Oui, la NSA a bien essayé d'intégrer une porte dérobée dans Linux

Oui, la NSA a bien essayé d’intégrer une porte dérobée dans Linux

Une autre administration s'intéresse au libre

Avatar de l'auteur
Vincent Hermann

Publié dans

Logiciel

18/11/2013 6 minutes
168

Oui, la NSA a bien essayé d'intégrer une porte dérobée dans Linux

La NSA a bien demandé à Linus Torvalds s’il était possible d’introduire au moins une porte dérobée au sein de Linux. Alors même que le père du noyau avait donné une réponse ambiguë il y a plus d’un mois, son père, député européen a répondu de manière beaucoup plus claire.

linus torvalds

Linus Torvalds, deuxième en partant de la droite

Portes dérobées et failles : une manne pour la NSA 

À travers les multiples révélations sur la NSA (National Security Agency) et ses activités de surveillance, grâce aux milliers de documents dérobés par le lanceur d’alertes Edward Snowden, on a pu prendre connaissance des efforts de l’agence pour contourner de nombreux mécanismes de sécurité. L’agence américaine tente par tous les moyens d'éviter de devoir casser des protections, soit en obtenant les données avant leur chiffrement par exemple, soit via des failles et des portes dérobées qui servent de passage au travers des murailles numériques.

 

Cet aspect du travail de la NSA est particulièrement intéressant dans le sens où ses représentants approchent régulièrement des entreprises ou des développeurs impliqués. Dans le cas d’un travail sur un protocole de sécurité par exemple, la loi américaine oblige les auteurs à présenter leur projet à la NSA en vue d’améliorations si ledit protocole doit être utilisé par le gouvernement ou toute structure fédérale. L’agence tient son rôle mais dispose, selon les documents fournis par Snowden, d’une face cachée, chargée de détecter toutes les faiblesses potentielles afin d’être en mesure de les exploiter plus tard.

 

Cette approche des personnes ou entreprises impliquées dans l’informatique se retrouve largement dans la polémique du programme Prism. Bien qu’il ne s’agisse que l’un des maillons de la chaine du renseignement à la NSA, il est capital, car implique les grands noms de l’informatique dans le cloud, à savoir Microsoft, Apple, Google, Yahoo ou encore Facebook. Selon les documents de Snowden encore une fois, ces grandes sociétés fournissent sur une base plus ou moins volontaire des informations sur leurs utilisateurs. Évidemment, de leur côté, on nie avec véhémence ces accusations et on répète que seules les demandes ponctuelles et spécifiquement autorisées par un juge peuvent donner lieu à de telles diffusions d’informations.

La question du libre 

Mais qu’en est-il du libre ? La situation est plus complexe, car dans la plupart des cas, il n’existe pas d’organes centralisateurs, la plupart des projets étant gérés à travers de nombreux consensus et des décisions collégiales. Il arrive en outre que certaines créations proviennent de grandes entreprises choisissant l’open source pour une raison ou une autre. On a pu le voir ainsi avec le cas récent de Cisco qui a décidé d’ouvrir son codec H.264 et de s’associer avec Mozilla.

 

Mais la question d’un contact éventuel entre le monde du renseignement américain et celui de l’open source demeure, car les réponses sont, au mieux, partielles. Par exemple, on le sait que la NSA a très largement participé au développement de l’infrastructure de sécurité SELinux. Mais qu’en est-il des distributions elles-mêmes ? Et du noyau qui y siège ?

 

 

Il y a deux mois tout juste maintenant, Linus Torvalds, à l’origine dudit noyau, participait à la conférence LinuxCon & CloudOpen North America 2013 qui se tenait à La Nouvelle-Orléans. Comme on peut le voir dans la vidéo ci-dessus (à partir de 24min15), Torvalds répond de manière très particulière à la question « L’un d’entre vous a-t-il déjà été approché par les États-Unis pour une porte dérobée ? » : il hoche la tête en signe d’affirmation tout en répondant « Nooooon ». Déclenchant l’hilarité de la salle.

Le père de Linus Torvalds confirme l'approche par la NSA 

Torvalds n’a jamais répondu clairement à cette question, et l’explication est finalement arrivée en fin de semaine dernière. Le père de Linus, Nils Torvalds, est député européen. Des audiences se tenaient la semaine dernière sur le thème de la surveillance et une représentante de Microsoft était présente. Interrogée sur la possibilité que l’entreprise ait pu placer délibérément une porte dérobée dans ses produits, elle n’a apporté aucune réponse. Mais Nils Torvalds a eu dans la foulée une réaction plus qu’intéressante (à 3h08 dans la vidéo ci-dessous).

 

 

« Quand la même question a été posée à mon fils ainé, « A-t-il déjà été approché par la NSA pour des portes dérobées ? », il a répondu « non », mais il a hoché la tête en même temps. Il est ainsi resté dans une zone légale. Il a donné la bonne réponse, mais tout le monde a pu comprendre que la NSA l’avait bel et bien contacté ». En clair, l’agence américaine a tenté un contact avec le père du noyau Linux pour inclure au moins un moyen de pouvoir obtenir aisément des informations sur les machines équipées de distributions libres.

 

Christian Engström, également député européen, explique sur le site Falkvinge.net son opinion sur le sujet. Selon lui, il est impossible que Torvalds ait pu tenter d’inclure une porte dérobée pour une raison simple : le caractère open source du noyau Linux rend difficile une telle mise en place, car les ajouts sont inspectés par les autres développeurs. Cette révision permanente du code serait donc la meilleure garantie contre de tels projets.

 

Les propos de Nils Torvalds pointent quoi qu’il en soit dans une direction précise : la NSA a bien approché Linus. L’explication de la réponse ambiguë tient d’ailleurs probablement dans un fait assez simple : le père du noyau Linux est citoyen américain depuis maintenant trois ans environ. Il est donc soumis aux mêmes lois que Microsoft, Apple, Google et les autres sur les communications avec la NSA.

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Portes dérobées et failles : une manne pour la NSA 

La question du libre 

Le père de Linus Torvalds confirme l'approche par la NSA 

Fermer

Commentaires (168)


Euh ,

C’est le deuxième en partant de la droite <img data-src=" />


Après leurs derniers scandales ils ne ce montrent même pas discret …


Et dire que ceux qui parlaient de backdoors dans les OS se faisaient taxer de théoriciens du complot <img data-src=" />


Je pense que la NSA a les moyens de forcer quelqu’un à mettre un backdoor dans son programme. Je vois pas bien comment Linus aurait pu refuser là où google, ms, et autre n’ont pas pu. Et quand bien même Linus aurait trouvé le moyen de refuser, c’est probablement pas le seul à avoir été contacté.

Faut pas s’attendre à des miracles pour Linux, quand bien même le code est ouvert il est impossible de tout vérifier et d’être sûr à 100%.








Snip_X a écrit :



Euh ,

C’est le deuxième en partant de la droite <img data-src=" />





Non non, la jupe ça lui va bien :)



En espérant que Linus a eut le même courage que face à Nvidia pour lancer un





F*ck you NSA !





<img data-src=" />




Christian Engström, également député européen, explique sur le site Falkvinge.net son opinion sur le sujet. Selon lui, il est impossible que Torvalds ait pu tenter d’inclure une porte dérobée pour une raison simple : le caractère open source du noyau Linux rend difficile une telle mise en place, car les ajouts sont inspectés par les autres développeurs. Cette révision permanente du code serait donc la meilleure garantie contre de tels projets.



