au courant de tous les problèmes de sécurité de tous tes logiciels, que tu accèdes par toi même aux correctifs que tu recompiles et déploies le module… t’as pas fini.





Je suis tout de même assez étonné que pour des modules aussi crucial, aucun audit de contrôle qualité n’est réaliser derrière de manière régulière et a chaque modification du code.


votre avatar







cid_Dileezer_geek a écrit :



Le résultat de l’erreur est identique et la structure du code est similaire, c’est assez troublant(sauf si c’est codé par la même personne)





Tu as regardé les codes en question combien de temps pour affirmer cela ?



le bug sur Apple était un doublement d’une ligne goto fail; après un if sans qu’il n’y ait de { } après le if.



Ce qui faisait que l’on sautait à la fin de la fonction avec un code retour qui était nul (= pas d’erreur).



Ici, tous les if sont suivis de {} et le problème est plus dans un code un peu pourri.





Que la structure du code soit similaire pour faire dans les 2 cas la même chose : vérifier la validité des certificats X509, ce n’est pas vraiment surprenant. Il faut faire dans les 2 cas les mêmes vérifications.


votre avatar







KP2 a écrit :



Bref, c’est pas le nombre qui compte, c’est la qualité.





Les deux comptent. Un bon dev qui fait du bon code et qui est a l’origine du projet c’est important. Mais avoir une communauté derrière avec d’autres devs compétents c’est important aussi. Ca permet de croiser les idées, d’apporter une autre manière de voir les choses, de gommer certaines mauvaises pratiques des uns et des autres, souvent un complémentarité, ça permet aussi de relire le code et d’avoir un processus de qualité mieux foutu.


votre avatar







seb2411 a écrit :



Sauf que tu confonds Linux le noyau et une librairie externe. Linux est globalement bien protégé pour pas mal de raisons. Ça ne veut pas dire qu’il est

infaillible mais simplement qu’il y a derrière une énorme communauté et pas mal de travail d’audit et de test.



Il faudrait voir quelle est la communauté derrière la lib GNU TLS.





En effet mais pas y’a pas forcement besoin de créer une faille dans le kernel pour compromettre un système. Ça peut être le navigateur, la gestion du réseau et de ses sécurités etc … Open source ou pas, tout est vulnérable. Le seul avantage du libre est surtout sa réactivité après la découverte de la faille (et encore des fois c’est pas trop ca non plus).



Mais l’argument open source = no faille me fait toujours hurler <img data-src=" />

Une faille de ce type aurait pu être tout a fait découvert en utilisant cette lib en boite noire. Le closed source n’empêche pas la découverte de faille non plus, il suffit juste de voir le petit jeu entre des sociétés comme Vupen et Microsoft



Mais bon le simple fait que ça puisse faire réfléchir certains linuxiens condescendant et obtus des qu’il s’agit de sécurité informatique, ca me fait plaisir <img data-src=" />


votre avatar



Pour les développeurs de GnuTLS, la situation est simple : toutes les versions de la bibliothèque sont atteintes, à l’exception des dernières révisions des deux branches en cours, estampillées 3.2.12 et 3.1.22





Sur Fedora, la faille est corrigée depuis 3.1.20-4, dispo pour Fedora 19 et 20 dans le dépôt update-testing. Construit lundi, le paquet sera dans le dépôt updates sous peut.

votre avatar







fred42 a écrit :



Tu as regardé les codes en question combien de temps pour affirmer cela ?



le bug sur Apple était un doublement d’une ligne goto fail; après un if sans qu’il n’y ait de { } après le if.



Ce qui faisait que l’on sautait à la fin de la fonction avec un code retour qui était nul (= pas d’erreur).



Ici, tous les if sont suivis de {} et le problème est plus dans un code un peu pourri.





Que la structure du code soit similaire pour faire dans les 2 cas la même chose : vérifier la validité des certificats X509, ce n’est pas vraiment surprenant. Il faut faire dans les 2 cas les mêmes vérifications.



Combien de temps j’ai regardé le code, je vois pas ce que ça vient faire là dedans.

Et ce n’est pas moi qui affirme, c’est la news:





Une faille très similaire dans iOS, OS X et la bibliothèque GnuTLS



La faille TLS/SSL qui affectait aussi bien iOS qu’OS X est désormais colmatée, mais elle n’en reste pas moins critique. Ce sont respectivement les mises à jour 7.0.6 et 10.9.2 qui se sont occupées du problème. Ce dernier provenait d’une importante lacune dans la vérification des connexions sécurisées qui pouvait permettre à de faux certificats d’être considérés comme authentiques. Des pirates pouvaient donc très bien faire passer un site malveillant comme parfaitement légitime.



Alors qu’elle avait largement fait parler d’elle, le monde de l’open source vit une autre onde de choc : une faille similaire a été détectée dans le composant GnuTLS, utilisé par de très nombreux produits, dont des distributions Linux. Comme son nom l’indique, cette bibliothèque gère les connexions sécurisées, et une erreur dans son code permet le même type d’attaques que dans le cas d’iOS et OS X.





<img data-src=" />


votre avatar







le podoclaste a écrit :



Oui, sauf que l’une traîne depuis 8 ans, l’autre depuis 2 mois (à la louche, je n’ai pas les durée en tête, mais c’est l’ordre d’idée). Donc l’hypothèse de la coïncidence reste forte, amha.





<img data-src=" />Partant de là, tu peux mettre une coïncidence à n’importe quoi.


votre avatar







arno53 a écrit :



En effet mais pas y’a pas forcement besoin de créer une faille dans le kernel pour compromettre un système. Ça peut être le navigateur, la gestion du réseau et de ses sécurités etc … Open source ou pas, tout est vulnérable. Le seul avantage du libre est surtout sa réactivité après la découverte de la faille (et encore des fois c’est pas trop ca non plus).



Mais l’argument open source = no faille me fait toujours hurler <img data-src=" />

Une faille de ce type aurait pu être tout a fait découvert en utilisant cette lib en boite noire. Le closed source n’empêche pas la découverte de faille non plus, il suffit juste de voir le petit jeu entre des sociétés comme Vupen et Microsoft



Mais bon le simple fait que ça puisse faire réfléchir certains linuxiens condescendant et obtus des qu’il s’agit de sécurité informatique, ca me fait plaisir <img data-src=" />







Tu te rends compte que tu es super content de clouer le bec a des gens, alors que tu as sorti une telle enormite que tout credit pouvant t’etre accorde tombe au sous sol ?



Si tu as un coffre fort dans une maison avec une porte en bois, c’est pas parce que la porte est en bois que ton coffre fort est faillible.



Et il a raison quand il dit que c’est audite regulierement, les differents noyaux sont utilises dans tellement de configurations differentes (embarque, super calculateurs, …), qu’il s’agit d’un besoin intrinseque.



Donc, avant de compromettre le noyau avec une faille gnuTLS, euh … comment dire … c’est quoi ton boulot ? <img data-src=" />



Mais bon, la terminologie que tu emploies est tellement vague que tu as libre court pour une reponse rethorique. Fais-toi plaisir …



(condescendant et obtus, tu disais ? … hoptial, charite, tout ca ..)


votre avatar



L’un des aspects inquiétants de l’affaire est que le code affecté pourrait remonter à 2005





Ahem…





Mais le problème le plus sérieux est que la bibliothèque GnuTLS est utilisée dans de très nombreux produits





Ahem..





On sait désormais que de nombreux produits basés sur un composant open source sont touchés par une faille similaire, dont plusieurs distributions Linux.





Ahemhemm.. (je m’étouffe)







Commentaire inintéressant mais est-il besoin d’en dire plus… <img data-src=" />



























<img data-src=" /><img data-src=" /><img data-src=" />

votre avatar







Khalev a écrit :



Je ne peux plus éditer mais je me suis un peu avancé là.



<img data-src=" />



C’est là qu’il me faudrait le petit truc des MIBs…







<img data-src=" /> Ca ne marche pas sur moi <img data-src=" />


votre avatar







zart a écrit :



<img data-src=" /> Ca ne marche pas sur moi <img data-src=" />





Normal avec ton nom, c’est toi la petite lumière en fait:



“Regardez par là s’il vous plaît…”

ZART

“En fait ce que vous voyez n’est que la réaction de deux atomes de polonium qui ont poussé ce développeur d’Apple à regarder le code à l’envers. C’est pour cela qu’il a vu ce que personne n’avait vu avant lui. La nsa et nous-mêmes n’avons aucun lien avec ceci. Merci de votre attention!”


votre avatar

Enfin pour ajouter je dirai que cette faille donne tord à Linus quand il dit que les développeur BSD sont des “paranoïaque de la sécurité” parce que cette faille montre qu’être paranoïaque peut avoir du bon et montre la supérieur d’OpenSSL sur GNU.



Bref ca montre qu’avec les logiciel GNU il y a à boire et à manger n’en déplaisent à notre chère RMS. <img data-src=" />

votre avatar







coolspot a écrit :



Enfin pour ajouter je dirai que cette faille donne tord à Linus quand il dit que les développeur BSD sont des “paranoïaque de la sécurité” parce que cette faille montre qu’être paranoïaque peut avoir du bon et montre la supérieur d’OpenSSL sur GNU.



Bref ca montre qu’avec les logiciel GNU il y a à boire et à manger n’en déplaisent à notre chère RMS. <img data-src=" />







Je m’attendais pas à un troll pro-BSD sur PCI. <img data-src=" />


votre avatar







coket a écrit :



Je pense que si il y a de telles réactions, c’est que quelques libristes moins sages que toi, orgueilleux, condescendants, ont eu tendance a traiter tout non libriste avec beaucoup de mépris et énormément de certitudes sur la supériorité naturelle de Linux en terme de sécurité…







Personnellement, je pense que Linux a une superiorité naturelle en terme de securité mais pas dans les failles de secu dans le code mais plutot au niveau de l’architecture du systeme.

Mais c’est plus du a son heritage Unix qu’a la qualité des gens qui font linux.

MacOSX est, pour moi, dans un cas de figure equivalent.



En fait, c’est windows qui est mal concu surtout… Il a peut etre (et meme probablement) moins de failles que linux ou macosx mais les impacts sont tout de suite beaucoup plus grave a cause de son architecture interne, de sa conception et des choix de configuration par defaut. Les choses se sont ameliorées depuis 7 mais ca n’est pas folichon pour autant…


votre avatar







Para-doxe a écrit :



Je m’attendais pas à un troll pro-BSD sur PCI. <img data-src=" />







Bah je suis pas pro-BSD (je tourne sous GNU/Linux : Ubuntu Gnome depuis plus d’un an) mais il faut reconnaître qu’en terme de sécurité BSD &gt; GNU/Linux &gt; OSX & Windows.



Donc que BSD &gt; All.



Bon après BSD c’est moins user-friendly que GNU/Linux et tu a pas la logithèque monstrueuse d’une Debian. <img data-src=" />





Après il faut reconnaitre que les licence BSD sont ,de moins point de vu, mieux ficelé que les licences GNU qui sont de plus en plus restrictive au fil des version à contrario des BSD ou tu peut faire quasiment ce que tu veut.


votre avatar







coolspot a écrit :



Enfin pour ajouter je dirai que cette faille donne tord à Linus quand il dit que les développeur BSD sont des “paranoïaque de la sécurité” parce que cette faille montre qu’être paranoïaque peut avoir du bon et montre la supérieur d’OpenSSL sur GNU.



Bref ca montre qu’avec les logiciel GNU il y a à boire et à manger n’en déplaisent à notre chère RMS. <img data-src=" />





http://www.kevinmarks.com/personality.html


votre avatar







Khalev a écrit :



http://www.kevinmarks.com/personality.html









Traduction en français ?


votre avatar

En fait l’OS ultime c’est Debian kFreeBSD auquel tu vire les outil GNU. <img data-src=" />

votre avatar







Khalev a écrit :



http://www.kevinmarks.com/personality.html









About the authors

Kevin Marks works for Apple Computer in the QuickTime Group.

Maf Vosburgh works for Microsoft in the Mac Business Unit.



By an amazing coincidence, both are British, both like sushi, and both used to work at the same company in London, where they both wrote “3D Atlas” (well, half each).





<img data-src=" />


votre avatar







Faith a écrit :



Pourquoi mettre une capote ? Sa fiabilité n’est pas de 100%, autant ne rien mettre…





si, on fait le minimum syndical, le reste et bien on ne le contrôle pas …



j’ai vu les autres commentaires : ils me font bien marrés ceux qui prétendent “sécurisé” un SI … Belle bande d’imposteurs qui quand ils se font ouvrir font toujours profil bas.



Allez shuss, cela fait juste 25 ans que je bosse sur les infra.

… et les seuls que je vois à niveau … ce sont les hacker !



et pas les experts en sécurité (que j’ai côtoyé) qui ont toujours 2 ans de retard sur les failles -360 days.


votre avatar







arno53 a écrit :



J’ai dit ca où <img data-src=" />

Je parle de compromettre la sécurité dans son ensemble … Il suffit d’un maillon faible pour que la chaine ne tienne plus … On a pas forcement tout le temps besoin des droits root pour s’amuser notamment avec l’utilisateur. On peut imaginer un faux site mozilla/chome store qui te propose d’installé une extension verolé type keylogger etc…



Cette exemple permet de créer très facilement un site de phishing ou de faire du man-in-the-middle (typiquement le passe temps des agences de renseignement pour attaqué un haut fonctionnaire etc).









Sauf que non c’est pas possible vu que les navigateur n’utilise pas GNU/TLS mais OpenSSL.


votre avatar







jfchadeyron a écrit :



Les version GnuTLS patchées sont 3.2.12 ou 3.1.22

http://www.gnutls.org/security.html#GNUTLS-SA-2014-2



Hors mon serveur 12.04 indique 3.0.xx

(apt-cache show gnutls-bin)







Dans la FAQ sécurité de Debian (qui s’applique également à Ubuntu), on peut lire



* Le numéro de version d’un paquet indique-t-il une version vulnérable ?

* Pourquoi vous embêtez-vous avec une vieille version de ce paquet ?


votre avatar







coolspot a écrit :



Traduction en français ?





C’est juste une comparaison des différents “caractères” des développeurs et les façon de programmer.



Il y a justement une description du développeur paranoïaque. Tellement parano qu’il met trop de sécurité… ce qui crée des bugs <img data-src=" />


votre avatar







Khalev a écrit :



C’est juste une comparaison des différents “caractères” des développeurs et les façon de programmer.



Il y a justement une description du développeur paranoïaque. Tellement parano qu’il met trop de sécurité… ce qui crée des bugs <img data-src=" />







<img data-src=" /> mais bon la réputation de BSD en terme de sécurité n’est pas une légende urbaine non plus.


votre avatar







z00p a écrit :



le seul package installé ici dépendant de gnutls c’est… wireshark (étrangement). Tout le reste (firefox inclus), c’est openssl.



Bon, j’ai pas lu l’intégralité des commentaires, mais j’imagine la floppée de trolls qui ont dû se faire plaisir pour, au final, que dalle.







Après vérification des programmes dépendants de GNU TLS, on peut citer ffmpeg (bibliothèque audio/vidéo pas mal utilisée), filezilla et lftp (le meilleur client ftp qui soit), gnome-vfs (pour les fous qui utiliseraient encore GNOME 2), libvirt, qemu, samba, weechat, wine…



De mon côté, j’en ai trois qui l’utilisent encore


votre avatar

cough cough, quand on fait bien les choses, on utilise pas gnutls mais openssl. Et ça fait un bail que l’info est connue, 2008 pour être précis, source mailing-list d’openldap:



http://www.openldap.org/lists/openldap-devel/200802/msg00072.html



le seul package installé ici dépendant de gnutls c’est… wireshark (étrangement). Tout le reste (firefox inclus), c’est openssl.



Bon, j’ai pas lu l’intégralité des commentaires, mais j’imagine la floppée de trolls qui ont dû se faire plaisir pour, au final, que dalle.

votre avatar

Les distributions linux c’est plus sécure par ce que c’est opensource et donc tout le monde peut vérifier.



Ca en fout un coup à ce type d’argumentaire puis qu’apparemment personne ne vérifie <img data-src=" />



Une distrib linux c’est pas plus sécure qu’un windows ou macos <img data-src=" />

votre avatar







z00p a écrit :



cough cough, quand on fait bien les choses, on utilise pas gnutls mais openssl. Et ça fait un bail que l’info est connue, 2008 pour être précis, source mailing-list d’openldap:



http://www.openldap.org/lists/openldap-devel/200802/msg00072.html



le seul package installé ici dépendant de gnutls c’est… wireshark (étrangement). Tout le reste (firefox inclus), c’est openssl.



Bon, j’ai pas lu l’intégralité des commentaires, mais j’imagine la floppée de trolls qui ont dû se faire plaisir pour, au final, que dalle.







Et comment ça se fait que gnutls est corrigé que maintenant si l’info est connue depuis 2008. <img data-src=" />



Apparemment, beaucoup de produits sont encore touchés donc dire c’est “connue” ça fait encore plus bizarre…


votre avatar

Bon allez je mets les pieds dans le troll :









Xarkam a écrit :



Les distributions linux c’est plus sécure par ce que c’est opensource et donc tout le monde peut vérifier.



