Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Prism : la participation de la NSA au code d’Android fait débat

Truth is out there

Prism : la participation de la NSA au code d'Android fait débat

Le 12 juillet 2013 à 15h10

Dernièrement, de nombreuses actualités ont abordé les multiples tentacules de la NSA depuis qu’Edward Snowden a fait les premières révélations sur le programme Prism. De grandes entreprises américaines sont ainsi pointées du doigt pour leur participation directe, ce dont elles se défendent. Alors que nous évoquions ce matin la situation de Microsoft, des informations contradictoires circulent au sujet d’Android, auquel la NSA a effectivement contribué.

HTC One nexus experience

Prism, un terreau pour de multiples craintes 

Les échos du programme Prism se propagent et provoquent de nombreuses réactions, qu’il s’agisse de paranoïa chez les utilisateurs, de fatalisme, de déclarations politiques ou d’ondes de choc diplomatiques. Prism permet à la NSA d’aspirer un très grand nombre de données à travers le monde, à la condition que ce ne soit pas (en théorie) sur le sol américain. Les documents détenus par Edward Snowden et révélés graduellement par The Guardian et le Washington Post ont déjà permis d’en apprendre beaucoup sur les rouages internes, mais certains aspects clés, telle que la relation « directe » entre les entreprises et la NSA, restent encore flous.

SELinux, la première participation de la NSA à des projets open source 

Ce matin, nous exposions le cas de Microsoft, mais l’éditeur fait partie d’un lot de sociétés censément impliquées dans Prism. Google en fait également partie et c’est justement Android dont il est maintenant question. La NSA ne pratique pas uniquement des activités dans le plus grand secret et certains travaux sont connus. C’est le cas notamment de ceux qui ont mené à la création de SELinux, autrement dit Security-Enhanced Linux, une fonctionnalité permettant d’améliorer la sécurité du système libre.

 

Ce travail a été mené dans un but bien précis : fournir aux gouvernements des garanties précises de sécurité, notamment en instaurant des groupes d’applications, chacun régis par des règles différentes. Les premiers résultats concrets ont été inclus en 2000 dans le noyau Linux (version 2.6.0) et d’autres contributeurs, à l’instar de Red Hat, ont rejoint le projet. Bien qu’il s’agisse de travaux menés par la NSA, ils comportaient une différence capitale avec les activités décrites depuis plusieurs semaines : le code publié a toujours été open source et a donc été révisé par de nombreux développeurs. La participation de la NSA est abordée sur le propre site officiel de l’agence de renseignement.

De Linux à Android 

De Linux, on passe fort logiquement à Android, le système mobile de Google étant basé sur le célèbre noyau. Or, voilà qu’un article publié récemment par Bloomberg se penchait justement sur le cas de cette plateforme équipant désormais les trois quarts des smartphones vendus dans le monde (selon IDC). Problème : non seulement la NSA a développé une version spécifique de SELinux pour Android, mais Google a confirmé que ce code était bien implémenté dans son système.

 

Les premières contributions de la NSA au code d’Android datent de 2011. Elles ont trait là encore à l’isolation des applications pour empêcher tout accès non autorisé aux données qu’elles contiennent. Une porte-parole de la NSA a confirmé à Bloomberg que le but était tout simplement d’augmenter le niveau global de sécurité des appareils mobiles. Seulement voilà, du seul fait que la NSA avait participé au développement d’Android, des craintes se sont fait jour.

Pourquoi se pencher sur la sécurité d'Android ? 

Bloomberg indiquait ainsi s’être procuré une présentation de la NSA datant de 2011 et dans laquelle l’agence expliquait que le programme pour Android servait deux objectifs : mieux comprendre la sécurité du système mobile et lui apporter des barrières supplémentaires. Bien qu’aucun lien réel n’ait pu être établi avec Prism ou tout autre programme de surveillance, il devenait raisonnable d’estimer qu’il y avait peut-être « anguille sous roche ».

 

Pourtant, comme le rappelle justement la porte-parole de la NSA, « le code-source est disponible publiquement à toute personne souhaitant l’utiliser, et cela inclut la possibilité de le vérifier ligne par ligne ». Selon la présentation récupérée par Bloomberg, l’agence avait simplement décidé de créer un projet séparé car Android avait ses propres spécificités, tant dans sa construction que dans sa finalité.

 

Mais alors, pourquoi la NSA se serait-elle penchée sur la plateforme mobile de Google ? L’hypothèse la plus probable tient dans la politique du gouvernement américain et de ses émanations, tel que le département de la Défense, concernant la gestion des appareils mobiles utilisés dans un cadre officiel. Comme nous l’indiquions en mai dernier, le Pentagone a mené des tests pour dégager un tronc commun servant de référentiel de sécurité. Il est donc plus que probable que dans une optique de projet à long terme, la NSA ait été impliquée dans la création des conditions nécessaires à l’utilisation d’Android. Le projet étant open source, il était d’autant plus simple pour l’agence d’y participer.

Des contributions en dormance pour l'instant 

Contrairement à SELinux toutefois, le code développé par la NSA pour Android est beaucoup plus récent. Le projet a été ainsi officiellement lancé en janvier 2012 et il comportait entre autres une chasse aux failles de sécurité. Selon Bloomberg, une partie du code « Security-Enhanced Android » est déjà présente dans les versions les plus récentes d’Android et donc dans des modèles tels que le Galaxy S4 et le HTC One. Elle n'est cependant pas active par défaut, ce qui pourrait changer dans les prochains moutures.

 

Et pourtant, l’article de Bloomberg se termine sur une note particulièrement troublante : « La NSA écrit en silence du code pour le système Android de Google ». Il est aisé d’imaginer que la NSA fait tout ce qu’elle peut pour installer des portes dérobées dans Android. Cependant, et comme nous l’avons déjà indiqué, la grande différence tient dans l’aspect open source et dans la possibilité pour des milliers de développeurs d’inspecter le code. Jeff Zemlin, directeur de la Linux Foundation, a d’ailleurs indiqué que la NSA n’avait ajouté aucun moyen « d’écouter aux portes », en précisant que le code avait justement « été vérifié par de nombreuses personnes ».

 

Difficile donc de juger de la situation, d’autant qu’aucun document volé par Snowden n’a encore été révélé pour aborder cette problématique. Notez qu’Apple, troisième principal acteur pour les systèmes d’exploitation, a indiqué via une porte-parole ne pas accepter « de code source d'une quelconque agence gouvernementale » pour ses produits.

Commentaires (115)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Après, a NSA espionne avec grand nombre d’outils : c’est pas parce que t’as un OS bien protégé que tes communications (quel que soit le protocole) sont elles-mêmes protégées, puis, PRIMS est un système d’écoute de communication, pas nécessairement un système qui peut voir ce que fait chacun sur son propre ordi.

votre avatar

Cet aspect Open-Source ouvert aux audits extérieurs me fait penser, je ne sais pouquoi, aux débats concernant l’open-bar micro$oft de notre ministère de la défense… open-bar oui, mais pour qui exactement ?<img data-src=" />

votre avatar

Bon, ben reste BlackBerry, Bada , MeeGo…



Quoique, pour le dernier on Intel…



Et pour Bada je ne sais pas si il est toujours distribué.

votre avatar







Horrza a écrit :



Je vois que tu n’as pas encore compris que le gvt des USA, ce sont les entreprises…





Tiens, un gauchiste ! <img data-src=" /> Je me sens mois seul ^^


votre avatar







charon.G a écrit :



Ils ont surement une réserve de failles 0 day pour faire leur travail.





