Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Windows 10 : que trouvait-on vraiment dans la fuite de données de ce week-end ?

Beaucoup d'azote, un peu d'oxygène

Windows 10 : que trouvait-on vraiment dans la fuite de données de ce week-end ?

Le 26 juin 2017 à 10h00

Depuis ce week-end, les articles font rage : 32 To d’informations diverses sur Windows 10 auraient fuité, dont une partie du code source de Windows 10. Dans la pratique, la fuite est nettement moins importante, mais pose quand même de sérieuses questions de sécurité.

Vendredi soir, The Register publiait un article explosif : 32 To de données diverses au sujet de Windows 10 ont été trouvés sur le site BetaArchive, spécialisé dans les dépôts de préversions et de logiciels abandonnés.

Nos confrères évoquaient alors un mélange de versions internes ainsi que le code source du cœur du système d’exploitation. Ils estimaient également que la fuite devait avoir eu lieu en mars dernier, les données ayant a priori été « exfiltrées » directement depuis les locaux de l’entreprise. Bien qu’une partie des données puisse être sensible, il semble cependant qu’on soit loin d’une fuite réellement dramatique.

32 To de données ? Oui, mais…

D’abord, que contiennent ces fameux 32 To, dont la forme compressée descend à 8 To ? En bonne partie, tout un lot de préversions de Windows 10 qui ont été compilées en interne, mais non mises à disposition du public.

Rien de bien incroyable dans l’absolu : Microsoft compile très régulièrement de nouvelles moutures, notamment pour le programme Insider qui permet de tester les bêtas du système. C’est d’ailleurs le sens des numéros de builds affichés en bas à droite. Par exemple, le numéro est passé récemment de 16215 à 16226 dans le canal rapide. L’explication est simple : il y a eu 11 compilations du système entre les deux.

La plupart de ces préversions sont de la branche Redstone 2, qui a abouti pour rappel à la Creators Update distribuée en début avril (la branche de développement est actuellement la Redstone 3). Parmi les builds, on en trouve des classiques, mais également certaines compilées pour ARM64, tandis que d’autres contiendraient des symboles privés de débogage, qui peuvent être riches d’informations.

L’archive contenait également deux autres composants. D’abord, plusieurs moutures du Mobile Adaptation Kit, outil interne servant à préparer Windows 10 pour une installation sur les appareils mobiles (les smartphones en l’occurrence). Ensuite, et surtout, un kit appelé Shared Source, et c’est ici que la situation peut se compliquer.

Pas le cœur du système, mais des composants importants

BetaArchive a réagi de son côté, essentiellement pour calmer le jeu et expliquer ce qui se trouvait réellement dans cette archive. Confirmant la présence de nombreuses builds n’ayant pas été distribuées publiquement, le site précise leur provenance : un réseau de membres du forum, participant aux programmes Insider ou Connect. En clair, il s’agirait de sources « légitimes », en aucun cas d’une fuite provenant de Microsoft.

Surtout, l’archive contenait un dossier de 1,2 Go, contenant douze versions différentes du Shared Source Kit. Ce dernier contient le code source de certaines piles de Windows 10, notamment pour l’USB, le stockage, le Wi-Fi ou encore le Plug-and-Play. En d’autres termes, ce que les partenaires matériels peuvent être autorisés à voir pour le développement des pilotes.

Ce code source est accompagné d’une licence spécifique appelée elle aussi Shared Source. Elle permet essentiellement de le consulter, même si dans certains cas il est possible de redistribuer une version modifiée. Ce n’est toutefois pas une licence commerciale, et elle n’est pas reconnue comme open source.

Le problème des sources visibles

Rien dans le Shared Source Kit ne concerne à proprement parler le cœur du système, contrairement à ce qu’indiquait initialement The Register. Cependant, les piles liées aux pilotes restent des composants importants, et la visibilité du code source pourrait entrainer des soucis de sécurité.