Il y aussi l’utilisation d’outil comme GIT qui permettent de facilement voir qui fait quoi. Sans ce genre d’outil il serait surement fastidieux de revoir l’ensemble du code et des commits, ce qui laisserait plus de place a l’introduction de code malicieux.








okeN a écrit :



Je pense que la NSA a les moyens de forcer quelqu’un à mettre un backdoor dans son programme. Je vois pas bien comment Linus aurait pu refuser là où google, ms, et autre n’ont pas pu. Et quand bien même Linus aurait trouvé le moyen de refuser, c’est probablement pas le seul à avoir été contacté.

Faut pas s’attendre à des miracles pour Linux, quand bien même le code est ouvert il est impossible de tout vérifier et d’être sûr à 100%.







Sauf que google microsoft apple and co sont des entreprise US



Linux n’est pas américain et qui plus est est libre. Même si effectivement tous n’est pas vérifier tous le temps si un mec tombe par pur hasard sur une porte dérobé ça ce saura très vite.



Hum. Le père Torvalds a l’air très stressé lorsqu’il parle. De toute façon on pourra jamais être sûr de la vérité.








Snip_X a écrit :



Euh ,

C’est le deuxième en partant de la droite <img data-src=" />





C’est pas une femme Linus ? <img data-src=" />









okeN a écrit :



Je pense que la NSA a les moyens de forcer quelqu’un à mettre un backdoor dans son programme. Je vois pas bien comment Linus aurait pu refuser là où google, ms, et autre n’ont pas pu. Et quand bien même Linus aurait trouvé le moyen de refuser, c’est probablement pas le seul à avoir été contacté.

Faut pas s’attendre à des miracles pour Linux, quand bien même le code est ouvert il est impossible de tout vérifier et d’être sûr à 100%.





Le problème c’est surtout d’inclure du code sans que personne ne s’en rende compte.





Interrogée sur la possibilité que l’entreprise ait pu placer délibérément une porte dérobée dans ses produits, n’a apporté aucune réponse.





Qui ne dit mot consent… <img data-src=" />



Torvalds a été fin sur ce coup: Il est resté dans le cadre des lois étasuniennes débiles tout en disant la vérité et en gagnant la bataille de l’honnêteté.

<img data-src=" />


Bon il reste quoi comme OS du coup ? <img data-src=" />








okeN a écrit :



Je vois pas bien comment Linus aurait pu refuser là où google, ms, et autre n’ont pas pu







Il n’est prisonnier d’aucun intérêt commercial… et comme il n’y a que les “amicales” pressions pour contraindre à ce type de saloperies, ca aide.



Maintenant, au sein des grosses distrib, particulièrement d’origine etasuniennes? Surtout que l’inclusion n’est pas seulement réalisable au niveau du code source, mais au niveau de la chaine de génération, le système de packaging/update…



Mais l’aspect boite blanche restera toujours plus simple à garantir qu’une boite noire.









MasterDav a écrit :



Et dire que ceux qui parlaient de backdoors dans les OS se faisaient taxer de théoriciens du complot <img data-src=" />







  • 10.000 <img data-src=" />



    C’est malheureusement trop souvent le cas !









Cara62 a écrit :



Bon il reste quoi comme OS du coup ? <img data-src=" />





FreeBSD <img data-src=" />









Cara62 a écrit :



Bon il reste quoi comme OS du coup ? <img data-src=" />







en étant très réaliste : aucun <img data-src=" />



@Vincent : tu as vu mon mail ?



Je vous rappelle quand même que malheureusement, le noyau n’est pas 100% ouvert: on retrouve des blobs binaires pour des tas d’usages. Certes, c’est plutôt marginal et spécifique, mais s’il y a une parano a avoir, ça viendrait plutôt de la.



A noter que Debian a justement fourni un gros travail à ce sujet en fournissant un noyau 100% libre depuis Debian 6. Les blobs sont tjs installables via un paquet dédié.








Cara62 a écrit :



Bon il reste quoi comme OS du coup ? <img data-src=" />





Peut-être Haiku









yl a écrit :



Qui ne dit mot consent… <img data-src=" />



Torvalds a été fin sur ce coup: Il est resté dans le cadre des lois étasuniennes débiles tout en disant la vérité et en gagnant la bataille de l’honnêteté.

<img data-src=" />







en même temps, il n’a pas répondu à la question “est-ce qu’il y a une porte dérobée ?” qui est bien plus intéressante que de savoir s’il a été contacté ou non par la NSA.



L’open source c’est super car tout le monde peut vérifier que le code est sain. Le problème c’est que personne ne le fait. Cf par exemple le bug dans la version d’OpenSSL livrée avec Debian qui comportait un bug rendant vulnérable n’importe quelle clé générée, et qui est resté 2 ans sans que personne ne le remarque.








seb2411 a écrit :



Le problème c’est surtout d’inclure du code sans que personne ne s’en rende compte.





C’est un peu plus “facile” dans un algo de chiffrement que dans un protocole réseau. Ce sont des mathématiques de haute volée et il suffit d’une petite “erreur” dans la formule pour que la clé soit dégradée, et ce n’est pas à la portée de Mme Michu de s’en rendre compte, quand bien même le code source lui mordrait la jambe.

Maintenant, il y a des matheux calés qui codent du Linux et qui ne bossent pas pour la NSA, et sur des années, ça aurait été surprenant qu’ils ne voient rien dans le code du noyau. Et alors là, bonjour le scandale et l’immense perte de crédibilité de Linux.

Ceci étant posé, on donc peut imaginer que la réponse de Torvald à la NSA n’a pas dû être très polie.



Et au niveau des distribs ?



Une RHEL venant d’une grosse boite américaine comme IBM et dans une certaine mesure Fedora ou les CentOS dérivés ou sur les bases de cette distribution pourraient elles être vérolées ?



Pareil pour SELinux mit au point par la NSA et très mit en avant et popularisé tres tôt par RH … De bien beaux outils mais vraiment fiables aujourd hui ?



Quand même Open BSD a du procéder a un audit interne suite a des rumeurs de “failles” on se dit qu’il reste plus grand chose à 99,99% (le 100% existant pas) sûr … :/








Resman a écrit :



L’open source c’est super car tout le monde peut vérifier que le code est sain. Le problème c’est que personne ne le fait. Cf par exemple le bug dans la version d’OpenSSL livrée avec Debian qui comportait un bug rendant vulnérable n’importe quelle clé générée, et qui est resté 2 ans sans que personne ne le remarque.





T’as des millions de ligne de code. Et puis c’est chiant de vérifier un code que t’as pas pondu toi-même. Faut déjà comprendre ce qui a été fait, c’est pas toujours bien commenté/documenté…Bref, c’est très lourd comme process.









seb2411 a écrit :



Le problème c’est surtout d’inclure du code sans que personne ne s’en rende compte.







Bwoarf, un update qui modifie la couche réseau, apporte des amélioration notable, mais qui cache une faille dans un détour (un inférieur ou égal à la place d’un inférieur, un décrémentation surnuméraire d’une variable….). Linux, c’est pas un code à toutes épreuves, il n’est pas vérifié et prouvé.







yl a écrit :



Il n’est prisonnier d’aucun intérêt commercial… et comme il n’y a que les “amicales” pressions pour contraindre à ce type de saloperies, ca aide.



Maintenant, au sein des grosses distrib, particulièrement d’origine etasuniennes? Surtout que l’inclusion n’est pas seulement réalisable au niveau du code source, mais au niveau de la chaine de génération, le système de packaging/update…



Mais l’aspect boite blanche restera toujours plus simple à garantir qu’une boite noire.





Je le savais!!! les makefiles sont dans le complot !! GCC c’est le mal ! L’inutile complexité de ces outils sont là pour nous focaliser sur l’utilisation de ces outils et nous cacher leur fonctionnement !!