Ca en fout un coup à ce type d’argumentaire puis qu’apparemment personne ne vérifie <img data-src=" />





En l’occurrence une fois la faille découverte on a pu citer le bout de code en cause. Donc oui c’est ouvert et ça facilite la recherche du problème. Après si les fabricants considèrent l’opensource comme un moyen gratuit de piller du code pour l’intégrer dans leurs produits, sans vérifier et sans contribuer, le souci est peut-être là.



Je ne crois pas avoir vu dans les licences OpenSource une mention “cette licence vous garanti 0 failles de sécurité”.





Une distrib linux c’est pas plus sécure qu’un windows ou macos <img data-src=" />



Tout dépend de l’usage mais il y a énormément de serveurs Linux sur internet et je préfère utiliser un CentOS en mode texte qui est à jour avec un SELinux et un bon parefeu qu’un Windows 2012 qui vient avec énormément de composants inutiles qui consomment des ressources, sont potentiellement des failles de sécurité supplémentaires et nécessite un reboot chaque fois qu’une mise à jour du notepad est disponible. Et je ne compte pas les backdoor NSA et les failles tenues secrètes tant qu’on ne buzz pas dessus.



Enfin tu t’égares un peu, la faille touche gnutls et pas Linux.


votre avatar

Seuls les pirates chevronnés pourraient nous dire qui d’entre Linux, Mac OS et Windows est le plus sécurisé (en évitant de comparer les machines desktops et les serveurs qui n’ont probablement pas les mêmes angles d’attaque).



Les affirmations des libristes et des commerciaux me paraissent être du blabla et de l’idéologie qu’aucun fait ne vient étayer.

votre avatar







Vellou a écrit :



Donc, avant de compromettre le noyau avec une faille gnuTLS, euh … comment dire … c’est quoi ton boulot ? <img data-src=" />





J’ai dit ca où <img data-src=" />

Je parle de compromettre la sécurité dans son ensemble … Il suffit d’un maillon faible pour que la chaine ne tienne plus … On a pas forcement tout le temps besoin des droits root pour s’amuser notamment avec l’utilisateur. On peut imaginer un faux site mozilla/chome store qui te propose d’installé une extension verolé type keylogger etc…



Cette exemple permet de créer très facilement un site de phishing ou de faire du man-in-the-middle (typiquement le passe temps des agences de renseignement pour attaqué un haut fonctionnaire etc).



Fin bref, j’ai jamais remis en cause la sécurité intrinsèque du noyau Linux … Juste que tout les systèmes peuvent être vulnérable open-source comme closed-source… En tout cas tu m’as pas fait changé d’avis sur l’ouverture de certains libristes <img data-src=" />


votre avatar







Obidoub a écrit :



En l’occurrence une fois la faille découverte on a pu citer le bout de code en cause. Donc oui c’est ouvert et ça facilite la recherche du problème. Après si les fabricants considèrent l’opensource comme un moyen gratuit de piller du code pour l’intégrer dans leurs produits, sans vérifier et sans contribuer, le souci est peut-être là.





Sans compter les débats qui tournent autour et qui sont autant de leçons pour les développeurs un minimum attentifs sur ce qu’il faut faire et ne pas faire.



Idem pour la faille goto fail d’Apple vu que le code était open-source on a eu des gros débats sur l’utilisation des gotos et des outils qu’on aurait pu utiliser pour signaler ce genre de soucis.



Pour les failles closed-source souvent tout ce que tu as c’est le patch binaire qui permet de savoir ce qu’était le soucis, ce qui ne permet que rarement de remonter à l’erreur exact dans le code original.


votre avatar







jfchadeyron a écrit :



Mon serveur ubuntu 12.04 reste vulnérable malgré qu’il soit a jour…une idée ?







sur ubuntu ? <img data-src=" />


votre avatar







DorianMonnier a écrit :



23 jours pour les correctifs d’iOS et d’OSX, rien d’aberrant.



Si tu regardes sur Gitourious, le commit date d’il y a 6 jours et donc la faille a été découvert il y a ~ 1 semaine au minimum.







La faille datait de plus d’un an en revanche.





Pour ce qui est de cette faille, c’est assez flippant alors que normalement le code est audité régulièrement.

Pour le grand public ça ne changera pas grandement l’image des distributions mais c’est tout de même regrettable.


votre avatar







luxian a écrit :



Seulement une fois que quelqu’un a compris le problème … pouf ! Le lendemain, c’est corrigé, là ou chez Apple, il faut non seulement qu’un grand chef décide, mais en plus que tous les processus internes à l’entreprise soient respectés et chez Mµ$oft, il faut souvent attendre le patch tuesday du mois suivant.





Oui enfin que ce soit le patch tuesday du mois suivant ou pas, si la faille est vieille (9 ans quand même !) … Ce n’est pas un mois de plus qui va changer la donne :)

(ça et sans compter la non mise à jour inhérente à la fainéantise des gens).


votre avatar







after_burner a écrit :



Et comment ça se fait que gnutls est corrigé que maintenant si l’info est connue depuis 2008. <img data-src=" />







de ce que je lis, on sait que le code de gnuTLS est mal écrit depuis 2008, parce que notamment il utilise des fonctions non sécurisés de traitement de chaine pour traiter des flux binaires : ça n’est pas directement lié au bug révélé ici.



En 2008 ça disait juste “vu comment c’est écrit il y a des chances que ça soit buggué” sans pointer un bug spécifique.


votre avatar







Mr.Nox a écrit :



Pour ce qui est de cette faille, c’est assez flippant alors que normalement le code est audité régulièrement.





Vu que GnuTLS était déconseillé depuis 6 ans c’est pas si étonnant que ça en fait. La communauté autour ne devait pas être si grosse que ça.



C’est juste dommage que la lib ait continué à être utilisée alors qu’elle était déconseillée…


votre avatar







cid_Dileezer_geek a écrit :



Combien de temps j’ai regardé le code, je vois pas ce que ça vient faire là dedans.

Et ce n’est pas moi qui affirme, c’est la news:



<img data-src=" />





C’est toi qui as dit :



On a la même erreur de code

dans un premier message auquel j’ai répondu puis qui as dit :



la structure du code est similaire

dans ton second message qui répondait à ma propre réponse.



Ce n’est pas la news qui dit ça.



Comme je ne suis pas de cet avis, il me semble normal de demander si tu as bien étudié les codes en question avant d’en parler.



Et le fait que des erreurs de code différentes dans des lib de vérification de certificats amènent à un bug de même type : des certificats non valides sont considérés valides ça n’a rien de surprenant.



La news ne va pas plus loin que cela. Dans les 2 cas, on peut attaquer par des certificats non valides, mais je ne suis pas sûr que les mêmes certificats mettent en défaut les 2 libs.


votre avatar







z00p a écrit :



cough cough, quand on fait bien les choses, on utilise pas gnutls mais openssl. Et ça fait un bail que l’info est connue, 2008 pour être précis, source mailing-list d’openldap:



http://www.openldap.org/lists/openldap-devel/200802/msg00072.html



le seul package installé ici dépendant de gnutls c’est… wireshark (étrangement). Tout le reste (firefox inclus), c’est openssl.



Bon, j’ai pas lu l’intégralité des commentaires, mais j’imagine la floppée de trolls qui ont dû se faire plaisir pour, au final, que dalle.





Tu as essayé de virer gnutls ? J’ai fait l’essai et ça vire 450 packages du système,

gnome, kde, libreoffice, vlc, qemu, networkmanager,nautilus,… (2Gigas)


votre avatar







Baldurien a écrit :



Oui enfin que ce soit le patch tuesday du mois suivant ou pas, si la faille est vieille (9 ans quand même !) … Ce n’est pas un mois de plus qui va changer la donne :)

(ça et sans compter la non mise à jour inhérente à la fainéantise des gens).





Et Ms sort aussi, bien que rarement, des patch hors cycle si la faille est vraiment grave.


votre avatar







baldodo a écrit :



de ce que je lis, on sait que le code de gnuTLS est mal écrit depuis 2008, parce que notamment il utilise des fonctions non sécurisés de traitement de chaine pour traiter des flux binaires : ça n’est pas directement lié au bug révélé ici.



En 2008 ça disait juste “vu comment c’est écrit il y a des chances que ça soit buggué” sans pointer un bug spécifique.







Je vois. C’est compliqué la sécurité informatique, hein. <img data-src=" /><img data-src=" />



Bon il serait bien de savoir quel produits utilise gnutls, parce que j’imagine que ça peut toucher tous les systèmes, pas seulement OSX, iOS et certaines distribs linux?


votre avatar







Elwyns a écrit :



donc les plus dangereuses en somme





rooooh mais ils ne le font que dans notre intérêt et pour notre bien <img data-src=" />


votre avatar







Okki a écrit :



Ensuite, les dépôts des différentes distributions, et la centralisation permise par le fait que les logiciels soient libres, permet de mettre à jour l’ensemble du système, des pilotes de périphériques et de tous les logiciels installés. Là encore, à l’inverse d’un Windows Update qui ne tient compte que de Windows, IE et MS Office, et où il faut ensuite se débrouiller avec chaque programme ou pilote tiers.



On peut également ajouter que la liberté du code, et la gestion correcte des dépendances permise par les systèmes de packages utilisés, permet à tous les programmes d’utiliser des bibliothèques dynamiques, et de bénéficier des correctifs et améliorations lors des mises à jour de ces dernières. Sous Windows, pour éviter les conflits, et s’assurer qu’un programme continuera de fonctionner dans le temps, ces derniers ont tendance à être liés statiquement à certaines bibliothèques. Et bien évidemment, quand une faille est découverte dans l’une d’entre elles et qu’un correctif est disponible, cela ne s’applique pas au programme lié statiquement, et on retombe sur le bon vouloir des éditeurs.



Quoi que Microsoft fasse, n’ayant aucun contrôle sur les programmes tiers, la sécurité de Windows et de son écosystème sera toujours inférieure à ce que proposent les distributions Linux majeures.





Microsoft est en train de faire une transition vers des applications sandboxé et dont les majs sont gérés par le système via l’environnement WinRT pour pallier a ces erreurs de conception …



Mais c’est vrai que le coup du apt-get update|upgrade je trouve ca magique <img data-src=" />



Pour ce qui est des dépendances, je voudrais bien savoir comment c’est géré coté Windows.Next (WinRT) parce que c’est vrai qu’actuellement c’est pas trop ca <img data-src=" />







sr17 a écrit :



Tout à fait.



C’est l’approche Micro-Noyau qui était vue il y a bien longtemps comme la meilleure réponse à ce problème.



C’était d’ailleurs ce qui était prévu avec GNU Hurd. Mais entre temps, Linux est arrivé et a conquis le marché.



Reste que l’approche Micronoyau véritable n’est pas aussi simple en pratique. Elle pose des problèmes d’architecture et de performance qui ont mené soit d’un côté à limiter l’usage à des secteurs de niche. Et de l’autre à dévoyer le concept pour essayer de limiter le problème (GNU hurd s’est conceptuellement égaré), mais en perdant la plupart de ses avantages, c’est à dire la simplicité et la sécurité.



Reste que l’arrivée de processeurs massivement multicores et sans doute dans le futur massivement multithreads va certainement diminuer les inconvénients de l’architecture micronoyaux(le cout des context switchs) et relancer le concept.





Si tu suis PCI régulièrement depuis quelques année t’as deja du entendre parler du projet de recherche de Microsoft Singularity (open source mais non libre) commencé en 2003 puis qui a commencé à devenir un véritable projet a but commercial avec Midori à partir de 2006 jusqu’à aujourd’hui (au dernière nouvel ça fait même partie de la même unité que celle qui s’occupe de Windows).



C’est un OS a Micro Noyau n’ayant rien a voir avec Windows. Microsoft a une approche particulière basé sur les langage managé et la vérification possible que ca implique mais je suis persuadé que ce n’est pas la seul approche valable.



Par contre la création d’un os de ce genre implique de tout remettre a plat et je ne pense pas que Hurd arrivera à quelque chose de réellement exploitable tant qu’il cherchera à rester compatible avec avec le monde Unix & co. Et si jamais ils arrivent a faire un Hurd (ou tout autre micro noyau) exploitable et performant mais malheureusement incompatible avec Linux, j’ai peur que les nombreuse divisions au sein du libre empêche un micro noyau de percé a moyen terme dans le monde du libre… <img data-src=" />



Bon par contre si c’est un micro noyau compatible Unix/Linux/GNU ca va être champagne <img data-src=" />



En tout cas les 10 prochaines années risquent d’être très intéressante d’un point de vu recherche fondamental et j’adore ca <img data-src=" />



Edit : Si tu recherches des info sur Midori cherche avec pcinpact ou zdnet.com c’est les plus complets … Notamment grâce au commentaires de Charon sur PCI


votre avatar







le podoclaste a écrit :



En tout cas, grâce à cette faille, tout le monde sait depuis hier que tout le monde sait depuis 6 ans que cette bibliothèque est pourrite <img data-src=" />







et c’est pour cela que du monde l’utilise depuis 6 ans, donc ton “tout le monde sait” c’est limite


votre avatar







Elwyns a écrit :



et c’est pour cela que du monde l’utilise depuis 6 ans, donc ton “tout le monde sait” c’est limite





avant qu’Archimède ne sorte son principe, c’est la confiance des équipages et elle seule qui maintenait les navire à flot <img data-src=" />

(ce principe est également applicable à ce qu’on appelle, faute de mieux, l’économie)


votre avatar







ff9098 a écrit :



Pas besoin de cette news pour savoir ça.





Non, mais elle illustre très bien le propos.

Je n’ai rien contre le libre, mais a lire un tas de commentaire sur les avantages du libre ou tu en fais ce que tu veux parce que le code est public, oui.

Mais je reste convaincu que les personnes capables de le faire ne sont pas si nombreuse que ça.

C’est pas un argument contre le libre juste un rappel que c’est pas parce qu’on a les schéma d’un A380, qu’on sait en faire un.


votre avatar

Et si tout à chacun peut faire ce qu’il veut avec linux sous prétexte que c’est libre, qu’est ce qui empêche une personne mal intentionnée de rajouter quelques lignes de codes à une distri linux lui permettant “d’aspirer” le contenu des ordis des utilisateurs de cet distri?

votre avatar







Elwyns a écrit :



et c’est pour cela que du monde l’utilise depuis 6 ans, donc ton “tout le monde sait” c’est limite







En même temps, certaines distributions, telle que Debian, qui privilégient ce qu’il y a de plus libre, ont préféré opter pour GnuTLS (sous licence GPL) plutôt qu’OpenSSL (sous licence BSD) quand elles avaient le choix.



Par exemple, lftp utilise GnuTLS. Pourtant, dans les options de configuration, le choix nous est donné :



–without-gnutls don’t use GNUTLS library

–with-openssl[=/path] use OpenSSL [at /path]

–without-openssl don’t use OpenSSL (default)



Tout ça pour dire qu’à mon avis, ce n’est pas forcément de l’ignorance, mais également un parti pris politique et/ou idéologique.


votre avatar







pithiviers a écrit :



Et si tout à chacun peut faire ce qu’il veut avec linux sous prétexte que c’est libre, qu’est ce qui empêche une personne mal intentionnée de rajouter quelques lignes de codes à une distri linux lui permettant “d’aspirer” le contenu des ordis des utilisateurs de cet distri?





La dessus il y a des contrôles, c’est gros.


votre avatar







pithiviers a écrit :



Et si tout à chacun peut faire ce qu’il veut avec linux sous prétexte que c’est libre, qu’est ce qui empêche une personne mal intentionnée de rajouter quelques lignes de codes à une distri linux lui permettant “d’aspirer” le contenu des ordis des utilisateurs de cet distri?







Sur Wikipédia, qui est une encyclopédie sous licence libre, n’importe qui peut modifier un article, et les contrôles / corrections se font après coup.



Dans le logiciel libre, c’est différent. Si t’es encore inconnu du projet, il faut envoyer ton patch (correctif, amélioration, traduction, ajout de fonctionnalité…) au mainteneur du projet, qui vérifiera la qualité de ton code et la pertinence de la contribution, et décidera ou non de l’intégrer. Selon les projets, le patch doit parfois être relu par plusieurs développeurs avant d’être accepté.



Ensuite, si tu deviens contributeur régulier du projet, et que par la qualité de ton travail, les mainteneurs ont confiance en toi, ils peuvent te donner un accès en écriture sur le gestionnaire de versions, histoire que tu puisses contribuer directement, et ainsi faire gagner du temps à tout le monde.



Et là, ça devient comme pour n’importe quel autre projet libre. Tout se fait de façon transparente. Les discussions sur les listes de diffusion sont publiques et accessibles à tout le monde, tous les commits sur les gestionnaires de versions sont également publics, et on peut donc savoir qui a fait quoi, et à quel moment. Et tout le code est bien évidemment accessible à tout le monde (en lecture seule, donc)



Maintenant, puisque c’est libre, et que n’importe qui peut forker un projet, ou carrément créer sa propre distribution (voir le fork d’une distribution existante), effectivement, cette personne peut faire n’importe quoi, mais seulement dans son coin. Mettre de la pub partout, ne pas mettre à jour les programmes qui corrigeraient des failles de sécurité, y ajouter volontairement des backdoors… Mais là, c’est comme pour tout, s’il se met à distribuer son travail, à toi de te renseigner un minimum et de ne pas accorder ta confiance au premier venu.



