Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

[MàJ] Défense : le libre veut la lumière sur l’offre Open Bar de Microsoft

Via une procédure Cada

[MàJ] Défense : le libre veut la lumière sur l’offre Open Bar de Microsoft

Le 22 mars 2013 à 07h23

L’April, association de promotion du logiciel libre, vient de lancer une procédure de communication de documents administratifs afin de faire la lumière sur l’offre Open Bar de Microsoft, signée par le ministère de la défense.

office 2011

 

La loi du 17 juillet 1978 permet à quiconque d’obtenir la communication des documents détenus dans le cadre de sa mission de service public par une administration. L’April profite de ce levier pour réclamer la transmission des pièces encadrant l’offre Open Bar de Microsoft. Cette offre a été signée en 2008 entre Microsoft Irlande et le ministère de la Défense via un accord cadre passé sans marché public.

 

Avec lui, Microsoft autorise le ministère à faire usage de ses logiciels sur l’ensemble de ses postes informatiques. Il dispose en outre d’une option d’achat s’il souhaite conserver ces logiciels au-delà de ce droit d’usage. Le contrat a été négocié pour une centaine de millions d’euros et une durée de quatre ans jusqu’à mai 2013. Il est donc aujourd’hui en phase de renégociation.

La circulaire Ayrault en tête, l'April réclame désormais la suspension de cette procédure et la transparence autour de ce dossier. Les détails sur ce dossier parviennent en effet au compte-gouttes. En plus de cette procédure CADA, l'association indique avoir aussi écrit au Premier Ministre, au Ministre de la Défense, aux députés et sénateurs des commissions traitant des affaires de Défense afin de les informer de ce dossier.

Commentaires (96)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Ce qui est choquant, c’est que ça se choque pas certains.



Décidément, nous sommes vendus par les Ricains, et par les multinationales, en toutes circonstances, et à tout niveau.



Même pas d’appel d’offres, d’études, rien, nada.



Une nouvelle médaille à Ballmer en 2013 ?

votre avatar







Ulysse Ithaka a écrit :



Le “ministère” c’est une bande de vendus et de traîtres… c’est comme cela qu’ils seraient traités aux USA s’ils avaient le malheur d’être américains, de bosser pour le pentagone et qu’ils équipent le pentagone avec un système d’exploitation fermé sous contrôle direct d’un gouvernement étranger.











Ulysse Ithaka a écrit :



Au hasard la certitude que Microsoft ne va jamais dévoiler aucune information au gouvernement des USA alors qu’il y est tenu de part le patriot act ?



Les offres comprenant des logiciels contrôlés depuis l’étranger devraient être disqualifiées d’office (sans jeu de mot).



Bizarrement, les américains eux sont en train d’interdire tout matériel chinois comme huawei par exemple à cause des problèmes de sécurité au niveau des routeurs… Parce qu’ils n’ont pas complètement la main sur les logiciels qui équipent les dits routeurs….



Mais là bien sûr tout est normal et personne ne trouve rien à redire… J’aimerais bien voir le pentagone équipé sur tous ses ordinateurs d’un système d’exploitation au code fermé ne provenant pas des USA… Essayez d’imaginer un peu ça juste pour rigoler un bon coup…







Euuuu vous réfléchissez un peu quelques fois ?

En quoi cela est dérangeant que le ministère de la défense utilise des outils vendu par MS ? Vous croyez vraiment que tout sera stocké en clair sur les disques et les serveurs ?

Vous croyez vraiment que tout sera à disposition de MS et du gouvernement américain ?



Soit vous êtes naif, soit idiot, soit de mauvaise foi.

Cette offre openbar n’exclut aucunement l’utilisation d’outils de chiffrement et l’existence de procédures de sécurisation de données sensibles et de mails. Il suffit juste de voir le niveau de sécurité imposé par l’ANSSI pour être labelliser à traiter des informations de niveau DR (Diffusion Restreinte). Dans le cas du Mindef on parle d’informations Confidentiel Defense, Securité Defense et Special France.


votre avatar

Surtout qu’avec Steam sur Linux maintenant il pourront s’entrainer sur CS.

votre avatar







paradise a écrit :



Ce qui est choquant, c’est que ça se choque pas certains.



Décidément, nous sommes vendus par les Ricains, et par les multinationales, en toutes circonstances, et à tout niveau.



Même pas d’appel d’offres, d’études, rien, nada.



Une nouvelle médaille à Ballmer en 2013 ?





<img data-src=" />


votre avatar







paradise a écrit :



Ce qui est choquant, c’est que ça se choque pas certains.



Décidément, nous sommes vendus par les Ricains, et par les multinationales, en toutes circonstances, et à tout niveau.



Même pas d’appel d’offres, d’études, rien, nada.



Une nouvelle médaille à Ballmer en 2013 ?







Sérieusement, c’est le manque d’appels d’offres qui vous dérange.



Je me demande si les solutions retenues par le ministères avaient été “libres” sans appel d’offre, est-ce que l’April serait monté au créneau de la sorte???



A en croire certains, tout ce qui passe sur les PC de la défense est envoyé au US et la défense n’a aucun contrôle sur la sécurité de ses postes…

J’ai beau ne pas être un expert dans le domaine, j’en suis pas convaincu.



Et je crois que les intéressés gueulerais plus, si cet accord en particulier, mettais à mal la sécurité de leur système info. Pour l’instant c’est un “agitateur” extérieure en la personne de l’april qui se plaint. Moi ça ne me suffit pas pour leur donner raison, dsl.<img data-src=" />


votre avatar







after_burner a écrit :



A en croire certains, tout ce qui passe sur les PC de la défense est envoyé au US et la défense n’a aucun contrôle sur la sécurité de ses postes…

J’ai beau ne pas être un expert dans le domaine, j’en suis pas convaincu.









même en admettant que tu es un expert dans le domaine, tu fais comment pour t’assurer que ce n’est pas le cas avec un source fermé ? <img data-src=" />


votre avatar







Jean_Peuplus a écrit :



même en admettant que tu es un expert dans le domaine, tu fais comment pour t’assurer que ce n’est pas le cas avec un source fermé ? <img data-src=" />





On va te répondre : décompilation, analyse des logs, analyse de traffic réseau, etc.



On va aussi te dire que le code de MS est fourni avec l’accord, et que donc c’est comme pour de l’opensource. Voire que c’est même mieux, parce que l’état va evidemment missionner les plus grands experts du monde pour analyser ce code source…



votre avatar







after_burner a écrit :



Le pentagone est-il l’équivalent du ministère de la défense (vrai question)?







Strictement parlant, le Pentagone est un lieu et un bâtiment situé dans la banlieue de Washington. Par métonymie on l’associe au Department Of Defense qui est grosso modo l’équivalent de notre ministère de la défense. Il accueille tout un tas d’organisme (http://pentagon.osd.mil/dod-components.html ) dont un bout des états majors (armée, air, marine)…



En France c’est légèrement plus dispersé géographiquement parlant, le ministère et les états majors sont dans Paris mais séparés, et certains services sont en banlieue parisienne. Il y a actuellement un projet de regrouper tout ça (ou presque) sur le site de la cité de l’air près de la station Balard à Paris : fais une recherche sur “balardgone” pour plus d’info.





votre avatar







after_burner a écrit :



Sérieusement, c’est le manque d’appels d’offres qui vous dérange.



Je me demande si les solutions retenues par le ministères avaient été “libres” sans appel d’offre, est-ce que l’April serait monté au créneau de la sorte???





Non, car son “rôle” c’est de promouvoir et défendre le logiciel libre, pas de vérifier que tous les achats des ministères sont passés avec appel d’offre.







after_burner a écrit :



A en croire certains, tout ce qui passe sur les PC de la défense est envoyé au US et la défense n’a aucun contrôle sur la sécurité de ses postes…

J’ai beau ne pas être un expert dans le domaine, j’en suis pas convaincu.





C’est le problème lorsqu’on utilise un système fermé, c’est qu’on n’est absolument pas sûr de contrôler ce qu’on a entre les mains, et qu’il n’y aucun moyen de l’être.


votre avatar







Drepanocytose a écrit :



On va te répondre : décompilation, analyse des logs, analyse de traffic réseau, etc.



On va aussi te dire que le code de MS est fourni avec l’accord, et que donc c’est comme pour de l’opensource. Voire que c’est même mieux, parce que l’état va evidemment missionner les plus grands experts du monde pour analyser ce code source…





La décompilation permet de mettre en évidence tous les comportements possibles du logiciel ? (j’y connais rien en décompilation)

Analyse des logs créé par le logiciel lui-même ?

