des chercheurs du monde entier se sont penchés là dessus. Cette clef ne permet pas l’execution de code à distance, et n’offre pas non plus la possibilité de décrypter ce qui est crypté par l’utilisateur. Si ça avait été le cas, par reverse engineering en partant de cette clef, des backdoors auraient été découvertes très rapidement.
cette clef permet juste de vérifier quels modules cryptographiques ont le droit d’être installés sur la machine.
dans le pire des cas, avec cette clef, la NSA aurait pu créer un module crypto d’interception de clef, mais pour cela il aurait fallu que l’utilisateur l’installe d’abord sur son système…! Autrement dit, c’est totalement inutile, car si la NSA peut convaincre quelqu’un d’executer du code, nul besoin de cette NSAkey pour installer un trojan.
la vraie raison de cette clef est probablement que la NSA voulait pouvoir déployer ses propres modules cryptographiques sur les machines gouvernementales sans passer par Microsoft (normalement, les modules de cryptographie doivent être signés par MS pour que Windows accepte de s’en servir).
Le
20/07/2013 à
16h
17
Attaquer un organisme gouvernemental ou mettre à genoux une des plus importantes sociétés américaines, ce n’est pas exactement la même responsabilité pour le journaliste
c’est pourtant bien pire d’attaquer un gouvernement qu’une societe privée.
si les journalistes avaient entre les mains des preuves que des backdoor existent dans les produits MS, ils n’auraient pas hesité une seule seconde à les publier… Le scoop du siecle ça se refuse pas.
mais vu le nombre de chercheurs en secu qui examinent les produits MS depuis des decenies, s’il y avait des backdoors dans windows, ça ferait longtemps qu’elles auraient été exposées.
Le
20/07/2013 à
08h
52
C’est une très bonne initiative, mais totalement contradictoire avec l’affaire “Open Bar” (cf vos news sur le sujet) qui concerne l’armée, endroit où on peut imaginer que l’importance de pouvoir tenir des conversations “secrètes” est primordial
aucune contradiction avec l’usage des produits MS dans l’armée.
deja, l’armée utilise un reseau deconnecté d’internet pour proteger ses données confidentielles.
et s’il y avait des backdoors dans les produits MS, ne crois tu pas que Snowden aurait leaké les infos à ce sujet? Tu t’imagines vraiment que les logiciels open source offrent une garantie contre les backdoors placées discretement sous forme de faille de securité?
ensuite, de ce qui est dit dans l’article, il ne s’agit pas de proposer un replacement à windows, il semble qu’il s’agit de projets visant à examiner le traffic et proteger les infrastructures existantes, et à fournir des solutions de communications VoIP independantes des editeurs americains.
Ce qui serait aussi intéressant de savoir, c’est si l’iPhone avait été en plastique, cela aurait il suffit pour éviter cette électrocution mortelle? (sur mon MacBook pro à chaque fois que je le touche je me prend une petite decharge lorsqu’il n’est pas relié à la terre… Ça m’a toujours fait craindre qu’un défaut électrique du chargeur puisse représenter un danger mortel sur les machines en alu)
aussi, est ce qu’un problème grave avec la batterie n’aurait pas pu provoquer sa decharge totale sur l’utilisateur en 1 fraction de seconde? (avec une intensité très élevée)
ça me rappelle des histoires de batteries d’onduleur qui éclatent et qui provoquent des arcs électriques mortels même à des dizaines de cm de distance.
je suis un profane sur le sujet mais 7Zip divise par minimum 4 la taille d’un fichier…
tout depend du type de fichier que tu compresses, tu ne peux pas generaliser.
ex: une image jpeg ou png utilise deja une methode de compression lors de son encodage. En la compressant avec un outil comme 7zip, sa taille ne sera quasiment pas reduite.
en revanche tu peux esperer plus de gain sur une image bitmap ou un fichier texte d’avantage susceptible de contenir des informations redondantes.