BetaArchive a supprimé tout le dossier, et ne compte pas le remettre en ligne dans l’immédiat, une analyse étant en cours pour déterminer si le risque est écarté. Cependant, puisque les données étaient accessibles via FTP à quiconque avait les bons identifiants, il y a fort à parier que le code source circule désormais entre de nombreuses mains.

Si ce code devait révéler des failles de sécurité, tout dépendrait alors de la personne qui les trouverait. Il y a surtout deux possibilités : soit la vulnérabilité est signalée directement à Microsoft, soit elle est mise de côté. Quand on sait quel trafic règne dans ce domaine, on imagine aisément que certains se frottent déjà les mains.

Des failles dans les piles pourraient en effet mener des pirates à développer des pilotes vérolés. Selon le type, les fameux « drivers » ont plus ou moins de privilèges, bien que les différentes versions de Windows les aient réduits avec le temps, en repoussant la plupart en espace utilisateur. Cependant, une brèche pourrait justement permettre des élévations de privilèges et globalement une percée à travers les défenses.

Et maintenant ?

Dans une réaction publiée samedi, BetaArchive indique que tout ce qui touchait au Shared Source Kit a bien été supprimé, mais pas les builds. Microsoft a confirmé également à The Register que le dossier du SSK contenait « une partie » du kit. Conséquence, on ne sait pas exactement quelles sont les piles qui se trouvaient dans l’archive, du moins pas encore. Nous avons d’ailleurs demandé à Microsoft de plus amples informations et attendons actuellement une réponse.

Pour l’instant, il est difficile de calculer les retombées de cette « fuite ». Il ne s’agit pas, comme on a pu le voir sur divers sites, du code source de Windows, mais de celui de quelques composants auxquels de nombreux partenaires avaient déjà accès via la Shared Source Initative. Des informations techniquement suffisantes pour entrainer des soucis de sécurité, même si tout repose finalement sur le code lui-même.

Commentaires (47)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

La visibilité du code source pourrait entrainer des soucis de sécurité….



C’est une blague ??? C’est clairement indigne d’un “journaliste” qui se dit spécialiste en OS d’écrire ça de nos jours…

votre avatar

Je suis hyper déçu.

En fin de compte, je ne trouve même pas moyen de me moquer.

votre avatar







Drepanocytose a écrit :



C’est une blague ??? C’est clairement indigne d’un “journaliste” qui se dit spécialiste en OS d’écrire ça de nos jours…





Étant donné que la sécurité de l’OS repose en partie sur le fait que le code n’est pas public, ça peut en effet poser des soucis de sécurité. Mais le problème est Microsoft, ce n’est pas l’opensource.


votre avatar

On verra mais il semble que ça soit pas si grave que ça.



Et sinon, quand MS fera une mise à jour de W10 Insider propre !!!

3 plantages sur SetupPlateform.exe et là, j’ai fais une réparation et je tente une dernière fois !!!

votre avatar

Et on a une idée de l’origine de la fuite ?

votre avatar







Obidoub a écrit :



Étant donné que la sécurité de l’OS repose en partie sur le fait que le code n’est pas public, ça peut en effet poser des soucis de sécurité. Mais le problème est Microsoft, ce n’est pas l’opensource.





Voilà.

Ce n’est pas la visibilité du source le souci, c’est justement la non-visibilité du reste du code.


votre avatar







Juju251 a écrit :



Et on a une idée de l’origine de la fuite ?







Confirmant la présence de nombreuses builds n’ayant pas été distribuées publiquement, le site précise leur provenance : un réseau de membres du forum, participant aux programmes Insider ou Connect. En clair, il s’agirait de sources « légitimes », en aucun cas d’une fuite provenant de Microsoft.


votre avatar

Ben c’est le faite que comme dab le code n’est pas visible la sécurité n’est pas forcement au point la dessus… du coup le pb c’est que du code sensé rester privée soit devenue visible… Je vois pas ou il y a problème de journalisme.

votre avatar

+42. Mais je ne suis même pas surpris concernant ce rédacteur.