À ce propos, ça m’a toujours épaté de voir autant de gens installer des Windows customisés (soit disant plus légers, ou avec telle ou telle fonction ajoutée par défaut…) sans qu’on sache d’où ça sort réellement et ce qu’ils ont bien pu faire d’autre.


votre avatar







coolspot a écrit :



Ben je persiste à dire que ca n’a aucun rapport. BSD ne sont pas et ne font pas de téléphone. Après si tu résume l’iphone à des composants dont certain sont issu du code BSD c’est comme si je résumé Android avec le noyau Linux.



Non seulement ca n’a rien à voir et en plus même si on tient avec cette comparaison la les licence GNU ne protège en rien vu que Google fait du propriétaire (les service et application google avec du code GNU (le noyau et la partie AOSP qui n’est pas propriétaire).







La GPL oblige quand même Google à reverser une part très importante d’Android dans le libre. C’est quand même infiniement mieux que rien.



Après, le fait de laisser tourner des logiciels propriétaires sur des OS libre, c’est un choix.

Grace à une variante de la GPL, la LGPL, la délimitation est clairement tracée : un logiciel propriétaire ne peut se linker qu’avec les bibliothèques autorisées pour cela. Et je pense qu’il serait difficile de faire mieux. Aller plus loin supposerait d’interdire les logiciels propriétaires sur OS libres. Ce que la GPL permetrait totalement. Mais je pense que les libristes, dans leur grande majorité ne le veulent pas. Et ils ont raison.



Pour le reste, ce sera au monde libre de créer une logithèque libre pour le mobile.



Reste quelques soucis effectifs qui montrent les limites de la GPL comme la Tivoïsation de fait de certains téléphones. Mais la proposition de la GPL v3 me parait une réponse intelligente, même si cette licence mettra du temps à s’étendre à cause d’une portion de l’ancien code qui ne contenait pas la clause permettant l’upgrade de la licence.













votre avatar







pithiviers a écrit :



Et si tout à chacun peut faire ce qu’il veut avec linux sous prétexte que c’est libre, qu’est ce qui empêche une personne mal intentionnée de rajouter quelques lignes de codes à une distri linux lui permettant “d’aspirer” le contenu des ordis des utilisateurs de cet distri?







Sans doute parce qu’on ne rajoute pas non plus ce qu’on veut comme ça dans une distribution Linux réputée.


votre avatar







Okki a écrit :



Vous devriez monter un club <img data-src=" />



Et je vais vous dire un secret, non seulement ce n’est pas la première faille, mais on en a eu près d’une quarantaine depuis le début de l’année



https://www.debian.org/security/2014/index.fr.html



Par contre, à l’inverse d’un Windows, il s’agit ici du système (même si le noyau n’a pas encore été touché cette année), mais également des dizaines de milliers de logiciels libres fournis par les principales distributions. Et finalement, une quarantaine de failles (plus ou moins critiques) sur autant de programmes (qui ne sont pas utilisés par tout le monde), c’est peanuts.



Sinon oui, une distribution Linux sera toujours plus sûre qu’un Windows, pour plusieurs raisons. Déjà, c’est libre, donc une faille découverte peut être corrigée par n’importe quel développeur / distribution, sans avoir besoin d’attendre que le responsable du projet décide de s’en occuper. À l’inverse d’un Microsoft qui ne propose ses correctifs qu’une fois par mois, et de certains éditeurs qui refusent de corriger des failles connues depuis des lustres.



Ensuite, les dépôts des différentes distributions, et la centralisation permise par le fait que les logiciels soient libres, permet de mettre à jour l’ensemble du système, des pilotes de périphériques et de tous les logiciels installés. Là encore, à l’inverse d’un Windows Update qui ne tient compte que de Windows, IE et MS Office, et où il faut ensuite se débrouiller avec chaque programme ou pilote tiers.



On peut également ajouter que la liberté du code, et la gestion correcte des dépendances permise par les systèmes de packages utilisés, permet à tous les programmes d’utiliser des bibliothèques dynamiques, et de bénéficier des correctifs et améliorations lors des mises à jour de ces dernières. Sous Windows, pour éviter les conflits, et s’assurer qu’un programme continuera de fonctionner dans le temps, ces derniers ont tendance à être liés statiquement à certaines bibliothèques. Et bien évidemment, quand une faille est découverte dans l’une d’entre elles et qu’un correctif est disponible, cela ne s’applique pas au programme lié statiquement, et on retombe sur le bon vouloir des éditeurs.



Quoi que Microsoft fasse, n’ayant aucun contrôle sur les programmes tiers, la sécurité de Windows et de son écosystème sera toujours inférieure à ce que proposent les distributions Linux majeures.









Qu’est ce que je disais déjà? <img data-src=" />


votre avatar







pithiviers a écrit :



Et si tout à chacun peut faire ce qu’il veut avec linux sous prétexte que c’est libre, qu’est ce qui empêche une personne mal intentionnée de rajouter quelques lignes de codes à une distri linux lui permettant “d’aspirer” le contenu des ordis des utilisateurs de cet distri?







Ah parce que tu crois qu’on peut contribuer comme ça ? <img data-src=" />


votre avatar







sr17 a écrit :



La GPL oblige quand même Google à reverser une part très importante d’Android dans le libre. C’est quand même infiniement mieux que rien.



Après, le fait de laisser tourner des logiciels propriétaires sur des OS libre, c’est un choix.

Grace à une variante de la GPL, la LGPL, la délimitation est clairement tracée : un logiciel propriétaire ne peut se linker qu’avec les bibliothèques autorisées pour cela. Et je pense qu’il serait difficile de faire mieux. Aller plus loin supposerait d’interdire les logiciels propriétaires sur OS libres. Ce que la GPL permetrait totalement. Mais je pense que les libristes, dans leur grande majorité ne le veulent pas. Et ils ont raison.



Pour le reste, ce sera au monde libre de créer une logithèque libre pour le mobile.



Reste quelques soucis effectifs qui montrent les limites de la GPL comme la Tivoïsation de fait de certains téléphones. Mais la proposition de la GPL v3 me parait une réponse intelligente, même si cette licence mettra du temps à s’étendre à cause d’une portion de l’ancien code qui ne contenait pas la clause permettant l’upgrade de la licence.







Ben au vu des dernière version d’Android et de dire de certain développeur c’est l’effet inverse et tu a de plus en plus de privateur et de moins en moins de libre maintenant qu’Android a gagné la guerre du mobile/tablette.



D’ailleurs certain développeur crie au scandale donc la protection absolue ou quasi absolue de la GPL j’y crois moyen.



Après certe les licence BSD/Apache ne couvrent pas tous les logiciel ou bibliothèque mais de mon point de vue et notamment dans le domaine de la sécurité (l’orientation majeure de BSD) ce sont les leader incontesté et il me semble pas qu’il y est actuellement mieux que BSD en terme de sécurité par exemple.



Ce qui prouve qu’en fin de compte même avec une licence hyper permissive ben tu peut être leader même si la concurrence pique les idées/code.


votre avatar







pithiviers a écrit :



Et si tout à chacun peut faire ce qu’il veut avec linux sous prétexte que c’est libre, qu’est ce qui empêche une personne mal intentionnée de rajouter quelques lignes de codes à une distri linux lui permettant “d’aspirer” le contenu des ordis des utilisateurs de cet distri?









Effectivement tu peut toujours créer ta distribution vérolé mais après faut trouver du monde à convaincre pour la télécharger plutôt qu’une Ubuntu/Fedora/Debian/Mageia etc…



Et pis bon même si tu arrive à convaincre des gus faut vraiment pas te faire choper parce que t’es définitivement grillé après.


votre avatar







pithiviers a écrit :



En espérant que cet news aura le mérite de remettre les idées en place à certains lunixiens qu’on peut croiser ici qui avaient la trop fâcheuse tendance à se prendre pour des demi-dieux de l’informatique et à regarder dédaigneusement les utilisateurs de Windows ou OS X sous prétexte que Linux c’est trop de la balle et que c’est complètement invulnérable.



Calmés les gars là.







Oui enfin tu raconte n’importe quoi aussi vu que ce n’est pas Linux mais GNU/TLS. Mais sinon on a jamais dit que GNU/Linux était inviolable et avec 0 failles. On le dit et on le repète on dit juste que GNU/Linux est beaucoups plus sécurisé que OSX et Windows du fait d’être libre et ouvert entre autre qui est un avantage énorme.



Pour résumé on pourrait dire qu’avec GNU/Linux tu a un système à 99% sécurisé alors qu’avec OSX et Windows tu en a 0% vu que ce sont des logiciel privateur et donc contenant un/plusieurs malware par définition.


votre avatar







sr17 a écrit :



Sauf que la pratique semble démentir complètement cette affirmation.



Tout le monde connait l’iPhone, le Mac et iOS. Mais seul un petit public de spécialistes connaissent BSD qui est pourtant largement utilisé dans ces produits.



Cela démontre que Stallman avait raison et que la persistance des libertés voulues par les auteurs d’un logiciel libre doit être garantie par la licence comme le fait la constitution d’un pays démocratique.







Ouais enfin comparé un iPhone avec certain logiciel BSD c’est un peu rapide. Faut comparé ce qui est comparable. Moi je voyais plus une comparaison du style Apple prend le code du serveur Apache pour créer son serveur proprio qu’il vend en entreprise et deviens le leader mondiale en terme de serveur web.



Ou encore prendre les bibliothèque OpenSSL pour créer ses propre bibliothèque SSL qu’on vend au établissement bancaire pour plus de sécurité.



Or c’est pas du tout le cas.


votre avatar







coolspot a écrit :



Même pour une backdoor. Ce qui est dit c’est que si une backdoor est implémenté dans un logiciel libre, celle-ci est visible (contrairement à un logiciel privateur ou c’est quasiment invisible) et comme le code est libre le logiciel backdooré peut être forké sans le code qui contient la backdoor (Le site GNU et RMS ont suffisamment insisté la dessus)



En clair c’est une nuance, avec un logiciel privateur tu est sur qu’il y a une backdoor alors qu’avec un logiciel libre la chance est minime car c’est extrêmement plus visible et si ca arrive il ne faut pas longtemps pour viré la backdoor ou/et forké le logiciel pour être backdoor free.





Ah mais sur ce point je suis complétement d’accord … Mais pour avoir un fork non-Backdooré encore faut il que la faille d’origine soit découverte.

Mais je t’invite a lire les commentaires de la news sur l’approche de Linus par la NSA. Certain sont persuadé que c’est strictement impossible … Pour moi la probabilité a beau être faible, elle ne sera jamais nul.



Apres j’ai bien conscience que le closed-source est forcement verrolé de part l’existence du patriot act qui fait économisé énormément de R&D au equipe de la NSA chargé d’attaqué Windows <img data-src=" />



Mais comme je disais ironiquement précédemment, j’espères juste que la backdoor closed-source demande un login/password là ou de l’open source fragilise le système au profit de n’importe quel hacker tombant sur la faiblesse général.


votre avatar







arno53 a écrit :



Malheureusement tout les libristes ne sont pas toujours aussi réaliste <img data-src=" />







Le fait d’avoir accès aux sources d’un logiciel est un avantage évident pour la sécurité.



Mais personne n’a jamais prétendu pour autant que cela permettait d’obtenir des logiciels sans failles.



N’importe quel programmeur vous dira qu’on peut trouver des méthodes pour écrire de meilleurs logiciels, mais qu’un logiciels garanti sans failles, cela n’existe pas.



L’ordinateur et ses logiciels sont les créations humaines les plus complexes jamais créées. Et compte tenue de cette énorme complexité, la question n’est plus de savoir s’il y a des défauts, mais combien il y en a.


votre avatar







coolspot a écrit :



Ouais enfin comparé un iPhone avec certain logiciel BSD c’est un peu rapide.







Non, c’est au contraire un très bon exemple.



Apple est bien devenu un leader mondial alors que BSD est complètement inconnu.





Faut comparé ce qui est comparable. Moi je voyais plus une comparaison du style Apple prend le code du serveur Apache pour créer son serveur proprio qu’il vend en entreprise et deviens le leader mondiale en terme de serveur web.



Ou encore prendre les bibliothèque OpenSSL pour créer ses propre bibliothèque SSL qu’on vend au établissement bancaire pour plus de sécurité.



Or c’est pas du tout le cas.





Sauf que tu ignore combien de code BSD est repris chaque année par les entreprises qui font du logiciel propriétaire.



votre avatar







Commentaire_supprime a écrit :



Je peux vous dire, ayant à régler le même genre de problématique (correction orthographique d’écrits personnels pouvant atteindre les 600 pages) que les fautes les plus connes sont souvent les plus difficiles à détecter !



Je trouve régulièrement de belles gaffes dans mes écrits, tant point de vue typo que mise en page ou orthographe/grammaire/syntaxe, alors que j’ai relu le texte en question 2 ou 3 fois avant mise en publication, sans parler des tiers qui me font la remarque…



Donc, une erreur aussi grotesque pas détectée pendant 9 ans, ça ne me paraît pas incroyable, connaissant la nature humaine et ayant la même pratique…





trouve toi cela et porte hauts les couleurs de tes convictions !


votre avatar







arno53 a écrit :



Ah mais sur ce point je suis complétement d’accord … Mais pour avoir un fork non-Backdooré encore faut il que la faille d’origine soit découverte.

Mais je t’invite a lire les commentaires de la news sur l’approche de Linus par la NSA. Certain sont persuadé que c’est strictement impossible … Pour moi la probabilité a beau être faible, elle ne sera jamais nul.



Apres j’ai bien conscience que le closed-source est forcement verrolé de part l’existence du patriot act qui fait économisé énormément de R&D au equipe de la NSA chargé d’attaqué Windows <img data-src=" />



Mais comme je disais ironiquement précédemment, j’espères juste que la backdoor closed-source demande un login/password là ou de l’open source fragilise le système au profit de n’importe quel hacker tombant sur la faiblesse général.







Je pense que la meilleure réponse à ces problèmes est quand même dans le libre.



Il faut simplement que tous les états de la terre se mettent d’accord pour consacrer chacun des ressources suffisantes à l’audit des logiciels libres.



Au bout d’un certain temps, la probabilité d’avoir des failles diminuera considérablement.



A ce moment la, il suffira de promettre une très forte récompense à des hackers qui trouveraient une faille.



Par la suite, même si la probabilité d’avoir des failles ne sera jamais nulle, une logique de mesures croisées permettra de rendre leur exploitation impossible de fait.



Mais le problème le plus épineux, c’est qu’on se rends compte que le matériel doit également être l’objet d’une attention soutenue. Les puces pourraient intégrer des backdoors et même des transmetteurs. Il y a des gens du monde libre comme Theo de Raadt qu’on devrait écouter plus en la matière.


votre avatar







KP2 a écrit :



Tout a fait…

Le Libre n’a jamais proposé de garantie sur quoique ce soit.

On peut voir effectivement qq jeunes idealistes qui connaissent tres mal le fonctionnement du Libre venir raconter l’inverse dans des forums mais il faut etre aussi idiots qu’eux pour croire a ce qu’ils racontent.



D’ailleurs, coté garanties, je sais pas si qqn ici a deja lu des licences de logiciels proprietaires mais ils ne proposent pas plus de garantie d’aucune sorte… meme pas celle du bon foonctionnement de l’appli et encore moins celle de la securité ou l’absence de risque pour vos données. Microsoft, par exemple, se dedouane TOTALEMENT de ses produits. Et il est loin d’etre le seul… Je ne sais meme pas si c’est vraiment legal en France..



Bref, tomber sur le dos du Libre a cause de cette annonce, c’est juste ridicule. Et ca denote surtout une tres mauvaise connaissance non seulement du Libre mais aussi du proprio et du marche informatique d’une maniere generale de la part des auteurs des commentaires.





+1


votre avatar







sr17 a écrit :



Je pense que la meilleure réponse à ces problèmes est quand même dans le libre.



Il faut simplement que tous les états de la terre se mettent d’accord pour consacrer chacun des ressources suffisantes à l’audit des logiciels libres.



Au bout d’un certain temps, la probabilité d’avoir des failles diminuera considérablement.



A ce moment la, il suffira de promettre une très forte récompense à des hackers qui trouveraient une faille.



Par la suite, même si la probabilité d’avoir des failles ne sera jamais nulle, une logique de mesures croisées permettra de rendre leur exploitation impossible de fait.



Mais le problème le plus épineux, c’est qu’on se rends compte que le matériel doit également être l’objet d’une attention soutenue. Les puces pourraient intégrer des backdoors et même des transmetteurs.





Le problème c’est que chaque évolution d’un logiciel apporte son lot de faille possible. La solution miracle n’existe pas … L’open source est sans doute la meilleur solution possible après les langage formel (enfin tout ce qui est prouver la fiabilité/sécurité d’un outils par l’outil Mathématique (cela a un nom et je ne sais plus si langage formel est le bon <img data-src=" />) mais on y est pas encore…



Pour le grand publique la solution de l’open source est surement la meilleur, mais pour le domaine militaire, nucléaire, aérospatial je préfère l’obscurantisme associé au principe KISS : une tache précise = un os minimal.