Y a pas qu’eux, sinon Stuxnet n’aurait jamais existé (un record pour le nombre de failles utilisées d’ailleurs).


votre avatar







Simfr24 a écrit :



Tiens, un gauchiste ! <img data-src=" /> Je me sens mois seul ^^







Ou plutôt quelqu’un qui a compris à quoi sert le lobbying …


votre avatar







BlackTrust a écrit :



Après, a NSA espionne avec grand nombre d’outils : c’est pas parce que t’as un OS bien protégé que tes communications (quel que soit le protocole) sont elles-mêmes protégées, puis, PRIMS est un système d’écoute de communication, pas nécessairement un système qui peut voir ce que fait chacun sur son propre ordi.







Pour ça, il y a certainement d’autres programmes.



Allez savoir s’il n’y a pas déjà des moyens d’espionnage intégrés directement dans le silicium <img data-src=" />


votre avatar

Android

Winphone

iPhone



Reste quoi ?









Simfr24 a écrit :



Tiens, un gauchiste ! <img data-src=" /> Je me sens mois seul ^^





<img data-src=" />

Horzza gauchiste ? <img data-src=" />


votre avatar







Zaouli a écrit :



Donc la NSA participe juste pour apporter sa pierre à l’édifice sans arrière pensée ? Hahahaha !









ErGo_404 a écrit :



S’il y a des backdoor installées sur Android, elles sont probablement dans des couches plus haute du système, par exemple dans les Google Apps, qui ne sont pas open source et qui ont à peu près tous les droits sur le système.







J’allais dire que les backdoors, elles sont au niveau de Gmail et tous les services Google (obligatoires je crois pour activer le téléphone). Pourquoi se faire suer à mettre du code, qui pourra être relu, alors que la NSA a accès à tout Google?



L’intelligence (en anglais et en français) est à la périphérie, pas sur le terminal ou le réseau. Donc allons là où sont les données, chez Google!


votre avatar







Bug a écrit :



Android

Winphone

iPhone



Reste quoi ?



Firefox OS ?


votre avatar







GruntZ a écrit :



Firefox OS ?









<img data-src=" />





Mais BB si, et pour les 2 méthodes de collecte avec le cryptage… Reste le cas de Skype sur BB que je n’ai pas étudié…


votre avatar







GruntZ a écrit :



Firefox OS ?







Le talkie walkie ou les pots de yaourt, quoique pour le premier c’est pas sur. <img data-src=" />


votre avatar







after_burner a écrit :



Le talkie walkie ou les pots de yaourt, quoique pour le premier c’est pas sur. <img data-src=" />







Tu as oublié le pigeon voyageur. <img data-src=" />


votre avatar







Zaouli a écrit :



Donc la NSA participe juste pour apporter sa pierre à l’édifice sans arrière pensée ? Hahahaha !







La NSA a comme premier objectif la sécurité informatique des USA dans ce cadre elle crée des algorithmes de cryptage comme le sha-1 par exemple, emet des recommandations de sécurité, dit si oui ou non tel ou tel système peut être utilisé et pourquoi (activité d’audit).



Sa seconde mission si on lui demande est de faire de l’interception et de casser des systèmes sécurisé, elle ne fait pas “d’intelligence” c-à-d d’analyse de données en soit ça c’est le boulot de CIA (qui en veut à la NSA pk la NSA le fait aussi si on lui demande).



Il faut voir la NSA comme un fabricant de coffre fort, elle sait faire des systèmes sécurisé et casser des systèmes sécurisé.



Donc la NSA fait de l’audit sur les projets open source, et effectue des tests de sécurité sur les systèmes non open source, puisque c’est elle qui dit aux agences US (police, etc.) si elles peuvent utiliser tel ou tel soft et quel niveau de sécurité peut être atteint.


votre avatar







metaphore54 a écrit :



Tu as oublié le pigeon voyageur. <img data-src=" />







La RFC1149, ya que ça de vrai ! <img data-src=" />



(ou mieux la RFC 2549. Par contre, je reste dubitatif sur la RFC 6214 pour l’instant. 2^32 pigeons, ça laisse le temps de voir venir <img data-src=" />)



votre avatar







John Shaft a écrit :



Elle existait à priori avant que le NSA ne mette son nez dans le code d’Android.



L’hypothèse pour que la NSA pondent du code open source pour Android afin d’en renforcer la sécurité en vue d’une utilisation par des agences gouvernementales sensibles est quand même fort plausible. En plus l’open source à l’avantage pour eux de rendre accessible le code aux devs du monde entier qui ensuite peuvent eux tester la solidité de la couche de protection rajoutée par la NSA.



A noter qu’en 2000 lors de l’apparition du code de SELinux, on sortait de l’affaire _NSAKEY, le code avait déjà du être scrutée de toutes part à l’époque. Là avec les révélations récentes, la scrutation sera à mon avis d’autant plus importante.



C’est gagnant-gagnant pour tous le monde :




  • Le tout-venant (dont les agences du gouvernement ricain) qui se retrouve avec un système plus sûr

  • La NSA qui fait des économies en salaire de développeurs pour la traque aux bugs et autres failles



    EDIT : grillé mais je détaille un peu <img data-src=" />







    Ah ouais la NSA KEY, la Namespace Assembly Key que connais tout développeur C/C++ sous windows, aucun rapport avec la nsa mais boon


votre avatar
votre avatar



http://www.developpez.com/actu/37163/Aucun-OS-mobile-ne-respecterait-la-liberte-...





ben si ! selon eux même le hard est, si ce n’est libre, du moins bien connu et analysé.





Hardware components were selected based on the requirement of publicly available documentation.





<img data-src=" />



edit et ce n’est pas un android hein !

votre avatar







Winderly a écrit :



<img data-src=" /> C’est une triple négation :




  1. ne

  2. pas

  3. aucune



    Bon ok en français les 2 premières comptent pour une seule…







    <img data-src=" /><img data-src=" /><img data-src=" />





    Bonjour ça veut dire au revoir.



    Bon ok en français bonjour ça veut dire bonjour…





    <img data-src=" /><img data-src=" /><img data-src=" />


votre avatar







NiCr a écrit :



<img data-src=" /><img data-src=" /><img data-src=" />







<img data-src=" /><img data-src=" /><img data-src=" />





pour citer le JdG… : DROOOOOOOOOOOOOOOOGUUUUE !!!


votre avatar







methos1435 a écrit :



Non mais ils pourraient avoir la possibilité de cibler certaines personnes si ça leur chante…







C’est ce que j’expliquais à after_burner, mais encore faudrait il qu’elle (la NSA) aie réussi à faire installer un troyan dans les smartphones des “clients” cliblés… ^^



Sinon, elle ne peut écouter que les communications/informations sortantes, et là il faudrait qu’elle aie également piraté la totalité des serveurs des opérateurs…



Simplement d’un point de vue technique, c’est pas comme si elle écoutait les tuyaux Ethernet… mais là on retombe dans la problématique que j’exposais auparavant et encore à la condition qu’il y aie un adressage fixe et non DHCP…


votre avatar







2show7 a écrit :



Bon, soit ! pour le 8.04 LTS <img data-src=" />, mais j’ai dit amélioré (avec softs pour du tactile) <img data-src=" />







Va voir ce qui se fait sur XDA pour ton modèle de smartphone…





after_burner a écrit :



-Pardon? j’ai très bien dormi, merci. <img data-src=" />





-Ils peuvent bien avoir un téléphone pour les communication “banales” et un autre pour les sujets sensibles. Un smartphone paramétré pour ça ne me semble pas être une idée farfelue.