Obidoub a écrit :



On t’a reconnu, jvachez <img data-src=" />





<img data-src=" />







Obidoub a écrit :



Étant donné que la sécurité de l’OS repose en partie sur le fait que le code n’est pas public, ça peut en effet poser des soucis de sécurité. Mais le problème est Microsoft, ce n’est pas l’opensource.





Tu as une source permettant d’affirmer cela ou c’est une supposition ?



Rappelons à tous ceux qui croient que cacher le source est une mesure de sécurité qu’il est assez facile de désassembler et comprendre ce que fait un logiciel et d’en trouver des failles. C’est juste un peu plus long. Mais, ce n’est pas le seul moyen.


votre avatar

Et l’intérêt d’avoir un code source visible ?



(Truequestion)

votre avatar







Himurai a écrit :



Et l’intérêt d’avoir un code source visible ?



(Truequestion)





Que tout le monde puisse auditeur le code (et donc trouver des failles).

Que tout le monde puisse le comprendre pour s’y connecter, exemple les drivers, raison pour laquelle ce “shared source” existe..


votre avatar

Cette tempête dans un verre d’eau… C’est pas l’impartialité qui t’étouffe.



Oui, la publication incontrôlée de source peut mener à des soucis de sécurité.&nbsp;L’intérêt d’une publication contrôlée des sources n’est pas de ne pas avoir de faille de sécurité mais d’être capable de les identifier (et donc de les corriger) rapidement. Dans ce cadre précis, et Vincent n’a pas utilisé de formule générique, c’est un potentiel problème de sécurité.



Après c’est Microsoft et c’est Vincent donc on va avoir toute la clique pour qui ça va être la fête du slip dans les commentaires.

votre avatar









wpayen a écrit :



Après c’est Microsoft et c’est Vincent donc on va avoir toute la clique pour qui ça va être la fête du slip dans les commentaires.





Double Calimero powaaaa.

Combo gagnant


votre avatar

Il y a une nette différence entre du code open source, où tout est organisé pour que les bugs et failles soient remontées/corrigées rapidement, et un leak sauvage où personne ne va rien remonter, parfois par peur des représailles.



La sécurité par l’obscurité est un principe qui peut fonctionner dans certains cas, tout dépend contre qui tu veux te protéger. Selon le niveau de protection de ton code, il faut parfois un groupe organisé voire même un gros budget pour arriver à faire le reverse engineering. Si tu acceptes de n’être protégé que contre les hackeurs du dimanche, l’obscurcissement de ton code est un outil comme un autre.

votre avatar

Non. La sécurité par obscurité ne fonctionne jamais.

C’est parce qu’on parle de windows que vous racontez de telles âneries ?



Et pour info, windows est l’OS majoritaire, il est très loin de n’être attaqué que par les hackers du dimanche… Et il faut, en tant qu’OS majoritaire, le protéger contre toutes les attaques…



La secu par obfuscation comme principe valable… On aura tout lu ici…

votre avatar

Y’a quand même un bon côté dans tout ça, Wine/Crossover devrait pouvoir profiter d’un meilleur support USB très prochainement, pour peu que les devs étudient un peu le code source de cette fameuse pile pour les pilotes pour bien en comprendre le fonctionnement… ;)



D’ailleurs pour le wifi, ça pourrait même profiter au noyau Linux côté drivers…



Ça serait drôle qu’un outil permettant de charger certains pilotes Windows sous Linux soit mis au point… (Je ne parle pas de Ndiswrapper qui dans les faits, ne charge que le firmware du chipset Wifi…)

votre avatar

Et la Microsoft fait passer Windows en open source.