L’analyse de trafic réseau ne fonctionne pas en cas de connexion sécurisée, comme par exemple lors des mises à jours du logiciel…

Avoir le code source (partiel en plus, de mémoire) de MS ne sert à rien, car rien ne prouve que c’est le même code qui a été compilé pour créer l’installateur ou les mises à jour utilisés (alors qu’avec du libre il suffit de compiler).


votre avatar







Drepanocytose a écrit :



On va te répondre : décompilation, analyse des logs, analyse de traffic réseau, etc.



On va aussi te dire que le code de MS est fourni avec l’accord, et que donc c’est comme pour de l’opensource. Voire que c’est même mieux, parce que l’état va evidemment missionner les plus grands experts du monde pour analyser ce code source…







Je pense tout simplement que les données très importantes ne st pas mises en “danger” sur les PC concernés. 170 000 postes, ce types de données ne transitent même pas je pense sur un parc aussi grand.



Sinon j’ai lu en effet à plusieurs reprise y compris sur PC inpact que MS a des versions de windows sous forme de modules qui peuvent être analysé dans le cadre d’accord de ce genre, comme windows CE, mais pas que ça. Dernièrement il y avait un article sur des modifications faite pour une version de windows8 afin d’équipé des PC de la nasa.



Alors je me suis simplement dit que ça pourrait être similaire dans certains cas.


votre avatar







Tim-timmy a écrit :



visiblement un poil plus que des documents, pour faire chier un max les méchants?… autant avoir les infos je veux bien, mais suspendre je trouve pas ça ultra malin





Des logiciels Microsoft… au sein de la defense francaise…



Et tu trouve cela normal ?!



Non mais merde quoi, tu irais donner les clef de ta baraque à un voleur toi (oui, je persiste et signe, des tas de faits montrent que leurs produits permettent du vol de données) ?

C’est totalement irresponsable !



Non mais je reve ! <img data-src=" />


votre avatar







Mihashi a écrit :



La décompilation permet de mettre en évidence tous les comportements possibles du logiciel ? (j’y connais rien en décompilation)

Analyse des logs créé par le logiciel lui-même ?

L’analyse de trafic réseau ne fonctionne pas en cas de connexion sécurisée, comme par exemple lors des mises à jours du logiciel…

Avoir le code source (partiel en plus, de mémoire) de MS ne sert à rien, car rien ne prouve que c’est le même code qui a été compilé pour créer l’installateur ou les mises à jour utilisés (alors qu’avec du libre il suffit de compiler).





C’était exactement le sens de ma remarque.

Sur la même news il y a une semaine, ce que j’ai écrit c’estce qu’on m’avait répondu….

Et c’est profondement naif, pour ma part…


votre avatar







Jed08 a écrit :



Euuuu vous réfléchissez un peu quelques fois ?







Oui apparemment c’est ca le problème. On est pas encore tous lobotomisés au point de ne plus rien réaliser.



votre avatar







Jed08 a écrit :



Euuuu vous réfléchissez un peu quelques fois ?

En quoi cela est dérangeant que le ministère de la défense utilise des outils vendu par MS ? Vous croyez vraiment que tout sera stocké en clair sur les disques et les serveurs ?







Ce n’est pas ce qu’il a dit.







after_burner a écrit :



A en croire certains, tout ce qui passe sur les PC de la défense est envoyé au US et la défense n’a aucun contrôle sur la sécurité de ses postes…







Idem, ce n’est pas ce qu’il a dit.



Si vous n’arrivez pas à contre-dire leurs arguments, ne leurs prêtez pas de propos non tenu pour vous donner de quoi critiquer. Il serait bien que pour un fois le débat reste sain.







after_burner a écrit :



Je me demande si les solutions retenues par le ministères avaient été “libres” sans appel d’offre, est-ce que l’April serait monté au créneau de la sorte???







L’April est là pour promouvoir le logiciel libre, c’est tout. Il passe par l’angle de l’absence d’appel d’offre par ce qu’ils pensent que des logiciels libres pourraient répondre aux besoins. Mais connaissant l’April, ils n’auraient pas fait les malins si le choix se serait porté sur des logiciels libres sans appel d’offre.


votre avatar







Drepanocytose a écrit :



On va te répondre : décompilation, analyse des logs, analyse de traffic réseau, etc. […]







Et on pourra répondre que ce n’est pas toujours suffisant. <img data-src=" />







Drepanocytose a écrit :



[…] On va aussi te dire que le code de MS est fourni avec l’accord, […]







Sera-t-il complet? Sera-t-il compilable? Sera-t-il fourni avec la toolchain?







Drepanocytose a écrit :



[…] et que donc c’est comme pour de l’opensource. […]







Ça, s’est pas sûr. Faudrait déjà connaitre la réponse aux précédentes question avant de l’affirmer. Et même si c’est, d’une façon très limité, comparable à de l’open-Source, ça n’est pas comparable à du logiciel libre car il n’y a pas le droit de redistribution. Si ça se trouve, il n’y aura même pas le droit à la contribution.







Drepanocytose a écrit :



[…] Voire que c’est même mieux, parce que l’état va evidemment missionner les plus grands experts du monde pour analyser ce code source…







Utiliser du logiciel libre aurait aussi permit de “missionner les plus grands experts du monde pour analyser ce code source”.



Les certitudes ne sont parfois qu’illusions rassurantes. <img data-src=" />

Je ne ais pas qui t’a raconté tout ça, mais c’est loin d’être une vérité absolue.


votre avatar







Para-doxe a écrit :



……

Les certitudes ne sont parfois qu’illusions rassurantes. <img data-src=" />

Je ne ais pas qui t’a raconté tout ça, mais c’est loin d’être une vérité absolue.





Lis donc 6 posts plus bas :





Drepanocytose a écrit :



C’était exactement le sens de ma remarque.

Sur la même news il y a une semaine, ce que j’ai écrit c’estce qu’on m’avait répondu….

Et c’est profondement naif, pour ma part…





J’étais ironique, et evidemment je pense à peu près ce que tu écris…


votre avatar

Le scandale pour moi il est dans la signature d’un contrat avec une filliale situé dans un semi-paradis fiscal.

Et apres l’etat veut faire la morale à Depardieu et autres super riche qui font la meme chose…

votre avatar







Drepanocytose a écrit :



C’était exactement le sens de ma remarque.

Sur la même news il y a une semaine, ce que j’ai écrit c’estce qu’on m’avait répondu….

Et c’est profondement naif, pour ma part…





Ah ok, c’est vrai qu’en relisant on comprend l’ironie, mais c’était un peu trop subtil pour moi (et d’autres apparemment <img data-src=" />).



Donc une petite mise au point ne fait pas de mal<img data-src=" />


votre avatar







Sam LAYBRIZ a écrit :



Des logiciels Microsoft… au sein de la defense francaise…



Et tu trouve cela normal ?!







oui, sans aucun doute.


votre avatar

Les décideurs informatiques de la Défense devraient être traduit en Cour Martiale, condamnés et exécutés sur le champ pour haute trahison ! <img data-src=" />

votre avatar







Para-doxe a écrit :



Ce n’est pas ce qu’il a dit.



Idem, ce n’est pas ce qu’il a dit.



Si vous n’arrivez pas à contre-dire leurs arguments, ne leurs prêtez pas de propos non tenu pour vous donner de quoi critiquer. Il serait bien que pour un fois le débat reste sain.







Pour moi c’est ce qu’il dit :





Au hasard la certitude que Microsoft ne va jamais dévoiler aucune information au gouvernement des USA alors qu’il y est tenu de part le patriot act ?





Des données bien sécurisées ne valent rien !

En plus de cela, l’offre openbar ne mentionne apparemment pas de service de cloud, donc les données sont hébergés par des serveurs contrôlés par le Mindef, une bonne sécurité périmétrique rendrait impossible l’accès non autorisé à ces données par MS même si l’ordre vient du gouvernement américain.



Donc les seuls problèmes qui persistent sont :





  • Le débat “Solution propriétaire/fermée vs solution libre” qui ne date pas d’aujourd’hui et qui ne se finira pas aujourd’hui.