Tu connais la taille de la NSA et le nombre de personnes travaillant pour elle, tout comme toutes les institutions gouvernementales ??? <img data-src=" />



Tu connais également le principe/la problématique du BOYD ???



C’est la raison pour laquelle il y a une sélection de constructeurs et de modèles répondant aux critères de sécurité suffisantes afin d’être autorisés à accéder aux “réseaux/serveurs/données” de l’organisation, comme cela a été fait avec le Pentagone.



Sinon, il faudrait qu’il y aie une équipe uniquement dédiée à la programmation de ROM pour tous les modèles et toutes les marques de smartphones dans le monde….



Sinon, heureux que tu aies passé une bonne nuit. <img data-src=" />


votre avatar







sylware a écrit :



SHA1 et 2 sortent des labos de la NSA… confiance?







La NSA recommande ne plus les utiliser pour des donnes vraimen vraiment sensible puisque les algos ont étés cassé par les chinois il y a quelques années


votre avatar







teddyalbina a écrit :



La NSA recommande ne plus les utiliser pour des donnes vraimen vraiment sensible puisque les algos ont étés cassé par les chinois il y a quelques années







sources ?


votre avatar







arobase40 a écrit :



..

Tu connais également le principe/la problématique du BOYD ???



C’est la raison pour laquelle il y a une sélection de constructeurs et de modèles répondant aux critères de sécurité suffisantes afin d’être autorisés à accéder aux “réseaux/serveurs/données” de l’organisation, comme cela a été fait avec le Pentagone.



Sinon, il faudrait qu’il y aie une équipe uniquement dédiée à la programmation de ROM pour tous les modèles et toutes les marques de smartphones dans le monde….







Pour le pentagone, je crois que c’était l’iPhone5 et le GS4, pour ce dernier samsung avait du revoir ses surcouches pour qu’il soit accepté. Je vois pas en quoi ça contredit ce que je disait, ils font justement un travail avec des constructeur pour s’assurer que les téléphones soient safe, j’ai pas dit qu’ils serait obligé de le faire pour tout les fabricants, ils choisissent 1 ou 2 modèles qu’ils paramètrent pour çà.



Concernant le code de base d’androïd, ok ils peuvent bien y inclure des “améliorations”, mais c’est comme pour tout, rien ne dit que les téléphones de fonctions de la NSA tournent avec des modifications identiques, même si ça demande du travail, ils peuvent remodifier ce qu’il veulent derrière.



Ce sont des hypothèses, tout est possible. <img data-src=" />


votre avatar

Je dois pas avoir été clair.

Mais jusqu’à preuve du contraire ‘ne’ est bien une négation, ‘pas’ en est une aussi.

Maintenant vous faites comme vous voulez.

Et j’ignore où j’ai écrit que bonjour veut dire au revoir.

Faut peut être arrêter la drogue justement.

votre avatar







metaphore54 a écrit :



Tu as oublié le pigeon voyageur le protocole IPoAC. <img data-src=" />





<img data-src=" /><img data-src=" />



EDITH :





John Shaft a écrit :



La RFC1149, ya que ça de vrai ! <img data-src=" />



(ou mieux la RFC 2549. Par contre, je reste dubitatif sur la RFC 6214 pour l’instant. 2^32 pigeons, ça laisse le temps de voir venir <img data-src=" />)





Barbecued <img data-src=" />


votre avatar

Tout ce là n’est que pur fantasme. Google se fait juste aider de professionnels pour améliorer la qualité de ses produits, c’est tout. D’ailleurs ils le disent :

http://www.androidauthority.com/nsa-android-code-239118/

votre avatar

Entendu il y a quelques années par un responsable d’une entreprise “kaki” dans mon école.



Si l’un d’entre vous veut un stage / job très très bien payé, à vie, et que cette personne est un génie, je veux me débarrasser de SELinux, aujourd’hui c’est impossible…



il y avait aussi la phrase “La question n’est pas de savoir s’il y a une backdoor, la question est de savoir combien il y en a”.

votre avatar







John Shaft a écrit :



La RFC1149, ya que ça de vrai ! <img data-src=" />



(ou mieux la RFC 2549. Par contre, je reste dubitatif sur la RFC 6214 pour l’instant. 2^32 pigeons, ça laisse le temps de voir venir <img data-src=" />)









<img data-src=" /> <img data-src=" /> <img data-src=" />



le dessin dans la RFC QoS <img data-src=" />



le vocabulaire employé qui est utilisé pour les protocoles réseaux et les oiseaux est excellent.


votre avatar

C’est l’énorme avantage du code open source largement public et diffusé.

votre avatar

J’adore la dernière phrase

<img data-src=" />



edit: ya un bug dans l’odre des comms ou quoi ?

votre avatar







nick_t a écrit :



J’adore la dernière phrase

<img data-src=" />







Bah oui, ils n’ont rien accepté, ils l’ont écrit eux même !!





votre avatar







Crysalide a écrit :



C’est l’énorme avantage du code open source largement public et diffusé.









Il est donc plus que probable que dans une optique de projet à long terme, la NSA ait été impliquée dans la création des conditions nécessaires à l’utilisation d’Android. Le projet étant open source, il était d’autant plus simple pour l’agence d’y participer.





Oui, je vois ça. <img data-src=" />



Reste plus que IOS et BB 10 à passer.


votre avatar







oufledingue a écrit :



Bah oui, ils n’ont rien accepté, ils l’ont écrit eux même !!





Comma ça ils peuvent mettre ce qu’ils veulent <img data-src=" />


votre avatar







BlackTrust a écrit :



Après, a NSA espionne avec grand nombre d’outils : c’est pas parce que t’as un OS bien protégé que tes communications (quel que soit le protocole) sont elles-mêmes protégées, puis, PRIMS est un système d’écoute de communication, pas nécessairement un système qui peut voir ce que fait chacun sur son propre ordi.







Enfin un qui a compris, j’me sens moins seul


votre avatar







John Shaft a écrit :



C’est gagnant-gagnant pour tous le monde :




  • Le tout-venant (dont les agences du gouvernement ricain) qui se retrouve avec un système plus sûr

  • La NSA qui fait des économies en salaire de développeurs pour la traque aux bugs et autres failles





    +1



    Ils sécurisent face au “restes du monde”, et se gardent à moindre frais les failles les plus inexploitables. et exploitent à moindre frais les failles les plus indécelables.



    Edit : Pas tout les jours facile le français…


votre avatar







teddyalbina a écrit :



Ah ouais la NSA KEY, la Namespace Assembly Key que connais tout développeur C/C++ sous windows, aucun rapport avec la nsa mais boon







OSEF de ce que c’est ou ce que ce n’est pas. Ce qui est intéressant ce sont les effets de bord (que la fameuse NSAKEY avait la forme d’une clé publique 1024 bits, d’autant plus que MS n’a jamais nier http://www.microsoft.com/security/bulletins/backdoor.asp” target=”_blank” rel=“nofollow”>le lien entre cette clé et la NSA)


votre avatar

Damned, je peux plus éditer : lien correct :



web.archive.org Archive.org://www.microsoft.com/security/bulletins/backdoor.asp



(dur dur les http imbriqué pour la balise URL)

votre avatar

si ça se trouve. Google n’est qu’une société écran de la NSA.

Moi qui pensait que c’était Google qui avait avalé la NSA, j’ai tout faux

votre avatar







befa508 a écrit :



si ça se trouve. Google n’est qu’une société écran de la NSA.