Le
16/07/2013 à
11h
13
Pas compris la partie concernant les 15 ans de support de Windows 3.11.
D’après Wikipedia, elle est sortie en 1993, et le support s’est arrêté en 2001. Soit 8 ans, non ?
oui le support s’est terminé fin 2001.
mais il etait possible d’acheter des licenses OEM jusqu’en 2008.
et entre 2002 et 2008 j’imagine qu’il etait possible de recevoir du support technique et des hotfix en payant assez cher.
pour info le support de windows XP s’arrete officiellement en 2014, mais il restera possible pour les grands comptes de recevoir les maj de securite importantes et critiques jusqu’en 2018 si ma memoire est bonne. Mais ce type de support se facture en millions de dollars pour chaque enterprise qui souhaite en beneficier.
Juste un exemple, le dernier projet sur lequel j’ai bossé en tant que fournisseur..
Le client, un grand nom de la pharma européenne. Le projet c’était un nouveau batiment de biotech pour une molécule nouvelle pour une maladie de vieux occidentaux (donc ca veut dire : beaucoup de pognon en perspective), bâtiment + machines + procédé, en gros toute le partie technique. Secrets industriels, crois moi : on a tous signé un bon gros agreement de confidentialité bien violent spécialement pour ce projet.
Eh bien je te le donne dans le mille : tout dans dropbox, gdrive, et communications 3 fois/semaines par Lync.
Aucune entreprise ne stocke ses secrets sur des serveurs ricains, cette bonne blague !
Encre cette semaine en réaction à Prism, encore 2 grosses entreprises du secteur (Novartis et Roche de mémoire) se sont déclarées ouvertement non préoccupées…
là c’est vraiment de l’incompétence (mais ça ne me surprend pas vraiment).
la moindre des choses, serait au moins d’heberger les fichiers sur ses propres serveurs (via sharepoint par exemple).
et idéalement, si c’est vraiment du secret industriel, le travail sur ces projets devrait se faire depuis un réseau déconnecté d’internet (trop de risque d’infection des postes de travail).
mais bon, faut relativiser, il y a plus de chances de fuite à cause d’un égarement de clef usb, de divulguation volontaire, ou de hack d’un poste de travail que d’un espionnage permis par PRISM.
Le
08/07/2013 à
20h
43
Mais bien entendu, d’ailleurs de tels systèmes existent clefs en main sur telecharger.com c’est bien connu!!
justement, il se trouve qu’il y a des tas d’entreprises qui vendent des solutions clef en main pour faire du deep packet inspection. Pas sur télécharger.com, mais presque!
et même si des solutions clef en main n’existaient pas, il est relativement trivial de développer une passerelle qui extrait et log les données des protocoles non cryptés les plus courants (sous entendu, c’est trivial à mettre en place lorsqu’on a le pouvoir de contraindre les operateurs nationaux à le faire.)
Avant d’arriver à une dictature, une guerre civile ou je ne sais quel autre argument massue et inutile, il y’a le droit à la vie privée qui est bafoué et la conservation des informations des entreprises. Avec Echelon et maintenant via ce système, qui peux évaluer les dégâts, au niveau économique notamment? C’est impossible
perso je préfère un état qui “bafoue” la vie privée (et encore, c’est grandement exagéré), à un état qui n’a aucune idée de ce qui se passe sur son territoire et qui serait pris au dépourvu et incapable d’assurer la sécurité de ses citoyens en cas de problèmes importants.
quant à.l’impact économique de l’espionnage, aucun rapport avec PRISM. L’espionnage industriel a toujours existé, et prism n’existe pas dans ce but (aucune entreprise ne stocke ses secrets industriels dans gdrive).
Le
08/07/2013 à
18h
36
Drepanocytose a écrit :
Je ne comprends pas bien cet argument là….