  • L’utilisation de produits étrangers dans l’administration française, ce qui dans ce cas ne devrait pas se limiter au software mais également au hardware ainsi qu’à tout le matériel utilisé par les administration française (et puis du fait de leur nature, les solutions libres ne sont pas française non plus).




votre avatar







Ulysse Ithaka a écrit :



Au hasard la certitude que Microsoft ne va jamais dévoiler aucune information au gouvernement des USA alors qu’il y est tenu de part le patriot act ?



Les offres comprenant des logiciels contrôlés depuis l’étranger devraient être disqualifiées d’office (sans jeu de mot).



Bizarrement, les américains eux sont en train d’interdire tout matériel chinois comme huawei par exemple à cause des problèmes de sécurité au niveau des routeurs… Parce qu’ils n’ont pas complètement la main sur les logiciels qui équipent les dits routeurs….



Mais là bien sûr tout est normal et personne ne trouve rien à redire… J’aimerais bien voir le pentagone équipé sur tous ses ordinateurs d’un système d’exploitation au code fermé ne provenant pas des USA… Essayez d’imaginer un peu ça juste pour rigoler un bon coup…





Sauf qu’entre word et le pentagone il y a des routeurs justement, la sécurité moderne ne permet pas, même à un troyan de sortir d’un réseau sécurisé. Et comme je doute qu’à la défense ils rapportent du boulot à la maison sur clé usb… C’est quand même pas du tout le même cas de figure de pas vouloir être menacé sur son coeur de réseau et sur sa bureautique.


votre avatar







Sam LAYBRIZ a écrit :



Des logiciels Microsoft… au sein de la defense francaise…



Et tu trouve cela normal ?!









GruntZ a écrit :



Voir _un_ code source, c’est une chose; déployer un exécutable que l’on a compilé soit même, avec ses propres outils (pour être plus sûr), c’en est une autre.







Que vous soyez contre le logiciel propriétaire, anti-Microsoft, fanatique du libre et adorateur de Stallman c’est votre droit, mais avancer l’argument de la sécurité dans ce cas c’est n’importe quoi.



Le gouvernement n’a ni les moyens humains ni financiers pour analyser le code de tout un OS <img data-src=" />. Penser qu’ils misent sur la sécurité à ce niveau c’est se mettre le doigt dans l’oeil bien profond.



Comme n’importe quelle grosse entreprise qui veut luter contre l’espionnage (dans ce cas industriel mais qui n’a pas forcement moins de moyens que l’espionnage militaire), la sécurité des donnés passe par des Firewall et des IDS (Intrusion Detection System) qui fait de l’analyse d’activité réseau pour éviter que des données sortent.



Donc c’est bien militez pour que les ministères adoptent du libre si ça vous chante, mais faire reposer ça sur une question de sécurité non.


votre avatar

Yope, j’appuie à 100% la procédure de l’APRIL.

votre avatar

Il ne me semble pas nécessaire d’épiloguer pour savoir si LibreOffice avec personnas est plus cool ou moins cher que Word2013 et ses rubans, le mot-clef ici est OTAN.



Si tu veux échanger avec tes amis tu utilises les même protocoles/standards/outils qu’eux.



Amis = OTAN = Ricains = Pentagone qui roule en Microsoft.



The end.


votre avatar







Jed08 a écrit :



Pour moi c’est ce qu’il dit :



[…]



Des données bien sécurisées ne valent rien !







Je vais me répéter, mais Ulysse Ithaka n’a pas dit que les données ne seront pas chiffrées. Si tu veux critiquer les arguments de quelqu’un, fais le sur des propos qu’il a vraiment tenu ou abstient toi. Par ce que là, le débat part déjà très très mal.







Jed08 a écrit :



En plus de cela, l’offre openbar ne mentionne apparemment pas de service de cloud, donc les données sont hébergés par des serveurs contrôlés par le Mindef, […]







Ulysse Ithaka n’a pas dit le contraire.







Jed08 a écrit :



[…] une bonne sécurité périmétrique rendrait impossible l’accès non autorisé à ces données par MS même si l’ordre vient du gouvernement américain.







Le facteur humain est toujours exploitable pour avoir accès à un système isolé. Et il n’y a pas toujours besoin de stratagème complexe.



À titre d’exemple, pour espionner le voisin, certains pays déploient des satellites très couteux, d’autre envoie des prostituées. C’est tout aussi efficace.







bzc a écrit :



Que vous soyez contre le logiciel propriétaire, anti-Microsoft, fanatique du libre et adorateur de Stallman c’est votre droit, mais avancer l’argument de la sécurité dans ce cas c’est n’importe quoi.



Le gouvernement n’a ni les moyens humains ni financiers pour analyser le code de tout un OS <img data-src=" />. Penser qu’ils misent sur la sécurité à ce niveau c’est se mettre le doigt dans l’oeil bien profond.[…]







Justement, avec du logiciel libre tu peux mutualiser la vérification avec plusieurs services tout en garantissant le sérieux du travail par la transparence des actions menées. C’est ainsi que les communautés du logiciel libre fonctionnent et vérifient leur code.


votre avatar







tcapnicp a écrit :



Il ne me semble pas nécessaire d’épiloguer pour savoir si LibreOffice avec personnas est plus cool ou moins cher que Word2013 et ses rubans, le mot-clef ici est OTAN.



Si tu veux échanger avec tes amis tu utilises les même protocoles/standards/outils qu’eux.



Amis = OTAN = Ricains = Pentagone qui roule en Microsoft.



The end.







L’Hexagone est plus facile à maîtriser <img data-src=" /><img data-src=" />



<img data-src=" /> <img data-src=" /><img data-src=" />


votre avatar

…son périmètre vaut 6 fois son rayon (d’action) <img data-src=" /> et même moins

votre avatar







tcapnicp a écrit :



Il ne me semble pas nécessaire d’épiloguer pour savoir si LibreOffice avec personnas est plus cool ou moins cher que Word2013 et ses rubans, le mot-clef ici est OTAN.



Si tu veux échanger avec tes amis tu utilises les même protocoles/standards/outils qu’eux.



Amis = OTAN = Ricains = Pentagone qui roule en Microsoft.



The end.







<img data-src=" />



Il y a quand même d’autres considérations. Parce qu’après tout, Libre office produit des docx.



Pour commencer je pense, , ce n’est qu’hypothèse mais comme beaucoup de déclaration ici, que Microsoft a autre chose à faire que développer un bidule qui va récupérer des données pour les méchants américains

(au hasard, le SP1 de WP8, de W8, WP7.8, Portage d’office sur linux et android etc.)





Ensuite, si j’étais ministre de la défense il faudrait aussi que je pense à tout ça :



Les fonctionnalités des outils concurrents (comment mon writer intéragit avec ma GED, est-ce que j’ai des documents avec plus de 1024 colonnes)

leurs intégrations dans le SI (ma BBD s’interface t-elle avec calc …)

Combien va couter le développeur d’outils pour faire les migrations de documents.

Combien va couter l’étude de ces bidules.

Si en terme de fonctionnalité on est bon, combien va couter la migration des postes et le plus important, la conduite du changement (c’est cher de former des utilisateurs à de nouveaux outils)



et entre acheter tout ça qui au final ne servira a rien (le ministere de la défense n’est pas une organisation servant pas payer des boites de services) ou acheter des missiles pour aller peter la ge des méchants … Le choix est rapide (AMHA) .



Bref, le monde des bisounours c’est cool, mais ici c’est le capitalisme.



Bienvenu !


votre avatar







Jed08 a écrit :



Donc les seuls problèmes qui persistent sont :





  • Le débat “Solution propriétaire/fermée vs solution libre” qui ne date pas d’aujourd’hui et qui ne se finira pas aujourd’hui.

  • L’utilisation de produits étrangers dans l’administration française, ce qui dans ce cas ne devrait pas se limiter au software mais également au hardware ainsi qu’à tout le matériel utilisé par les administration française (et puis du fait de leur nature, les solutions libres ne sont pas française non plus).







    Et donc pour toi, que l’etat achete des produits à une filiale etrangere n’est pas un pb ?

    Se priver des impots sur le benefice de ses propres achat n’est pas une enorme connerie ??


votre avatar







Para-doxe a écrit :



Justement, avec du logiciel libre tu peux mutualiser la vérification avec plusieurs services tout en garantissant le sérieux du travail par la transparence des actions menées. C’est ainsi que les communautés du logiciel libre fonctionnent et vérifient leur code.