Moi qui pensait que c’était Google qui avait avalé la NSA, j’ai tout faux







Google à bien investi du fric dans un ordinateur quantique. Il me semble qu’en théorie c’est top pour mettre à mal certains systèmes de chiffrement…





votre avatar







methos1435 a écrit :



Google à bien investi du fric dans un ordinateur quantique. Il me semble qu’en théorie c’est top pour mettre à mal certains systèmes de chiffrement…







C’est vrai que c’est la seule utilité des systèmes quantiques


votre avatar







ff9098 a écrit :



C’est vrai que c’est la seule utilité des systèmes quantiques









J’ai jamais dit ça.



Mais si cette info se révèle exacte (parce que beaucoup de scientifiques doutent de l’existence d’un véritable ordinateur quantique pleinement opérationnel, à la capacité annoncée) ça montre juste que même l’utilisation du chiffrement ne permettrai plus forcément de garantir quoi que ce soit.



Et voir un tel outil dans les mains de Gogole ne me réjouis pas tant que ça.


votre avatar

Mais qui fait donc ces présentations de type à moitié PowerPoint pour Prism et UPStream ?! Quelle horreur ! <img data-src=" />



Vous savez l’image de la mort qui tue qui présente Prism et UPStream !!



<img data-src=" />

votre avatar

Quel intérêt d’espionner le terminal, puisqu’ils ont déjà accès à tout le cloud Google, ce dernier contenant toutes les informations nécessaires sur l’utilisateur.

votre avatar







Obidoub a écrit :



Quel intérêt d’espionner le terminal, puisqu’ils ont déjà accès à tout le cloud Google, ce dernier contenant toutes les informations nécessaires sur l’utilisateur.









Récupérer l’information à la base (le terminal) peut éventuellement faire sauter quelques barrières, notamment pour les informations chiffrées…



Imagines un service cloud où les données sont stockées de façon sécurisée. Accéder au serveur ne sert à rien (en admettant qu’il n’existe aucune backdoor ou mesure de contournement). Par contre le document: il apparait en clair sur le terminal de consultation…


votre avatar

setenforce 0



de rien <img data-src=" />

votre avatar







methos1435 a écrit :



Récupérer l’information à la base (le terminal) peut éventuellement faire sauter quelques barrières, notamment pour les informations chiffrées…







Oui, mais balancer du code sous licence open source, en précisant bien que le dit-code est dév’ par la NSA et y foutre une faille/backdoor/whatever, faudrait vraiment être neuneu.



Mieux vaut balancer du code “pourri” sous pseudonyme en prenant soin d’être sûr de pouvoir tout nier en bloc facilement si on se fait prendre la main dans la sac


votre avatar







methos1435 a écrit :



J’ai jamais dit ça.



Mais si cette info se révèle exacte (parce que beaucoup de scientifiques doutent de l’existence d’un véritable ordinateur quantique pleinement opérationnel, à la capacité annoncée) ça montre juste que même l’utilisation du chiffrement ne permettrai plus forcément de garantir quoi que ce soit.



Et voir un tel outil dans les mains de Gogole ne me réjouis pas tant que ça.







Je vois pas pourquoi ça serait plus dangereux dans les mains de Google que de quelqu’un d’autre


votre avatar







John Shaft a écrit :



Oui, mais balancer du code sous licence open source, en précisant bien que le dit-code est dév’ par la NSA et y foutre une faille/backdoor/whatever, faudrait vraiment être neuneu.



Mieux vaut balancer du code “pourri” sous pseudonyme en prenant soin d’être sûr de pouvoir tout nier en bloc facilement si on se fait prendre la main dans la sac









Ba personne n’a pu prouver quoi que ce soit par rapport au code fournit par la NSA donc peut être qu’il n’y a rien à chercher. On se fait beaucoup de films suites aux révélations de Snowden.



Après, je sais pas du tout ce qu’ils ont ajouté et comment. Mais on pourrait imaginer qu’ils utilisent des technologies sécurisées pour lesquelles ils maitrisent des failles ou des méthode de contournement qui ne sont pas connues publiquement. JE parle là de problèmes dans la méthode même de chiffrement donc peu importe que le code soit propre ou non.



A partir d’un moment, avoir un code propre ne suffit plus. On a des méthodes de chiffrement tellement développées que trouver des failles exploitables n’est pas à la portée de beaucoup de monde. Je pense qu’ils ont des têtes à bosser dans la recherche de failles ou de faiblesses.



Des failles peuvent être exploitées au nez et à la barbe de beaucoup de monde sans éveiller de soupçon si elles ne sont pas rendues publiques. Et pour Mr tout le monde dès qu’on dit que c’est chiffré ça leur suffit pour penser que c’est sécurisé à 100%….



Mais encore une fois, avec les révélations récentes, on a tendance à être un peu plus parano que d’habitude…


votre avatar







ff9098 a écrit :



Je vois pas pourquoi ça serait plus dangereux dans les mains de Google que de quelqu’un d’autre









C’est pas plus dangereux que pour d’autres mais faut avouer que tout le monde n’a pas les moyens de se payer un joujou pareil.



Et Google est pas spécialement connu pour être parfaitement respectueux de la vie privée de chacun…


votre avatar







fred42 a écrit :



Il faut attendre le premier août pour le savoir.







Pourquoi le 1° août ???







coket a écrit :



Bon, ben reste BlackBerry, Bada , MeeGo…



Quoique, pour le dernier on Intel…



Et pour Bada je ne sais pas si il est toujours distribué.







Ben si tu trouves des Samsung Wave dans le commerce, cela répond à ton questionnement… <img data-src=" />







linkin623 a écrit :



J’allais dire que les backdoors, elles sont au niveau de Gmail et tous les services Google (obligatoires je crois pour activer le téléphone). Pourquoi se faire suer à mettre du code, qui pourra être relu, alors que la NSA a accès à tout Google?



L’intelligence (en anglais et en français) est à la périphérie, pas sur le terminal ou le réseau. Donc allons là où sont les données, chez Google!







Des croyances sans fondement, car même hors Cyanogen et les Geeks, il y plus de Michus que tu ne penses qui n’ont jamais crée de compte Gmail et qui se servent de leurs smartphones avant tout pour téléphoner ou pour des usages de base… ^^





metaphore54 a écrit :



Tu as oublié le pigeon voyageur. <img data-src=" />







Même/surtout les pigeons voyageur peuvent avoir une puce implantée sous la peau… <img data-src=" />


votre avatar

SHA1 et 2 sortent des labos de la NSA… confiance?

votre avatar







Obidoub a écrit :



Quel intérêt d’espionner le terminal, puisqu’ils ont déjà accès à tout le cloud Google, ce dernier contenant toutes les informations nécessaires sur l’utilisateur.







Pfu !



Dans ce cas, elle n’a pas besoin d’avoir ses propres serveurs et ses propres ressources. Ca fait doublon et du gaspillage des deniers des contribuables américains… <img data-src=" />





methos1435 a écrit :



Récupérer l’information à la base (le terminal) peut éventuellement faire sauter quelques barrières, notamment pour les informations chiffrées…



Imagines un service cloud où les données sont stockées de façon sécurisée. Accéder au serveur ne sert à rien (en admettant qu’il n’existe aucune backdoor ou mesure de contournement). Par contre le document: il apparait en clair sur le terminal de consultation…







C’est évident qu’elle envoie des millions de marmottes pour farfouiller dans les centaines de millions de smartphones utilisés de par le monde… <img data-src=" />





methos1435 a écrit :



Et Google est pas spécialement connu pour être parfaitement respectueux de la vie privée de chacun…







Ni plus ni moins que les autres…



Et après tout dépend de ce que tu entends par “vie privée de chacun” ???