L’histoire des centrifugeuse nucléaire iranienne est pour moi inimaginable : un os généraliste (windows) avec un logiciel industriel commercial. Au final la seul véritable sécurité reposait sur l’utilisation d’un réseau séparé … Ca a été bypassé par l’insertion d’un virus (utilisant une flopée de faille différentes) dans le réseau via une clé usb <img data-src=" />



J’imagine qu’un OS unique (afin qu’ils ne soit pas étudiable par une puissance étrangère) et minimaliste (pour un audit simplifié) aurait été préférable <img data-src=" />

Ca aurait demandé un effort supplémentaire au attaquant afin de se procurer le dit OS pour l’etudié



Mais bon c’est complétement irréaliste en matière de cout et de ressource etc…



Edit : Ah et un petit tweet que j’ai trouvé drôle :



You can say about Yahoo what you want, but Yahoo Chat isn’t affected by any of the recent TLS vulnerabilities. It doesn’t encrypt traffic.


votre avatar

En espérant que cet news aura le mérite de remettre les idées en place à certains lunixiens qu’on peut croiser ici qui avaient la trop fâcheuse tendance à se prendre pour des demi-dieux de l’informatique et à regarder dédaigneusement les utilisateurs de Windows ou OS X sous prétexte que Linux c’est trop de la balle et que c’est complètement invulnérable.



Calmés les gars là.

votre avatar

Bon, mise à jour en cours de ma Fedora 20, et je confirme : gnutls mis à jour.

votre avatar







CR_B7 a écrit :



Tout a fait d’accord, mais ce n’est pas une garantie.

Si la défense prend du linux, elle peut (a grand renfort de €) s’assurer qu’il n’y a pas de backdoor, mais c’est pas juste avec un achat open-source qu’elle en aura la garantie.







Pas besoin de cette news pour savoir ça.


votre avatar







pithiviers a écrit :



En espérant que cet news aura le mérite de remettre les idées en place à certains lunixiens qu’on peut croiser ici qui avaient la trop fâcheuse tendance à se prendre pour des demi-dieux de l’informatique et à regarder dédaigneusement les utilisateurs de Windows ou OS X sous prétexte que Linux c’est trop de la balle et que c’est complètement invulnérable.



Calmés les gars là.







Ça te rendra pas plus aimable en tout cas


votre avatar







arno53 a écrit :



Le problème c’est que chaque évolution d’un logiciel apporte son lot de faille possible. La solution miracle n’existe pas … L’open source est sans doute la meilleur solution possible après les langage formel (enfin tout ce qui est prouver la fiabilité/sécurité d’un outils par l’outil Mathématique (cela a un nom et je ne sais plus si langage formel est le bon <img data-src=" />) mais on y est pas encore…



Pour le grand publique la solution de l’open source est surement la meilleur, mais pour le domaine militaire, nucléaire, aérospatial je préfère l’obscurantisme associé au principe KISS : une tache précise = un os minimal.



L’histoire des centrifugeuse nucléaire iranienne est pour moi inimaginable : un os généraliste (windows) avec un logiciel industriel commercial. Au final la seul véritable sécurité reposait sur l’utilisation d’un réseau séparé … Ca a été bypassé par l’insertion d’un virus (utilisant une flopée de faille différentes) dans le réseau via une clé usb <img data-src=" />



J’imagine qu’un OS unique (afin qu’ils ne soit pas étudiable par une puissance étrangère) et minimaliste (pour un audit simplifié) aurait été préférable <img data-src=" />

Ca aurait demandé un effort supplémentaire au attaquant afin de se procurer le dit OS pour l’etudié



Mais bon c’est complétement irréaliste en matière de cout et de ressource etc…



Edit : Ah et un petit tweet que j’ai trouvé drôle :







Tout à fait.



C’est l’approche Micro-Noyau qui était vue il y a bien longtemps comme la meilleure réponse à ce problème.



C’était d’ailleurs ce qui était prévu avec GNU Hurd. Mais entre temps, Linux est arrivé et a conquis le marché.



Reste que l’approche Micronoyau véritable n’est pas aussi simple en pratique. Elle pose des problèmes d’architecture et de performance qui ont mené soit d’un côté à limiter l’usage à des secteurs de niche. Et de l’autre à dévoyer le concept pour essayer de limiter le problème (GNU hurd s’est conceptuellement égaré), mais en perdant la plupart de ses avantages, c’est à dire la simplicité et la sécurité.



Reste que l’arrivée de processeurs massivement multicores et sans doute dans le futur massivement multithreads va certainement diminuer les inconvénients de l’architecture micronoyaux(le cout des context switchs) et relancer le concept.



votre avatar







Shyfer a écrit :



Oh tiens, le open source c’est mieux car revu en permanence par des centaines de bénévoles…

Mouais.

Là encore, je pense qu’on a une démonstration que open source != plus sécurisé.

Après je ne dis rien du côté de Microsoft, ils ont sûrement pleins de failles, mais de ce type moins car ils ont un process de test assez rôdé, et assez plébiscité par de nombreux experts.











boglob a écrit :



en tout cas, l’argument comme quoi c’est open source donc plus secure en prend un coup dans la gueule.











Xarkam a écrit :



Les distributions linux c’est plus sécure par ce que c’est opensource et donc tout le monde peut vérifier.



Ca en fout un coup à ce type d’argumentaire puis qu’apparemment personne ne vérifie <img data-src=" />



Une distrib linux c’est pas plus sécure qu’un windows ou macos <img data-src=" />











coket a écrit :



Je pense que si il y a de telles réactions, c’est que quelques libristes moins sages que toi, orgueilleux, condescendants, ont eu tendance a traiter tout non libriste avec beaucoup de mépris et énormément de certitudes sur la supériorité naturelle de Linux en terme de sécurité…



Peut être cet épisode aura du bon finalement, au moins dans l’apaisement entre communautés.











pithiviers a écrit :



En espérant que cet news aura le mérite de remettre les idées en place à certains lunixiens qu’on peut croiser ici qui avaient la trop fâcheuse tendance à se prendre pour des demi-dieux de l’informatique et à regarder dédaigneusement les utilisateurs de Windows ou OS X sous prétexte que Linux c’est trop de la balle et que c’est complètement invulnérable.



Calmés les gars là.









Vous devriez monter un club <img data-src=" />



Et je vais vous dire un secret, non seulement ce n’est pas la première faille, mais on en a eu près d’une quarantaine depuis le début de l’année



https://www.debian.org/security/2014/index.fr.html



Par contre, à l’inverse d’un Windows, il s’agit ici du système (même si le noyau n’a pas encore été touché cette année), mais également des dizaines de milliers de logiciels libres fournis par les principales distributions. Et finalement, une quarantaine de failles (plus ou moins critiques) sur autant de programmes (qui ne sont pas utilisés par tout le monde), c’est peanuts.



Sinon oui, une distribution Linux sera toujours plus sûre qu’un Windows, pour plusieurs raisons. Déjà, c’est libre, donc une faille découverte peut être corrigée par n’importe quel développeur / distribution, sans avoir besoin d’attendre que le responsable du projet décide de s’en occuper. À l’inverse d’un Microsoft qui ne propose ses correctifs qu’une fois par mois, et de certains éditeurs qui refusent de corriger des failles connues depuis des lustres.



Ensuite, les dépôts des différentes distributions, et la centralisation permise par le fait que les logiciels soient libres, permet de mettre à jour l’ensemble du système, des pilotes de périphériques et de tous les logiciels installés. Là encore, à l’inverse d’un Windows Update qui ne tient compte que de Windows, IE et MS Office, et où il faut ensuite se débrouiller avec chaque programme ou pilote tiers.



On peut également ajouter que la liberté du code, et la gestion correcte des dépendances permise par les systèmes de packages utilisés, permet à tous les programmes d’utiliser des bibliothèques dynamiques, et de bénéficier des correctifs et améliorations lors des mises à jour de ces dernières. Sous Windows, pour éviter les conflits, et s’assurer qu’un programme continuera de fonctionner dans le temps, ces derniers ont tendance à être liés statiquement à certaines bibliothèques. Et bien évidemment, quand une faille est découverte dans l’une d’entre elles et qu’un correctif est disponible, cela ne s’applique pas au programme lié statiquement, et on retombe sur le bon vouloir des éditeurs.



Quoi que Microsoft fasse, n’ayant aucun contrôle sur les programmes tiers, la sécurité de Windows et de son écosystème sera toujours inférieure à ce que proposent les distributions Linux majeures.


votre avatar







sr17 a écrit :



Non, c’est au contraire un très bon exemple.



Apple est bien devenu un leader mondial alors que BSD est complètement inconnu.







Sauf que tu ignore combien de code BSD est repris chaque année par les entreprises qui font du logiciel propriétaire.









Ben je persiste à dire que ca n’a aucun rapport. BSD ne sont pas et ne font pas de téléphone. Après si tu résume l’iphone à des composants dont certain sont issu du code BSD c’est comme si je résumé Android avec le noyau Linux.



Non seulement ca n’a rien à voir et en plus même si on tient avec cette comparaison la les licence GNU ne protège en rien vu que Google fait du propriétaire (les service et application google avec du code GNU (le noyau et la partie AOSP qui n’est pas propriétaire).


votre avatar







refuznik a écrit :



Oui enfin dès qu’une faille est utilisé par pas mal de monde, on le sait rapidement voir on retrouve son exploitation chez les scripts kiddies. Celle-ci soit personne ne l’a vue, soit juste un très petit nombre de personne ont pu l’exploiter (nsa, etc…).







donc les plus dangereuses en somme


votre avatar

Oh tiens, le open source c’est mieux car revu en permanence par des centaines de bénévoles…

Mouais.

Là encore, je pense qu’on a une démonstration que open source != plus sécurisé.

Après je ne dis rien du côté de Microsoft, ils ont sûrement pleins de failles, mais de ce type moins car ils ont un process de test assez rôdé, et assez plébiscité par de nombreux experts.

votre avatar







Tirr Mohma a écrit :



C’est bon dans 2 jours il y a un patch complet. Par contre ça va être une news à troll.







C’est tout ce que tu trouves à dire ? Tu peux déplacer les questions sur le terrain de l’utilisation du goto aussi comme plein de commentateurs sur ars hier soir.



Ou alors tu prends acte, tu réfléchis fort fort et tu participes au brainstorming pas nouveau sur comment il est possible de limiter les risques au maximum. Ce qui relève du technique, de l’économique et du politique et est moins facile que de balancer le premier truc qui te traverse la tête et continuer à survendre à Mme Michu une sécurité qui dans les fait n’y était pas de peur qu’elle s’obstine sur ses logiciels privateurs.


votre avatar

Mon serveur ubuntu 12.04 reste vulnérable malgré qu’il soit a jour…une idée ?

votre avatar







Shyfer a écrit :



Oh tiens, le open source c’est mieux car revu en permanence par des centaines de bénévoles…

Mouais.

Là encore, je pense qu’on a une démonstration que open source != plus sécurisé.

Après je ne dis rien du côté de Microsoft, ils ont sûrement pleins de failles, mais de ce type moins car ils ont un process de test assez rôdé, et assez plébiscité par de nombreux experts.





Pas plus sécurisé

Mais plus facilement sécurisable


votre avatar







lateo a écrit :



difficile de prouver que telle ou telle agence a ou n’a pas fait pression sur le dev…





C’est effectivement une possibilité.



Néanmoins, on peut retrouver l’auteur du “backdoor”, si tel est le cas.


votre avatar

Par contre, ceux qui attendaient qu’une actu de ce genre arrive pour vider leurs frustrations, ce sera blocage très rapidement. Merci de rester constructifs.

votre avatar

Faut pas forcément paniquer: c’est “GnuTLS” qui est touché et pas “OpenSSL” (jusqu’à qu’on trouve aussi une faille du même genre dans ce dernier)



Et OpenSSL est largement plus utilisé que gnutls (par exemple c’est sur ce dernier que s’appuie le mod_ssl d’Apache)



La phrase “utilisé par de très nombreux produit” est à prendre avec des pincettes.



Il est exact que GnuTLS est inclus dans toutes les distribs Linux mais cela ne veut pas dire qu’il est effectivement utilisé par vos applis.

votre avatar







Shyfer a écrit :



Oh tiens, le open source c’est mieux car revu en permanence par des centaines de bénévoles…

Mouais.

Là encore, je pense qu’on a une démonstration que open source != plus sécurisé.

Après je ne dis rien du côté de Microsoft, ils ont sûrement pleins de failles, mais de ce type moins car ils ont un process de test assez rôdé, et assez plébiscité par de nombreux experts.







Ce qu’il ne faut pas lire comme idioties…



Si tu es si bien informé des bugs et correctifs du monde open source, c’est justement parce que c’est ouvert et que donc il y a de la communication autour.



Quand Apple, MS ou d’autres acteurs du monde propriétaire découvrent un bug en interne, si vieux soit-il, ils le corrigent et font passer ça dans une simple mise à jour de sécurité. Au final tu n’es au courant de rien alors que c’était peut-être la plus grosse backdoor jamais découverte sur leur OS.



On a entendu parler de la faille OSX/iOS car elle a été découverte par d’autres. Mais si elle avait été trouvée en interne, on ne l’aurait jamais su.



Donc il ne faut tirer aucune conclusion sur l’open source ou le propriétaire de ces évènements, car ça ne veut absolument rien dire sur le sérieux/la qualité du code de chacun.


votre avatar







jfchadeyron a écrit :



Mon serveur ubuntu 12.04 reste vulnérable malgré qu’il soit a jour…une idée ?





ben ….





  • estimation de ton risque pour voir si ça vaut vraiment la peine d’intervenir

  • téléchargement des derniers paquetages sur la 13.10

  • ou recompilation de tes sources “dev” en corrigeant toi-même là ou il faut, puis réinstallation







    … en gros, tires-toi un peu les doigts du …<img data-src=" />


votre avatar







luxian a écrit :



Une fois qu’ils s’en sont rendus compte, il a fallu combien de temps à Apple pour corriger son bogue déjà ?

Je ne veux pas rajouter de poils au <img data-src=" /> , mais ….









Ouais enfin, chez Apple, elle serait là depuis 1 à 2 ans, alors que chez vous, ça fait presque 10 ans… <img data-src=" />



votre avatar







zempa a écrit :



A priori, un logiciel de “versioning” est utilisé pour le développement de cette lib ?

Si c’est le cas, il suffirait de remonter aux commits concernés pour vérifier s’il y a eu véritablement intervention de la NSA ou pas, non ?







Il faut peut-être arrêter de voir la NSA partout. Il n’y a pas besoin d’elle pour faire des bugs.



Au passage, les commentaires de la news reportant ce problème sur Ars Technica nous apprennent que cette lib est signalée comme faillible depuis 2008 par des observateurs, et pas spécifiquement sur ce bug.


votre avatar







coket a écrit :



Ouais enfin, chez Apple, elle serait là depuis 1 à 2 ans, alors que chez vous, ça fait presque 10 ans… <img data-src=" />





Il semble qu’ils aient repris tel quel un produit opensource.

Donc ils n’ont rien vérifié ….



Obi-Wan Kenobi : Qui est le plus fou des deux ? Le fou, ou le fou qui le suit ?

<img data-src=" /><img data-src=" /><img data-src=" />


votre avatar

goto fail



Oui c’est un bon résumé.

votre avatar







luxian a écrit :



Oui, pour cette fois, l’image de marque a manqué d’en prendre un coup et ils se sont bougés en mode Panic and Dirty et en contournant tous leurs process.

Quand aux nunuxien, il aura fallu que quelqu’un se dise … tiens personne ne s’est occupé de ce truc, il va falloir que je le fasse sinon personne ne le fera et ça restera en plan ….







Certaines failles moins critique trainent assez longtemps c’est clair.

Je voulais juste souligner que pour le coup, on peut difficilement dire qui a été le plus réactif.

Et il reste encore le problème du déploiement du correctif, corriger une faille c’est bien, mais faut que les mises à jours chez les utilisateurs suivent derrières, et que ce soit sur iOS, OSX, ou une distribution Linux lamba, rien ne t’oblige à faire les MAJ de sécurité malheureusement.

Il doit encore avoir beaucoup de machines qui tournent avec la faille.


votre avatar







Vanilys a écrit :



Depuis 2005, 9 années ?

Hé ben… moi qui pensais que mettre du code open source garantissait que les failles soient rapidement trouvées et corrigées … <img data-src=" />





Une fois l’existence d’un bug trouvé oui.



Trouver un bug quand on en a pas connaissance c’est extrèmement difficile puisque potentiellement chaque ligne est susceptible de créer un bug en prenant en compte tout ce qui peut interagir avec les variables à un instant t. Seul un robot peut faire ça, si le robot sait ce que le programme cherche à faire et à éviter (on tombe dans la problématique des langages formels là). Là je pense que le dév a voulu vérifier s’il n’y avait pas un soucis similaire à celui de la pomme.







Edtech a écrit :



C’est pensé à l’envers leur truc. Ça devrait échouer par défaut et réussir uniquement si tous les tests sont bons.



Là ça fait l’inverse, ça accepte par défaut et échoue si un des tests est faux. Du coup, si un test n’est pas effectué (c’était le cas pour Apple), il accepte !





Sans compter que la méthode de correction n’est pas consistante entre _gnutls_verify_certificate2 et check_if_ca

D’un côté il rajoute un “goto fail;” qui s’occupe de mettre le résultat à 0 et ensuite le code continue sur “cleanup” et de l’autre il rajoute un “result=0;” avant de faire un “goto cleanup;”…



votre avatar



à l’exception des dernières révisions des deux branches en cours, estampillées 3.2.12 et 3.1.22.



justement, j’ai lancé un petit pacman -Syu ce matin et :



gnutls-3.2.12-1-i686 1867,0 KiB



Les rolling Release, c’est quand même bien! <img data-src=" />

votre avatar

Et comme chez Apple, c’est dans un code où il y a du Goto.