Va donc vérifier le code source de toutes les distribs existantes avec ton bouquin “la crypto pour les nuls”. <img data-src=" />








Resman a écrit :



L’open source c’est super car tout le monde peut vérifier que le code est sain. Le problème c’est que personne ne le fait. Cf par exemple le bug dans la version d’OpenSSL livrée avec Debian qui comportait un bug rendant vulnérable n’importe quelle clé générée, et qui est resté 2 ans sans que personne ne le remarque.







Quand tu dis ça, moi je lis que les développeurs ont fait leur boulot et que le bug est corrigé. Va essayer de trouver ce genre de chose chez les autres OS. C’est pas possible.

Le bug repéré, tout s’est trouvé corrigé en moins d’une semaine, le bugxie étant arrivé dans les 48h après la découverte.



Troll ON



ET C KI KI A FAIT CA: SELinux








Resman a écrit :



L’open source c’est super car tout le monde peut vérifier que le code est sain. Le problème c’est que personne ne le fait. Cf par exemple le bug dans la version d’OpenSSL livrée avec Debian qui comportait un bug rendant vulnérable n’importe quelle clé générée, et qui est resté 2 ans sans que personne ne le remarque.





Le closed source c’est super car tout le monde ne peut vérifier que le code est sain. Le problème c’est que personne ne le fait. Cf par exemple les bugs livrés dans la version d’Internet explorer livrée avec Windows qui comportait un bug rendant vulnérable ….



Ridicule, tu es simplement une autruche en disant une telle banalité.









iook a écrit :



Troll ON



ET C KI KI A FAIT CA: SELinux







oulà tu viens de faire la découverte de l’année pour toi c’est ça <img data-src=" />









okeN a écrit :



Je pense que la NSA a les moyens de forcer quelqu’un à mettre un backdoor dans son programme. Je vois pas bien comment Linus aurait pu refuser là où google, ms, et autre n’ont pas pu. Et quand bien même Linus aurait trouvé le moyen de refuser, c’est probablement pas le seul à avoir été contacté.

Faut pas s’attendre à des miracles pour Linux, quand bien même le code est ouvert il est impossible de tout vérifier et d’être sûr à 100%.





Linus Torvalds n’est pas propriétaire du noyau Linux, juste du nom. Et ce n’est pas le seul reviewer du code source. Si demain, qqn trouve une porte dérobée dans Linux sciemment ignorée par Linus, il peut mettre tout ça sur la place publique, lancer un fork et mettre en pièces la réputation de Linus Torvalds.



Même si la NSA n’a rien demandé à Linus, ça ne prouve rien. S’il y a un backdoor dans le noyaux, c’est Linus lui-même qui l’a implanté pour son usage personnel.



Les développeurs se créés presque toujours un petit backdoor dans leurs programmes <img data-src=" />








boglob a écrit :



en même temps, il n’a pas répondu à la question “est-ce qu’il y a une porte dérobée ?” qui est bien plus intéressante que de savoir s’il a été contacté ou non par la NSA.







Difficile à penser qu’il aurait révélé l’approche de la NSA si il avait accepté le demande.

Et puis il doit y avoir pas mal de monde derrière près à mettre les mains dans le cambouis afin de s’assurer que ce ne soit pas le cas.









trash54 a écrit :



oulà tu viens de faire la découverte de l’année pour toi c’est ça <img data-src=" />









Euh non !!

Certains cherchent la back door dans linux, je la donne sous forme de troll.



Ca fait un moment, pour ma part, que je sais que la NSA a développé SELinux. C’était plus pour informer les “ignorants”.





Alors même que le père du noyau avait donné une réponse ambiguë il y a plus d’un mois, son père, député européen a répondu de manière beaucoup plus claire.



On a donc le père du père du noyau, soit le grand-père du noyau ? Ah, le deuxième c’est le père biologique, le noyau n’est pas biologique peut-être ? Il est logique, pas bio, ok je vois. Logique.








tazvld a écrit :



Je le savais!!! les makefiles sont dans le complot !! GCC c’est le mal ! L’inutile complexité de ces outils sont là pour nous focaliser sur l’utilisation de ces outils et nous cacher leur fonctionnement !!





Il est très très méchant. <img data-src=" />









taralafifi a écrit :



T’as des millions de ligne de code. Et puis c’est chiant de vérifier un code que t’as pas pondu toi-même. Faut déjà comprendre ce qui a été fait, c’est pas toujours bien commenté/documenté…Bref, c’est très lourd comme process.





ca fait rire de lire ça quand à côté t’as tout les pro-linux qui ont comme 1er argument : c’est open source c’est safe










typhoon006 a écrit :



ca fait rire de lire ça quand à côté t’as tout les pro-linux qui ont comme 1er argument : c’est open source c’est safe







Tu as juste lu des kikous.

L’avantage de l’open-source est ailleurs.



Quand on voit le nombre de patch des programmes open-source. Ca prouve bien qu’il y avait des failles à combler.









okeN a écrit :



Je pense que la NSA a les moyens de forcer quelqu’un à mettre un backdoor dans son programme. Je vois pas bien comment Linus aurait pu refuser là où google, ms, et autre n’ont pas pu. Et quand bien même Linus aurait trouvé le moyen de refuser, c’est probablement pas le seul à avoir été contacté.

Faut pas s’attendre à des miracles pour Linux, quand bien même le code est ouvert il est impossible de tout vérifier et d’être sûr à 100%.





Désolé de te décevoir : la réponse est dans l’article :





Selon lui, il est impossible que Torvalds ait pu tenter d’inclure une porte dérobée pour une raison simple : le caractère open source du noyau Linux rend difficile une telle mise en place, car les ajouts sont inspectés par les autres développeurs. Cette révision permanente du code serait donc la meilleure garantie contre de tels projets.



sauf que c’est juste faux:



“Oh, Christ. It was obviously a joke, no government agency has ever asked me for a backdoor in Linux,” Torvalds told Mashable via email. “Really. Cross my heart and hope to die, really.”



http://mashable.com/2013/09/19/linus-torvalds-backdoor-linux/


Ça m’étonnerai que Linus risque sa réputation et son travail en acceptant, et s’il l’avait fait, je ne pense pas non plus qu’il aurait donné une telle réponse en demi-teinte.



Du reste, si la NSA veut vraiment une backdoor, elle la trouvera, même sans Linus, ça va demander juste plus de temps et de moyens.


Pour de la sécurité accrue au niveau linux, GRSEC remplacera facilement SELINUX http://grsecurity.net/).



Peur de paquets binaire avec backdoor ? =&gt; Gentoo Linux (tout code est compilé par sa machine pour son processeur à partir des sources)



Ensuite, l’ancien cas des clefs faibles de Debian a été causé par un warning corrigé par un dev ne connaissant pas la crypto: il a mis à zero une variable non initialisée (warning à la compil) qui servait de base aléatoire.



Ensuite avoir une backdoor c’est bien, mais l’utiliser c’est autre chose, un serveur sous linux étant le plus souvent controlé en amont par un firewall qui filtre par défaut ce qui rentre ET ce qui sort.



Moi ce qui me fais halluciner, c’est qu’avant de troller sur les OS, ouvrez les yeux sur OpenSSL: la faille CRIME et BEAST concerne plus de 95% des sites en HTTPS (toutes les banque francaise sont vulnérables par ex.).

Alors que ces failles peuvent être évitées en configurant correctement les serveurs webs mais il faut connaitre un peu les algos de crypto et leurs failles pour y parvenir.



Mes 2 cents.









JeyG a écrit :



Je vous rappelle quand même que malheureusement, le noyau n’est pas 100% ouvert: on retrouve des blobs binaires pour des tas d’usages. Certes, c’est plutôt marginal et spécifique, mais s’il y a une parano a avoir, ça viendrait plutôt de la.