Est-ce qu’il t’identifie par ton patronyme, voire même via ton pseudo pour afficher ses pubs ou simplement via un “profile” type ???







methos1435 a écrit :



Mais encore une fois, avec les révélations récentes, on a tendance à être un peu plus parano que d’habitude…









John Shaft a écrit :



Yup.







Ça ressemble plus à une autre forme de “guerre froide” à grands coups de bluffs. <img data-src=" />







2show7 a écrit :



Cela me fait penser que doit vérifier ma batterie <img data-src=" /><img data-src=" /><img data-src=" />







Ouaip, ça doit expliquer pourquoi les batteries ont tendance à se vider aussi rapidement… <img data-src=" />


votre avatar







2show7 a écrit :



Autre chose, peut-on faire passer un smartphone pour un PC portable en changeant d’OS ? (je suis sérieux ici <img data-src=" />)









2show7 a écrit :



Par exemple mettre un Ubuntu 8.04 Lts amélioré <img data-src=" />







C’est un peu dépassé comme version et plus du tout supporter, sans compter qu’il n’y a probablement pas de version ARM dans cette version, à moins que tu te sentes le courage de la développer toi-même en rajoutant la partie tactile qui n’existait pas.



Donc, il te faudra le piloter avec un ensemble clavier-souris que tu devras te trimbaler avec ton smartphone… <img data-src=" />


votre avatar







Stargateur a écrit :



intro pixar version NSA





LIDD <img data-src=" /><img data-src=" />


votre avatar







metaphore54 a écrit :



Pas que américaine, dès que tu vas sur le sol américain quelque soit ta nationalité.





<img data-src=" />


votre avatar







arobase40 a écrit :



C’est évident qu’elle envoie des millions de marmottes pour farfouiller dans les centaines de millions de smartphones utilisés de par le monde… <img data-src=" />







Non mais ils pourraient avoir la possibilité de cibler certaines personnes si ça leur chante…


votre avatar







arobase40 a écrit :



C’est un peu dépassé comme version et plus du tout supporter, sans compter qu’il n’y a probablement pas de version ARM dans cette version, à moins que tu te sentes le courage de la développer toi-même en rajoutant la partie tactile qui n’existait pas.



Donc, il te faudra le piloter avec un ensemble clavier-souris que tu devras te trimbaler avec ton smartphone… <img data-src=" />







Bon, soit ! pour le 8.04 LTS <img data-src=" />, mais j’ai dit amélioré (avec softs pour du tactile) <img data-src=" />


votre avatar







NiCr a écrit :



Attention à la double négation…







Pourquoi vous le corrigez? Ce qu’il a écrit est juste::



“Aucun” pronom indéfini



Se place avant un nom, reste au singulier et, dans ce cas, il est toujours accompagné de l’adverbe de négation “ne” ou de la préposition “sans” :





  • Aucun coureur ne peut éviter cette côte - Aucune raison ne sera valable. Il est dans ce cas le plus souvent suivi d’un complément : il souhaite qu’aucun d’eux ne vienne chez lui.



  • Je l’ai quitté sans aucun regret.

  • Il a plongé sans crainte aucune. (Ici, le terme “aucun” se trouve placé après le nom).

    source:http://www.aidenet.eu/h_aucun.htm


votre avatar







dahu74 a écrit :



Pourquoi vous le corrigez? Ce qu’il a écrit est juste::



“Aucun” pronom indéfini



Se place avant un nom, reste au singulier et, dans ce cas, il est toujours accompagné de l’adverbe de négation “ne” ou de la préposition “sans” :





  • Aucun coureur ne peut éviter cette côte - Aucune raison ne sera valable. Il est dans ce cas le plus souvent suivi d’un complément : il souhaite qu’aucun d’eux ne vienne chez lui.



  • Je l’ai quitté sans aucun regret.

  • Il a plongé sans crainte aucune. (Ici, le terme “aucun” se trouve placé après le nom).

    source:http://www.aidenet.eu/h_aucun.htm







    <img data-src=" />



    Avec la double négation, la phrase voulait dire qu’Apple accepte du code source d’agence, alors que si un porte parole s’est fendu d’un communiqué, c’était justement pour dire que NON, ils n’acceptent pas du code source d’agence.


votre avatar







arobase40 a écrit :



Ce que je comprends surtout c’est que tu vas passer une nuit super cauchemardesque à te repasser la bobine de ton cinéma en boucle… <img data-src=" /> <img data-src=" />









Pour ce qui est des smartphones de la NSA, tu crois qu’ils viennent d’où ???

Tu penses qu’elle possède sa propre usine qui produirait des smartphones uniquement à l’attention de son personnel et que celui-ci n’aurait pas le droit d’apporter son matos personnel interne ou externe, acheté dans le commerce ???









-Pardon? j’ai très bien dormi, merci. <img data-src=" />





-Ils peuvent bien avoir un téléphone pour les communication “banales” et un autre pour les sujets sensibles. Un smartphone paramétré pour ça ne me semble pas être une idée farfelue.


votre avatar
votre avatar







NiCr a écrit :



Notez qu’Apple, troisième principal acteur pour les systèmes d’exploitation, a indiqué via une porte-parole ne pas accepter « de code source d’aucune agence gouvernementale » pour ses produits.





Attention à la double négation…


<img data-src=" /> C’est une triple négation :




  1. ne

  2. pas

  3. aucune



    Bon ok en français les 2 premières comptent pour une seule…


votre avatar







2show7 a écrit :



Bon, soit ! pour le 8.04 LTS <img data-src=" />, mais j’ai dit amélioré (avec softs pour du tactile) <img data-src=" />







Ubuntu for phones est en préparation :

http://www.ubuntu.com/phone



C’est pourquoi je posais la question, pour savoir si quelqu’un l’avait béta testée …


votre avatar



Android

Winphone

iPhone



Reste quoi ?





OPENMOKO



c’est libre mais faut bidouiller un poil

votre avatar







after_burner a écrit :



Pour la participation sur la sécurité, je vois pas pourquoi ils donneraient cela dans le code d’androïd en général, sur les téléphones de leur administration Ok, mais le reste?







AMHA : c’est plus rationnel de partager les fonctionnalités non-critiques que de devoir repatcher tout leur parc à chaque release.


votre avatar

Ben voyons, la NSA débarque tel le père noël pour améliorer le niveau de sécurité d’Androïd???? sans retour sur investissement??





La faille qui touchait les 99% des appareils c’était quoi alors…









<img data-src=" />

votre avatar

La question est de savoir si les entreprises US ont encore un mot à dire face au gvt et agences US… avec le Patriot Act…



Si elles refusent =&gt; terroriste =&gt; Guantanamo

votre avatar







nick_t a écrit :



La question est de savoir si les entreprises US ont encore un mot à dire face au gvt et agences US… avec le Patriot Act…



Si elles refusent =&gt; terroriste =&gt; Guantanamo







Pas que américaine, dès que tu vas sur le sol américain quelque soit ta nationalité.


votre avatar



Notez qu’Apple, troisième principal acteur pour les systèmes d’exploitation, a indiqué via une porte-parole ne pas accepter « de code source d’aucune agence gouvernementale » pour ses produits.





Attention à la double négation…

votre avatar







NiCr a écrit :



Attention à la double négation…







Nan mais c’est juste pour insister sur le fait qu’Apple est ultra clean…<img data-src=" />


votre avatar

Je ne veux pas dire de bêtises mais le code IPSec n’était pas aussi open source?

votre avatar







nick_t a écrit :



Nan mais c’est juste pour insister sur le fait qu’Apple est ultra clean…<img data-src=" />







Au contraire, rien n’empêche Apple d’écrire lui même le code qui permettra à des agences d’interagir avec leurs OS.