Non ce n’est pas comparable, les “communautés du logiciel libre” dont tu parles comptent des dizaines/centaines (selon les projets) de milliers de personnes qui vérifient le code le plus souvent bénévolement. Encore une fois l’Etat n’a pas les moyens humains ni financier (car là ça serait pas du bénévolat) pour faire de la vérification de code de tout un OS. (Au passage le libre ne garantie pas aucune backdoor, voir l’exemple de la stack IPsec dans OpenBSD il y a quelques années).



La vérification du code source d’un OS c’est juste une stratégie non tenable en matière de sécurité. Et d’ailleurs ils ont évidemment aussi des serveurs sous du Linux et BSD et ce n’est pas pour que le ministère a relu tout le code de GNU/Linux ou BSD.

C’est juste que la sécurité n’est pas appliqué à ce niveau là car cela demande des ressources gigantesques pour un résultat plutôt aléatoire (car beaucoup dépendant des compétences des personnes qui s’en occupent).


votre avatar







metaphore54 a écrit :



Moi, ce que je comprends pas c’est d’utiliser dans la défense autre chose libre ou pas que de l’interne, surtout dans la défense où il y a des données sensibles.







Peut être que les outils qui servent à sécuriser ces données sensibles sont des outils fait en interne ?


votre avatar







Zeurf a écrit :



.

(…) pour rappel W$ c’est virus et trous de sécurités à gogo (…) raz de marrée du libre





Ne pas confondre désir et réalité, ça ne fait pas sérieux … <img data-src=" />


votre avatar

Je tiens à rassurer les plus inquiets, la France, comme toutes les grandes nations, dispose de plusieurs réseaux informatiques distincts dont certains sont complètement isolés du monde extérieur, et donc sans aucun lien possible avec INternet..



Donc, même si le produit Microsoft avait la possibilité d’extraire des informations, il faudrait une intervention humaine pour finir l’opération et l’expédier chez l’oncle Sam ou ailleurs.



Que le ministère ait choisi MS, c’est surtout pour le facteur humain. Même si je n’apprécie guère le monde MS, il faut bien reconnaître que de disposer d’un ensemble de logiciels visuellement similaires rassure l’usager et le rend plus rapidement productif.

La plupart des intervenants de ce blog sont des habitués du monde informatique et oublient que c’est loin d’être le cas des utilisateurs lambda de la Défense.



En revanche, que le ministère de la défense choisisse de passer au tout Microsoft alors que les crédits sont en diminution constante, et qu’en même temps la gendarmerie se tourne vers linux m’interpelle beaucoup plus.

Où est la cohérence dans nos politiques publiques ?



De plus, l’évolution des produits MS répond plus à des besoins mercantiles qu’à des avancées techniques (normal, c’est du business). Je doute fort que nous ayons les moyens de suivre cette course à la nouveauté.

Mais cela est en cohérence avec la politique de réduction des effectifs, en particulier dans les télécoms, d’où le centre de services MS.



Pour finir, à l’heure où la renégociation de ce contrat intervient, il est bon de rappeler que la référence bureautique dans nos armées est office 2003. On est très, très loin de l’openbar négocié et acheté dans ce contrat…

votre avatar



l’April vient de saisir avec le piston de MR de PCI la Commission d’accès aux documents administratifs





fixed <img data-src=" />

votre avatar



. Le contrat a été négocié pour une centaine de millions d’euros et une durée de quatre ans jusqu’à mai 2013





Et apres ils descendent en flèche le budget d ela défense, n’équipent pas notre armée décemment.

Mettez moi a la tete d’une comission pour faire faire des économies à l’état ca va etre vite vu.



Ce sera comme au canada, toutes les factures en ligne et accessibles par tous

votre avatar

C’est quoi cette demande de l’April, là ils touchent le fond personellement.



Ils veullent quoi que le ministère utilise Open Office ou Libre Office pour perdre encore plus de temps… comme si l’administration n’en perdait pas assez !

votre avatar







dasoft a écrit :



Ils veullent quoi que le ministère utilise Open Office ou Libre Office pour perdre encore plus de temps… comme si l’administration n’en perdait pas assez !





Ils veulent que les administrations MOTIVENT leur decision en toute transparence.

Que si ils prennent MS (pourquoi pas, c’est leur droit), on sache pourquoi …



En quoi c’est génant que nous, le public, sachions pourquoi et comment les choix sont faits ? Tu prefères qu’ils le fassent en loosdé dans ton dos ?



votre avatar







Drepanocytose a écrit :



Ils veulent que les administrations MOTIVENT leur decision en toute transparence.

Que si ils prennent MS (pourquoi pas, c’est leur droit), on sache pourquoi …



En quoi c’est génant que nous, le public, sachions pourquoi et comment les choix sont faits ? Tu prefères qu’ils le fassent en loosdé dans ton dos ?





+1


votre avatar







Drepanocytose a écrit :



En quoi c’est génant que nous, le public, sachions pourquoi et comment les choix sont faits ? Tu prefères qu’ils le fassent en loosdé dans ton dos ?







Ben une bonne centaine de millions d’euros dans un contrat qui a eu lieu sans appel d’offre (me trompe-je? j’ai rien vu passer là dessus ) , c’est gênant. Surtout quand ce sont les signataires qui nous taxent a mort car l’Etat a besoin d’argent.


votre avatar







Drepanocytose a écrit :



Ils veulent que les administrations MOTIVENT leur decision en toute transparence.

Que si ils prennent MS (pourquoi pas, c’est leur droit), on sache pourquoi …



En quoi c’est génant que nous, le public, sachions pourquoi et comment les choix sont faits ? Tu prefères qu’ils le fassent en loosdé dans ton dos ?







  • 1


votre avatar

Microsoft Irlande tiens.



Nos politiques ne voulaient pas faire revenir sous le giron Français les taxes que sont censé payer toutes ces grandes entreprises?


votre avatar







bzc a écrit :



Pour résumer simplement : si tu veux vérifier si un PC envoie/reçois des donnés à l’extérieur tu ne décompiles pas chaque processus qui tourne sur le PC, ou tu ne relis pas chaque ligne du code source de l’OS pour vérifier qu’il n’y pas de backdoor interne à l’OS ou même au noyeau. Tu fais un tcpdump sur un équipement devant le PC et tu as ta réponse.





Cette méthode, ça va pour vérifier que le PC du geek dans sa chambre ne sert pas de spam-relay. Par contre, c’est le même problème que les easter eggs : la charge active peut rester en sommeil, discrètement planquée dans le code binaire, et ne s’activer que dans un cas bien particulier, les méthodes sont multiples et complémentaires : suite de paquets bien spécifiques, dates, délais entre les paquets, séquence TCP-IP dans un désordre particulier, etc, etc, il y a une infinité de moyens pour activer la charge. (voir le bug des centrifugeuses iraniennes, ou le détournement de drones américains). Quant aux réseaux isolés, laissez-moi rire !!! Tout le monde se balade avec un mobile, une clé USB, un CD… On pourrait même mettre un activateur dans des QR-code tout-à-fait anodins sur une bête gestion de stock de n’importe quoi. La seule solution, c’est l’open-source, qui permet déjà de vérifier :

-que le code fait bien ce qu’on lui demande et rien d’autre

-que le code fourni génère bien le même binaire que celui fourni par l’éditeur

Et ensuite rien n’empêche d’utiliser un compilateur différent, pour contourner une combinaison code particuler + faille du compilateur par défaut prévue au départ…

On parle de défense nationale, d’armes de guerre, de capacité nucléaire quand même !!!


votre avatar







CaptainDangeax a écrit :



Cette méthode, ça va pour vérifier que le PC du geek dans sa chambre ne sert pas de spam-relay. Par contre, c’est le même problème que les easter eggs : la charge active peut rester en sommeil, discrètement planquée dans le code binaire, et ne s’activer que dans un cas bien particulier, les méthodes sont multiples et complémentaires : suite de paquets bien spécifiques, dates, délais entre les paquets, séquence TCP-IP dans un désordre particulier, etc, etc, il y a une infinité de moyens pour activer la charge. (voir le bug des centrifugeuses iraniennes, ou le détournement de drones américains). Quant aux réseaux isolés, laissez-moi rire !!! Tout le monde se balade avec un mobile, une clé USB, un CD… On pourrait même mettre un activateur dans des QR-code tout-à-fait anodins sur une bête gestion de stock de n’importe quoi. La seule solution, c’est l’open-source, qui permet déjà de vérifier :

-que le code fait bien ce qu’on lui demande et rien d’autre

-que le code fourni génère bien le même binaire que celui fourni par l’éditeur

Et ensuite rien n’empêche d’utiliser un compilateur différent, pour contourner une combinaison code particuler + faille du compilateur par défaut prévue au départ…

On parle de défense nationale, d’armes de guerre, de capacité nucléaire quand même !!!