Déjà si un tel gouvernement devait REmettre en place un tel système :
1. ca lui couterait des sous et du temps, et donc il y aurait d’autres actions néfastes qu’il devrait retarder
2. le temps qu’il le mette en place (eh oui, ca ne se fait pas en 1⁄4 de s) serait autant de temps de “liberté ” de gagné
3. qu’il remette un tel système en place, si ca venait à se savoir (et ca se saurait), serait un argument de plus dans la manche de ses opposants, qui pourrait faire pencher la balance
si un gouvernement malveillant arrivait au pouvoir, il ne lui faudrait pas longtemps pour prendre le contrôle des infrastructures de communications et mettre en place un espionnage généralisé (vu qu’il s’agit surtout de logiciel, ce serait une question de jours, pas d’années).
à ce train là pour prévenir tout espionnage d’un hypothétique futur gouvernement diabolique, on devrait détruire toutes les infrastructures réseau et moyens de transports terrestre tout de suite… Juste au cas où…" />
Que non. Ca serait un gros problème, et de toute facon même si c’était un problème “moyen”, il devrait être traité.
C’est comme l’argument “mais que fait le gvt, pourquoi il ne s’occupe pas du chômage, c’est ca le plus important ?”. Argument spécieux et AMHA ridicule, les problèmes doivent tous être traités en même temps, en hiérarchisant les moyens en fonction de l’importance certes, mais surtout pas en remettant les problèmes “mineurs” ou “moyens” au lendemain.
rien ne peut garantir qu’un moyen de communication public ne fait pas l’objet d’un espionnage.
rien que le fait d’utiliser des communications cryptées peut attirer l’attention sur toi, compte tenu que l’immense majorité des gens ne cryptent rien volontairement.
je maintiens qu’en cas de guerre civile, il serait dangereux dans tous les cas d’utiliser un réseau public. Donc lutter pour supprimer tout espionnage d’un réseau public si un gouvernement “diabolique” est encore au pouvoir, c’est vraiment prendre le problème a l’envers et voué à l’échec.
Le
08/07/2013 à
17h
59
Anna Lefeuk a écrit :
Vrai en partie, simpliste et un brin arrogant
Question: t’es une entreprise techno (dont la techno permet de developper et maintenir des emplois et donc de la richesse), ne penses tu pas que la NSA va dire “Pas terro, donc cela ne m’intéresse pas?”
les secrets industriels sont supposés être stockés sur des réseaux hors ligne. Pas sur des réseaux connectés à internet, et encore moins sur le cloud (on sait depuis longtemps que les usa ont légalement le droit d’accéder même aux données hébergées hors usa, si c’est une entreprise US qui maintient l’infrastructure).
Question 2: On a un modèle de gouvernement sympa. Disons après divers événements, un gouvernement beaucoup moins sympa mais élu décide que ta couleur de peau, tes lectures, tes orientations sexuelles ne sont pas conforment, et donc que tes enfants et ta femme son bon pour un camp de réhabilitation. Please ne me sort pas l’argument foireux du “Ouais, mais ca va pas arriver…”
si un tel gouvernement arrivait au pouvoir, la confidentialité des échanges électronique serait le moindre de nos problèmes…
(et si ce système de surveillance n’etait pas en place, un tel gouvernement ne se priverait pas de l’installer. Donc l’abroger maintenant n’empêcherait pas sa remise en place par des acteurs malveillants)
Le
08/07/2013 à
16h
16
Glyphe a écrit :
Encore un qui a rien compris au principe des metadonnées ! " />
Ce qui intéresse beaucoup aujourd’hui les services de renseignement ce n’est pas toujours le contenu de nos communications mais le “contenant” qui lui circule toujours en clair au moins et qui contient les données de l’envoyeur et du receveur. Ce qui permet d’avoir une énorme base de données sur qui connait qui, parle avec qui, à quel moment, etc …
je ne faisais que répondre au gars qui a peur que la NSA visionne ses données.
je sais bien que (officiellement) ila NSA n’est supposée avoir accès qu’aux métadonnées.