Mais là la double négation est à mon avis une erreur.


votre avatar







after_burner a écrit :



Ben voyons, la NSA débarque tel le père noël pour améliorer le niveau de sécurité d’Androïd???? sans retour sur investissement??



La faille qui touchait les 99% des appareils c’était quoi alors…

<img data-src=" />





Il faut attendre le premier août pour le savoir.


votre avatar

Si la NSA veut des failles, ils sont capables de les chercher eux-mêmes (ou faire appel à des prestataires je suppose). Et même si ils préféraient les failles faites maison, ils les proposeraient de manière un peu plus détournée, pas avec un mail @nsa.gov.


votre avatar







after_burner a écrit :



Ben voyons, la NSA débarque tel le père noël pour améliorer le niveau de sécurité d’Androïd???? sans retour sur investissement??





La faille qui touchait les 99% des appareils c’était quoi alors…









<img data-src=" />







Aucun rapport


votre avatar







wonder36 a écrit :



Je ne veux pas dire de bêtises mais le code IPSec n’était pas aussi open source?





Si tu parle pour bsd faut relire les news, a chaque fois on le cite et on redonne le lien xD


votre avatar







after_burner a écrit :



Ben voyons, la NSA débarque tel le père noël pour améliorer le niveau de sécurité d’Androïd???? sans retour sur investissement??





La faille qui touchait les 99% des appareils c’était quoi alors…









<img data-src=" />





&gt;_&lt;



La NSA a aussi et surtout pour rôle de protéger les USA. S’ils ont un système sécurisé, ils en profitent aussi, et c’est là leur retour sur investissement.

Quand à la faille qui touche 99% des devices, elle ne touche pas 99% des appareils. Elle touche POTENTIELLEMENT 99% des appareils, si ces 99% installent d’utilisateurs installent des applis hors market, ce qui n’est pas le cas.

Et elle n’a rien à voir avec SELinux ni la NSA, cette faille est liée à un problème dans la compression zip, à côté de laquelle de nombreux auditeurs auraient pu passer. Ca n’empêche pas qu’elle puisse avoir été introduite volontairement, mais vu les conséquences et le caractère vicieux du bug, je pense que c’était totalement involontaire.



Quand à SE Linux pour Android, il est lui aussi open source comme c’est dit dans l’article (c’est d’ailleurs la même implémentation que sur Linux). Je ne vois vraiment pas le soucis. S’il y a des backdoor installées sur Android, elles sont probablement dans des couches plus haute du système, par exemple dans les Google Apps, qui ne sont pas open source et qui ont à peu près tous les droits sur le système.


votre avatar







after_burner a écrit :



Ben voyons, la NSA débarque tel le père noël pour améliorer le niveau de sécurité d’Androïd???? sans retour sur investissement??









Le retour sur investissement pour la NSA c’est aussi de savoir ce qu’ont dans le ventre les téléphones sensibles de l’administration US.



(et comme dit ailleurs, pour injecter une back-door, on n’utilise pas une adresse mail en nsa.org)



Edit Mon premier barbecue


votre avatar

Donc la NSA participe juste pour apporter sa pierre à l’édifice sans arrière pensée ? Hahahaha !

votre avatar







after_burner a écrit :



La faille qui touchait les 99% des appareils c’était quoi alors…







Elle existait à priori avant que le NSA ne mette son nez dans le code d’Android.



L’hypothèse pour que la NSA pondent du code open source pour Android afin d’en renforcer la sécurité en vue d’une utilisation par des agences gouvernementales sensibles est quand même fort plausible. En plus l’open source à l’avantage pour eux de rendre accessible le code aux devs du monde entier qui ensuite peuvent eux tester la solidité de la couche de protection rajoutée par la NSA.



A noter qu’en 2000 lors de l’apparition du code de SELinux, on sortait de l’affaire _NSAKEY, le code avait déjà du être scrutée de toutes part à l’époque. Là avec les révélations récentes, la scrutation sera à mon avis d’autant plus importante.



C’est gagnant-gagnant pour tous le monde :




  • Le tout-venant (dont les agences du gouvernement ricain) qui se retrouve avec un système plus sûr

  • La NSA qui fait des économies en salaire de développeurs pour la traque aux bugs et autres failles



    EDIT : grillé mais je détaille un peu <img data-src=" />


votre avatar







ErGo_404 a écrit :



S’il y a des backdoor installées sur Android, elles sont probablement dans des couches plus haute du système, par exemple dans les Google Apps, qui ne sont pas open source et qui ont à peu près tous les droits sur le système.



+1 <img data-src=" />


votre avatar







Crysalide a écrit :



C’est l’énorme avantage du code open source largement public et diffusé.





Encore faut-il avoir suffisamment de gens suffisamment compétents pour analyser les millions de lignes de codes…

Avant qu’une faille mise volontairement et donc camouflée ne soit trouvée je pense qu’il y’a le temps de voir venir les choses…


votre avatar







ErGo_404 a écrit :



Quand à SE Linux pour Android, il est lui aussi open source comme c’est dit dans l’article (c’est d’ailleurs la même implémentation que sur Linux). Je ne vois vraiment pas le soucis. S’il y a des backdoor installées sur Android, elles sont probablement dans des couches plus haute du système, par exemple dans les Google Apps, qui ne sont pas open source et qui ont à peu près tous les droits sur le système.









<img data-src=" />


votre avatar







NiCr a écrit :



Attention à la double négation…







C’est corrigé merci <img data-src=" />


votre avatar







chacalVSdundee a écrit :



Encore faut-il avoir suffisamment de gens suffisamment compétents pour analyser les millions de lignes de codes…

Avant qu’une faille mise volontairement et donc camouflée ne soit trouvée je pense qu’il y’a le temps de voir venir les choses…





+1 et si vraiment un audit suffisait à trouver toutes les failles ça veut dire qu”il y aurai plus aucune faille dans Windows , Firefox ou chrome par exemple. On en est loin….


votre avatar

Oui bon , je me doutais un peu que ça n’avait rien à voir en fait…





















<img data-src=" /><img data-src=" />





Pour la participation sur la sécurité, je vois pas pourquoi ils donneraient cela dans le code d’androïd en général, sur les téléphones de leur administration Ok, mais le reste?

votre avatar







charon.G a écrit :



+1 et si vraiment un audit suffisait à trouver toutes les failles ça veut dire qu”il y aurai plus aucune faille dans Windows , Firefox ou chrome par exemple. On en est loin….





Il y a toujours des failles car de nouvelles fonctionnalités sont constamment ajoutées. En fait si on prenait une version à un instant T et qu’on l’auditait pendant quelques années je pense qu’on finirait pas être pas mal sûrs de tout. Après évidemment il faut que le code soit bien foutu dès le départ…



Mais effectivement un audit ne trouvera jamais toutes les failles. Le problème c’est qu’à un moment il faut bien faire confiance à un soft ou un autre.


votre avatar







after_burner a écrit :



Oui bon , je me doutais un peu que ça n’avait rien à voir en fait…





















<img data-src=" /><img data-src=" />





Pour la participation sur la sécurité, je vois pas pourquoi ils donneraient cela dans le code d’androïd en général, sur les téléphones de leur administration Ok, mais le reste?