Waou ça c’est du déterrage de commentaire :)



On est tous d’accord que ta méthode est beaucoup plus sûr. Mais comme déjà dit plusieurs fois ici et là, penser que la Défense a les moyens humains et financiers pour relire chaque ligne de code de tout les OS, librairies, softwares, mise à jours, compilateurs est risible.



Mais ta confusion vient de ta dernière phrase : non on ne parle pas d’arme de guerres et de capacité nucléaire, on parle ici des centaines d’officiers et secrétaires dans des bureaux. Alors certes ils sont probablement amenés à consulter des documents classés mais pas à lancer un missile.

Tu confonds plusieurs choses différentes.


votre avatar







bzc a écrit :



…relire chaque ligne de code de tout les OS, librairies, softwares, mise à jours, compilateurs est risible.





Moi, ça ne me fait pas rire de savoir que la défense de mon pays est tributaire d’un éditeur étranger, dont la politique technique n’est pas particulièrement tournée vers la sécurité qui plus est.



Mais ta confusion vient de ta dernière phrase : non on ne parle pas d’arme de guerres et de capacité nucléaire, on parle ici des centaines d’officiers et secrétaires dans des bureaux. Alors certes ils sont probablement amenés à consulter des documents classés mais pas à lancer un missile.

Tu confonds plusieurs choses différentes.



Rien ne prouve que le système de lancement du missile (et les truc qui vont autour, comme la chaîne de commandement ou le système de contrôle de plongée du sous-marin) ne profite pas des “avancées” permises par ce fameux contrat open-bar.


votre avatar







CaptainDangeax a écrit :



Cette méthode, ça va pour vérifier que le PC du geek dans sa chambre ne sert pas de spam-relay. Par contre, c’est le même problème que les easter eggs : la charge active peut rester en sommeil, discrètement planquée dans le code binaire, et ne s’activer que dans un cas bien particulier, les méthodes sont multiples et complémentaires : suite de paquets bien spécifiques, dates, délais entre les paquets, séquence TCP-IP dans un désordre particulier, etc, etc, il y a une infinité de moyens pour activer la charge. (voir le bug des centrifugeuses iraniennes, ou le détournement de drones américains). Quant aux réseaux isolés, laissez-moi rire !!! Tout le monde se balade avec un mobile, une clé USB, un CD… On pourrait même mettre un activateur dans des QR-code tout-à-fait anodins sur une bête gestion de stock de n’importe quoi. La seule solution, c’est l’open-source, qui permet déjà de vérifier :

-que le code fait bien ce qu’on lui demande et rien d’autre

-que le code fourni génère bien le même binaire que celui fourni par l’éditeur

Et ensuite rien n’empêche d’utiliser un compilateur différent, pour contourner une combinaison code particuler + faille du compilateur par défaut prévue au départ…

On parle de défense nationale, d’armes de guerre, de capacité nucléaire quand même !!!





Ah? Parce que sur les OS open-source on ne peut pas brancher de clé USB? De CD? <img data-src=" />

Relisez-vous avant de poster.

En tout cas ça fait plaisir de voir toute cette méconnaissance de la sécurité en entreprise, ça va donner du boulot aux consultants en sécurité IT tout ça et créer de l’emploie <img data-src=" />


votre avatar







CaptainDangeax a écrit :



Moi, ça ne me fait pas rire de savoir que la défense de mon pays est tributaire d’un éditeur étranger, dont la politique technique n’est pas particulièrement tournée vers la sécurité qui plus est.







Je passe sur le troll de MS qui n’est pas sécurisé.



La sécurité informatique c’est la science du compromis (elle est de moi celle là mais comme tu as l’air un libriste convaincu je te laisse la réutiliser).

Evidemment tu peux toujours faire plus sûr, jusqu’au moment où tu te rends compte que le seul moyen d’avoir une vraie sécurité est de débrancher l’alimentation.

Car dans ton raisonnement il faut aussi se vérifier chaque puce de chaque composant du PC. C’est beau en théorie mais c’est pas faisable.



Bref cette discussion commence à tourner en rond vu que j’ai déjà eu ce débat ici même il y a 2 mois.


votre avatar

Et voilà, c’est la cadastrophe.

votre avatar

D’autant que l’on a déjà pas mal de détails: la durée, les prix /nb de postes concernés et l’option d’achat. Les logiciels ont aussi été nommés.



Il faut quoi de plus?<img data-src=" />


votre avatar







after_burner a écrit :



D’autant que l’on a déjà pas mal de détails: la durée, les prix /nb de postes concernés et l’option d’achat. Les logiciels ont aussi été nommés.



Il faut quoi de plus?<img data-src=" />









l’April réclame désormais la suspension de cette procédure





visiblement un poil plus que des documents, pour faire chier un max les méchants?… autant avoir les infos je veux bien, mais suspendre je trouve pas ça ultra malin


votre avatar









after_burner a écrit :



D’autant que l’on a déjà pas mal de détails: la durée, les prix /nb de postes concernés et l’option d’achat. Les logiciels ont aussi été nommés.



Il faut quoi de plus?<img data-src=" />







Au hasard la certitude que Microsoft ne va jamais dévoiler aucune information au gouvernement des USA alors qu’il y est tenu de part le patriot act ?



Les offres comprenant des logiciels contrôlés depuis l’étranger devraient être disqualifiées d’office (sans jeu de mot).



Bizarrement, les américains eux sont en train d’interdire tout matériel chinois comme huawei par exemple à cause des problèmes de sécurité au niveau des routeurs… Parce qu’ils n’ont pas complètement la main sur les logiciels qui équipent les dits routeurs….



Mais là bien sûr tout est normal et personne ne trouve rien à redire… J’aimerais bien voir le pentagone équipé sur tous ses ordinateurs d’un système d’exploitation au code fermé ne provenant pas des USA… Essayez d’imaginer un peu ça juste pour rigoler un bon coup…


votre avatar

Qui plus est, il ne faut pas oublier que Microsoft est une entreprise américaine, et qu’à ce titre elle est sommée d’obéir à des injonctions d’un juge fédéral qui pourrait exiger des informations même confidentielles par l’évocation du “patriot act”.



Que le ministère de la défense de la République Française dépende des desiderata du pentagone Américain, c’est quand même franchement choquant non ?

votre avatar



pour une centaine de millions d’euros





<img data-src=" />

votre avatar







Tim-timmy a écrit :



visiblement un poil plus que des documents, pour faire chier un max les méchants?… autant avoir les infos je veux bien, mais suspendre je trouve pas ça ultra malin







D’autant que ça fera plutôt perdre du temps et de l’argent, vu que le contrat arrive à échéance.

Si ce ministère était prêt à passer à autre chose il l’aurait fait.


votre avatar







after_burner a écrit :



D’autant que ça fera plutôt perdre du temps et de l’argent, vu que le contrat arrive à échéance.

Si ce ministère était prêt à passer à autre chose il l’aurait fait.







Le “ministère” c’est une bande de vendus et de traîtres… c’est comme cela qu’ils seraient traités aux USA s’ils avaient le malheur d’être américains, de bosser pour le pentagone et qu’ils équipent le pentagone avec un système d’exploitation fermé sous contrôle direct d’un gouvernement étranger.


votre avatar







Ulysse Ithaka a écrit :



Mais là bien sûr tout est normal et personne ne trouve rien à redire… J’aimerais bien voir le pentagone équipé sur tous ses ordinateurs d’un système d’exploitation au code fermé ne provenant pas des USA… Essayez d’imaginer un peu ça juste pour rigoler un bon coup…





Quoi ? Ils n’ont pas de routeurs chinois ?

<img data-src=" />


votre avatar







GruntZ a écrit :



Quoi ? Ils n’ont pas de routeurs chinois ?

<img data-src=" />







renseigne toi… au lieu de rire bêtement. Je crois même qu’il y avait eu une info sur ce site.


votre avatar

Y a que moi qui a penser direct a l’Open Bar mitzva ? <img data-src=" />

votre avatar
votre avatar







GruntZ a écrit :



Quoi ? Ils n’ont pas de routeurs chinois ?