Le
08/07/2013 à
10h
08
spamator a écrit :
Comme chacun peut militer de son coté, je recherche des produits qui peuvent remplacer gmail et dropbox les seuls services ricains que j’utilise
tu devrais aussi arrêter d’utiliser android, ios, WP, osx, windows, Linux (dont la NSA est un gros contributeur, notamment avec SELinux).
quitte à boycotter les produits americains, autant le faire correctement hein!
" />
on se croirait revenu dans les années 90 avec la parano autour d’échelon.
si tu ne fais pas de traffic de drogue, d’armes, d’êtres humains, ou de projet d’attentat, la NSA risque fort d’être déçue en lisant tes mails.
sinon un truc que vous devriez tous faire aussi, c’est mettre du papier aluminium sur votre tête quand vous sortez dans la rue, histoire d’empêcher la NSA de lire vos pensées.
J’ai eu exactement la même réaction que toi !!! " />
et le pire c’est que t’en es fier " />
lorsqu’un gland rigole bêtement, y en a toujours un autre derrière!
pci doit abriter une forêt de chênes, c’est pas possible!
Je n’évoquerais même pas l’histoire PRISM et touti quanti
PRISM n’a strictement aucun rapport avec la pub ciblée.
, ni même de Skype, mais ce qui est très “drôle” (sic) dans cette promesse c’est que lorsque j’écris des mails, je me retrouve très souvent avec des pubs en rapport avec certains termes de mes mails… ^^
Alors, c’est un bug MS ou un “feature” MS ??? " /> " />
deux explications possible:
-soit tu es incapable de distinguer Hotmail et gmail
-soit tu as installé une extension chrome malveillante (ou un truc du genre) qui remplace toutes les pubs des sites que tu visites par des pubs qui bénéficient à l’auteur du malware (le genre de truc qui fait qu’on voit des pubs en flash dans les résultats de recherche Google).
… Ou tout simplement, tu as vu une pub basée sur ta géolocalisation et tu en as déduit une conclusion à coté de la plaque.
Le
03/07/2013 à
21h
20
@ff9098
si tu preferes, ce n’est pas une promesse, mais un contrat d’utilisation qui empêche Microsoft de faire ce que Google fait.
si Microsoft faisait du minage des données à des fin publicitaires alors qu’il n’en est pas fait mention dans le contrat, on s’en rendrait rapidement compte à cause des pubs qui deviendrait en rapport avec le contenu de l’utilisateur, et Microsoft subirait aussitôt une class action.
Le
03/07/2013 à
21h
11
Ce que je crains à l´avenir, ce sont les pubs basées sur le contenu du disque dur. C´est sûr que pour le profilage c´est le jackpot Heureusement que nous n´en sommes pas encore là, mais certains doivent y réfléchir…
Ah et comment crois tu que Google finance Gmail?
Dans une époque où on nous dit qu’il faut tout mettre dans le Cloud, au final, le disque dur, c’est ce qu’il y a dans le Cloud. Et Google ne se gene pas pour examiner les données de l’utilisateur afin d’afficher de la pub ciblée. Les chromebook c’est exactement ça. c’est du présent, pas un futur hypothétique.
MS se différencie justement de Google en promettant de ne jamais examiner le contenu des mails et fichiers de l’utilisateur.
Et en plus, MS ne force pas l’utilisation exclusive du Cloud.
Mais bon, les journaleux ont découvert que MS affiche de la pub dans les résultats de recherche bing et c’est le scandale du siècle…
Le
03/07/2013 à
21h
00
Mais en ce qui concerne les applications intégrées, je pense que c’est assez minable. J’ai suffisamment entendu gueuler sur ce point pour ne pas penser que je suis le seul à trouver cette pub envahissante. Ce n’est pas plus idiot que d’intégrer de la pub dans Paint et Wordpad sous prétexte que c’est la division Logiciel et pas OS qui s’est occupé de leur développement
comparaison foireuse.