Coïncidence ? Je ne crois pas… <img data-src=" />

votre avatar



La faille pose également la question, comme dans le cas d’Apple, d’une éventuelle implication de la NSA. Bien qu’il puisse s’agir d’un scénario de film d’espionnage, les documents dérobés par Edward Snowden ont montré combien l’agence américaine s’investissait dans le contournement des protections informatiques, allant jusqu’à noyauter le développement de certains standards.



A priori, un logiciel de “versioning” est utilisé pour le développement de cette lib ?

Si c’est le cas, il suffirait de remonter aux commits concernés pour vérifier s’il y a eu véritablement intervention de la NSA ou pas, non ?


votre avatar

Ah ceci explique pourquoi ce matin j’ai eu cette mise à jour sur ma Ubuntu 13.10



Les paquets suivants ont été mis à jour :

libgnutls-openssl27 (2.12.23-1ubuntu4.1) to 2.12.23-1ubuntu4.2

libgnutls26 (2.12.23-1ubuntu4.1) to 2.12.23-1ubuntu4.2

libgnutls26:i386 (2.12.23-1ubuntu4.1) to 2.12.23-1ubuntu4.2



Et pour quelles raisons ces patchs ?



gnutls26 (2.12.23-1ubuntu4.2) saucy-security; urgency=medium



* SECURITY UPDATE: certificate validation bypass 



 - debian/patches/CVE-2014-0092.patch: correct return codes in   


   lib/x509/verify.c.   


 - CVE-2014-0092




Une fois qu’ils s’en sont rendus compte, il a fallu combien de temps à Apple pour corriger son bogue déjà ?

Je ne veux pas rajouter de poils au <img data-src=" /> , mais ….

votre avatar

C’est bon dans 2 jours il y a un patch complet. Par contre ça va être une news à troll.

votre avatar

<img data-src=" />

votre avatar

C’est pensé à l’envers leur truc. Ça devrait échouer par défaut et réussir uniquement si tous les tests sont bons.



Là ça fait l’inverse, ça accepte par défaut et échoue si un des tests est faux. Du coup, si un test n’est pas effectué (c’était le cas pour Apple), il accepte !

votre avatar







zempa a écrit :



A priori, un logiciel de “versioning” est utilisé pour le développement de cette lib ?

Si c’est le cas, il suffirait de remonter aux commits concernés pour vérifier s’il y a eu véritablement intervention de la NSA ou pas, non ?





difficile de prouver que telle ou telle agence a ou n’a pas fait pression sur le dev…


votre avatar

Depuis 2005, 9 années ?

Hé ben… moi qui pensais que mettre du code open source garantissait que les failles soient rapidement trouvées et corrigées … <img data-src=" />





Cependant, la diffusion de correctifs pour l’ensemble des produits touchés prendra plus de temps.



.. sans compter que même après diffusion, il est clair que ce ne sont pas tous les posts qui seront mis à jour, du moins je pense : est-ce que les updates sont obligatoirement automatiques sur tous les posts et installés sans intervention de l’utilisateur ?





La faille pose également la question, comme dans le cas d’Apple, d’une éventuelle implication de la NSA.



E on se pose encore la question ? <img data-src=" />

votre avatar







Edtech a écrit :



C’est pensé à l’envers leur truc. Ça devrait échouer par défaut et réussir uniquement si tous les tests sont bons.



Là ça fait l’inverse, ça accepte par défaut et échoue si un des tests est faux. Du coup, si un test n’est pas effectué (c’était le cas pour Apple), il accepte !





oui.

C’est exactement le même problème qu’avec apple.

Étrange, non?



re-<img data-src=" />


votre avatar

Oui enfin dès qu’une faille est utilisé par pas mal de monde, on le sait rapidement voir on retrouve son exploitation chez les scripts kiddies. Celle-ci soit personne ne l’a vue, soit juste un très petit nombre de personne ont pu l’exploiter (nsa, etc…).

votre avatar







Edtech a écrit :



C’est pensé à l’envers leur truc. Ça devrait échouer par défaut et réussir uniquement si tous les tests sont bons.



Là ça fait l’inverse, ça accepte par défaut et échoue si un des tests est faux. Du coup, si un test n’est pas effectué (c’était le cas pour Apple), il accepte !





exactement, c’est là qu’est le principal problème.


votre avatar







zempa a écrit :



A priori, un logiciel de “versioning” est utilisé pour le développement de cette lib ?

Si c’est le cas, il suffirait de remonter aux commits concernés pour vérifier s’il y a eu véritablement intervention de la NSA ou pas, non ?







J’ai pensé directement à la même chose.



On peut directement retrouver le fautif pour essayer de déterminer s’il s’agit d’une erreur humaine ou d’autre chose non?



Bon, divulguer son nom ça fait un peu lynchage collectif, mais n’y a t’il pas des actions mis en place par la communauté pour comprendre l’origine du problème?


votre avatar







luxian a écrit :



Il a fallu combien de temps à Apple pour corriger son bogue déjà ?

Je ne veux pas rajouter de poils au <img data-src=" /> , mais ….







23 jours pour les correctifs d’iOS et d’OSX, rien d’aberrant.



Si tu regardes sur Gitourious, le commit date d’il y a 6 jours et donc la faille a été découvert il y a ~ 1 semaine au minimum.


votre avatar







Vanilys a écrit :



Depuis 2005, 9 années ?

Hé ben… moi qui pensais que mettre du code open source garantissait que les failles soient rapidement trouvées et corrigées … <img data-src=" />





Garantis que les failles soient plus facilement détectable et que code soit plus facilement corrigeable en laissant un accès à une plus grande quantité de gens capables de comprendre et modifier le dit code.

<img data-src=" />

Cela ne garantit pas la vitesse de détection, mais facilite grandement la réactivité.



Combien de fois es-tu passé devant une publicité qui a une faute d’orthographe dans son texte sans voir la faute ? La raison est que tu n’y prêtes pas attention ? Et bien c’est pareil pour tous les autres gens qui passent devant.

http://www.ouille.com/images/carotte.gif

Seulement une fois que quelqu’un a compris le problème … pouf ! Le lendemain, c’est corrigé, là ou chez Apple, il faut non seulement qu’un grand chef décide, mais en plus que tous les processus internes à l’entreprise soient respectés et chez Mµ$oft, il faut souvent attendre le patch tuesday du mois suivant.







DorianMonnier a écrit :



23 jours pour les correctifs d’iOS et d’OSX, rien d’aberrant.



Si tu regardes sur Gitourious, le commit date d’il y a 6 jours et donc la faille a été découvert il y a ~ 1 semaine au minimum.





Oui, pour cette fois, l’image de marque a manqué d’en prendre un coup et ils se sont bougés en mode Panic and Dirty et en contournant tous leurs process.

Quand aux nunuxien, il aura fallu que quelqu’un se dise … tiens personne ne s’est occupé de ce truc, il va falloir que je le fasse sinon personne ne le fera et ça restera en plan ….


votre avatar







lysbleu a écrit :



C’est justement la viralité de la GPL qui m’embête. C’est un peu une forme d’autoritarisme, même si c’est pour le bien de l’humanité. Après, faut avouer que si on ne veut pas que ça soit utilisé par les logiciels propriétaire, il faut empêcher que ça soit redistribuer sous une licence plus permissive.







C’est parce que la notion même de liberté est quelque chose de très complexe. Il y a de nombreux paradoxes.



Imaginons un monde de liberté totale, sans aucune règles ni loi. On appelle cela l’anarchie.



Alors, c’est très beau sur le papier, mais c’est un système ou cela finit toujours de la même façon : le plus fort s’impose inévitablement par l’usage de la force… et supprime les libertés.



Donc la liberté totale aboutit en pratique à… créer une monarchie, donc à la destruction des libertés.



C’est pour cela que la meilleure liberté, c’est finalement la démocratie : Un système avec des règles qui garantissent la préservation des libertés individuelles et collectives. Ces règles sont justement censées garantir que personne ne s’approprie la liberté d’autrui.



C’est un peu le même problème avec les licences.



Le paradoxe de distribuer un logiciel sous une licence trop libre, c’est le risque de voir quelqu’un s’approprier les libertés tout en profitant du travail des libristes. Et l’utilisateur de se retrouver au final avec un système fermé. Et l’histoire du logiciel a montré que ce risque est bien réel.



Dans le systèmes des licences, on retrouve d’un côté une vision idéaliste de la liberté (BSD) comparable à l’anarchie et de l’autre une vision pragmatique de la liberté (GPL) que l’on pourrait comparer à la démocratie.


votre avatar







sr17 a écrit :



C’est parce que la notion même de liberté est quelque chose de très complexe. Il y a de nombreux paradoxes.



Imaginons un monde de liberté totale, sans aucune règles ni loi. On appelle cela l’anomie.







Merci de ne pas confondre.



L’anarchie, c’est l’ordre sans le pouvoir, pas le bordel total où tout le monde n’en fait qu’à sa tête en chiant sur le voisin et en se foutant de l’avis des autres.



Ça, cela s’appelle aussi, en économie, le libéralisme.



<img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" />


votre avatar







Okki a écrit :



Alors ok, on ne peut pas réutiliser du code GPL dans un logiciel BSD, mais ce n’est pas de la daube pour autant. Même si ça peut se comprendre que vous soyez un peu dégoûté. En même temps, estimez vous heureux d’avoir accès à des dizaine de milliers de logiciels sous licence GPL, sinon on ne pourrait pas faire grand chose sur un système BSD<img data-src=" />



(ok, fallait bien que je troll un peu) :)







Joli <img data-src=" /> mais c’est valable dans les deux sens. GNU/Linux sans BSD ca serait du gruyère total et cette news le prouve encore que GNu en terme de sécurité c’est pas très très fiable.



Et bim contre <img data-src=" />


votre avatar







sr17 a écrit :



Si Android avait été sous licence BSD, Google aurait pu refermer l’ensemble du code d’Android brutalement une fois l’OS devenu populaire. C’est un problème assez classique avec ce type de licence. Et cette base libre que Google sera obligé de continuer de maintenir et de faire évoluer sera très importante pour de futur projets libres.



La licence GPL offre de bien meilleure garantie à long terme pour l’utilisateur d’un logiciel.







Ben pas si sur vu qu’au fil des versions le code libre s’amenuise. Après oui tu me dit que du jour au lendemain on passe tout le code en proprio mais bizarrement (un peu comme les troll CLA de Cannonical qui sois-disant permet à Ubuntu de tout passer en propriétaire si il le veut) on le voit jamais arrivé.

Et même si on réutilise tout le code BSD libre pour en faire un code proprio ben la version libre BSD reste toujours très très majoritaire en terme d’utilisation.



Par exemple j’ai jamais vu une bibliothèque SSL issu d’OpenSSL supplanté OpenSSL.

Tout comme avec le serveur apache qui reste incontournable.















sr17 a écrit :



OpenBSD est particulièrement réputé. Et d’une manière générale, côté BSD ils font vraiment de l’excellent travail. Mais du travail qui n’est malheureusement pas connu à hauteur de son mérite. J’ai expliqué plus haut pourquoi le choix de la licence BSD en était responsable.







D’un autre coté leur supériorité est aussi du au fait qu’il passe plus de temps à coder leur application qu’a trouver la licence libre ultime complètement inviolable comme essaye de le faire GNU. <img data-src=" />


votre avatar

Sinon j’ajouterai que la meilleur des licence reste quand même la WTF-PL.





* This piece of software is under the WTF Public Licence.

* Everyone is permitted to copy and distribute verbatim or modified

* copies of this program, under the following terms of the WFTPL :

*

* DO WHAT THE FUCK YOU WANT TO PUBLIC LICENSE

* TERMS AND CONDITIONS FOR COPYING, DISTRIBUTION AND MODIFICATION

*

* 0. You just DO WHAT THE FUCK YOU WANT TO.





Ca c’est typiquement le genre de licence que j’aime, pas besoin d’avoir fait un doctorat en droit ou de passer 1 semaine à couper les poil de cul en quatre pour diffuser ton logiciel. <img data-src=" />



Au moins avec ce genre de licence il n’y aurait pas eu ce cirque pour VLC ou ils ont du mettre 6 mois à demander à tous les contributeur si ils étaient d’accord pour passer du GPL à LGPL pour faire cohabituer leur programme avec des machin proprio indispensable pour ce type de logiciel.



Avec une licence BSD il y aurait pas eu ce genre de connerie et l’énergie investi dedans aurait été redistribué dans le dev

votre avatar







arno53 a écrit :



Malheureusement tous les libristes ne sont pas toujours aussi réaliste <img data-src=" />







Encore heureux que tu n’en fasses pas une généralité, j’étais près à bondir <img data-src=" />


votre avatar







Commentaire_supprime a écrit :



Merci de ne pas confondre.



L’anarchie, c’est l’ordre sans le pouvoir, pas le bordel total où tout le monde n’en fait qu’à sa tête en chiant sur le voisin et en se foutant de l’avis des autres.



Ça, cela s’appelle aussi, en économie, le libéralisme.



<img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" />







Tant qu’on reste dans la théorie, c’est vrai.



Dans la vraie vie, il y aura toujours un connard qui sera prêt à tout pour dominer les autres.



C’est bien cela la différence entre les idéalistes qui pensent que c’est différent et les pragmatiques qui savent que c’est exactement pareil dans la pratique.



Parce que dans la vraie vie, il y a la nature humaine, l’ordre sans le pouvoir aboutit toujours a un bordel total, ou plutôt à une succession de changements : Utopie =&gt; bordel total =&gt; Loi du plus fort =&gt; Le plus fort devient le roi =&gt; féodalisme -&gt; fini la liberté.



C’est comme le libéralisme qui était sensé se réguler toute seul. Pourtant, sur le papier, ça marchait bien.


votre avatar

une question



Tu es commercial (hypothèse), vaut-il mieux vendre un truc qui marche ou un truc qui a du mal à se vendre ?



Dilemme, mais le type qui vendra le plus aura une avance, ça aussi c’est un dilemme pour son portefeuille hahahahahaha !! <img data-src=" />



La vente forcée marche une fois, mais, pas sûre, deux fois ? (FB en fait l’écho, je suppose)

votre avatar







sr17 a écrit :



Tant qu’on reste dans la théorie, c’est vrai.



Dans la vraie vie, il y aura toujours un connard qui sera prêt à tout pour dominer les autres.



C’est bien cela la différence entre les idéalistes qui pensent que c’est différent et les pragmatiques qui savent que c’est exactement pareil dans la pratique.



Parce que dans la vraie vie, il y a la nature humaine, l’ordre sans le pouvoir aboutit toujours a un bordel total, ou plutôt à une succession de changements : Utopie =&gt; bordel total =&gt; Loi du plus fort =&gt; Le plus fort devient le roi =&gt; féodalisme -&gt; fini la liberté.





Et bien si on avait tous le même pouvoir comme par exemple dans la démocratie athénienne* qui a duré plus de 200 ans, le connard aurait beaucoup de mal à dominer.



* seul hic, les femmes et les esclaves n’avaient pas le statut de citoyen <img data-src=" />







sr17 a écrit :



C’est comme le libéralisme qui était sensé se réguler toute seul. Pourtant, sur le papier, ça marchait bien.





Effectivement, le papier qu’on nous a montré et pris pour argent comptant était vachement bien foutu.

Sauf qu’il manquait quelques détails… <img data-src=" />


votre avatar







zempa a écrit :



Et bien si on avait tous le même pouvoir comme par exemple dans la démocratie athénienne* qui a duré plus de 200 ans, le connard aurait beaucoup de mal à dominer.









La encore, les règles théoriques sont une chose, la réalité pratique est complètement différente.



Dans un groupe humain ou les règles disent que tout le monde disposerait du même pouvoir, il s’établit très rapidement des hiérarchies non écrites qui viennent contredire cela.



Donc dans la réalité, quand bien même les règles disent que tout le monde disposerait des mêmes pouvoirs, ce n’est pas le cas en réalité.



Un cas très amusant, c’est l’entreprise. L’organigramme des hiérarchies réelles qui s’établissent en pratique ne correspondent pas toujours à l’organigramme officiel.



votre avatar







coolspot a écrit :



Sinon j’ajouterai que la meilleur des licence reste quand même la WTF-PL.



Ca c’est typiquement le genre de licence que j’aime, pas besoin d’avoir fait un doctorat en droit ou de passer 1 semaine à couper les poil de cul en quatre pour diffuser ton logiciel. <img data-src=" />



Au moins avec ce genre de licence il n’y aurait pas eu ce cirque pour VLC ou ils ont du mettre 6 mois à demander à tous les contributeur si ils étaient d’accord pour passer du GPL à LGPL pour faire cohabituer leur programme avec des machin proprio indispensable pour ce type de logiciel.



Avec une licence BSD il y aurait pas eu ce genre de connerie et l’énergie investi dedans aurait été redistribué dans le dev







La WTF licence correspond grosso modo à une licence de type BSD. Donc, choisit plutôt une licence BSD parce que ça simplifiera la vie à tout le monde : en matière juridique, chaque mot compte et apporte ses effets de bord. Donc quand un logiciel choisit une licence exotique, ça apporte toujours son lot de prises de tête.