<img data-src=" />







http://www.latribune.fr/technos-medias/20120719trib000709979/telecoms-les-chinoi…



Et fait l’effort de lire quelques lignes… c’est un des premiers liens dans Google, mais c’est ultra-connu


votre avatar







Ulysse Ithaka a écrit :



renseigne toi… au lieu de rire bêtement. Je crois même qu’il y avait eu une info sur ce site.



Pas taper, second degré, toussa …


votre avatar







Ulysse Ithaka a écrit :



Le “ministère” c’est une bande de vendus et de traîtres… c’est comme cela qu’ils seraient traités aux USA s’ils avaient le malheur d’être américains, de bosser pour le pentagone et qu’ils équipent le pentagone avec un système d’exploitation fermé sous contrôle direct d’un gouvernement étranger.







Le pentagone est-il l’équivalent du ministère de la défense (vrai question)?



Sinon les données confidentielles doivent avoir un traitement particuliers si elles transite sur le web, quel que soit le système.



Il faut stopper l’hypocrisie à un moment, ce n’est pas l’origine des produits ni leur code fermé qui seront un problème dans le cas ou la défense nationale est en jeu.



J’ai cru comprendre d’ailleurs que même des entreprises ont des accords pour voir le code source (sous NDA évidement) quand cela touche des points sensible alors je crois pas que se soit différent avec les états.


votre avatar







caesar a écrit :



Y a que moi qui a penser direct a l’Open Bar mitzva ? <img data-src=" />





C’est surtout open bar pour MS dans le portefeuille de l’Etat, et ça, c’est abusé.


votre avatar







after_burner a écrit :



Le pentagone est-il l’équivalent du ministère de la défense (vrai question)?







Le conseil des hauts dirigeants communistes en Chine est-il équivalent à notre conseil des ministres ?



Un peu stupide ta question. Il y a des différences, évidemment.



maintenant, oui, le ministère de la défense est concerné par le secret-défense.





Sinon les données confidentielles doivent avoir un traitement particuliers si elles transite sur le web, quel que soit le système.





Les données c’est une chose. Avoir des trucs qui les interceptent dans l’OS, c’est bien plus grave encore. à ce moment là, à quoi bon utiliser des mesures de protection, puisqu’au plus bas niveau, tu as un OS qui peut faire ce qu’il veut sans que tu le saches.





Il faut stopper l’hypocrisie à un moment, ce n’est pas l’origine des produits ni leur code fermé qui seront un problème dans le cas ou la défense nationale est en jeu.





Bien sûr que si. C’est même la seule chose qui peut ressembler à un semblant de garantie.





J’ai cru comprendre d’ailleurs que même des entreprises ont des accords pour voir le code source (sous NDA évidement) quand cela touche des points sensible alors je crois pas que se soit différent avec les états.





Et moi j’ai cru comprendre que non, jamais complètement et qu’on est pas au pays des bisounours.


votre avatar







Crysalide a écrit :



C’est surtout open bar pour MS dans le portefeuille de l’Etat, et ça, c’est abusé.







C’est le cas d’énormément de marché public, j’ai un pote qui travaille est sous traité une fortune pour le compte du ministere de l’education, quand il me parle des sommes jetées par les fenêtres (lui est “juste” sous traité a 1000€ par Jour à l’état… depuis 2 ans) quand il voit les budgets….


votre avatar







after_burner a écrit :



J’ai cru comprendre d’ailleurs que même des entreprises ont des accords pour voir le code source (sous NDA évidement) quand cela touche des points sensible alors je crois pas que se soit différent avec les états.



Voir _un_ code source, c’est une chose; déployer un exécutable que l’on a compilé soit même, avec ses propres outils (pour être plus sûr), c’en est une autre.



Si je comprend qu’on n’exige qu’un minimum de prudence d’une secrétaire de Mairie (si elle a vérifié le hash MD5 de sa Debian avant de l’installer, ça suffit), je souhaiterais bien plus de précautions de la part de services plus … sensibles, comme la Défense et ce qui touche au nucléaire.



édit : ortho


votre avatar







Ulysse Ithaka a écrit :



http://www.latribune.fr/technos-medias/20120719trib000709979/telecoms-les-chinoi…



Et fait l’effort de lire quelques lignes… c’est un des premiers liens dans Google, mais c’est ultra-connu







Ce qui est très connu pour les gens qui bossent dans les réseaux c’est surtout que ces attaques contre Huawei c’est politique/économique et pas du tout technique.



Il n’y a rien qui indique que les routeurs Huawei aient des backdoors, et techniquement si il y a accès via une backdoor ce n’est pas très difficile à détecter avec un tcpdump devant.



Ensuite la Chine a des énormes partenariats avec Cisco (américain pour rappel) notamment pour son Great Firewall alors que la proportion de routeurs chinois aux USA et Europe est très petite donc c’est un peu du gros foutage de gueule. Si un pays devrait s’inquiéter du matériel étranger dans son infra ça serait plutôt la Chine.



Enfin qu’un député français veuille faire interdire les routeurs chinois en Europe ça en devient même un sketch : on a pas ni en France ni même en Europe d’équipementier réseau alors notre indépendance dans l’infra réseau elle est déjà foutue d’avance qu’on achète Cisco/Juniper d’un coté ou Huawei de l’autre.


votre avatar

Très bien.

Un peu de transparence dans les marchés publics c’est jamais du luxe.

votre avatar







Ulysse Ithaka a écrit :



Au hasard la certitude que Microsoft ne va jamais dévoiler aucune information au gouvernement des USA alors qu’il y est tenu de part le patriot act ?



Les offres comprenant des logiciels contrôlés depuis l’étranger devraient être disqualifiées d’office (sans jeu de mot).



Bizarrement, les américains eux sont en train d’interdire tout matériel chinois comme huawei par exemple à cause des problèmes de sécurité au niveau des routeurs… Parce qu’ils n’ont pas complètement la main sur les logiciels qui équipent les dits routeurs….



Mais là bien sûr tout est normal et personne ne trouve rien à redire… J’aimerais bien voir le pentagone équipé sur tous ses ordinateurs d’un système d’exploitation au code fermé ne provenant pas des USA… Essayez d’imaginer un peu ça juste pour rigoler un bon coup…





+1



votre avatar







caesar a écrit :



C’est le cas d’énormément de marché public, j’ai un pote qui travaille est sous traité une fortune pour le compte du ministere de l’education, quand il me parle des sommes jetées par les fenêtres (lui est “juste” sous traité a 1000€ par Jour à l’état… depuis 2 ans) quand il voit les budgets….







Quand des vieux s’occupent des marchés publics informatiques, ça donne ça…


votre avatar







Ulysse Ithaka a écrit :



Au hasard la certitude que Microsoft ne va jamais dévoiler aucune information au gouvernement des USA alors qu’il y est tenu de part le patriot act ?



Les offres comprenant des logiciels contrôlés depuis l’étranger devraient être disqualifiées d’office (sans jeu de mot).



Bizarrement, les américains eux sont en train d’interdire tout matériel chinois comme huawei par exemple à cause des problèmes de sécurité au niveau des routeurs… Parce qu’ils n’ont pas complètement la main sur les logiciels qui équipent les dits routeurs….



Mais là bien sûr tout est normal et personne ne trouve rien à redire… J’aimerais bien voir le pentagone équipé sur tous ses ordinateurs d’un système d’exploitation au code fermé ne provenant pas des USA… Essayez d’imaginer un peu ça juste pour rigoler un bon coup…





+1



C’est pas comme si nous avions en France des entreprises qui vendent des OS et des logiciels, libres en plus…


votre avatar







bzc a écrit :



Non ce n’est pas comparable, les “communautés du logiciel libre” dont tu parles comptent des dizaines/centaines (selon les projets) de milliers de personnes qui vérifient le code le plus souvent bénévolement. Encore une fois l’Etat n’a pas les moyens humains ni financier (car là ça serait pas du bénévolat) pour faire de la vérification de code de tout un OS. (Au passage le libre ne garantie pas aucune backdoor, voir l’exemple de la stack IPsec dans OpenBSD il y a quelques années).







Ok, ce running FUD commence vraiment à devenir lourd. Il a été démontré que la fameuse backdoor n’existe pas et que l’individu ayant avoué l’avoir mise n’a jamais travaillé sur la partie sois-disant incriminée.