Déjà expliqué plus haut. Ca permet de faire relire leur code par d’autres et d’avoir des milliers d’audits gratuits. Et puis ça ne leur coûte rien non plus, ça permet à toutes les entreprises américaines de se protéger et pas seulement au gouvernement, ce qui n’est pas rien non plus pour leur économie.


votre avatar

Le NSA a beaucoup de branche cela ne m’étonnerais pas que cette acte soit vraiment positif pour une fois ^^ pis bon si il veulent des failles le mieux c’est de les chercher pas de les créer en mettant sa signature a la limite il le ferais anonymement ça serait plus crédible

votre avatar







ErGo_404 a écrit :



Déjà expliqué plus haut. Ca permet de faire relire leur code par d’autres et d’avoir des milliers d’audits gratuits. Et puis ça ne leur coûte rien non plus, ça permet à toutes les entreprises américaines de se protéger et pas seulement au gouvernement, ce qui n’est pas rien non plus pour leur économie.







C’est bizarre quand même, bien beau mais bizarre.



On a pas entendu de telles “précautions” prises sur d’autres systèmes tout aussi critiques. Tout n’est pas dit mais par rapport à leur défense habituelle sur la lutte contre le terrorisme… et vu le mode de distribution pour un projet Open source et libre, ça ne profiterais pas qu’aux entreprise US…


votre avatar







nick_t a écrit :



La question est de savoir si les entreprises US ont encore un mot à dire face au gvt et agences US… avec le Patriot Act…



Si elles refusent =&gt; terroriste =&gt; Guantanamo







Je vois que tu n’as pas encore compris que le gvt des USA, ce sont les entreprises…


votre avatar







after_burner a écrit :



C’est bizarre quand même, bien beau mais bizarre.



On a pas entendu de telles “précautions” prises sur d’autres systèmes tout aussi critiques. Tout n’est pas dit mais par rapport à leur défense habituelle sur la lutte contre le terrorisme… et vu le mode de distribution pour un projet Open source et libre, ça ne profiterais pas qu’aux entreprise US…





Un truc comme SE Linux ça verrouille bien le système quand même. Après ils n’ont pas réinventé la roue non plus sur tout non plus, mais là ça me paraît plutôt plausible comme raison.

Encore au tout début on aurait pu croire à un coup foireux, mais depuis le temps que ça existe SE Linux ça a sûrement été audité de nombreuses fois. Il y a peut être des backdoors mais elles sont vraiment très très très très très bien cachées.


votre avatar

Et Ubuntu mobile, quelqu’un l’a testé pour voir ?

votre avatar

Vue qu’ils ont un accord avec google qui leur permet d’avoir accès directement aux données qu’ils veulent, je ne vois pas vraiment pourquoi il faudrait s’inquiéter d’un bout de code venant de la NSA.



À mon avis ils se sont dit que patcher certaines failles éviterait que d’autres gouvernements les espionnent (eux et les américains).

votre avatar







ErGo_404 a écrit :



Un truc comme SE Linux ça verrouille bien le système quand même. Après ils n’ont pas réinventé la roue non plus sur tout non plus, mais là ça me paraît plutôt plausible comme raison.

Encore au tout début on aurait pu croire à un coup foireux, mais depuis le temps que ça existe SE Linux ça a sûrement été audité de nombreuses fois. Il y a peut être des backdoors mais elles sont vraiment très très très très très bien cachées.





Backdoor dans le sens code actif type cheval de troie surement pas ,ca aurait été repéré depuis longtemps.

Mais faille c’est plus que certains qu’ils puissent en avoir. Les mecs de la NSA ne sont pas vraiment des billes. Il y a moyen de cacher quelques failles délibérés. Et même sur le code qu’ils n’ont pas écrit eux même, je pense qu’ils ont surement des outils internes pour trouver de nouvelle failles dans les différents systèmes. Ils ont surement une réserve de failles 0 day pour faire leur travail.


votre avatar







Ingénieur informaticien a écrit :



Et Ubuntu mobile, quelqu’un l’a testé pour voir ?







S’ils ont fait comme sur Ubuntu Desktop, ce n’est pas SELinux, car même si le code est ouvert, il est vrai que la participation de la NSA fait se poser des questions, mais AppArmor.



Ca fait la même chose, mais sans participation de la NSA, et c’est également libre/open source.



votre avatar







ErGo_404 a écrit :



Un truc comme SE Linux ça verrouille bien le système quand même. Après ils n’ont pas réinventé la roue non plus sur tout non plus, mais là ça me paraît plutôt plausible comme raison.

Encore au tout début on aurait pu croire à un coup foireux, mais depuis le temps que ça existe SE Linux ça a sûrement été audité de nombreuses fois. Il y a peut être des backdoors mais elles sont vraiment très très très très très bien cachées.







le terme backdoors est vaste, c’est p-e pas un boulevard pour prélever les données en l’état mais des outils pour que quand certaines applications des grands éditeurs soient utilisées, certaines méthodes facilitent la récupérations de données sur le disque. Si par exemple chrome se sert des infos que l’on lui donne en plus de fouiller les répertoires, on sait que le navigateur envoie des données donc en l’observant on voit rien d’inconnu, mais comment on sait ce qu’il envoie?



bon c’est pas très clair, mais l’idée est là, vous comprendrez que je m’interroge malgré tout. <img data-src=" />


votre avatar







linkin623 a écrit :



J’allais dire que les backdoors, elles sont au niveau de Gmail et tous les services Google (obligatoires je crois pour activer le téléphone).





absolument pas (par exemple, un cyanogen mod tout neuf ne comprend pas les GG Appz qu’il faut installer à part. Dit autrement, l’utilisateur de base activera à coup quasi sûr son tel chez Google mais le connaisseur peut s’en passer - moyennant pas mal de suées <img data-src=" />







methos1435 a écrit :



J’ai jamais dit ça.



Mais si cette info se révèle exacte (parce que beaucoup de scientifiques doutent de l’existence d’un véritable ordinateur quantique pleinement opérationnel, à la capacité annoncée) ça montre juste que même l’utilisation du chiffrement ne permettrai plus forcément de garantir quoi que ce soit.



Et voir un tel outil dans les mains de Gogole ne me réjouis pas tant que ça.





ça me fait penser à Digital Fortress de Dan Brown (lu il y a bien longtemps) qui traite un peu de cela (NSA et super Ordinateur casseur de code… je ne me rappelle plus s’il est quantique ou non, cela dit)


votre avatar

J’adore le mode avion permanent <img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" />



Pour moi, ce n’est pas un problème<img data-src=" />

votre avatar







methos1435 a écrit :



Mais encore une fois, avec les révélations récentes, on a tendance à être un peu plus parano que d’habitude…







Yup.


votre avatar
votre avatar

Cela me fait penser que doit vérifier ma batterie <img data-src=" /><img data-src=" /><img data-src=" />

votre avatar







amikuns a écrit :



http://www.leparisien.fr/international/la-russie-accepte-de-donner-asile-a-snowden-12-07-2013-2977619.php







Si et seulement si, il arrête d’ennuyer les Etats-unis <img data-src=" /> <img data-src=" />


votre avatar

Ouais ben en attendant les Feds ne sont pas les bienvenus à la Def Con …

http://it.slashdot.org/story/13/07/11/0258228/def-con-advises-feds-not-to-attend…

votre avatar







2show7 a écrit :



Si et seulement si, il arrête d’ennuier les Etats-unis <img data-src=" /> <img data-src=" />







Troller pour emmerder les USA et le boulot de Poutine, il veut pas ce faire voler la vedette.


votre avatar







amikuns a écrit :



Troller pour emmerder les USA et le boulot de Poutine, il veut pas ce faire voler la vedette.