Paint et wordpad ne reposent pas sur un service (pas de serveurs à payer, et pas de fournisseur de contenu à remunerer). Il n’y a donc pas de raison que MS veuille générer un revenu régulier à partir de ces applis.
mais des applications comme la météo, les actualités, la recherche web, ou même un naviguateur web ne sont utiles que si ils sont alimentés par du contenu régulièrement mis à jour. Qu’ils soient preinstallés avec l’OS n’y change strictement rien. L’os coûterait le même prix sans ces applications. La pub intégrée dans ces applis finance la source de données de l’appli, pas le coût de l’OS.
je trouve ta logique assez étrange compte tenu que tu es bien placé pour savoir que le contenu ne se crée pas tout seul et qu’il faut rémunérer des gens derrière pour mettre à jour des sites comme pci.
Et il ne suffit pas de payer une chose une fois pour avoir du contenu mis a jour gratuitement à vie. Si tu penses cela, alors tu es vraiment hypocrite compte tenu de la politique de pci sur la version premium qui repose sur un abonnement, et non un paiement unique.
vu que IE fait partie de Windows, peut être devrait il intégrer un bloqueur de pub actif par défaut, histoire que l’utilisateur ne subisse pas des pubs dans un logiciel livré avec un OS qu’il a payé?
Je ne pense pas que les journalistes seraient ravis si MS appliquait leurs conseils à la lettre…
Le
03/07/2013 à
20h
35
Eh les gars, je voudrais pas gâcher votre crise d’hystérie collective, mais je vous ferais bien remarquer qu’il y a déjà des pubs dans l’application Bing dans Windows 8 depuis un an.
il n’y a donc strictement rien de nouveau à cela.
Alors prenez vos medocs, et arrêter de vous conduire comme des bêtes qui beuglent toutes les conneries que les journalistes leur sortent dans le but de gagner de l’argent… grace aux bannières de pub!
pour rappel:
En 2001 : Windows xp ne pourra pas lire les mp3
en 2006: vista est plein de drm et ne pourra pas lire de musiques/videos non DRMisés
en 2012: secure boot vous empêchera d’installer linux sur votre pc
En 2013: Windows 8.1 contiendra des pubs intégrées à l’OS.
bref, quasiment chaque version de Windows est précédée de ses scandales basés sur du vent mais que les journalistes se plaisent à répéter.
Et bien sûr à chaque fois on a droit à une vague de : “j’abandonne Windows, je passe à linux” qui ne se traduit jamais par des faits à en juger par la stagnation des pdm de linux sur le desktop.
Microsoft a pris son temps car il se n’agissait pas d’une faille 0day publique. Il n’y avait pas plus de risque immédiat que pour les failles pour lesquelles Mozilla et Google ne se privent pas de prendre des mois pour sortir un correctif.
mais comme je l’ai déjà mentionné, Google et Mozilla se sont précipités à sortir un patch pour donner l’impression qu’ils sont très réactifs parce que la presse avait les yeux braqués sur eux. Mais en temps normal, une faille sans exploit public est corrigée beaucoup plus lentement.
seul MS est resté fidèle à son planning habituel en ne sacrifiant pas ses longues phrases de tests des patchs juste dans le but d’impressionner la presse comme l’a fait Google.
Faille exploitée pour IE8 en 5⁄2013 non corrigée des mois après (bulletin de 2012) :
de mémoire, Microsoft a au contraire été très réactif avec ce 0day. Un hotfix a été publié 3 jours plus tard, et un patch définitif une semaine après.
Le
28/06/2013 à
18h
25
C’est mal connaître le monde de l’armement de dire ce genre de choses.
Les plus gros secrets militaires tournent autour des systèmes (informatiques) d’armement, de détection et de contre-mesures.
j’ai bien précisé que je ne parlais pas de système embarqué.
la news ne porte que sur le système informatique des postes de travail.
de ce que des connaissances m’ont dit, l’armée n’installe même pas les maj de sécurité sur ses postes de travail qui sont en réseau isolé… Donc niveau sécu ça reste discutable. la faiblesse ne vient pas des logiciels propriétaires mais de la politique en matière de test et déploiement de maj.