<img data-src=" />

votre avatar



Cependant, les piles liées aux pilotes restent des composants importants, et la visibilité du code source pourrait entrainer des soucis de sécurité.





On t’a reconnu, jvachez <img data-src=" />

votre avatar

Beaucoup de buzz pour rien d’autre que le “Shared Source Kit” diffusé aux partenaires fabricants de matériel.

votre avatar

Merci, tu m’as évité de répondre la même chose.

votre avatar

dans tout ces avantages du code ouvert, il y en a un que vous avez oublié qui me parait le plus important, voire même la raison première de son existence :



améliorer le code existant, ajouter des fonctionnalités.



&nbsp;

votre avatar



améliorer le code existant, ajouter des fonctionnalités. 



&nbsp;




Avec l’accès à tout le code, tu peux refaire un os?

votre avatar

Tout dépend de ce qu’on appelle ‘fonctionner’. Ça ne garantie rien, c’est certain. Par contre ça rend effectivement le travail plus complexe pour ceux qui voudraient trouver des failles.

La question n’est pas ‘est-ce que c’est la sécurité parfaite’ (évidemment non), c’est plutôt est-ce que l’obscurité handicape plus les gentils ou les méchants (j’ai ma petite idée sur la question).

votre avatar

Heuuu sisi… (attention mon exemple ne parle pas du code accessible mais de “sécurité par l’obscurité”)

Exemple : par principe tu demandes à tes application web de ne pas afficher le numéro de version (on évite de dévoiler la version de Joomla, ou du apache derrière etc…)



Cacher des éléments = réduction de la facilité de l’attaque

Ce n’est pas une “sécurité ultime” c’est juste une réduction d’un vecteur d’attaque.



La sécurité c’est simple: “rien n’est infaillible, il faut juste mettre des batons dans les roues pour éviter que ce soit trop simple”. Quand le cout de l’attaque est inférieur au gain (ou au cout de risque), c’est une sécurité “acceptable”.



Cacher le code n’enleve pas la faille mais réduit sa facilité de découverte (mais engendre le non-audit libre etc…).

Reste le débat de “ce n’est pas parce que le code de l’appli est disponible que quelqu’un va aller rendre l’appli plus sécurisée (cela dépend de la criticité et de la popularité: cf va voir le nombre de lignes de codes pourries sur github).



Il faut que je retrouve les études qu’il y avait eu sur le sujet: pas de différence majeures en termes d’erreurs./failles entre coté privé et code public. Mais par contre meilleure réactivité des “codes pubics” de par leur pratique de prise en compte des bugs (comme dis par un autre commentaire plus haut)

votre avatar







Drepanocytose a écrit :



La visibilité du code source pourrait entrainer des soucis de sécurité….



C’est une blague ??? C’est clairement indigne d’un “journaliste” qui se dit spécialiste en OS d’écrire ça de nos jours…





C’est quelque chose à double tranchant. Certe tu augmente le monbre d’auditeurs potentielle, mais l’effort d’audit de sécurité est proportionnel aux intérêts que l’on a à le faire. Au vue des retombées de l’épisode de Wanacry, sur une faille patché, on comprend vite qu’un blackhat a un potentiel intérêt dans l’accès au de nouveaux pans de codes sources directement.

Là, il faut bien se rendre compte que l’on est pas sur un code source ouvert, on a pas les outils, on a pas les processus de diffusion ni même les même responsabilité, la même “philosophie”…


votre avatar







Obidoub a écrit :



On t’a reconnu, jvachez <img data-src=" />









Drepanocytose a écrit :



La visibilité du code source pourrait entrainer des soucis de sécurité…. 




C'est une blague ??? C'est clairement indigne d'un "journaliste" qui se dit spécialiste en OS d'écrire ça de nos jours...






Vous vous énervez un peu pour rien non ? Vous avez compris ce que vous vouliez bien comprendre.

&nbsp;





Drepanocytose a écrit :



Double Calimero powaaaa. 