La vedette de troller tranquilou (c’est bien son attitude) <img data-src=" /> <img data-src=" />(ça plaît aux Russes de l’ancienne garde) <img data-src=" />


votre avatar

Autre chose, peut-on faire passer un smartphone pour un PC portable en changeant d’OS ? (je suis sérieux ici <img data-src=" />)

votre avatar







2show7 a écrit :



Autre chose, peut-on faire passer un smartphone pour un PC portable en changeant d’OS ? (je suis sérieux ici <img data-src=" />)





Euh, pffff, c’est pas très clair comme question… Un smartphone est techniquement un ordinateur comme un autre, si tu veux parler des infos fournies par ton navigateur, s’pas bien difficile de changer l’user agent…


votre avatar







poshu a écrit :



Euh, pffff, c’est pas très clair comme question… Un smartphone est techniquement un ordinateur comme un autre, si tu veux parler des infos fournies par ton navigateur, s’pas bien difficile de changer l’user agent…







Par exemple mettre un Ubuntu 8.04 Lts amélioré <img data-src=" />


votre avatar
votre avatar







WereWindle a écrit :



absolument pas (par exemple, un cyanogen mod tout neuf ne comprend pas les GG Appz qu’il faut installer à part. Dit autrement, l’utilisateur de base activera à coup quasi sûr son tel chez Google mais le connaisseur peut s’en passer - moyennant pas mal de suées <img data-src=" />





<img data-src=" />

Oui, donc tout le monde va lier son Gmail, avec contact et tout le reste à un téléphone android, qui possède un GPS et plein d’autres capteurs.



Inutile dans ce cas de mettre des backdoors sur l’OS, Google récupère toutes les données comme un grand, et l’utilisateur accepte en plus le CLUF!



D’ailleurs, la NSA a tout intérêt à sécuriser le code de Android, vu que surement les agents l’utilisent, et qu’ils constitue la meilleure source de donnée…


votre avatar







after_burner a écrit :



Ben voyons, la NSA débarque tel le père noël pour améliorer le niveau de sécurité d’Androïd???? sans retour sur investissement??





La faille qui touchait les 99% des appareils c’était quoi alors…









<img data-src=" />











after_burner a écrit :



Pour la participation sur la sécurité, je vois pas pourquoi ils donneraient cela dans le code d’androïd en général, sur les téléphones de leur administration Ok, mais le reste?











after_burner a écrit :



C’est bizarre quand même, bien beau mais bizarre.



On a pas entendu de telles “précautions” prises sur d’autres systèmes tout aussi critiques. Tout n’est pas dit mais par rapport à leur défense habituelle sur la lutte contre le terrorisme… et vu le mode de distribution pour un projet Open source et libre, ça ne profiterais pas qu’aux entreprise US…









after_burner a écrit :



le terme backdoors est vaste, c’est p-e pas un boulevard pour prélever les données en l’état mais des outils pour que quand certaines applications des grands éditeurs soient utilisées, certaines méthodes facilitent la récupérations de données sur le disque. Si par exemple chrome se sert des infos que l’on lui donne en plus de fouiller les répertoires, on sait que le navigateur envoie des données donc en l’observant on voit rien d’inconnu, mais comment on sait ce qu’il envoie?



bon c’est pas très clair, mais l’idée est là, vous comprendrez que je m’interroge malgré tout. <img data-src=" />







Ce que je comprends surtout c’est que tu vas passer une nuit super cauchemardesque à te repasser la bobine de ton cinéma en boucle… <img data-src=" /> <img data-src=" />



En ce qui concerne les données de ton navigateur, et si tu n’es pas dans le domaine, tu ne peux rien savoir…



Je sais, ça va pas te rassurer pour autant… <img data-src=" />



Après, tout dépend comment les données sont transmises, soit en clair et dans ce cas, “il suffit” de se placer entre ta machine et le destinataire, et “n’importe qui” serait en possibilité d’intercepter l’ensemble du flux de données et de faire un tri entre ce qui est pertinent ou pas : technique du “man in the middle”…



Dans le cas de données chiffrées, c’est la même technique, mais il y a une phase supplémentaire consistant à décoder ce qui est chiffré. mais cela demande déjà plus de technicité, de moyen matériel et ÉNORMÉMENT de temps ne serait-ce que pour “écouter” un seul individu.



Alors pour ce qui est de le faire à l’échelle d’un pays, d’un continent ou du monde entier, c’est tout simplement impossible, même à l’échelle de la NSA et malgré toutes ses ressources tant matérielles qu’humaine…



Il faudrait déjà qu’elle arrive à stocker la totalité des données en brut pendant un temps indéterminé et ensuite que des dizaines de millions (voir centaines de millions) de personnes soient affectées plein temps à écouter/lire ses données afin de trier et d’en tirer des informations pertinentes dans le contexte et dans toutes les langues et à la condition qu’elle arrive à faire un lien entre les données et un ou quelques individus/entreprises, pour ensuite les restocker quelque part en attendant de trouver quelqu’un que cela intéressera…



Donc, l’une des techniques utilisées est/étaient de faire des recherches par mot-clés, mais même comme cela cela fait toujours trop de données à traiter, sans garantie qu’elle arrive à localiser et identifier les individus, car il y a beaucoup trop de “bruits” comme notre discussion actuelle, par exemple… <img data-src=" /><img data-src=" />



Donc, à moins que tu sois une personne “spécifiquement” connue (ce qui fait encore beaucoup de monde), et que tu sois déjà dans le collimateur de la NSA (donc déjà ciblé) et reconnu comme exerçant une activité “sensible”, il y a peu de chance que en tant after_burner, tu ne les intéresses plus que cela : à moins que tu te retrouves au mauvais endroit et au mauvais moment… ^^ <img data-src=" />



Mais après, faudrait que la NSA alerte son gouvernement afin que celui-ci décide de déclarer la guerre à la France pour venir te choper ou qu’elle envoit un commando secret non officiel pour venir te cueillir/t’enlever dans un endroit isolé sans qu’il y aie de témoins parce que la France ne va pas extrader un de ses citoyens sans qu’elle-même ne fasse une enquête sur ta personne… <img data-src=" />



Tu vois que cela fait beaucoup de paramètres à prendre ne compte même si c’est très schématisé… <img data-src=" />



Il est même probable qu’elle s’intéresse davantage à “l’Intelligence” industrielle/économique/hautement politique qu’à déjouer les attentats sur ses intérêts extérieurs et même sur son propre sol, quand on connaît son niveau d’efficacité… ^^ (là je prends un très grand risque en les narguant et en me moquant d’elle <img data-src=" /> ). Je les sens même entrain de quadriller sinon mon arrondissement, sinon quelques gros pâtés de maisons. <img data-src=" />





Pour ce qui est des smartphones de la NSA, tu crois qu’ils viennent d’où ???

Tu penses qu’elle possède sa propre usine qui produirait des smartphones uniquement à l’attention de son personnel et que celui-ci n’aurait pas le droit d’apporter son matos personnel interne ou externe, acheté dans le commerce ???







Zaouli a écrit :



Donc la NSA participe juste pour apporter sa pierre à l’édifice sans arrière pensée ? Hahahaha !







Son arrière pensée c’est évidemment de protéger ses intérêts pour les raisons ci-dessus indiquées pour éviter que se propagent des troyans “ennemis” qui infiltreraient ses propres systèmes… <img data-src=" />


votre avatar







Stargateur a écrit :



intro pixar version NSA









<img data-src=" /><img data-src=" />


Prism : la participation de la NSA au code d’Android fait débat

  • Prism, un terreau pour de multiples craintes 

  • SELinux, la première participation de la NSA à des projets open source 

  • De Linux à Android 

  • Pourquoi se pencher sur la sécurité d'Android ? 

  • Des contributions en dormance pour l'instant 

Fermer