A noter que Debian a justement fourni un gros travail à ce sujet en fournissant un noyau 100% libre depuis Debian 6. Les blobs sont tjs installables via un paquet dédié.





OK, dans ce cas parlons également de Slackware, le kernel est aussi 100% libre, et Patrick J. Volkerding , qui en est le père de puis le début, ne laisse pas ce kernel à d’autres.



J’aurais plus confiance en ma Slackware qu’en ma Fedora par exemple sur l’absence de backdoor, j’ai aussi une FreeBSD qui ne m’angoisse guère, et aussi une Openindiana qui est un fork d’Opensolaris, là j’ignore les risques qu’il y ait un backdoor, je l’avoue.



Pour dire qu’en fait j’ai plus de doutes sur Fedora sur les quatre.









typhoon006 a écrit :



ca fait rire de lire ça quand à côté t’as tout les pro-linux qui ont comme 1er argument : c’est open source c’est safe





C’est plus une question de réseau de confiance que de réelle vérification …









Inny a écrit :



Maintenant, il y a des matheux calés qui codent du Linux et qui ne bossent pas pour la NSA, et sur des années heures, ça aurait été surprenant qu’ils ne voient rien dans le code du noyau. Et alors là, bonjour le scandale et l’immense perte de crédibilité de Linux.







<img data-src=" />









taralafifi a écrit :



Même si la NSA n’a rien demandé à Linus, ça ne prouve rien. S’il y a un backdoor dans le noyaux, c’est Linus lui-même qui l’a implanté pour son usage personnel.



Les développeurs se créés presque toujours un petit backdoor dans leurs programmes <img data-src=" />





<img data-src=" /> L’autre jour, j’ai programmé un helloworld avec spring. La première chose que j’ai fait était de mettre un backdoor.









iook a écrit :



Euh non !!

Certains cherchent la back door dans linux, je la donne sous forme de troll.



Ca fait un moment, pour ma part, que je sais que la NSA a développé SELinux. C’était plus pour informer les “ignorants”.







La NSA a développé plein de choses au niveau des logiciels libres… moi je ne m’inquiéterais moins de ce qu’elle a développé officiellement que de ce qu’elle n’a pas dit avoir développé… tout ce qui est étiquetté NSA est étudié plutôt deux fois qu’une par les responsables des projets, et il ne faut pas sous-estimer la paranoïa de certaines agences gouvernementales qui font auditer le code.



Sinon, blague à part, SELinux est un très mauvais endroit pour mettre un backdoor si on désire ne pas se faire chopper et humilier en public. C’est un bout de code assez court et qui s’analyse de fond en comble en une après-midi si on a un niveau décent en programmation c.









Bhou a écrit :



Moi ce qui me fais halluciner, c’est qu’avant de troller sur les OS, ouvrez les yeux sur OpenSSL: la faille CRIME et BEAST concerne plus de 95% des sites en HTTPS (toutes les banque francaise sont vulnérables par ex.).

Alors que ces failles peuvent être évitées en configurant correctement les serveurs webs mais il faut connaitre un peu les algos de crypto et leurs failles pour y parvenir.



Mes 2 cents.





tu as des liens sur ça, et de comment s’en prémunir?









Inny a écrit :



C’est un peu plus “facile” dans un algo de chiffrement que dans un protocole réseau. Ce sont des mathématiques de haute volée et il suffit d’une petite “erreur” dans la formule pour que la clé soit dégradée, et ce n’est pas à la portée de Mme Michu de s’en rendre compte, quand bien même le code source lui mordrait la jambe.

Maintenant, il y a des matheux calés qui codent du Linux et qui ne bossent pas pour la NSA, et sur des années, ça aurait été surprenant qu’ils ne voient rien dans le code du noyau. Et alors là, bonjour le scandale et l’immense perte de crédibilité de Linux.

Ceci étant posé, on donc peut imaginer que la réponse de Torvald à la NSA n’a pas dû être très polie.





Oui et ce qui est intéressant c’est que Linux est utilise par exemple en Russie ou en Chine avec distributions nationales. Et je pense que ces pays par exemple sont les premier intéressé a savoir si il y a des merdes dans le noyau et ce qui tourne autour.



De plus le contributeur qui se fait attraper a faire ce genre de connerie, j’imagine même pas le résultats pour son boulot et sa carrière.



Par contre, on n’a pas de doute avec MS et Apple, ça évite la discussion. <img data-src=" />








okeN a écrit :



Je pense que la NSA a les moyens de forcer quelqu’un à mettre un backdoor dans son programme. Je vois pas bien comment Linus aurait pu refuser là où google, ms, et autre n’ont pas pu. Et quand bien même Linus aurait trouvé le moyen de refuser, c’est probablement pas le seul à avoir été contacté.

Faut pas s’attendre à des miracles pour Linux, quand bien même le code est ouvert il est impossible de tout vérifier et d’être sûr à 100%.







Je suis d’accord avec toi. Par contre, tu peux cacher autant que tu veux ta modification, une fois que tu la transmet, les autres développeurs vont voir la liste des changements et vont pouvoir comparer les anciennes sources avec les nouvelles. Donc ton



IF (NSA) backdoor = true



Il va être difficile à cacher. <img data-src=" />



Oui enfin qu’il y est backdoor ou pas au final la NSA a sa petite liste de failles quelque soit l’OS …



Et au final que ca soit open ou closed source, ca n’empêche pas les chercheurs de sécurité de trouver des failles sans lire le moindre code source …


Ça valait la peine d’essayer…



Quand je pense que des grandes entreprise accepte pour limiter le trafics privé en entreprise que tout les trafics (y compris https) soit décapsulée et ré encapsulé avant transmission par des boites noir… (avant que certains ne me saute dessus, le trafis HTTPS est résigné par la boite noir et de plus en de système accepte cette nouvelle signature).



J’espère que des révélation concrètent sur les backdoor de Windows, MacOS, Ios,… viendront et que ça les tuera pour le monde de l’entreprise.








tazvld a écrit :



les makefiles sont dans le complot !! GCC c’est le mal ! L’inutile complexité de ces outils sont là pour nous focaliser sur l’utilisation de ces outils et nous cacher leur fonctionnement !!







Mon propos visait surtout le compilo, ala “trusting truth” by Ken Thompson, papier qui date un peu mais reste d’actualité et montrait sa dignité du prix Turing!



Mais pour ton propos, peut-on vraiment s’estimer plus tranquilles avec une IDE à la microsoft (Visual C++) qui te cache tout le fonctionnement complexe de la chaine de génération et en retire à l’utilisateur la maitrise (je suis certain que bien des jeunots tout juste sortis d’école d’ingé ne savent même plus que ca existe).



Le père du père du noyau Linux <img data-src=" />









okeN a écrit :



Je pense que la NSA a les moyens de forcer quelqu’un à mettre un backdoor dans son programme. Je vois pas bien comment Linus aurait pu refuser là où google, ms, et autre n’ont pas pu. Et quand bien même Linus aurait trouvé le moyen de refuser, c’est probablement pas le seul à avoir été contacté.

Faut pas s’attendre à des miracles pour Linux, quand bien même le code est ouvert il est impossible de tout vérifier et d’être sûr à 100%.





Le code de Linux est Open Source. Il est développé et régulièrement audité par différentes entreprises, et pas que des américaines, voir ici. Les entreprises américaines étant sous la coupe du Patriot Act elles sont sans doute tenues de garder le silence, mais que faire du reste du monde ? Si des entreprises non-américaines comme Canonical, Samsung, NEC, Hitachi, Fujitsu (ou même tout simplement un particulier) découvre qu’une backdoor a été volontairement introduite dans le code source, ça m’étonnerait qu’ils se taisent, ça n’est pas dans leur intérêt et ils n’y sont pas obligés par la loi. Ça finirait en gros scandale.