Combo gagnant









Double combo moquerie/complot :)


&nbsp;



Drepanocytose a écrit :



Non. La sécurité par obscurité ne fonctionne jamais.&nbsp;





Précisément, d’où ma remarque. Fallait que je vous prenne par la main pour ajouter les quelques mots qui étaient tellement évidents qu’ils n’avaient même pas besoin d’être écrits ? Bien sûr que c’est le choc d’une révélation publique sur un soft fonctionnant habituellement par obfuscation qui peut créer des problèmes. Tu vois une information étonnante, tu le dis toi-même, mais plutôt que de lire ce qui était évident, tu as préféré partir du principe que je pouvais écrire quelque chose d’aussi stupide. D’accord ma foi :)


votre avatar







Vincent_H a écrit :



Vous vous énervez un peu pour rien non ? Vous avez compris ce que vous vouliez bien comprendre.

&nbsp; 




Double combo moquerie/complot :)


&nbsp;

Précisément, d’où ma remarque. Fallait que je vous prenne par la main pour ajouter les quelques mots qui étaient tellement évidents qu’ils n’avaient même pas besoin d’être écrits ? Bien sûr que c’est le choc d’une révélation publique sur un soft fonctionnant habituellement par obfuscation qui peut créer des problèmes. Tu vois une information étonnante, tu le dis toi-même, mais plutôt que de lire ce qui était évident, tu as préféré partir du principe que je pouvais écrire quelque chose d’aussi stupide. D’accord ma foi :)





Foutage de gueule, Vincent.

Tu es journaliste, ce n’est pas aux lecteurs de te comprendre spontanément , c’est a toi d’être didactique.



Ta phrase était ambiguë, et avec le nombre de vos lecteurs, statistiquement les différences de compréhension sur une formulation ambiguë surviennent


votre avatar







Drepanocytose a écrit :



Ta phrase était ambiguë





Foutage de gueule Drepanocytose :)


votre avatar

:popcorn:



bon sinon faut en vouloir pour récupérer 32To de Windows <img data-src=" />

votre avatar







Vincent_H a écrit :



Foutage de gueule Drepanocytose :)





Jolie pirouette. Tu prends le temps de répondre, pour en fait ne pas répondre…



Ça t’arracherait la face de reconnaitre que t’as écrit un truc ambigu ? J’ai pas été seul a le noter…


votre avatar

Je ne suis pas de ton avis, c’est tout simplement l’explication. Quand j’ai vu des commentaires suggérer des modifications avec lesquelles j’étais d’accord, je le faisais et je remerciais, avec le petit “<img data-src=" />” qui va bien pour marquer le coup. Ici, ce n’est &nbsp;pas le cas. Voilà, on ne va pas épiloguer là-dessus pendant des heures.

votre avatar

C’est chaud ici aujourd’hui !! On n’est que lundi les amis !! <img data-src=" />

votre avatar

Ben moi c’était une blague d’autant que je suis assez d’accord avec toi.

votre avatar







Drepanocytose a écrit :



La visibilité du code source pourrait entrainer des soucis de sécurité….



C’est une blague ??? C’est clairement indigne d’un “journaliste” qui se dit spécialiste en OS d’écrire ça de nos jours…









Drepanocytose a écrit :



Que tout le monde puisse auditeur le code (et donc trouver des failles).

Que tout le monde puisse le comprendre pour s’y connecter, exemple les drivers, raison pour laquelle ce “shared source” existe..





Tu les dis toi même : en auditant le code source on peut trouver des failles !