Ensuite, contrairement à une idée reçue, ce n’est pas parce que tu adopte une licence permissive que ça réduira forcément les problèmes juridiques et stratégiques que tu rencontrera par la suite. Chaque logique a ses avantages et inconvénients. Le tout est de choisir la bonne.



Si j’ai bien compris l’idée, certains adopteraient une logique permissive pour ne pas se prendre la tête avec l’aspect juridique ? C’est juste une très mauvaise idée. Un mauvais choix de licence peut condamner un projet. Et la licence idéale dépends du contexte.



L’exemple que tu donne, VLC montre qu’ils auraient sans doute gagné à mieux réfléchir au départ à la licence idéale compte tenue du fait qu’ils était prévisible qu’ils auraient sans doute à s’interfacer à du code propriétaire.



La licence BSD aurait effectivement posé moins de problème en la matière, mais en aurait posé d’autres sur le plan des retombées pour les participants.



Bref, il n’y a pas de licence idéale valable pour tous les projets. Cela implique malheureusement d’investir beaucoup de temps pour étudier le sujet. Et ce n’est pas facultatif. Nous vivons (hélas) dans un monde ou le juridique compte de plus en plus. C’est triste, mais c’est ainsi.









votre avatar







psn00ps a écrit :



<img data-src=" />Partant de là, tu peux mettre une coïncidence à n’importe quoi.







Et inversement, tu peux mettre un complot derrière n’importe quoi.


votre avatar







after_burner a écrit :



Et comment ça se fait que gnutls est corrigé que maintenant si l’info est connue depuis 2008. <img data-src=" />



Apparemment, beaucoup de produits sont encore touchés donc dire c’est “connue” ça fait encore plus bizarre…







Le message en question ne parle pas du bug de la news, mais d’une autre faille potentielle.


votre avatar







jfchadeyron a écrit :



Mon serveur ubuntu 12.04 reste vulnérable malgré qu’il soit a jour…une idée ?





aujourd’hui une mise à jour de gnutls est sortie sur les dépots ubuntu donc à priori ton serveur est protégé par rapport à cette faille (si tu as fait la mise à jour bien entendu)


votre avatar







luxian a écrit :



Garantis que les failles soient plus facilement détectable et que code soit plus facilement corrigeable en laissant un accès à une plus grande quantité de gens capables de comprendre et modifier le dit code.

<img data-src=" />

Cela ne garantit pas la vitesse de détection, mais facilite grandement la réactivité.



Combien de fois es-tu passé devant une publicité qui a une faute d’orthographe dans son texte sans voir la faute ? La raison est que tu n’y prêtes pas attention ? Et bien c’est pareil pour tous les autres gens qui passent devant.

http://www.ouille.com/images/carotte.gif

Seulement une fois que quelqu’un a compris le problème … pouf ! Le lendemain, c’est corrigé, là ou chez Apple, il faut non seulement qu’un grand chef décide, mais en plus que tous les processus internes à l’entreprise soient respectés et chez Mµ$oft, il faut souvent attendre le patch tuesday du mois suivant.





Oui, pour cette fois, l’image de marque a manqué d’en prendre un coup et ils se sont bougés en mode Panic and Dirty et en contournant tous leurs process.

Quand aux nunuxien, il aura fallu que quelqu’un se dise … tiens personne ne s’est occupé de ce truc, il va falloir que je le fasse sinon personne ne le fera et ça restera en plan ….





Alors, mon avis strictement personnel à moi sur la question :





  • trouver des bugs en relisant simplement un code source, je crois que dans les systèmes actuels, avec des millions de lignes et la complexité inhérente, ça doit représenter peanuts. La majorité doit être trouvée via des outils divers qui s’attaquent aux fichiers compilés. Pour moi, le côté open source ne change rien du tout, aujourd’hui, à la détection des bugs. A la limite, le côté populaire d’un soft a bien plus de chance d’attirer l’attention.



  • un bug peut être caché des années sans qu’on s’en rende compte. Ca arrive souvent, et ça continuera d’arriver. La preuve ici. Après, il y a x raisons qui font que ça peut rester des années, ou moins.



  • Corriger un bug en 2h, ça dépend du bug. Soit c’est une erreur de logique vite modifiée, soit c’est le truc qui va te demander des jours pour analyser les dépendances.



  • Balancer un correctif sans un minimum de test de régression est tout aussi inconscient. Un correctif, ça peut avoir des effets de bord monstrueux, et je ne fais pas confiance à un patch sorti illico après la découverte d’une faille : ça confirme que le code a peut-être été corrigé, mais que personne n’a vérifié s’il y avait des effets de bord. Et encore une fois, ça dépend de l’importance et de l’impact du bug.



    En bref, open source ou pas, même combat. Il y a des étapes incompressibles et qui dépendent de l’importance du bug, la suite dépend de qui va faire quoi dans la chaine. En gros, des tests de régression sont fait en interne, ou laissés à discrétion de l’utilisateur ou de la communauté.



    Tout le reste n’est que flan ou parti pris.


votre avatar

Et dire qu’on nous dit a longueur de temps que l’open source est la parade a la NSA.



En fait personne ne lit le code, ou en tout cas, pas des personnes qui le comprennent.

votre avatar







cid_Dileezer_geek a écrit :



Le résultat de l’erreur est identique et la structure du code est similaire, c’est assez troublant(sauf si c’est codé par la même personne)





ouai ça se saurait si les développeurs s’inspirait et se recopiait les uns les autres…


votre avatar







seb2411 a écrit :



Les deux comptent. Un bon dev qui fait du bon code et qui est a l’origine du projet c’est important. Mais avoir une communauté derrière avec d’autres devs compétents c’est important aussi. Ca permet de croiser les idées, d’apporter une autre manière de voir les choses, de gommer certaines mauvaises pratiques des uns et des autres, souvent un complémentarité, ça permet aussi de relire le code et d’avoir un processus de qualité mieux foutu.







Ouais bien sur, il vaut toujours mieux avoir le beure et l’argent du beurre avec un noyau de dev motivés et tres competents epaulés par une large communauté reactive et participative. C’est evident.



Mais quand il faut choisir, Je prefererai toujours la petite equipe motivée a un gros groupe de “moustiques”.



Et dans les faits, ce sont toujours les projets avec un leader meme tout seul qui survivent contrairement aux projets qui federent une communauté qui doit s’auto-organiser.

Les exemples classiques du 2e cas, ce sont les editeurs qui decident un beau jour de “liberer” un de leur logiciel comme moi je vais poser mon offrande a mere nature le matin. Ils font un peu de buzz, ca genere vite une communauté mais comme y’a pas de leadership (car, bien evidemment, l’editeur souhaite completement se retirer du projet) alors ca se vautre vite en qq mois.



Mais quand un projet mené par un noyau de dev solides arrive a faire monter la mayonnaise et creer une large communauté, c’est bingo. Mais c’est pas le cas general malheureusement…


votre avatar







CR_B7 a écrit :



Et dire qu’on nous dit a longueur de temps que l’open source est la parade a la NSA.



En fait personne ne lit le code, ou en tout cas, pas des personnes qui le comprennent.







Ben c’est quand meme mieux qu’un logiciel completement fermé de toute facon…


votre avatar

Bien que l’erreur semble assez grossière.

il me semble que les commentaires oublient qu’un soft libre ou proprio avec 0 bug n’existe pas.


votre avatar







KP2 a écrit :



Ben c’est quand meme mieux qu’un logiciel completement fermé de toute facon…







Tout a fait d’accord, mais ce n’est pas une garantie.

Si la défense prend du linux, elle peut (a grand renfort de €) s’assurer qu’il n’y a pas de backdoor, mais c’est pas juste avec un achat open-source qu’elle en aura la garantie.


votre avatar







le podoclaste a écrit :



Le message en question ne parle pas du bug de la news, mais d’une autre faille potentielle.







Il semble que le composants ne respecte pas les règles de sécurités, du coup il peut y avoir plein d’autres failles en effet.


votre avatar







after_burner a écrit :



Il semble que le composants ne respecte pas les règles de sécurités, du coup il peut y avoir plein d’autres failles en effet.







En tout cas, grâce à cette faille, tout le monde sait depuis hier que tout le monde sait depuis 6 ans que cette bibliothèque est pourrite <img data-src=" />


votre avatar







seb2411 a écrit :



Plus simplement il fait une actualisation normale car les correctifs sont déjà dispos sur toute les versions supporte d’Ubuntu. Pas besoin de passer a Ubuntu 13.10 (surtout pas sur un serveur)





J’ai une ubuntu server installée chez moi car avec la 13.10 … seule cette version gérait simplement mon raid 0 logiciel. Lors de la question, l’ami JF était un rien perdu … s’il avait été un admin pure player, il n’aurait même pas posé la question. Donc on pouvait suggérer sans honte de passer en mode bidouille.


votre avatar







seblutfr a écrit :



Alors, mon avis strictement personnel à moi sur la question :



Tout le reste n’est que flan ou parti pris.





J’ai relu à deux fois ton pavé … mais non, je maintiens ce que je pense en lisant ta prose.

En l’occurence, je ne vois pas en quoi tu contredis ce que j’ai écrit. Pour moi, tu le complètes (et c’est fort vrai ce que tu dis).



Si tu vois un parti pris ou du flan dans ce que j’ai indiqué, c’est que tu n’as pas dû comprendre quelques chose quelque part dans mes propos.


votre avatar







CR_B7 a écrit :



Tout a fait d’accord, mais ce n’est pas une garantie.

Si la défense prend du linux, elle peut (a grand renfort de €) s’assurer qu’il n’y a pas de backdoor, mais c’est pas juste avec un achat open-source qu’elle en aura la garantie.







Tout a fait…

Le Libre n’a jamais proposé de garantie sur quoique ce soit.

On peut voir effectivement qq jeunes idealistes qui connaissent tres mal le fonctionnement du Libre venir raconter l’inverse dans des forums mais il faut etre aussi idiots qu’eux pour croire a ce qu’ils racontent.



D’ailleurs, coté garanties, je sais pas si qqn ici a deja lu des licences de logiciels proprietaires mais ils ne proposent pas plus de garantie d’aucune sorte… meme pas celle du bon foonctionnement de l’appli et encore moins celle de la securité ou l’absence de risque pour vos données. Microsoft, par exemple, se dedouane TOTALEMENT de ses produits. Et il est loin d’etre le seul… Je ne sais meme pas si c’est vraiment legal en France..



Bref, tomber sur le dos du Libre a cause de cette annonce, c’est juste ridicule. Et ca denote surtout une tres mauvaise connaissance non seulement du Libre mais aussi du proprio et du marche informatique d’une maniere generale de la part des auteurs des commentaires.


votre avatar







geekounet85 a écrit :



justement, j’ai lancé un petit pacman -Syu ce matin et :



Les rolling Release, c’est quand même bien! <img data-src=" />







sur Arch la correction/update c’était hier en fait je crois.


votre avatar

9 ans… C’est le problème du libre c’est un truc de hippies ! dans l’idéal c’est bien, la “communauté” relis le code pour le bien collectif… sauf que au bout d’un moment les hippies sont trop défoncés et la communauté sensée bosser se transforme en équipée de branleurs végétatifs



:cartman:

votre avatar







lateo a écrit :



J’ai regardé par curiosité, et sur mon poste de travail (Arch + enlightenment) ça donne ça :

:: aria2 : requiert gnutls

:: connman : requiert gnutls

:: ffmpeg : requiert gnutls

:: glib-networking : requiert gnutls

:: libimobiledevice : requiert gnutls

:: smbclient : requiert gnutls

:: wireshark-cli : requiert gnutls





édit: bref, si ça te dégage masse de trucs sur ta machine, c’est des histoires de dépendances de dépendances (de dépendances…), peut-être avec ton interface graphique préférée.





Très probable qu’il y ait des dépendances complètement overkill sur des meta-packages quelque part.



Typiquement pour installer yakuake dans un environnement non kde, tu te retrouves à récupérer quasiment tout kde (mais aussi des libs de vlc, et d’autres trucs qui n’ont rien à voir) parce qu’il y a une dépendance sur kde-base, alors qu’en pratique ça doit avoir besoin de 2-3 librairies utilisées par kde-base (pour rappel c’est juste un terminal en drop down similaire à la console de Quake, comme Guake dans l’univers GTK - mais en vachement mieux ;))



Mais là également ça ressemble uniquement aux dépendances directes dans ce que tu affiches. Typiquement sur mon serveur debian stable, j’ai par exemple la libldap qui dépend de libgnutls26 (et postgresql qui dépend de la libldap, de mémoire pour gnupg et apache2 (*)), et en dépendance directe j’ai :

wget

libldap-2.4-2

mutt

libgcrypt11

lftp



Note : il me semble que pour apache2, c’est juste une dépendance du paquet, mais elle n’est utilisée que lorsque mod_gnutls est utilisé (en général on utilise plutôt mod_ssl qui utilise openssl)



P.S. pour ceux utilisant un dérivé debian, la commande suivante vous donnera récursivement les dépendances inverses (installées) :



apt-cache –recurse –installed rdepends libgnutls26 | less


votre avatar







sr17 a écrit :



Malheureusement, nous voyons aujourd’hui le fiasco de la logique BSD qui as pêché par naïveté : des libristes qui donnent leur temps… pour que de gros industriels puissent piller leur code et faire des systèmes fermés qui enlève toute liberté aux utilisateurs.

Tout cela sans compter le très faible retour sur le plan professionnel pour les programmeurs du fait que l’usage de code libre BSD dans des produits propriétaires est quasiment ignoré de tous.



Et non, la GPL n’est pas devenue plus restrictive. Elle a simplement évoluée pour contrer les astuces qu’avaient trouvé certains industriels pour contourner la GPL et enlever les libertés des utilisateurs en utilisant des DRM.

Elle permet également d’empêcher qu’un industriel ne publie un code sous licence libre pour ensuite piéger les utilisateurs avec des demandes de royalties sur la base de brevets.





Ha GPL VS BSD… Pour moi, la GPL se rapproche quand même du logiciel proprio. Imaginons qu’on ait 2 projets similaires, un sous licence BSD et l’autre sous GPL. Et bien le projet sous GPL va pouvoir pomper sur l’autre projet tout ce qu’il a besoin, ce qui est normal et productif, par contre en retour le projet BSD ne pourra pas reprendre les amélioration de l’autre projet. Pire, si jamais le projet GPL rajoute une fonctionnalité intéressante, ils devront faire attention à ne pas faire un code trop ressemblant dans leur coin, pour ne pas qu’on les soupçonne d’avoir enfreint la GPL. La GPL devrait être limité à Linux (le noyau) et peut être deux trois projets fondamentaux, mais pas plus.


votre avatar







lysbleu a écrit :



Ha GPL VS BSD… Pour moi, la GPL se rapproche quand même du logiciel proprio. Imaginons qu’on ait 2 projets similaires, un sous licence BSD et l’autre sous GPL. Et bien le projet sous GPL va pouvoir pomper sur l’autre projet tout ce qu’il a besoin, ce qui est normal et productif, par contre en retour le projet BSD ne pourra pas reprendre les amélioration de l’autre projet. Pire, si jamais le projet GPL rajoute une fonctionnalité intéressante, ils devront faire attention à ne pas faire un code trop ressemblant dans leur coin, pour ne pas qu’on les soupçonne d’avoir enfreint la GPL. La GPL devrait être limité à Linux (le noyau) et peut être deux trois projets fondamentaux, mais pas plus.







+1 la GPL est trop restrictive (et ca s’améliore pas au fil des versions notamment avec la v3 dont Linus ne veut toujours pas en entendre parler) et pour pas mal de dev se prendre la tête à choisir une licence c’est lourd alors ils se calent sur une licence Apache ou BSD et comme ca plus de prise de tête.


votre avatar







sr17 a écrit :



Le fait est qu’un code qui est ouvert à tous a plus de chance de voir les failles repérées. C’est un argument évident pour n’importe quel professionnel.





Que le code soit relu, OK, mais tu crois que les pirates ne relisent pas le code des éléments sensibles sur lesquels ils vont pouvoir jouer ?



La question est de savoir parmi ceux qui relisent le code, qui trouve le premier les failles, les libristes ou les pirates ?



Tu as des données sur ce point ? Moi, je n’ai jamais rien lu sur le sujet. Quand on sait que la qualité du code libre et proprio est à peu près la même, l’affirmation que l’ouverture du code offre une meilleure sécurité me semble totalement dénuée de fondement (je ne dis pas que c’est faux mais les preuves sont inexistantes). Faudrait qu’on soit sûr que les pirates trouvent les failles après les autres. Ça me paraît être un pari osé. <img data-src=" />


votre avatar

@A33



Je n’ai pas besoin d’antivirus sous GNU/Linux, alors que je n’irais pas surfer sous windows sans. Dans les faits, quelque soit l’OS, il y aura toujours des failles de sécurité à régler, mais le code source ouvert permet quand même d’aller bien plus vite pour les combler, et on l’a encore vu cette fois ci dans la réactivité des distributeurs.



La sécurité par l’obscurantisme, ça fait plus de 20 ans qu’elle échoue à faire de windows un système stable et sécurisé, quand à mac os x, je ne le prendrais pas comme exemple : il a aussi ses problèmes propres, et il n’y a que des fanboys pour dénier ce fait.