Enfin on crie au loup, mais mes sites sont exposés et en Apache et j’ai personnellement rien vu
en même temps les attaques sont ciblées, il ne s’agit pas d’une attaque généralisée, sinon ça aurait été facile à détecter et corriger.
Il est possible. Donc dans le doute on évite de rapprocher deux évènements qui ont eu les mêmes effets mais dont l’origine est différente
je suis pas le seul à avoir émis cette hypothèse, vu les ressemblances.
et perso je trouve pas ça plus rassurant d’imaginer qu’il s’agisse de deux failles 0day différentes.
Le
27/06/2013 à
13h
42
Sauf qu’ici on parle de l’armée.
Contrairement à ce que tu dis, cela fait plus de 70 ans que l’informatique et la gestion de l’informatique est une branche militaire au même titre que l’aviation (ce nombre est basé sur la création de DARPA).
on est plus en guerre froide. Même les USA ne disposent plus d’un budget quasi “illimité” qui leur permettrait de réinventer la roue. Au final l’armée américaine utilise Windows (et une migration vers Windows 8 est en cours) sur ses postes de travail. Et quand on voit le nombre de choses sous traitées à des entreprises privées, on se rend compte que développer son OS à soi n’est pas franchement une priorité.
bref, la militarisation du développement de l’informatique, ça fait partie du passé.
ça vaut aussi pour la France. Perso je préfère que la France se focalise sur la R&D en armement, aviation, et achete des logiciels commerciaux aux USA plutôt que l’inverse (développer son propre OS, mais ne pas avoir les moyens de développer ses propres outils de combat). Les logiciels c’est franchement secondaire, et vu que c’est utilisé en réseau isolé, ça ne pose pas de problème.
ps: désolé pour les quotes mal faites, mais il faudrait plutôt demander à PCI de faire quelque chose pour ça dans sa version mobile…
Le
26/06/2013 à
20h
39
Pour moi, la grande différence, c’est que si tu remontes un bug à MS, tu es obligé d’attendre MS.
Si tu remontes un bug à un gros projet open source, n’importe qui peut t’aider à créer un patch.
en pratique, il est extrêmement rare que les entreprises utilisant des produits open source créent elles même leurs patchs ou demandent à la communauté de le faire.
si elles appliquent correctement les patchs existant à tout leur parc info c’est déjà le bout du monde, alors prendre en charge des patchs non officiels et dévier de la branche standard de support d’un logiciel est totalement irréaliste pour 99.99% des entreprises.
au final, c’est justement pour le support garanti pendant de très longues périodes (10ans minimum pour windows/IE) que les grosses boites préfèrent payer cher pour les produits MS. Faire eux même leur patchs à partir du code source ne les interesse pas (les compétences et les tests nécessaires au dev de patchs coutent cher)
Le
26/06/2013 à
20h
22
Cet individu bien malhonnête cite uniquement le contenue des messages d’autres commentateurs de PCI pour ne pas que le système d’alerte de citation de PCI ne les préviennent. Il espère ainsi que ses réponses ne parviennent pas aux yeux de ceux qu’il cite dans l’espoir d’avoir le dernier mot.
on dirait que t’es un gros amateur de théorie du complot mon gars!
au risque de te décevoir, en réalité je quote les commentaires à la main car il n’y a pas de bouton “citer” sur la version mobile de pci.
Le
26/06/2013 à
11h
43
Déjà, il n’y a aucun élément technique dans ce lien que tu nous a gentiment fait partager. (t’étais vraiment sérieux en envoyant ce lien????). Tu pourrais au moins faire l’effort d’aller chercher l’info là où elle est, c’est à dire ici ou là.
arstechnica n’est pas une source acceptable à tes yeux? Dans ce cas, pourquoi visites tu PCI?
les articles dont tu as posté le lien, je les ai déjà vu, mais j’ai pensé que le lien ars était suffisant pour résumer le problème.
après, les éléments techniques dans tes liens concernent le malware en lui même, et non la méthode d’intrusion qui a permis de le déposer. Et c’est ça qui est intéressant: personne ne semble savoir avec certitude comment les serveurs se font infecter.