Le problème n’est pas que les sources soit disponibles : c’est qu’elles le soient de manière incontrôlées (et qu’elle ne l’on jamais été avant - donc potentiellement beaucoup de nouveaux auditeurs et de nouvelles failles trouvées)


votre avatar







Drepanocytose a écrit :



Ça t’arracherait la face de reconnaitre que t’as écrit un truc ambigu ? J’ai pas été seul a le noter…



En tant que lecteur essentiellement muet, et qui n’a pas l’intention de cesser de l’être, je fais une petite entorse à ma “coititude” pour manifester mon exaspération de voir toujours la même petite poignée de commentateurs sectaires et suffisants déposer toujours les mêmes petits cacas sectaires et suffisants dès que l’occasion se présente. Sans hésiter à insulter les journalistes qui, apparemment, ne mériteraient leur carte de presse qu’à la condition sine qua non de partager les crédos de ladite secte. Le seul aspect positif, c’est l’effet repoussoir que ces comportements doivent avoir sur le lecteur “moyen” de NXI. Avec des défenseurs de ce calibre, la victoire du Jihad libriste et open-source n’est pas pour demain. D’un côté ça me navre, car je suis moi-même un défenseur – modéré – du Libre, de l’autre côté l’idée de l’énervement que la domination du commercial provoque chez les types dans ton genre, Drepanosectose, est un doux plaisir que je ne boude pas…


votre avatar







Alphatak a écrit :



En tant que lecteur essentiellement muet, et qui n’a pas l’intention de cesser de l’être, je fais une petite entorse à ma “coititude” pour manifester mon exaspération de voir toujours la même petite poignée de commentateurs sectaires et suffisants déposer toujours les mêmes petits cacas sectaires et suffisants dès que l’occasion se présente. Sans hésiter à insulter les journalistes qui, apparemment, ne mériteraient leur carte de presse qu’à la condition sine qua non de partager les crédos de ladite secte. Le seul aspect positif, c’est l’effet repoussoir que ces comportements doivent avoir sur le lecteur “moyen” de NXI. Avec des défenseurs de ce calibre, la victoire du Jihad libriste et open-source n’est pas pour demain. D’un côté ça me navre, car je suis moi-même un défenseur – modéré – du Libre, de l’autre côté l’idée de l’énervement que la domination du commercial provoque chez les types dans ton genre, Drepanosectose, est un doux plaisir que je ne boude pas…





Sauf que open-source et commercial ne sont pas antinomiques, cf redhat.



En plus de ne pas avoir saisi que je parlais de sécurité par obfuscation, et pas d’opensource a proprement parler, tu n’as pas compris ce qu’est l’opensource si tu opposes ça au commerce.

Bref.



Et si tu veux tout savoir, ça me fait plutôt plaisir que ce que tu appelles “commercial” domine : ça évite que les valeurs qui régissent çeci viennent trop pervertir la petite niche dans laquelle je me situe..


votre avatar







Drepanocytose a écrit :



Sauf que open-source et commercial ne sont pas antinomiques, cf redhat.





Ça c’est typique de la dialectique de ta secte : monter les quelques arbres censés cacher la forêt. Pathétique.







Drepanocytose a écrit :



En plus de ne pas avoir saisi que je parlais de sécurité par obfuscation, et pas d’opensource a proprement parler, tu n’as pas compris ce qu’est l’opensource si tu opposes ça au commerce.

Bref.





Oui, ça doit être ça. Pour rester anonyme, je n’indiquerai pas ici mes états de service et de publications en faveur les logiciels libres, mais laisse-moi au moins te dire que les types comme toi, dégoulinant de certitudes et de prétention, font un mal fou à ce qu’ils s’imaginent défendre.







Drepanocytose a écrit :



Et si tu veux tout savoir, ça me fait plutôt plaisir que ce que tu appelles “commercial” domine : ça évite que les valeurs qui régissent çeci viennent trop pervertir la petite niche dans laquelle je me situe…





Tu sais quoi ? Tu devrais créer un site à toi pour déverser ta bonne parole au lieu de parasiter et souiller la zone des commentaires de NXI, ça ferait des vacances à beaucoup de lecteurs exaspérés comme je le suis.


votre avatar

Intervenant rarement les commentaires, je rajoute juste un petit commentaire pour appuyer ton avis et ta démarche.