Je n’irais pas non plus rentrer mon numéro de carte bancaire sous windows ou mac os x, et de manière générale dans tout système fermé, parce que de base, je ne peux pas avoir confiance dans des dictateurs soumis au Patriot Act, qui sont allés jusqu’à fermer le compte Paypal de Wikileaks - en d’autres termes : des gens qui font ce qu’ils veulent et n’ont aucun compte à rendre au reste de la planète, à commencer par leurs usagers. Le dédain patent de microsoft pour ses anciens clients xp démontre à quel point ces gens n’en ont rien à cirer de leur cheptel : il faut vendre du neuf, du cher et du brillant à tout prix, même si c’est de la merde de type vista ou w8. Tant que le législateur ferme les yeux, ils en profitent un max pour racketter via vente forcée.



Alors on peut critiquer le Libre sur certains aspects, et sur une certaine “rectitude” parfois jusqu’au boutiste, mais s’il n’y avait pas les logiciels libres pour équilibrer un peu les choses, ça fait longtemps qu’on aurait perdu toute liberté. Et je ne veux pas d’une informatique sous le contrôle de Big Brother ^ 10.



Pour ma part, j’estime donc que la philosophie GNU a largement prouvé son efficacité - et quand on voit GNU/Linux aujourd’hui, j’ai tendance à dire que windows est définitivement enfoncé, et que mac os x n’a plus vraiment d’aura à défendre.



Le Libre actuel a largement dépassé ses concurrents en terme de facilité d’usage, de stabilité et de réactivité. Son seul défaut véritable, pour ne pas dire son aspect maudit, c’est d’être gratuit, et de ne pas arroser les marchands de pacotille qui vivent des subventions de leurs dictateurs respectifs.



C’est tout le problème d’une génération de marchands qui croit dur comme fer qu’elle peut aller contre le progrès… Et le progrès, ce n’est pas de mettre ses données sur un cloud US en ligne pour qu’on nous les pique, et ce n’est plus la vente de boîtes non plus.

votre avatar

C’est tellement énorme, que ça en devient risible, enfin pas trop, car c’est en fait d’une gravité effrayante. Je ne souhaite pas aux sales connards de la NSA de venir passer des vacances à Paris, ce n’est plus une ville très sûre

votre avatar

C’est tellement énorme, que ça en devient risible, enfin pas trop, car c’est en fait d’une gravité effrayante. Je ne souhaite pas aux sales connards de la NSA de venir passer des vacances à Paris, ce n’est plus une ville très sûre…



pcinpact.com PC INpact



Google a dénoncé sur son blog dédié à la sécurité un problème de certificat ce 3 décembre. L’entreprise américaine a bloqué plusieurs certificats non autorisés visant ses domaines, émis par une autorité de certification en relation avec l’ANSSI. Pour faire le point, Patrick Pailloux, directeur général de l’Agence nationale des systèmes d’information, a bien voulu répondre à plusieurs de nos questions.

votre avatar







lysbleu a écrit :



La GPL devrait être limité à Linux (le noyau) et peut être deux trois projets fondamentaux, mais pas plus.







Et en quel honneur ? En tant que développeur ou photographe, encore heureux que je sois libre de choisir la licence qui me convient. Et ça sera toujours avec une clause partage à l’identique, parce que ça me ferait bien chier qu’on puisse créer du proprio à partir de mon travail. Si tel était le cas, j’arrêterai de faire du libre, et donc de contribuer. Autant changer de métier.



Ça m’emmerde déjà bien assez comme ça de voir tout un tas de projets libres redistribués sous Windows en y incluant publicités, barres de recherche à la con et autres merdes, pour imaginer le cauchemar que ça serait si c’était sous licence BSD.


votre avatar







Okki a écrit :



Et en quel honneur ? En tant que développeur ou photographe, encore heureux que je sois libre de choisir la licence qui me convient. Et ça sera toujours avec une clause partage à l’identique, parce que ça me ferait bien chier qu’on puisse créer du proprio à partir de mon travail. Si tel était le cas, j’arrêterai de faire du libre, et donc de contribuer. Autant changer de métier.



Ça m’emmerde déjà bien assez comme ça de voir tout un tas de projets libres redistribués sous Windows en y incluant publicités, barres de recherche à la con et autres merdes, pour imaginer le cauchemar que ça serait si c’était sous licence BSD.





Je ne vois pas le rapport, tu fais ce que tu veux. Ce que je dis, c’est que la GPL, pour moi, c’est de la daube parce que ça limite les possibilités de réutilisation dans le monde libre, donc ça devrait être limité au code qui n’a pas trop pour but d’être réutilisé.


votre avatar

Ça ne limite en rien les possibilités de réutilisation. Les développeurs de GNOME sont partis dans une direction qui déplaisait ? D’autres développeurs ont créé Mate et Cinnamon, en se basant sur le code de GNOME. Le rachat de Sun par Oracle et le destin d’OpenOffice ne convenait pas ? Certains ont repris le code pour créer LibreOffice. Des exemples de forks, de fusions ou autre, on en a à la pelle, dans le monde du libre.



Par contre, on reste entre nous, je te l’accorde. Mais je ne vois pas pourquoi ce serait les adeptes de la GPL les fautifs. Personne n’oblige les systèmes BSD à utiliser la licence BSD (leur licence permet même de tout passer sous GPL du jour au lendemain), Apache ou autre. Vous avez fait votre choix, en fonction de votre idéologie, de votre vision de la vie, de l’informatique et de ce que vous voulez.



Alors ok, on ne peut pas réutiliser du code GPL dans un logiciel BSD, mais ce n’est pas de la daube pour autant. Même si ça peut se comprendre que vous soyez un peu dégoûté. En même temps, estimez vous heureux d’avoir accès à des dizaine de milliers de logiciels sous licence GPL, sinon on ne pourrait pas faire grand chose sur un système BSD<img data-src=" />



(ok, fallait bien que je troll un peu) :)



On a juste une vision différente de la liberté. Pour nous, la liberté doit être préservée à tout jamais, tandis que pour vous, on doit pouvoir être libre de renoncer à cette liberté, aussi bien pour vous même, que pour les autres, dont vous ne vous souciez guère.

votre avatar







Okki a écrit :



Ça ne limite en rien les possibilités de réutilisation. Les développeurs de GNOME sont partis dans une direction qui déplaisait ? D’autres développeurs ont créé Mate et Cinnamon, en se basant sur le code de GNOME. Le rachat de Sun par Oracle et le destin d’OpenOffice ne convenait pas ? Certains ont repris le code pour créer LibreOffice. Des exemples de forks, de fusions ou autre, on en a à la pelle, dans le monde du libre.



Par contre, on reste entre nous, je te l’accorde. Mais je ne vois pas pourquoi ce serait les adeptes de la GPL les fautifs. Personne n’oblige les systèmes BSD à utiliser la licence BSD (leur licence permet même de tout passer sous GPL du jour au lendemain), Apache ou autre. Vous avez fait votre choix, en fonction de votre idéologie, de votre vision de la vie, de l’informatique et de ce que vous voulez.



Alors ok, on ne peut pas réutiliser du code GPL dans un logiciel BSD, mais ce n’est pas de la daube pour autant. Même si ça peut se comprendre que vous soyez un peu dégoûté. En même temps, estimez vous heureux d’avoir accès à des dizaine de milliers de logiciels sous licence GPL, sinon on ne pourrait pas faire grand chose sur un système BSD<img data-src=" />



(ok, fallait bien que je troll un peu) :)



On a juste une vision différente de la liberté. Pour nous, la liberté doit être préservée à tout jamais, tandis que pour vous, on doit pouvoir être libre de renoncer à cette liberté, aussi bien pour vous même, que pour les autres, dont vous ne vous souciez guère.





C’est justement la viralité de la GPL qui m’embête. C’est un peu une forme d’autoritarisme, même si c’est pour le bien de l’humanité. Après, faut avouer que si on ne veut pas que ça soit utilisé par les logiciels propriétaire, il faut empêcher que ça soit redistribuer sous une licence plus permissive.


votre avatar







sr17 a écrit :



Sauf que tu ignore combien de code BSD est repris chaque année par les entreprises qui font du logiciel propriétaire.







Et plus personne n’a le droit d’utiliser le logiciel original en BSD à cause de la méchante entreprise?



Moi je vois dans la BSD une licence plus généreuse:




  • Je vous donne ça faites en ce qui vous plait



    Personne n’oblige personne à fournir du code en licence BSD. Si les développeurs veulent le donner contrairement à d’autres qui sont aussi malades des copyrights (“c’est moi qui l’ai écrit personne n’a le droit de se servir de MON travail sans retour sauf si on ne touche pas à mon oeuvre, qu’on donne les sources etc…”) que les industriels (“c’est moi qui l’ai écrit personne n’a le droit de se servir de MON travail sans argent”), c’est leur droit…


votre avatar







coolspot a écrit :



Ben au vu des dernière version d’Android et de dire de certain développeur c’est l’effet inverse et tu a de plus en plus de privateur et de moins en moins de libre maintenant qu’Android a gagné la guerre du mobile/tablette.







Si Android avait été sous licence BSD, Google aurait pu refermer l’ensemble du code d’Android brutalement une fois l’OS devenu populaire. C’est un problème assez classique avec ce type de licence. Et cette base libre que Google sera obligé de continuer de maintenir et de faire évoluer sera très importante pour de futur projets libres.



La licence GPL offre de bien meilleure garantie à long terme pour l’utilisateur d’un logiciel.





Après certe les licence BSD/Apache ne couvrent pas tous les logiciel ou bibliothèque mais de mon point de vue et notamment dans le domaine de la sécurité (l’orientation majeure de BSD) ce sont les leader incontesté et il me semble pas qu’il y est actuellement mieux que BSD en terme de sécurité par exemple. Ce qui prouve qu’en fin de compte même avec une licence hyper permissive ben tu peut être leader même si la concurrence pique les idées/code.





OpenBSD est particulièrement réputé. Et d’une manière générale, côté BSD ils font vraiment de l’excellent travail. Mais du travail qui n’est malheureusement pas connu à hauteur de son mérite. J’ai expliqué plus haut pourquoi le choix de la licence BSD en était responsable.





votre avatar







lysbleu a écrit :



Ha GPL VS BSD… Pour moi, la GPL se rapproche quand même du logiciel proprio.







Je ne suis pas du tout d’accord.



Faire du logiciel qui garantit les libertés (GPL) et du logiciel propriétaire privateur qui enlève les libertés, ce n’est quand même pas du tout la même chose.



Je peux comprendre que le simple fait de poser des règles puisse heurter ceux pour qui l’idéal de la liberté c’est l’absence totale de règles.



Mais n’est ce pas une vision naïve de la liberté ?



Une question très fréquemment abordée en philosophie : Dans quel pays jouit t’on mieux de la liberté ? Dans celui qui interdit de tuer son voisin ? Ou dans celui qui ne l’interdit pas ? Est ce que la meilleure liberté est forcément la liberté totale et sans aucune règles ?





Imaginons qu’on ait 2 projets similaires, un sous licence BSD et l’autre sous GPL. Et bien le projet sous GPL va pouvoir pomper sur l’autre projet tout ce qu’il a besoin, ce qui est normal et productif, par contre en retour le projet BSD ne pourra pas reprendre les amélioration de l’autre projet. Pire, si jamais le projet GPL rajoute une fonctionnalité intéressante, ils devront faire attention à ne pas faire un code trop ressemblant dans leur coin, pour ne pas qu’on les soupçonne d’avoir enfreint la GPL. La GPL devrait être limité à Linux (le noyau) et peut être deux trois projets fondamentaux, mais pas plus.





La licence GPL a effectivement pour caractéristique d’être assez virale. Mais il faut réaliser que c’est aussi un immense avantage à de nombreux points de vue.



En offrant de meilleures garanties de non appropriation, la GPL fédère plus de programmeurs, plus de contributions et au final fait avancer bien plus le logiciel libre.



votre avatar







coolspot a écrit :



+1 la GPL est trop restrictive (et ca s’améliore pas au fil des versions notamment avec la v3 dont Linus ne veut toujours pas en entendre parler) et pour pas mal de dev se prendre la tête à choisir une licence c’est lourd alors ils se calent sur une licence Apache ou BSD et comme ca plus de prise de tête.







La GPL restrictive ? Renseignez vous : cette licence ne restreint absolument rien. Elle t’interdit seulement de redistribuer le logiciel sans les libertés que tu as reçues avec, ce qui est la moindre des choses.



Cette licence ne dérange vraiment que ceux qui veulent piller le travail du libre pour faire du logiciel propriétaire.



Quand à la GPL V3, renseignez vous aussi : elle n’est pas plus restrictive dans le fond, elle colmate simplement des brèches juridiques.



Pour ce qui est de la complexité à maîtriser le droit des licences, c’est de toute manière un passage obligé pour qui veut écrire du logiciel. Car le choix de la licence est aussi étroitement lié au business model qui te servira à financer ton œuvre.



Pour résumer simplement, tous les types de licences libres peuvent grosso modo se résumer selon 3 grands axes : GPL, LGPL et BSD.



Mon conseil personnel n’est pas de choisir systématiquement la GPL : La licence idéale dépends fortement du type de logiciel, du contexte et du but visé.



votre avatar







zart a écrit :



Et y-a-t-il fallu 9 ans pour qu’Apple se rendre compte du bogue?

Je ne veux pas rajouter de poils au <img data-src=" /> , mais ….





Il faut croire que oui puisqu’ils ont intégré le dit code bogué depuis 9 ans dans leur propre solution. En gros pour le coup, c’est …. Tous à Poil !

http://media.rtl.fr/online/image/2013/1120/7767066332_dorial-tillier-presente-la…


votre avatar







Khalev a écrit :



Me semble que sous debian c’est GnuTLS qui est utilisé dans apache à la place d’OpenSSL <img data-src=" />



Si quelqu’un peut confirmer.







Nope, c’est bien OpenSSL qui est utilisé sous Apache (voir les dépendances -&gt; libssl1.0.0) <img data-src=" />



Apache utilise de base OpenSSL (qui n’est pas exempt de bugs par ailleurs) donc ça serait un peu se compliquer la vie de faire une version spéciale Debian basée sur GnuTLS. <img data-src=" />


votre avatar







coolspot a écrit :



Sauf que non c’est pas possible vu que les navigateur n’utilise pas GNU/TLS mais OpenSSL.







Je parlais en général pas forcement de cette faille précise qui selon la petite liste de psn00ps a une porté limité (bon y’a quand meme Fillezilla, vlc, ffmpeg et libmicrohttpd qui sont touché (c’est les seul qui me parle)).



Mon propos d’origine ne porte pas vraiment sur cette faille précise dont je me fous un peu, c’est surtout qu’aucun système n’est infaillible et que l’adage “c’est open source donc obligatoirement sécure” (comme on l’entend souvent dès qu’il s’agit de la NSA ou de Windows) est complétement erroné. Il y’a et on trouve des failles dans des programmes closed-source comme open-source. Le seul vrai avantage de l’Open-Source c’est sa réactivité après la découverte publique de la faille.



Des failles y’en a toujours eu et il y’en aura toujours et dans tout les programme, OpenSSL en avait eu une qui faisait baisser l’entropie du chiffrement, Firefox en a malgré son ouverture etc.



Personnellement vu le budget et les compétences internes de la NSA, je pense qu’ils ont déjà réussi, au moins une fois, a implémenté une faille dans un logiciel open-source suffisamment complexe pour ne pas être détecté au premier audit venu … Après il fort probable qu’un développeur l’aie vu quelques mois/années plus tard et aie soumis un rapport de bug annihilant cette faiblesse sans savoir qu’à la NSA des gens ont pleurés en voyant ce rapport <img data-src=" />



Et puis même si ils n’ont pas réussi a implémenté une faille dans un logiciel donné, ils ont des équipes dont le seul rôle est d’auditer des programmes afin d’y trouver une faiblesse. Et dans le cas d’une joyeuse découverte ils ne font pas de rapport de bug eux <img data-src=" />



Le but d’une section cyberattaque étatique n’est pas d’utilisé massivement une brèche pour faire du spam ou un botnet, mais d’avoir une liste de faille a un instant T afin de pénétrer/saboter un objectif précis afin de rester le plus discret possible.



Enfin bref, je suis peut être un complotiste incompris mais je trouve ca plus raisonnable que d’être certain de la sécurité d’un système sous prétexte qu’il est ouvert. Alors certes l’ouverture permet une meilleurs sécurité que du closed-source (et encore ca se debat … Vu le nombre de faille qu’on découvre dans des programmes dont les sources sont inaccessible) mais ce n’est clairement pas infaillible et encore moins NSA-Proof-By-Design.



Signé l’homme à la cigarette <img data-src=" />


votre avatar







John Shaft a écrit :



Apache utilise de base OpenSSL (qui n’est pas exempt de bugs par ailleurs) donc ça serait un peu se compliquer la vie de faire une version spéciale Debian basée sur GnuTLS. <img data-src=" />







on m’a dit qu’openSSL était en licence type firefox …<img data-src=" />

ok je sors.


votre avatar

Allez… 1 de trouvée… plus qu’1 milliard…



<img data-src=" />

votre avatar







coolspot a écrit :



Après il faut reconnaitre que les licence BSD sont ,de moins point de vu, mieux ficelé que les licences GNU qui sont de plus en plus restrictive au fil des version à contrario des BSD ou tu peut faire quasiment ce que tu veut.







Personnellement, j’ai les licences BSD en horreur. Les licences GNU protègent les utilisateurs et leurs libertés. Les licences BSD autorisent quiconque à piller le code (comme a pu le faire Apple) sans rien donner en retour, et en privant les utilisateurs de leurs libertés (comme c’est le cas sous OSX).