Concernant la vérification du code-source, l’état n’est pas obligé de le vérifier seul. Il peut établir des partenariats avec des entreprises privées de même nationalité qui ont elles aussi ce besoin de sécurité.


votre avatar







gwal a écrit :



Et donc pour toi, que l’etat achete des produits à une filiale etrangere n’est pas un pb ?

Se priver des impots sur le benefice de ses propres achat n’est pas une enorme connerie ??







C’est pas la filiale qui est étrangère … c’est Microsoft France qui est la filiale étrangère.



MS France, c’est en gros le publiciste pour les services de MS Irlande.



Oui, ce système est idiot, et complètement injuste pour la France (et les autres pays de la communauté européenne qui passe tous par le même circuit) mais c’est le système… et c’est légal !


votre avatar







bzc a écrit :



Que vous soyez contre le logiciel propriétaire, anti-Microsoft, fanatique du libre et adorateur de Stallman c’est votre droit, mais avancer l’argument de la sécurité dans ce cas c’est n’importe quoi.



Le gouvernement n’a ni les moyens humains ni financiers pour analyser le code de tout un OS <img data-src=" />. Penser qu’ils misent sur la sécurité à ce niveau c’est se mettre le doigt dans l’oeil bien profond.



Comme n’importe quelle grosse entreprise qui veut luter contre l’espionnage (dans ce cas industriel mais qui n’a pas forcement moins de moyens que l’espionnage militaire), la sécurité des donnés passe par des Firewall et des IDS (Intrusion Detection System) qui fait de l’analyse d’activité réseau pour éviter que des données sortent.



Donc c’est bien militez pour que les ministères adoptent du libre si ça vous chante, mais faire reposer ça sur une question de sécurité non.







SET PARANO = TRUE



Et ce d’autant plus que la simple analyse du code source ne suffira pas à démontrer la sécurité.



D’une part il est possible que du code d’apparence correcte soit rempli de trous de sécurité. J’ai vu passer une référence (je ne sais plus où, mais la lecture du blog de Bruce Schneier est un bon point de départ) vers du code implémentant AES dont la sécurité diminuait petit à petit avec les blocs encodés, et finissait par ressembler à du ROT13 (j’exagère a peine :-) Et bien sûr, le tout en étant “plausiblement niable”, c’était juste un bit de temps en temps qui “tombait” hors du registre à décalage car une variable signée était comparée à une variable non signée…



Ensuite, c’est bien toute la chaîne qu’il faut contrôler, pas uniquement le logiciel. Le hardware aussi peut être compromis à tous les niveaux. Qui vous dit que la carte mère ne contient pas du microcode qui “leake” de l’information par un side-channel ? Elle pourrait très bien intercepter les clés de chiffrement générées par le processeur et les acheminer sur le réseau par des perturbations dans les données (par exemple en altérant subtilement le timing des paquets envoyés ?) Qui vous dit que le microprocesseur n’est pas modifié pour reconnaître la séquence d’opérations implémentant AES et introduire une faiblesse de temps en temps ?



Bref, le code source haut niveau n’est certainement pas une garantie de sécurité.


votre avatar







Para-doxe a écrit :



Je vais me répéter, mais Ulysse Ithaka n’a pas dit que les données ne seront pas chiffrées. Si tu veux critiquer les arguments de quelqu’un, fais le sur des propos qu’il a vraiment tenu ou abstient toi. Par ce que là, le débat part déjà très très mal.



Ulysse Ithaka n’a pas dit le contraire.







Justement, c’est ça qui me pose un soucis ^^

A part les deux points soulevés dans mon dernier message qui sont, pour moi, insolubles je ne vois pas de quoi il se plaint !





Le facteur humain est toujours exploitable pour avoir accès à un système isolé. Et il n’y a pas toujours besoin de stratagème complexe.



À titre d’exemple, pour espionner le voisin, certains pays déploient des satellites très couteux, d’autre envoie des prostituées. C’est tout aussi efficace.





Le risque humain est omniprésent et ne dépend pas de la solution choisie. Ce n’est pas parce qu’on prend une solution libre et française que le risque humain disparaitra.







gwal a écrit :



Et donc pour toi, que l’etat achete des produits à une filiale etrangere n’est pas un pb ?

Se priver des impots sur le benefice de ses propres achat n’est pas une enorme connerie ??







Euuuu…

Si le produit étranger est plus avantageux en terme de fonctionnalité/performance/utilisation (je ne parle pas du prix) qu’un produit français je vois pas pourquoi ils devraient prendre une solution moins bonne.



De plus, les solutions libres ne sont pas exclusivement française, et pour la plupart gratuite (donc bye bye les impôts). Ce qui est payant sera la maintenance et le Helpdesk (qui ne sera pas peut être plus cher que l’offre de MS), mais la aussi rien ne garantie que cela retombera dans les poches de l’Etat (l’optimisation fiscale n’est pas réservé aux Big Bad Corporations).



Mais encore une fois, le prix n’est pas la seule chose qui importe.


votre avatar







Jed08 a écrit :



Le risque humain est omniprésent et ne dépend pas de la solution choisie. Ce n’est pas parce qu’on prend une solution libre et française que le risque humain disparaitra.







Mais ce n’est pas ce que j’ai dit. La technique de l’homme de paille est une véritable institution sur PCI.



J’en ai ma claque.


votre avatar







Jed08 a écrit :



Euuuu…

Si le produit étranger est plus avantageux en terme de fonctionnalité/performance/utilisation (je ne parle pas du prix) qu’un produit français je vois pas pourquoi ils devraient prendre une solution moins bonne.







Je parle juste le fait de payer le produit dans un pays etrangers alors que cette société à une entité en France.

C’est peu etre legal mais c’est aberant à une epoque ou les caisses sont totalement vide.

Faut plus s’etonner de voir nos impots atteindre des sommets. Tout cela est le resultat de la politique absurde de Bruxelle qui a favorisé les exodes fiscals dans toutes les strates professionnels. En France, il n’y aura bientot plus que les impots sur le revenu pour remplir les caisses. Toutes les sociétés auront leur siege social, legalement, dans un paradis fiscal …


votre avatar







Para-doxe a écrit :



Mais ce n’est pas ce que j’ai dit. La technique de l’homme de paille est une véritable institution sur PCI.



J’en ai ma claque.







Dans ce cas la pourquoi tu le dis pas ?

J’en ai marre aussi de lire des commentaires de gens énonçant des défauts d’une solution tout en ne disant pas qu’ils sont présent chez son concurrent !



C’est comme dire que les solutions libres ne sont pas fiable car elles ont des mises à jour de sécurité et que rien ne dit qu’il ne reste pas de failles.

Je dis pas que c’est aussi le cas pour les solutions propriétaires, mais en ne le précisant pas on a l’impression que je descends en flèche le libre.


votre avatar







Para-doxe a écrit :



Ok, ce running FUD commence vraiment à devenir lourd. Il a été démontré que la fameuse backdoor n’existe pas et que l’individu ayant avoué l’avoir mise n’a jamais travaillé sur la partie sois-disant incriminée.



Concernant la vérification du code-source, l’état n’est pas obligé de le vérifier seul. Il peut établir des partenariats avec des entreprises privées de même nationalité qui ont elles aussi ce besoin de sécurité.







Même si c’est un FUD (je veux bien un lien) … ce n’est pas le seul exemple, il y a eu proftpd, phpmyadmin … et surement d’autres. Mais c’était juste une remarque au passage, le fond de mon argumentation c’est que de toute façon ils ne relisent pas le code source de Linux ou BSD qui eux sont open-source, tout simplement car c’est pas comme ça qu’on fait de la sécurité informatique, sinon autant aller faire du reverse-engineering de tout les composants utilisés par leurs PCs et serveurs ce qui n’est évidemment pas jouable non plus.



Pour résumer simplement : si tu veux vérifier si un PC envoie/reçois des donnés à l’extérieur tu ne décompiles pas chaque processus qui tourne sur le PC, ou tu ne relis pas chaque ligne du code source de l’OS pour vérifier qu’il n’y pas de backdoor interne à l’OS ou même au noyeau. Tu fais un tcpdump sur un équipement devant le PC et tu as ta réponse.


votre avatar







Mihashi a écrit :



Avoir le code source (partiel en plus, de mémoire) de MS ne sert à rien, car rien ne prouve que c’est le même code qui a été compilé pour créer l’installateur ou les mises à jour utilisés (alors qu’avec du libre il suffit de compiler).







C’est faux, car qu’est-ce qui prouve que le compilateur est digne de confiance ?