Tu apprends notamment, que contrairement à ce que tu affirmes ouvertement (et dont je n’ai pas retrouvé aucun élément dans ton lien), ce virus n’exploite pas des failles non corrigées depuis 2007 . D’autre part, on parle de quelques centaines de serveurs infectés
et tu as raison, je me suis trompé pour 2007. C’est depuis 2008 que l’on voit des serveurs apache se faire pirater en masse sans savoir comment. La faille n’est peut être pas dans apache en lui meme, elle est peut être dans ssh (peu probable, mais certains experts avaient émis cette hypothèse à l’epoque) ou dans des outils d’administration populaires comme cpanel.
en tout cas il est possible qu’il s’agisse de la même faille qui ait persisté tout ce temps là grâce aux extrêmes précautions prises par les hackers pour assurer la furtivité du malware.
“The Apache server compromise in many ways resembles a mass infection from 2008 that also used tens of thousands of sites to silently expose visitors to malware attacks”
Bon, et puis sérieusement, prendre ton nom de famille comme pseudo… t’as pas trouvé plus sécure ???
j’ai fait le choix de ne pas me réfugier derrière un pseudo car je n’ai rien à cacher, ni honte de ce que je poste en ligne. En quoi est-ce un manque de sécurité?
un pseudo serait bien inutile vu que je poste parfois des liens vers mon site dont le nom de domaine est à mon nom.
Pour moi sur ce point, l’avantage du libre tourne autour de la réactivité de la communauté face à des éditeurs (MS en premier) qui traine parfois les pieds pour appliquer un correctif (on sait bien que leur problématique est plus large que celle qu’on croit…). Et les exemples se trouvent à la pelle sur le net (et même dans ces commentaires).
et pourtant, les éditeurs de logiciels open source sont bien moins réactifs que tu ne l’imagines. Je jète régulièrement un coup d’oeil dans les bulletins de sécurité des autres navigateurs, et il est fréquent de voir des failles corrigés seulement 2mois, parfois même 1an après leur signalement public (sans exploit public heureusement).
En gros, les gros projets open source sont à peu près aussi lents que MS pour corriger les failles, sauf lorsque la presse a les yeux braqués sur eux.
ex: Google qui corrige les failles révélées au pwn2own en quelques heures, mais qui met 50 jours pour corriger une faille dans chrome.
(j’ai pris cet exemple un peu vieux volontairement car c’est un chercheur de MS qui a découvert cette faille, mais on trouve des exemples de failles longues à corriger quasiment à chaque release de fx ou chrome)
Le
25/06/2013 à
17h
28
Pour information, les CPU ça ne s’arrêtent pas à Intel et AMD. Les logiciels du système GNU, le kernel Linux et bon nombre de logiciels libres sont disponible sur bien plus d’architectures que tu ne l’imagine.
pour information, j’ai été utilisateur de linux assez régulièrement entre 1996 et 2007.
et j’avais également un assez bon niveau en administration de serveurs linux, meme si à la base je suis dev.
donc je suis bien au courant des avantages de linux, que ce soit en terme d’archi exotiques supportées, ou autre.
mais contrairement à beaucoup je garde les pieds sur terre, et malgré les contraintes des logiciels propriétaires, je suis convaincu que les produits d’entreprises comme MS, oracle, adobe sont plus profitables aux utilisateurs et aux grands comptes (ou meme à l’armée) que leurs équivalents “libre” actuels, et que ces produits libres n’offrent aucune garantie de meilleure sécurité (pour les raisons que j’ai déjà exposées dans mes précédents posts et que tu considères juste comme du FUD, au meme titre que je considère les histoires de backdoor dans Windows comme du FUD également).
ce n’est pas une guerre de religion pour moi. Peut être que dans 15ans je serai utilisateur d’un OS “libre” à nouveau?
au passage mon site perso (5000 visiteurs uniques/jour) est hébergé sur Linux depuis 6ans, et j’en suis assez satisfait.
voilà pour le petit HS.