Il n’y a donc pas une licence mieux ficelée que l’autre, ce sont juste deux philosophies différentes.


votre avatar







A33 a écrit :



Seuls les pirates chevronnés pourraient nous dire qui d’entre Linux, Mac OS et Windows est le plus sécurisé (en évitant de comparer les machines desktops et les serveurs qui n’ont probablement pas les mêmes angles d’attaque).



Les affirmations des libristes et des commerciaux me paraissent être du blabla et de l’idéologie qu’aucun fait ne vient étayer.







Le fait est qu’un code qui est ouvert à tous a plus de chance de voir les failles repérées. C’est un argument évident pour n’importe quel professionnel.



Pour information, de nombreuses sociétés dédiées à la sécurité travaillent à chercher des failles dans tous les OS.







Xarkam a écrit :



Les distributions linux c’est plus sécure par ce que c’est opensource et donc tout le monde peut vérifier.



Ca en fout un coup à ce type d’argumentaire puis qu’apparemment personne ne vérifie <img data-src=" />



Une distrib linux c’est pas plus sécure qu’un windows ou macos <img data-src=" />







Le fait qu’une faille n’ait pas été trouvée ne signifie pas que personne ne vérifie.



Apprenez de quoi nous parlons avant de critiquer : Un système d’exploitation complet, ça se compte en millions de ligne de code.



Même ouvert, même accessible à tous, il peut arriver que des failles perdurent longtemps avant d’être trouvées. Simple question de malchance.



Ca laisse imaginer ce que ça peut donner dans un OS ou personne ne peut jamais vérifier.



Comme l’ont dit certains, la transparence des corrections de bugs dans le libre peut laisser penser à tort qu’il y a plus de faille.



Il n’empêche que contrairement aux affirmations, de nombreuses entreprises dédiées à la sécurité cherchent en permanence des failles dans le code de Linux. Et de nombreuses failles sont ainsi trouvées et éliminées.



Le fait que ce problème n’ait pas été mis en lumière avant prouve juste qu’il n’était pas si évident à trouver qu’on pourrait le penser.



Au passage, pour les non spécialistes, ce n’est pas parce qu’un bug est trivial qu’il est forcément plus facile à trouver.


votre avatar







arno53 a écrit :



Je parlais en général pas forcement de cette faille précise qui selon la petite liste de psn00ps a une porté limité (bon y’a quand meme Fillezilla, vlc, ffmpeg et libmicrohttpd qui sont touché (c’est les seul qui me parle)).



Mon propos d’origine ne porte pas vraiment sur cette faille précise dont je me fous un peu, c’est surtout qu’aucun système n’est infaillible et que l’adage “c’est open source donc obligatoirement sécure” (comme on l’entend souvent dès qu’il s’agit de la NSA ou de Windows) est complétement erroné. Il y’a et on trouve des failles dans des programmes closed-source comme open-source. Le seul vrai avantage de l’Open-Source c’est sa réactivité après la découverte publique de la faille.



Des failles y’en a toujours eu et il y’en aura toujours et dans tout les programme, OpenSSL en avait eu une qui faisait baisser l’entropie du chiffrement, Firefox en a malgré son ouverture etc.



Personnellement vu le budget et les compétences internes de la NSA, je pense qu’ils ont déjà réussi, au moins une fois, a implémenté une faille dans un logiciel open-source suffisamment complexe pour ne pas être détecté au premier audit venu … Après il fort probable qu’un développeur l’aie vu quelques mois/années plus tard et aie soumis un rapport de bug annihilant cette faiblesse sans savoir qu’à la NSA des gens ont pleurés en voyant ce rapport <img data-src=" />



Et puis même si ils n’ont pas réussi a implémenté une faille dans un logiciel donné, ils ont des équipes dont le seul rôle est d’auditer des programmes afin d’y trouver une faiblesse. Et dans le cas d’une joyeuse découverte ils ne font pas de rapport de bug eux <img data-src=" />



Le but d’une section cyberattaque étatique n’est pas d’utilisé massivement une brèche pour faire du spam ou un botnet, mais d’avoir une liste de faille a un instant T afin de pénétrer/saboter un objectif précis afin de rester le plus discret possible.



Enfin bref, je suis peut être un complotiste incompris mais je trouve ca plus raisonnable que d’être certain de la sécurité d’un système sous prétexte qu’il est ouvert. Alors certes l’ouverture permet une meilleurs sécurité que du closed-source (et encore ca se debat … Vu le nombre de faille qu’on découvre dans des programmes dont les sources sont inaccessible) mais ce n’est clairement pas infaillible et encore moins NSA-Proof-By-Design.



Signé l’homme à la cigarette <img data-src=" />







On a jamais dit que l’open source est à l’épreuve des faille et jamais personne n’a dit que l’open source c’est totalement sécurisé. On dit simplement que l’open source est plus sécurisé que le closed source ce qui ce traduit par le réel ou les protocol les plus sécurisé sont open source par exemple.


votre avatar







Okki a écrit :



Personnellement, j’ai les licences BSD en horreur. Les licences GNU protègent les utilisateurs et leurs libertés. Les licences BSD autorisent quiconque à piller le code (comme a pu le faire Apple) sans rien donner en retour, et en privant les utilisateurs de leurs libertés (comme c’est le cas sous OSX).



Il n’y a donc pas une licence mieux ficelée que l’autre, ce sont juste deux philosophies différentes.









Ben disons que c’est deux philosophie différente. La GNU veut protéger le libre à tout prix tandis que les licence Apache/BSD elle prônent la “liberté absolue” avec pour philosophie que même si un code proprio fait du copier/coller par rapport à la version libre BSD/Apache il sera toujours à la traîne derrière elle et qu’au final cette guerre sera toujours gagné par le logiciel mère libre.


votre avatar







coolspot a écrit :



Bah je suis pas pro-BSD (je tourne sous GNU/Linux : Ubuntu Gnome depuis plus d’un an) mais il faut reconnaître qu’en terme de sécurité BSD &gt; GNU/Linux &gt; OSX & Windows.



Donc que BSD &gt; All.



Bon après BSD c’est moins user-friendly que GNU/Linux et tu a pas la logithèque monstrueuse d’une Debian. <img data-src=" />



Après il faut reconnaitre que les licence BSD sont ,de moins point de vu, mieux ficelé que les licences GNU qui sont de plus en plus restrictive au fil des version à contrario des BSD ou tu peut faire quasiment ce que tu veut.







Malheureusement, nous voyons aujourd’hui le fiasco de la logique BSD qui as pêché par naïveté : des libristes qui donnent leur temps… pour que de gros industriels puissent piller leur code et faire des systèmes fermés qui enlève toute liberté aux utilisateurs.

Tout cela sans compter le très faible retour sur le plan professionnel pour les programmeurs du fait que l’usage de code libre BSD dans des produits propriétaires est quasiment ignoré de tous.



Et non, la GPL n’est pas devenue plus restrictive. Elle a simplement évoluée pour contrer les astuces qu’avaient trouvé certains industriels pour contourner la GPL et enlever les libertés des utilisateurs en utilisant des DRM.

Elle permet également d’empêcher qu’un industriel ne publie un code sous licence libre pour ensuite piéger les utilisateurs avec des demandes de royalties sur la base de brevets.



votre avatar







coolspot a écrit :



On a jamais dit que l’open source est à l’épreuve des faille et jamais personne n’a dit que l’open source c’est totalement sécurisé. On dit simplement que l’open source est plus sécurisé que le closed source ce qui ce traduit par le réel ou les protocol les plus sécurisé sont open source par exemple.





Malheureusement tout les libristes ne sont pas toujours aussi réaliste <img data-src=" />


votre avatar







arno53 a écrit :



Malheureusement tout les libristes ne sont pas toujours aussi réaliste <img data-src=" />







Franchement ca m’étonne je suis surement peut être une jeune pousse dans le monde du libre mais en parcourant les différent forum j’ai jamais vu un post dire que les logiciel libre est 100% sécurisé et à l’épreuve des faille/bug


votre avatar







coolspot a écrit :



Franchement ca m’étonne je suis surement peut être une jeune pousse dans le monde du libre mais en parcourant les différent forum j’ai jamais vu un post dire que les logiciel libre est 100% sécurisé et à l’épreuve des faille/bug







C’est surtout sur le terme backdoor que ca tique… Sauf que pour moi une faille découverte/implémenté par un état mais non connu de la communauté par exemple c’est une sorte de backdoor.


votre avatar



Bien qu’il puisse s’agir d’un scénario de film d’espionnage…





La similitude est en effet troublante… en plus ca fait vraiment erreur de copier/coller et l’oeuil ayant tendance à être moins attentif aux doublons <img data-src=" />



Bon, ca fait quand même un peu tâche… quand l’accès aux sources est là, c’est dingue que ca puisse trainer 9 ans. C’est dire la situation potentielles des OS boite noires avec le dev en Inde par des mecs payés à coups de trique?

votre avatar







arno53 a écrit :



C’est surtout sur le terme backdoor que ca tique… Sauf que pour moi une faille découverte/implémenté par un état mais non connu de la communauté par exemple c’est une sorte de backdoor.







Même pour une backdoor. Ce qui est dit c’est que si une backdoor est implémenté dans un logiciel libre, celle-ci est visible (contrairement à un logiciel privateur ou c’est quasiment invisible) et comme le code est libre le logiciel backdooré peut être forké sans le code qui contient la backdoor (Le site GNU et RMS ont suffisamment insisté la dessus)



En clair c’est une nuance, avec un logiciel privateur tu est sur qu’il y a une backdoor alors qu’avec un logiciel libre la chance est minime car c’est extrêmement plus visible et si ca arrive il ne faut pas longtemps pour viré la backdoor ou/et forké le logiciel pour être backdoor free.


votre avatar







coolspot a écrit :



Ben disons que c’est deux philosophie différente. La GNU veut protéger le libre à tout prix tandis que les licence Apache/BSD elle prônent la “liberté absolue” avec pour philosophie que même si un code proprio fait du copier/coller par rapport à la version libre BSD/Apache il sera toujours à la traîne derrière elle et qu’au final cette guerre sera toujours gagné par le logiciel mère libre.







Sauf que la pratique semble démentir complètement cette affirmation.



Tout le monde connait l’iPhone, le Mac et iOS. Mais seul un petit public de spécialistes connaissent BSD qui est pourtant largement utilisé dans ces produits.



Cela démontre que Stallman avait raison et que la persistance des libertés voulues par les auteurs d’un logiciel libre doit être garantie par la licence comme le fait la constitution d’un pays démocratique.


votre avatar







le podoclaste a écrit :



Il faut peut-être arrêter de voir la NSA partout. Il n’y a pas besoin d’elle pour faire des bugs.





Il faut peut être arrêter de voir des paranos partout.

J’envisage simplement une solution pour couper court (ou pas <img data-src=" />) à cette rumeur NSA.

C’est plus clair comme ça ? <img data-src=" />


votre avatar



Une faille critique dans la gestion des connexions TLS/SSL fragilise Linux

Une similitude troublante avec la faille d’iOS et OS X





Un peu trop semblable…je ne crois pas aux coïncidences de ce type, c’est forcément voulu.

votre avatar







luxian a écrit :



Combien de fois es-tu passé devant une publicité qui a une faute d’orthographe dans son texte sans voir la faute ? La raison est que tu n’y prêtes pas attention ? Et bien c’est pareil pour tous les autres gens qui passent devant.

http://www.ouille.com/images/carotte.gif





J’ai pas vu la faute d’orthographe sur ton exemple <img data-src=" />


votre avatar







luxian a écrit :



Il semble qu’ils aient repris tel quel un produit opensource.

Donc ils n’ont rien vérifié ….



Obi-Wan Kenobi : Qui est le plus fou des deux ? Le fou, ou le fou qui le suit ?

<img data-src=" /><img data-src=" /><img data-src=" />









Je m’en fou <img data-src=" />





Suis sur 7 <img data-src=" />


votre avatar

Goto …

votre avatar







Vanilys a écrit :



Depuis 2005, 9 années ?

Hé ben… moi qui pensais que mettre du code open source garantissait que les failles soient rapidement trouvées et corrigées … <img data-src=" />







Rapidement ne veut pas dire grand chose…

Peut etre que pour ce cas, rapidement, ca veut dire 9 ans. Peut etre que d’autres editeurs proprios trainent des failles du meme type depuis 12, 13 ou 14 ans sans s’en rendre compte, qui sait ?


votre avatar







CoooolRaoul a écrit :



Et OpenSSL est largement plus utilisé que gnutls (par exemple c’est sur ce dernier que s’appuie le mod_ssl d’Apache)





Me semble que sous debian c’est GnuTLS qui est utilisé dans apache à la place d’OpenSSL <img data-src=" />



Si quelqu’un peut confirmer.


votre avatar







Vanilys a écrit :



Depuis 2005, 9 années ?

Hé ben… moi qui pensais que mettre du code open source garantissait que les failles soient rapidement trouvées et corrigées … <img data-src=" />





<img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" />

Hum pardon :transpi, ça beau être vieux, ça me fait toujours aussi rire. Mais bon si ça peut te rassurer tu es looiiiiiin d’être le seul.<img data-src=" />


votre avatar







jfchadeyron a écrit :



Mon serveur ubuntu 12.04 reste vulnérable malgré qu’il soit a jour…une idée ?







T’es sûr de toi ? Personnellement il y a eu une mise à jour de sécurité sur le mien ce matin avec un upgrade de gnutls, j’imagine donc que la faille a été corrigée.


votre avatar







cid_Dileezer_geek a écrit :



Un peu trop semblable…je ne crois pas aux coïncidences de ce type, c’est forcément voulu.







C’est peut-être juste qu’un mec a suivi l’actu, a vu le code incriminé chez Apple c’est dit “Ouah mais c’est laid ce code ! Fais voir comme c’est fait chez GNU”, et ce dernier est tombé sur la même faille.



En revanche je suis d’accord avec ce qui est dit au dessus, je trouve ça vraiment codé à l’envers, et ça fait peur !


votre avatar







Shyfer a écrit :



Oh tiens, le open source c’est mieux car revu en permanence par des centaines de bénévoles…

Mouais.

Là encore, je pense qu’on a une démonstration que open source != plus sécurisé.

Après je ne dis rien du côté de Microsoft, ils ont sûrement pleins de failles, mais de ce type moins car ils ont un process de test assez rôdé, et assez plébiscité par de nombreux experts.







Personne (connaissant vraiment l’opensource) n’a dit qu’il y avait moins de failles. On dit juste qu’a partir du moment ou elles sont decouvertes, elles sont corrigées bien plus vite.



Parce qu’au final, un code securisé tient plus a la vitesse de correction des failles qu’a leur nombre.

Car a partir du moment ou il suffit d’une seule faille pour penetrer un systeme et qu’il est rigoureusement impossible de garantir l’absence totale de faille dans un logiciel alors le nombre de failles n’a pas vraiment d’importance en fait puisqu’il est vulnerable a partir de 1 et qu’on ne peut pas atteindre 0.

Donc c’est bien la vitesse de correction et de deploiement de la correction qui importe vraiment…


votre avatar



La mise à jour des distributions sera probablement l’étape la plus simple. Cependant, la diffusion de correctifs pour l’ensemble des produits touchés prendra plus de temps. La faille pose également la question, comme dans le cas d’Apple, d’une éventuelle implication de la NSA.





Et le cas où Apple reprend du code de GnuTLS en le modifiant à sa guise mais en gardant la vulnérabilité ?

Je trouve cela un peu plus crédible ^^

votre avatar

C’est la seconde faille détectée dans ce fichier en quelques jours.

Voir mon commentaire dans la news “OS X Mavericks 10.9.2 est disponible …”.

C’est le même qui a corrigé les 2 failles. Il a peut-être continué la relecture pour voir s’il n’y en avait pas d’autres.



Cela confirme la réputation que j’avais lu sur GNI TLS qui a un code de mauvaise qualité et qui est donc susceptible de failles.



L’utilisation de Open SSL est préférable quand c’est possible. Par contre, il faut bien étudier les compatibilités de licences : elle est incompatible avec la GPL quand elle n’est pas embarquée dans l’operating system sauf s’il est prévu une exception dans le soft GPL.

votre avatar

L’open source super secure car le code est relu et tout ça en prend un coup !

OK on le voit mais si c’est 9 ans après <img data-src=" />

votre avatar







animus a écrit :



Bon, divulguer son nom ça fait un peu lynchage collectif, mais n’y a t’il pas des actions mis en place par la communauté pour comprendre l’origine du problème?







Pourtant Numerama n’a pas hésité <img data-src=" />


votre avatar







DorianMonnier a écrit :



C’est peut-être juste qu’un mec a suivi l’actu, a vu le code incriminé chez Apple c’est dit “Ouah mais c’est laid ce code ! Fais voir comme c’est fait chez GNU”, et ce dernier est tombé sur la même faille.





Je pense comme cela également, la faille chez Apple aurait permis un audit de celui de GnuTLS, ce qui est pas mal.


Une faille critique dans la gestion des connexions TLS/SSL fragilise Linux

  • Une faille très similaire dans iOS, OS X et la bibliothèque GnuTLS 

  • Des étapes manquant dans la vérification de l'authenticité des certificats  

  • De nombreux produits touchés, un correctif déjà disponible 

Fermer