L’autre avantage de l’Open Source, c’est que c’est très facile de forker. Si une telle backdoor est découverte, nul doute qu’une version «alternative» du noyau serait mise en place et utilisée par ces entreprises, et du coup le noyau Linux «officiel», avec backdoor NSA inside, serait fui comme la peste, par les entreprises et par les utilisateurs. Au final la backdoor de la NSA ne servirait donc plus à rien.



Bref, que la NSA tente le coup, c’est possible. Par contre qu’elle réussisse et implémente effectivement une backdoor dans le noyau Linux à l’insu de tout le monde, je n’y crois pas du tout.



La question qui me vient à l’esprit c’est : si la NSA a effectivement approché Linus Torvalds pour ce genre de chose, nul doute qu’elle a aussi approché d’autres développeurs d’OS, genre Microsoft ou Apple. Qui peut auditer et vérifier le code source de Windows ou de MacOS ? Qui peut créer un fork si une backdoor est découverte ? Personne.



Encore une fois, chacun ne peut pas lire tout le code source de son OS avant de l’utiliser. En revanche, en toute connaissance des deux modèles de développement (Closed ou Open Source), à chacun de choisir à qui il veut faire confiance.









arno53 a écrit :



Oui enfin qu’il y est backdoor ou pas au final la NSA a sa petite liste de failles quelque soit l’OS …



Et au final que ca soit open ou closed source, ca n’empêche pas les chercheurs de sécurité de trouver des failles sans lire le moindre code source …





Et alors ?



Ça ne signifie pas que la faille est exploitée, puisque c’est ça le sujet, pas de savoir s’il existe des failles puisque ça on le sait, il y en a toujours.









_gargamel_ a écrit :



Je suis d’accord avec toi. Par contre, tu peux cacher autant que tu veux ta modification, une fois que tu la transmet, les autres développeurs vont voir la liste des changements et vont pouvoir comparer les anciennes sources avec les nouvelles. Donc ton



IF (NSA) backdoor = true



Il va être difficile à cacher. <img data-src=" />





Dans rc.conf, ça se verrait ! <img data-src=" />



Bon, pour SELinux le problème est vite réglé au moins

SELINUX=disabled








crocteamgg a écrit :



Bon, pour SELinux le problème est vite réglé au moins





ça, ça ne règle pas un problème de sécurité mais de compétence de l’administrateur <img data-src=" />









Konrad a écrit :



Le père du père du noyau Linux <img data-src=" />





Le code de Linux est Open Source. Il est développé et régulièrement audité par différentes entreprises, et pas que des américaines, voir ici. Les entreprises américaines étant sous la coupe du Patriot Act elles sont sans doute tenues de garder le silence, mais que faire du reste du monde ? Si des entreprises non-américaines comme Canonical, Samsung, NEC, Hitachi, Fujitsu (ou même tout simplement un particulier) découvre qu’une backdoor a été volontairement introduite dans le code source, ça m’étonnerait qu’ils se taisent, ça n’est pas dans leur intérêt et ils n’y sont pas obligés par la loi. Ça finirait en gros scandale.



L’autre avantage de l’Open Source, c’est que c’est très facile de forker. Si une telle backdoor est découverte, nul doute qu’une version «alternative» du noyau serait mise en place et utilisée par ces entreprises, et du coup le noyau Linux «officiel», avec backdoor NSA inside, serait fui comme la peste, par les entreprises et par les utilisateurs. Au final la backdoor de la NSA ne servirait donc plus à rien.



Bref, que la NSA tente le coup, c’est possible. Par contre qu’elle réussisse et implémente effectivement une backdoor dans le noyau Linux à l’insu de tout le monde, je n’y crois pas du tout.



La question qui me vient à l’esprit c’est : si la NSA a effectivement approché Linus Torvalds pour ce genre de chose, nul doute qu’elle a aussi approché d’autres développeurs d’OS, genre Microsoft ou Apple. Qui peut auditer et vérifier le code source de Windows ou de MacOS ? Qui peut créer un fork si une backdoor est découverte ? Personne.



Encore une fois, chacun ne peut pas lire tout le code source de son OS avant de l’utiliser. En revanche, en toute connaissance des deux modèles de développement (Closed ou Open Source), à chacun de choisir à qui il veut faire confiance.







Ah bah voilà un commentaire qui est pertinent. Je plussoie ! <img data-src=" />









okeN a écrit :



Je pense que la NSA a les moyens de forcer quelqu’un à mettre un backdoor dans son programme. Je vois pas bien comment Linus aurait pu refuser là où google, ms, et autre n’ont pas pu. Et quand bien même Linus aurait trouvé le moyen de refuser, c’est probablement pas le seul à avoir été contacté.

Faut pas s’attendre à des miracles pour Linux, quand bien même le code est ouvert il est impossible de tout vérifier et d’être sûr à 100%.







Faux le processus d’approbation de tous ajout de code dans Linux est relus plusieurs fois et par plusieurs personnes.



Et si le code porte sur un endroit stratégique comme se serait le cas pour y placer une backdoor il va être facilement relus plus d’une centaine de fois.









knos a écrit :



Linux n’est pas américain et qui plus est est libre. Même si effectivement tous n’est pas vérifier tous le temps si un mec tombe par pur hasard sur une porte dérobé ça ce saura très vite.







Linux est international … donc américain de par bon nombre de ses développeurs et entreprises partenaires.



Tu sais ce que dit un mec qui tombe par hasard sur une porte dérobée ?

“oh un bug (involontaire) ! ça pourrait bien être une faille (mais certainement pas une porte dérobée)”



toutes les failles ne sont pas des portes dérobées, mais toutes les portes dérobées apparaissent comme des failles/bugs à moins que le développeur soit assez stupide pour faire des trucs genre if (user == “NSA”) goto bypass_security . On peut dire ce qu’on veut sur la NSA mais ce ne sont pas des amateurs.









paradise a écrit :



Et alors ?



Ça ne signifie pas que la faille est exploitée, puisque c’est ça le sujet, pas de savoir s’il existe des failles puisque ça on le sait, il y en a toujours.







Parce que tu crois qu’une backdoor est utilisé en permanance ? Un cout de wireshark et on le voit assez rapidemment ….



Par contre si la NSA a une operation special a faire (terrorisme, espionnage d’un gouvernement etc..), il leur suffit de piocher dans leur liste de faille … Alors certes certaines vont etre corrigé mais pas toute … La NSA le fait pour Windows (et ca c’est vu avec Flame et Stuxnet), elle le fait certainement pour Linux, lesiOS cisco etc …



C’est bien plus intelligent qu’une backdoor mais ca demande une R&D constante pour la NSA …



Au final qu’il y’ait une backdoor ou pas OSEF, si la NSA veut rentrer … elle rentre…









MasterDav a écrit :



Et dire que ceux qui parlaient de backdoors dans les OS se faisaient taxer de théoriciens du complot <img data-src=" />





C’est une manoeuvre de déstabilisation.

Ils essayent de rendre moins crédible le projet dans son intégralité.









boglob a écrit :



en même temps, il n’a pas répondu à la question “est-ce qu’il y a une porte dérobée ?” qui est bien plus intéressante que de savoir s’il a été contacté ou non par la NSA.







C’est un peu finasser: Si la NSA l’a contacté, je peine à imaginer que ce soit pour lui causer de la pluie et du beau temps!

<img data-src=" />



Cette réponse par l’affirmative me semble signifier une réponse par la négative à celle posée à Microsoft.