C’est tellement exaspérant de voir des mecs de ce calibre venir déverser leur prétention et leur agressivité dans les commentaires, persuadés jusqu’à l’os qu’ils sont des chevaliers blancs en armure alors qu’ils ne font que desservir leur cause ! On peut avoir des avis divergents et des opinions différentes , mais un peu de respect et de modestie n’a jamais fait de mal à personne, surtout vis à vis des journalistes qui essayent quand même de faire correctement leur travail.



Typique du barbu linuxien en armure obsessif qui croit naïvement qu’il va changer le monde en voulant imposer son idéologie par la force ( et le pire c’est que le libre a plein de qualités, mais ils donnent tellement l’impression qu’on va rejoindre une “secte” de tarés comme tu dis qu’ils arrivent à en refroidir les partisants les plus lambdas (comme moi) )

votre avatar







Alphatak a écrit :



En tant que lecteur essentiellement muet, et qui n’a pas l’intention de cesser de l’être, je fais une petite entorse à ma “coititude” pour manifester mon exaspération de voir toujours la même petite poignée de commentateurs sectaires et suffisants déposer toujours les mêmes petits cacas sectaires et suffisants dès que l’occasion se présente. Sans hésiter à insulter les journalistes qui, apparemment, ne mériteraient leur carte de presse qu’à la condition sine qua non de partager les crédos de ladite secte. Le seul aspect positif, c’est l’effet repoussoir que ces comportements doivent avoir sur le lecteur “moyen” de NXI. Avec des défenseurs de ce calibre, la victoire du Jihad libriste et open-source n’est pas pour demain. D’un côté ça me navre, car je suis moi-même un défenseur – modéré – du Libre, de l’autre côté l’idée de l’énervement que la domination du commercial provoque chez les types dans ton genre, Drepanosectose, est un doux plaisir que je ne boude pas…





merci&nbsp;


votre avatar







Drepanocytose a écrit :



La visibilité du code source pourrait entrainer des soucis de sécurité….



C’est une blague ??? C’est clairement indigne d’un “journaliste” qui se dit spécialiste en OS d’écrire ça de nos jours…







Bien sur que la visibilité du code source facilite la découverte des failles de sécurité.



C’est même un argument des défenseurs de l’open-source !



Là ou ca coince c’est que leur second argument c’est que tout le monde peut alors contribuer à colmater la faille… ce qui n’est pas le cas chez Ms. Et c’est donc un soucis.



CQFD


votre avatar

+1 Moi aussi tient!

&nbsp;(lecteur depuis 2006)

votre avatar







ErGo_404 a écrit :



La sécurité par l’obscurité est un principe qui peut fonctionner dans certains cas, tout dépend contre qui tu veux te protéger. Selon le niveau de protection de ton code, il faut parfois un groupe organisé voire même un gros budget pour arriver à faire le reverse engineering. Si tu acceptes de n’être protégé que contre les hackeurs du dimanche, l’obscurcissement de ton code est un outil comme un autre.









Drepanocytose a écrit :



Non. La sécurité par obscurité ne fonctionne jamais.

C’est parce qu’on parle de windows que vous racontez de telles âneries ?





Aucune ânerie dans le commentaire ci-dessus, les solutions de sécurités dépendent des menace auxquelles tu veux faire face. Si tu ne veux pas que ton pote pas geek au lycée comprenne la macro excel que tu lui&nbsp; a faite, l’obfuscation du code est une solution.&nbsp;

Pour un OS aussi répandu et critique que Windows, on est d’accord.


votre avatar







Alphatak a écrit :