Un papier de Thompson sur ce problème : http://www.ece.cmu.edu/~ganger/712.fall02/papers/p761-thompson.pdf


votre avatar







WilliamSauron a écrit :



SET PARANO = TRUE

Elle pourrait très bien intercepter les clés de chiffrement générées par le processeur et les acheminer sur le réseau par des perturbations dans les données (par exemple en altérant subtilement le timing des paquets envoyés ?)





Fantastique ! Excellent ! <img data-src=" /> faut que je replace ça.


votre avatar







MrGeekArt a écrit :



Fantastique ! Excellent ! <img data-src=" /> faut que je replace ça.







Et j’offre en prime une référence ouiquipédiesque pour faire le malin <img data-src=" />



en.wikipedia.org Wikipedia


votre avatar







paradise a écrit :



Ce qui est choquant, c’est que ça se choque pas certains.



Décidément, nous sommes vendus par les Ricains, et par les multinationales, en toutes circonstances, et à tout niveau.



Même pas d’appel d’offres, d’études, rien, nada.



Une nouvelle médaille à Ballmer en 2013 ?







+100


votre avatar

Mais quand vont ils enfin arrêter de foutre mes impôts en l’air ?

votre avatar

Moi, ce que je comprends pas c’est d’utiliser dans la défense autre chose libre ou pas que de l’interne, surtout dans la défense où il y a des données sensibles.

votre avatar







Para-doxe a écrit :



Mais ce n’est pas ce que j’ai dit. La technique de l’homme de paille est une véritable institution sur PCI.



J’en ai ma claque.





Je ne voit pas l’intérêt de tenter de débattre avec ces soumises à M\(, façon "les ricains sont nos copains".

C'est même pas un problème de sécurité face aux States -qu'on reste longtemps du même côté- c'est un problème récurrent franco-français de corruption à tout les étages.

Ill n'y a juste aucune raison valable que l'État s'en remette à M\) pour gérer son informatique (pour rappel W\( c'est virus et trous de sécurités à gogo) au lieu de développer ses compétences techniques. Il en négocie d'ailleurs la prise en charge financière par l'Europe, dont il constitue un bras armé essentiel. Imaginez le un peu vendre qu'il est open-bar chez M\) <img data-src=" />

La bonne nouvelle, c’est qu’avec ces subventions françaises, M$ arrivera p’têtre à survivre face au raz de marrée du libre, et continuera donc de servir de pot-de-miel pour les inventeurs de code malicieux <img data-src=" /> à nos frais <img data-src=" />

S.Royal avait raison: la justice chinoise c’est une balle dans la tête dans les stades avant les matchs, pour ceux qui veulent enfler le Peuple. <img data-src=" />


votre avatar







Zeurf a écrit :



S.Royal avait raison: la justice chinoise c’est une balle dans la tête dans les stades avant les matchs, pour ceux qui veulent enfler le Peuple Parti. <img data-src=" />







<img data-src=" />


votre avatar







Skeeder a écrit :



Ah? Parce que sur les OS open-source on ne peut pas brancher de clé USB? De CD? <img data-src=" />

Relisez-vous avant de poster.

En tout cas ça fait plaisir de voir toute cette méconnaissance de la sécurité en entreprise, ça va donner du boulot aux consultants en sécurité IT tout ça et créer de l’emploie <img data-src=" />





Justement, je viens de me relire, et j’ai fait le parallèle entre réseaux isolés, et support de stockage amovible. Je n’ai pas parlé d’OS open-source. Relisez-vous également, ça vous évitera de me reprocher des propos que je n’ai pas tenu.


votre avatar







bzc a écrit :



Je passe sur le troll de MS qui n’est pas sécurisé.





Si tu veux, on compte les virus. Il y en a autant sous Windows que de poils sur le dos du troll velu. On peut également parler du fait qu’avec NTFS, tous les fichiers sont exécutables et qu’il faut une rustine à base de poledit pour corriger ce défaut. On peut également parler de la possibilté de mettre une charge dans l’en-tête d’un AVI ou d’un JPG, ça a déjà été fait, malgré les fonctions NX des processeurs récents. Mais arrêtons là cette discussion inutile car il est réellement impossible de dire que MS fait les OS les plus sécurisé du marché.



La sécurité informatique c’est la science du compromis (elle est de moi celle là mais comme tu as l’air un libriste convaincu je te laisse la réutiliser).

Evidemment tu peux toujours faire plus sûr, jusqu’au moment où tu te rends compte que le seul moyen d’avoir une vraie sécurité est de débrancher l’alimentation.

Car dans ton raisonnement il faut aussi se vérifier chaque puce de chaque composant du PC. C’est beau en théorie mais c’est pas faisable.



Bref cette discussion commence à tourner en rond vu que j’ai déjà eu ce débat ici même il y a 2 mois.



Le débat a eu lieu il y a 2 mois, mais il y a eu une mise à jour aujourd’hui. Qu’est ce que tu fais là, d’ailleurs ?

Je suis bien d’accord avec ta science du compromis. La sécurité ultime, tu l’as très bien décrite. Toutefois, je pense qu’il serait bon de déplacer le curseur vers PLUS de sécurité si tu veux, et également vers plus de concurrence. Après tout, c’est bien le moteur du progrès dans une société capitaliste, la concurrence…


votre avatar







Skeeder a écrit :



Ah? Parce que sur les OS open-source on ne peut pas brancher de clé USB? De CD? <img data-src=" />

Relisez-vous avant de poster.

En tout cas ça fait plaisir de voir toute cette méconnaissance de la sécurité en entreprise, ça va donner du boulot aux consultants en sécurité IT tout ça et créer de l’emploie <img data-src=" />





J’ai oublié de dire que c’est l’éternel conflit entre le financier qui trouve que ça coûte toujours trop cher, et l’informaticien qui trouve qu’on peut toujours faire mieux d’un point de vue technique. Je mets l’aspect technique en premier. Et vous ?


votre avatar

Yope… faut creuser. Que les crosoft avec ses proxys (nokia/novell…) et ses “hommes placés” n’aient pas créé des rentes sur les marchés de la défense.

votre avatar







CaptainDangeax a écrit :



Justement, je viens de me relire, et j’ai fait le parallèle entre réseaux isolés, et support de stockage amovible. Je n’ai pas parlé d’OS open-source. Relisez-vous également, ça vous évitera de me reprocher des propos que je n’ai pas tenu.





Bah, la phrase qui enchaine est “La seule solution, c’est l’open-source, qui permet déjà de vérifier :

-que le code fait bien ce qu’on lui demande et rien d’autre

-que le code fourni génère bien le même binaire que celui fourni par l’éditeur ”

Du coup, ça porte à confusion, on a l’impression que la seule solution (sous entendu, à ce qui précède) c’est ces fameux OS Open-Source.







CaptainDangeax a écrit :



J’ai oublié de dire que c’est l’éternel conflit entre le financier qui trouve que ça coûte toujours trop cher, et l’informaticien qui trouve qu’on peut toujours faire mieux d’un point de vue technique. Je mets l’aspect technique en premier. Et vous ?







Je ne pense pas que l’aspect financier joue un rôle décisif ici, tant que tu répond aux critères que tu t’es fixé, pour moi c’est que l’objectif est atteint. Peu importe comment c’est achevé (Open-Source/proprio). La sécurité, elle est dans les critères que tu t’es établi. (ça peut obliger à passer par du open-source, mais pas forcément)


votre avatar







Skeeder a écrit :



Bah, la phrase qui enchaine est “La seule solution, c’est l’open-source, qui permet déjà de vérifier :

-que le code fait bien ce qu’on lui demande et rien d’autre

-que le code fourni génère bien le même binaire que celui fourni par l’éditeur ”

Du coup, ça porte à confusion, on a l’impression que la seule solution (sous entendu, à ce qui précède) c’est ces fameux OS Open-Source.





Certes, j’aurais dû mettre à la ligne, pour qu’il n’y ait pas confusion entre mon premier propos “réseau isolé contre media amovible” et le second concernant l’open source avec vérification de la compilation face au propriétaire


votre avatar

JVachez a été embauché au Ministère de la Défense ? <img data-src=" />

votre avatar







Drepanocytose a écrit :



On va te répondre : … analyse de traffic réseau







un peu de stéganographie sur du trafic anodin et c’est bon


[MàJ] Défense : le libre veut la lumière sur l’offre Open Bar de Microsoft

Fermer