La confiance ne sera jamais possible à 100%. Un OS et son rootFS, même basique, c’est aujourd’hui énorme. Reste l’aspect boite blanche versus boite noire tout de même plus favorable à l’un qu’a l’autre.



Maintenant si pour les USA avoir sous le coup de leurs lois une boite comme microsoft qui équipe l’immense majorité des machines dans le monde représente un avantage stratégique indéniable, n’oublions pas non plus tout ce qui s’execute aux niveaux de privilège les plus élevés et qui concerne aussi 100% des machines windows: Les antivirus par exemple. On remarque alors une forte présence de sociétés de l’ex bloc de l’Est!



Nos PC sont-ils devenus l’objet d’une nouvelle guerre froide?









MasterDav a écrit :



Et dire que ceux qui parlaient de backdoors dans les OS se faisaient taxer de théoriciens du complot <img data-src=" />





Et c’est toujours le cas.<img data-src=" />









Konrad a écrit :



Le père du père du noyau Linux <img data-src=" />





Le code de Linux est Open Source. Il est développé et régulièrement audité par différentes entreprises, et pas que des américaines, voir ici. Les entreprises américaines étant sous la coupe du Patriot Act elles sont sans doute tenues de garder le silence, mais que faire du reste du monde ? Si des entreprises non-américaines comme Canonical, Samsung, NEC, Hitachi, Fujitsu (ou même tout simplement un particulier) découvre qu’une backdoor a été volontairement introduite dans le code source, ça m’étonnerait qu’ils se taisent, ça n’est pas dans leur intérêt et ils n’y sont pas obligés par la loi. Ça finirait en gros scandale.



L’autre avantage de l’Open Source, c’est que c’est très facile de forker. Si une telle backdoor est découverte, nul doute qu’une version «alternative» du noyau serait mise en place et utilisée par ces entreprises, et du coup le noyau Linux «officiel», avec backdoor NSA inside, serait fui comme la peste, par les entreprises et par les utilisateurs. Au final la backdoor de la NSA ne servirait donc plus à rien.



Bref, que la NSA tente le coup, c’est possible. Par contre qu’elle réussisse et implémente effectivement une backdoor dans le noyau Linux à l’insu de tout le monde, je n’y crois pas du tout.



La question qui me vient à l’esprit c’est : si la NSA a effectivement approché Linus Torvalds pour ce genre de chose, nul doute qu’elle a aussi approché d’autres développeurs d’OS, genre Microsoft ou Apple. Qui peut auditer et vérifier le code source de Windows ou de MacOS ? Qui peut créer un fork si une backdoor est découverte ? Personne.



Encore une fois, chacun ne peut pas lire tout le code source de son OS avant de l’utiliser. En revanche, en toute connaissance des deux modèles de développement (Closed ou Open Source), à chacun de choisir à qui il veut faire confiance.





Le problème c’est qu’il y a beaucoup de “si” dans ton argument. En effet, si quelqu’un veut, il peut relire et analyser tout le code source linux. Dans la réalité, ça n’est pas fait, tout comme les pirates ne passent guère par le code source pour trouver des angles d’attaque.

L’exemple de Resman reste valable : on trouve des bugs et autres soucis dans des bouts de code open plusieurs années après leur origine.



Donc “pouvoir vérifier” est une chose, “vérifier” en est une autre.









Cara62 a écrit :



Bon il reste quoi comme OS du coup ? <img data-src=" />







Windows XP et son futur SP4 <img data-src=" />









Ph11 a écrit :



Et c’est toujours le cas.<img data-src=" />





J’ai mis quelques secondes à comprendre <img data-src=" />







psn00ps a écrit :



C’est une manoeuvre de déstabilisation.

Ils essayent de rendre moins crédible le projet dans son intégralité.





Je vois pas trop en quoi des mecs qui commentent des news sur des petits sites web comme PCI peuvent déstabiliser ou rendre moins crédible un projet tel qu’un OS <img data-src=" />









tic tac a écrit :



Et au niveau des distribs ?



Une RHEL venant d’une grosse boite américaine comme IBM et dans une certaine mesure Fedora ou les CentOS dérivés ou sur les bases de cette distribution pourraient elles être vérolées ?







Je pense que tu a tout à fait raison. Toutes distrib linux contenant du code propriétaire et maintenu par une boite américaine est a considéré comme à risque. Point.



Sur ce je vais retourner bosser sur mon win XP<img data-src=" />



Heu, l’erreur sur Torvald, c’est une manière de le traiter de gonzesse?<img data-src=" />








seblutfr a écrit :



Le problème c’est qu’il y a beaucoup de “si” dans ton argument. En effet, si quelqu’un veut, il peut relire et analyser tout le code source linux. Dans la réalité, ça n’est pas fait, tout comme les pirates ne passent guère par le code source pour trouver des angles d’attaque.

L’exemple de Resman reste valable : on trouve des bugs et autres soucis dans des bouts de code open plusieurs années après leur origine.



Donc “pouvoir vérifier” est une chose, “vérifier” en est une autre.





Évidemment personne ne se lancerait à vérifier l’intégralité du code source de Linux aujourd’hui. Mais le code est vérifié, au fur et à mesure des commits. Et il faut bien méconnaître le processus de développement pour croire qu’il n’y a qu’un seul gars qui fait ça.



Chaque commit est vérifié par toute une pile de personnes avant d’arriver à Linus Torvalds et d’être intégré dans la branche principale du noyau : qu’apporte le commit ? Que modifie-t-il ? Apporte-t-il des améliorations (fonctionnalités, performances…) ? Le noyau est quelque chose de tellement critique que le moindre commit doit être justifié pour 1) garder de la cohérence, 2) ne pas ajouter de lignes de code inutiles, garder un noyau léger. De plus la liste des commits est visible publiquement par tout le monde. Si tu veux faire passer quelque chose dans le noyau tu ne peux pas le cacher.



Bref ce n’est pas quelque chose d’hypothétique : le code source du noyau est vérifié et audité en permanence, par tout un tas de gens et d’entreprises.









seblutfr a écrit :



Le problème c’est qu’il y a beaucoup de “si” dans ton argument. En effet, si quelqu’un veut, il peut relire et analyser tout le code source linux. Dans la réalité, ça n’est pas fait, tout comme les pirates ne passent guère par le code source pour trouver des angles d’attaque.

L’exemple de Resman reste valable : on trouve des bugs et autres soucis dans des bouts de code open plusieurs années après leur origine.



Donc “pouvoir vérifier” est une chose, “vérifier” en est une autre.







Si chaque nouveau morceau de code est systématiquement relu et testé.









MasterDav a écrit :



Je vois pas trop en quoi des mecs qui commentent des news sur des petits sites web comme PCI peuvent déstabiliser ou rendre moins crédible un projet tel qu’un OS <img data-src=" />



Je ne parle pas de PCI, je parle de l’approche de Linus, qu’elle ait eu lieu ou pas, par la NSA.

Prends en compte la situation américaine:

Tu dois dire oui à la NSA, (pas comme avec NVIDIA <img data-src=" />)

Tu ne dois/peux pas en parler.

A partir de là, qu’il ait été approché ou pas par la NSA, c’est à son désavantage quoiqu’il dise ou fasse.









psikobare a écrit :



sauf que c’est juste faux:



http://mashable.com/2013/09/19/linus-torvalds-backdoor-linux/





C’est juste faux…<img data-src=" /> Alors d’où sort la déclaration de son père ? <img data-src=" />









okeN a écrit :



Je pense que la NSA a les moyens de forcer quelqu’un à mettre un backdoor dans son programme. Je vois pas bien comment Linus aurait pu refuser là où google, ms, et autre n’ont pas pu. Et quand bien même Linus aurait trouvé le moyen de refuser, c’est probablement pas le seul à avoir été contacté.