En tant que lecteur essentiellement muet, et qui n’a pas l’intention de cesser de l’être, je fais une petite entorse à ma “coititude” pour manifester mon exaspération de voir toujours la même petite poignée de commentateurs sectaires et suffisants déposer toujours les mêmes petits cacas sectaires et suffisants dès que l’occasion se présente. Sans hésiter à insulter les journalistes qui, apparemment, ne mériteraient leur carte de presse qu’à la condition sine qua non de partager les crédos de ladite secte. Le seul aspect positif, c’est l’effet repoussoir que ces comportements doivent avoir sur le lecteur “moyen” de NXI. Avec des défenseurs de ce calibre, la victoire du Jihad libriste et open-source n’est pas pour demain. D’un côté ça me navre, car je suis moi-même un défenseur – modéré – du Libre, de l’autre côté l’idée de l’énervement que la domination du commercial provoque chez les types dans ton genre, Drepanosectose, est un doux plaisir que je ne boude pas…









Beaucoup apprécié ce message, dommage qu’il soit au format “gros paté”.



Je dirais même que ta remarque sur les sectes peut s’élargir bien au delà des news traitant du monde du logiciel.


votre avatar

Quand tu veux sécuriser un service ou un produit, tu définis d’abord contre qui tu veux le sécuriser. Contre une attaque externe ? Interne ? En local ? Par le réseau ? Avec un accès matériel? Par un hackeur ? Par ton hébergeur ? Par un gouvernement ?

Se prémunir à 100% des failles, si tant est qu’on considère que c’est possible, demande beaucoup trop de moyens pour être un objectif raisonnable, surtout pour les petites boîtes.

L’obfuscation est une solution, c’est le niveau 0 de la protection, c’est loin d’être infaillible, mais c’est une solution. C’est d’ailleurs le principe utilisé dans tous les systèmes de sécurité basés sur des cartes à puce, c’est à dire qu’on fait en sorte qu’un accès physique à la carte à puce ne suffise pas, et il faut du matériel hors de prix et des compétences de malade pour espérer faire un reverse engineering sur une carte à puce.



Evidemment pour Windows, ce n’est pas une bonne solution, vu que c’est un OS majoritaire utilisé dans des domaines parfois très (trop) sensibles. D’un autre côté, sources fermées ne veut pas dire forcément plus de failles, tout dépend des moyens que tu met dans la conception de ton système.



Mais si les sources sont leakées alors qu’elles n’auraient pas du l’être, c’est une mauvaise chose. Vu que le leak n’est pas prévu, il n’est pas non plus vraiment prévu qu’il y ait tout le mécanisme habituel de l’open source avec merge request, review, etc etc. Donc au final potentiellement des failles qui tombent dans la nature et qui sont facilement accessibles alors qu’il aurait fallu un peu plus de boulot en temps normal si les sources avaient été fermées.

votre avatar

Parfois les attaques de la ‘secte’ sont pertinentes et approfondissent le sujet.



Ce que je méprise ce sont les attaques personnelles ou professionnelles.

Surtout dès le début des comms.

Là ça pourri tout et c’est très dommage.



La forme quoi, pas le fond.

votre avatar







nick_t a écrit :



Parfois les attaques de la ‘secte’ sont pertinentes et approfondissent le sujet.



Ce que je méprise ce sont les attaques personnelles ou professionnelles.

Surtout dès le début des comms.

Là ça pourri tout et c’est très dommage.



La forme quoi, pas le fond.





QFE <img data-src=" />


votre avatar

Preuve en est que ce ne sont pas ceux qui parlent le plus qui disent les choses les plus intelligentes. C’est pour des commentaire comme ça qu’un système de points devrait être ajouter dans ces derniers.

Enfin, n’oublions pas que la drépanocytose reste une maladie au même titre que certains intervenants dans les commentaires … <img data-src=" />

Windows 10 : que trouvait-on vraiment dans la fuite de données de ce week-end ?

  • 32 To de données ? Oui, mais…

  • Pas le cœur du système, mais des composants importants

  • Le problème des sources visibles

  • Et maintenant ?

Fermer