Faut pas s’attendre à des miracles pour Linux, quand bien même le code est ouvert il est impossible de tout vérifier et d’être sûr à 100%.









Je pense que la NSA n’a même pas besoin d’imposer l’installation d’une backdoor. Si j’ai bien compris Mr Torvalds sénior, certains bugs peuvent être exploités comme des backdoors. Dans le cas de Microsoft, je parie que la simple exploitation des bugs existants suffit déjà à l’espionnage. Pas besoin donc, de forcer la main.



La corollaire étant que certaines backdoors peuvent être publiquement décrites comme des bugs, je n’en crois encore moins les dires de Microsoft et autres consorts.



Dites, c’est bien beau d’avoir un OS open-source/vérifié etc…

Mais peut-être qu’il faut regarder plus bas : les drivers, sont-ils open-source ? Dans la majorité des cas, non. Les BIOS/firmware sont-ils open-source ? non.

Alors en plus de l’OS, il faudrait penser à regarder TOUTES les couches logicielles. Parce que bon, ça ne sert a rien d’avoir des données chiffrées sur son disque si derrière la carte mère/processeur et carte réseau ont des backdoor …

Donc bref, un système 100% secure, bah ça n’existe pas :)








Konrad a écrit :



Évidemment personne ne se lancerait à vérifier l’intégralité du code source de Linux aujourd’hui. Mais le code est vérifié, au fur et à mesure des commits. Et il faut bien méconnaître le processus de développement pour croire qu’il n’y a qu’un seul gars qui fait ça.



Chaque commit est vérifié par toute une pile de personnes avant d’arriver à Linus Torvalds et d’être intégré dans la branche principale du noyau : qu’apporte le commit ? Que modifie-t-il ? Apporte-t-il des améliorations (fonctionnalités, performances…) ? Le noyau est quelque chose de tellement critique que le moindre commit doit être justifié pour 1) garder de la cohérence, 2) ne pas ajouter de lignes de code inutiles, garder un noyau léger. De plus la liste des commits est visible publiquement par tout le monde. Si tu veux faire passer quelque chose dans le noyau tu ne peux pas le cacher.



Bref ce n’est pas quelque chose d’hypothétique : le code source du noyau est vérifié et audité en permanence, par tout un tas de gens et d’entreprises.







Mais vous pensez vraiment qu’une backdoor ressemble a un :



if (user == “NSA”) goto jackpot !!



Vu le niveau des finances pour la NSA et les génies mathématiques qui y bossent, leur backdoor ressemble plus a ce que l’on qualifierait de faille … Et dès qu’une faille est trouvé on ne crie pas à la backdoor … Alors certes un dev indépendant peut rendre caduc le travail de la NSA via un rapport de bug … Mais pendant ce temps la faille a permit d’ espionner via un malware type flame, duqu ou encore gauss le gouvernement chinois, iranien ou l’UE …



C’est juste un travail du chat et de la souris entre la NSA et la scène du libre … Mais croire que le seul fait que ca soit open source puisse paralysé une entité aussi riche et intelligente que la NSA c’est un peu utopiste …



(relisez un peu les papiers sur flame, gauss & co pour voir l’ingéniosité que peut avoir une cellule de cyber-attaque étatique …)









tic tac a écrit :



Une RHEL venant d’une grosse boite américaine comme IBM et dans une certaine mesure Fedora ou les CentOS dérivés ou sur les bases de cette distribution pourraient elles être vérolées ?







RHEL a un kernel en général ancien, fortement customisé (même si c’est dans l’immense majorite des backports sélectionnés) et auquel plus grand monde a part eux ne prête attention. Ajoutons qu’ils avaient il y a 1 ou 2 ans arrêté de publier leurs modifications (GPL oblige) sous forme de patch par rapport à la version de base issue de kernel.org… publiant l’intégralité de leurs sources!



Sous cette forme, plus difficile de suivre les modifications réalisées par rapport à une base a priori de confiance.



La raison évoquée était d’emmerder Oracle qui pillait un peu trop leur boulot à leur gout… ce qui emmerde d’ailleurs CentOS par ricochet.



Alors ce serait assez suicidaire, le côté boite blanche restant là. Mais leur façon de faire combinée à l’attractivité de leur plateforme pour les renseignements fait certainement d’eux une cible de choix et il serait sans doute utile de leur poser la même question!









Cara62 a écrit :



Bon il reste quoi comme OS du coup ? <img data-src=" />





système en basic tel que les TO7 Thomson, et encore, il y a certainement des backdoors dedans !

Arfff, revenons aux stylos, papiers, enveloppes, timbres et poste…









taralafifi a écrit :



Peut-être Haiku





Ou plutôt Minix, mais gaffe quand-même <img data-src=" />



La question n’est pas ai-je une backdoor, la réponse est déjà oui. Même si c’est pas Linux se sera ta carte Broadcom ou ton routeur Cisco. La question est comment contrôler ce qui transite par ces backdoors et éventuellement les bloquer ou envoyer de fausse info.



Bref à pars faire son sniffer ADSL maison avec un FPGA pour contrôler la conformité de ce qui sort avec ce qui est sensé sortir je voit pas trop de solution.









caoua a écrit :



système en basic tel que les TO7 Thomson, et encore, il y a certainement des backdoors dedans !

Arfff, revenons aux stylos, papiers, enveloppes, timbres et poste…





Poste ? Pour de la confidentialité de communications ? Raisonnement “intéressant” :p









Shyfer a écrit :



Dites, c’est bien beau d’avoir un OS open-source/vérifié etc…

Mais peut-être qu’il faut regarder plus bas : les drivers, sont-ils open-source ? Dans la majorité des cas, non. Les BIOS/firmware sont-ils open-source ? non.

Alors en plus de l’OS, il faudrait penser à regarder TOUTES les couches logicielles. Parce que bon, ça ne sert a rien d’avoir des données chiffrées sur son disque si derrière la carte mère/processeur et carte réseau ont des backdoor …

Donc bref, un système 100% secure, bah ça n’existe pas :)







Oui sous Linux les drivers sans majoritairement open source. Et l’UEFI ne pas faire grand fois l’OS lancé. A part à la limité désactiver le secure boot.









caoua a écrit :



système en basic tel que les TO7 Thomson, et encore, il y a certainement des backdoors dedans !

Arfff, revenons aux stylos, papiers, enveloppes, timbres et poste…







La machine a écrire y’a que ca de vrai … Et encore y’a sans doute la possibilité d’utilisé le micro du téléphone portable dans la poche pour écouter les touches et en déduire ce qui a été ecrit …









Shyfer a écrit :



Dites, c’est bien beau d’avoir un OS open-source/vérifié etc…

Mais peut-être qu’il faut regarder plus bas : les drivers, sont-ils open-source ? Dans la majorité des cas, non. Les BIOS/firmware sont-ils open-source ? non.

Alors en plus de l’OS, il faudrait penser à regarder TOUTES les couches logicielles. Parce que bon, ça ne sert a rien d’avoir des données chiffrées sur son disque si derrière la carte mère/processeur et carte réseau ont des backdoor …

Donc bref, un système 100% secure, bah ça n’existe pas :)





On peut tout à fait ne pas avoir de pilote closed-source sous Linux.



Après c’est clair que le hardware on peut pas y faire grand chose, à part monter son PC/modem/routeur soit-même et varier les fournisseurs en tant qu’utilisateur final on ne peut pas faire beaucoup plus.









arno53 a écrit :



Mais vous pensez vraiment qu’une backdoor ressemble a un :



if (user == “NSA”) goto jackpot !!



Vu le niveau des finances pour la NSA et les génies mathématiques qui y bossent, leur backdoor ressemble plus a ce que l’on qualifierait de faille … Et dès qu’une faille est trouvé on ne crie pas à la backdoor … Alors certes un dev indépendant peut rendre caduc le travail de la NSA via un rapport de bug … Mais pendant ce temps la faille a permit d’ espionner via un malware type flame, duqu ou encore gauss le gouvernement chinois, iranien ou l’UE …



C’est juste un travail du chat et de la souris entre la NSA et la scène du libre … Mais croire que le seul fait que ca soit open source puisse paralysé une entité aussi riche et intelligente que la NSA c’est un peu utopiste …



(relisez un peu les papiers sur flame, gauss & co pour voir l’ingéniosité que peut avoir une cellule de cyber-attaque étatique …)





Évidemment ce n’est pas aussi simple. Tout ce que je dis c’est qu’à partir du moment où on veut utiliser un ordinateur, on choisit de placer sa confiance dans un (ou plusieurs) éditeurs de logiciels.



Personnellement je préfère placer ma confiance dans le modèle de développement qui laisse le plus d’opportunités de découvrir une éventuelle faille/backdoor, de la corriger, et au nécessaire de forker.









baldodo a écrit :



On peut dire ce qu’on veut sur la NSA mais ce ne sont pas des amateurs.







Je t’avoue que j’y connais rien dans le monde des services secrets. Mais le fait que ça arrive qu’a eux ce genre de médiatisation semble montrer que si, c’est des guignoles.



Nos services secret doivent bien se marrer, la NSA collecte les infos de toute la planète a l’aide de moyen monstrueux. Et ces infos sont surement accessible a tous les autres services secret. Je suis sur que la France a accès à l’immense manne d’info que collecte la NSA depuis longtemps, et doit bien rire qu’un simple gas comme snowden est pu tout piqué.









okeN a écrit :



Je pense que la NSA a les moyens de forcer quelqu’un à mettre un backdoor dans son programme. Je vois pas bien comment Linus aurait pu refuser là où google, ms, et autre n’ont pas pu. Et quand bien même Linus aurait trouvé le moyen de refuser, c’est probablement pas le seul à avoir été contacté.

Faut pas s’attendre à des miracles pour Linux, quand bien même le code est ouvert il est impossible de tout vérifier et d’être sûr à 100%.







<img data-src=" /> T as pas tout compris à la construction du kernel linux en gros.



Voila si la NSA parvient à faire intégrer un backdoor dans Linux, la communauté pourra répondre :







La communauté a écrit :



Fork you, NSA ..|..











coolraoul a écrit :



Je t’avoue que j’y connais rien dans le monde des services secrets. Mais le fait que ça arrive qu’a eux ce genre de médiatisation semble montrer que si, c’est des guignoles.



Nos services secret doivent bien se marrer, la NSA collecte les infos de toute la planète a l’aide de moyen monstrueux. Et ces infos sont surement accessible a tous les autres services secret. Je suis sur que la France a accès à l’immense manne d’info que collecte la NSA depuis longtemps, et doit bien rire qu’un simple gas comme snowden est pu tout piqué.





On a eu régulièrement la même (entre les écoutes de l’Elysée du temps de Mitterrand, les fadet’ plus proche de nous ou encore la DGSE qui s’est fait prendre les doigts dans le pot de confiture). Ce qui sauve nos propres services c’est qu’ils ne se soient pas fait chopper au niveau international (sauf Rainbow Warrior) et que les Français ont la mémoire courte (ou un trouble de l’attention, je ne sais pas trop) : il suffit de faire gigoter autre chose devant leurs yeux pour qu’ils lâchent l’affaire…









Konrad a écrit :



(…)



Chaque commit est vérifié par toute une pile de personnes avant d’arriver à Linus Torvalds et d’être intégré dans la branche principale du noyau : qu’apporte le commit ? Que modifie-t-il ? Apporte-t-il des améliorations (fonctionnalités, performances…) ? Le noyau est quelque chose de tellement critique que le moindre commit doit être justifié pour 1) garder de la cohérence, 2) ne pas ajouter de lignes de code inutiles, garder un noyau léger. De plus la liste des commits est visible publiquement par tout le monde. Si tu veux faire passer quelque chose dans le noyau tu ne peux pas le cacher.



Bref ce n’est pas quelque chose d’hypothétique : le code source du noyau est vérifié et audité en permanence, par tout un tas de gens et d’entreprises.





Tout à fait d’accord.



Par contre, qui vérifie le kernel de Windows, de OSX , si ce n’est leurs propriétaires puisque c’est fermé ?



Dès lors que la NSA, via le Patriot Act, a contraint les firmes à se plier à leurs exigences, c’est terminé, plié, circulez y’a rien à voir.









arno53 a écrit :



La machine a écrire y’a que ca de vrai … Et encore y’a sans doute la possibilité d’utilisé le micro du téléphone portable dans la poche pour écouter les touches et en déduire ce qui a été ecrit …





Ah merdum, on ne peux plus se cacher nul part pour faire des cochonneries ! On est pisté de partout !!!

<img data-src=" />

Moi je m’en fou, car j’ai développé mon propre système, avec mes propres applications, basées sur mes propres technologies.

J’ai également développé mes propres outils me permettant de jamais être repéré, et aussi des outils pour faire du terrorisme intergalactique, et pirater sans me faire prendre, les bases de données de tous les pays, planètes et sociétés lucratives.

Seulement, à ce jour, je n’ai toujours pas trouvé quoi en faire !?!!



Alors, je me met a penser que les données volées aux humains ne serves pas à grand chose non plus à la nsa !

Peut être qu’ils se branles dessus tout comme je me branle sur leur données ?

Va savoir…



A ceux qui compare le closed-source à open-source en terme de sécurité, c’est oublier un peu vite l’éco-système dans lequel l’OS évolu.

A moins d’être suicidaire aucune entreprise ne mettrait des serveurs en front sur Internet, il est bien évident qu’il y au moins 1 FW et probablement 1 IDS, pensez-vous que si des trames “bizarres” passaient, personne ne réagirait depuis le temps ?

Effectivement l’open-source permet, en théorie, de s’assurer que le code est safe mais quid d’une backdoor créée avec plusieurs contributions qui, chacune prise indépendamment, sont inoffensives mais regroupées ouvrent la faille ? Rien ne permet de dire que ce cas de figure ne peut pas exister.

La seule chose que l’on peut dire c’est qu’une fois la faille détectée, elle sera corrigée rapidement.








freechelmi a écrit :



<img data-src=" /> T as pas tout compris à la construction du kernel linux en gros.





C’est ça le souci, ceux qui n’utilisent pas Linux et ne font pas un minimum d’administration système, consulté les docs, ne comprennent pas et ne font que spéculer : « il y a des failles, et la NSA installe leur backdoor ni vu ni connu » alors que non, forcément à un moment ou à un autre quelqu’un le verrait puisque le kernel est modifié, scanné, en permanence, par des instances différentes, par du privé, du public, partout dans le monde et y compris au niveau du particulier.









Konrad a écrit :



Évidemment ce n’est pas aussi simple. Tout ce que je dis c’est qu’à partir du moment où on veut utiliser un ordinateur, on choisit de placer sa confiance dans un (ou plusieurs) éditeurs de logiciels.



Personnellement je préfère placer ma confiance dans le modèle de développement qui laisse le plus d’opportunités de découvrir une éventuelle faille/backdoor, de la corriger, et au nécessaire de forker.







Enfin TA confiance la NSA s’en fous un peu <img data-src=" />

Parce qu’on blablate mais je pense pas que la NSA nous aie deja eu à utilisé une faille/backdoor pour toi ou moi … Leur cible prioritaire reste les gouvernements et terroriste .. Et sachant que les