Le
25/06/2013 à
17h
12
Mon cher Julien,
Je te lis depuis quelques postes, et je me poile pas mal à voir un fanboy aussi impliqué que toi dans ton analyse pointue de la qualité des produits MS :-)
Continue à croire ce que tu lis sur des sites ou apprend aux cours de certification MS et on se poilera encore quelques temps :)
encore une fois,
Merci.
Bien cher inconnu,
J’aimerais pouvoir te retourner le “compliment”.
Malheureusement, ton post si dénué d’argument ne rend pas cette tâche aisée.
Reviens donc me voir le jour où tu auras quelque chose digne d’intérêt à me raconter.
D’ici là, je suis ravis de savoir que ton ignorance t’apporte une telle joie.
Bonne chance sur le long chemin qui te reste à parcourir afin de pouvoir, peut être un jour, me livrer quelques arguments intéressants.
Julien
Le
25/06/2013 à
11h
34
il semblerait que la situation réelle est différente de celle que décrivent ceux qui prétendent que l’État a accès au code source et que donc utiliser Windows soit totalement sous contrôle:
Ce lien risque d’être pratique, vu que le principal argument contre l’utilisation de Windows est la perte de contrôle de l’armée sur son équipement et que cet article confirme que c’est bien le cas
Je sais pas si t’as pris la peine de lire l’article de ton lien, mais le gars prétend que l’état français est capable de décrypter toutes les communications cryptées.
Ca m’a l’air d’être un gros ramassis de conneries cet article, comme le lien framablog posté plus haut.
Et il ne parle pas d’accès au code source, il parle d’infos sur le noyau, ce qui n’est guere la même chose, un OS ne se composant pas que d’un noyau. Le gars veut peut être dire que MS ne leur explique pas comment comprendre le code source de Windows qu’il leur a livré.
Bref, impossible de tirer quoi que ce soit d’un article pareil.
Quant à tous ceux qui parlent d’indépendance technologique de la France, ils oublient un peu vite qu’on est déjà dépendant du matériel et des firmwares conçus aux usa et produits en Asie.
Remplacer Windows par une énième distrib linux ne donnerait pas d’indépendance technologique à la France pour autant (sans compter les éventuelles failles de sécurité laissées volontairement par la NSA dans les produits open source).
Le
24/06/2013 à
20h
42
Tu es serieux la, ou tu essaies de ridiculiser ton interlocuteur en faisant pire ? J’ai un doute sur le coup…
c’est quoi ton problème?
je ne l’ai pas inventé, c’est un fait que l’Iran et la Corée du nord préfèrent linux maintenant (pour l’Iran, c’est la conséquence du malware du malware créé sur mesure pour paralyser sa recherche sur le nucleaire. Apparemment les autorités iraniennes sont persuadées que ça ne pourra pas se produire à nouveau si l’Iran utilise son propre OS… basé sur linux…)
je ne fais que souligner l’ironie de la situation. Les états qui soutiennent le plus les logiciels libre n’ont rien d’un “paradise for people”.
Le
24/06/2013 à
18h
20
Tu m’as l’air d’en savoir pas mal sur ce sujet, sur les distributions, et les distributions spécifiques des dictatures, ainsi que que sur les failles UNIX, dis donc !
au hasard, l’Iran et la Corée du nord sont de grands amateurs de logiciels libre et linux est leur OS de choix désormais.
plutôt ironique comme situation, de voir les logiciels libres servir de socle aux SI des régimes les plus liberticides…
quant à ta réaction non argumentée et ridicule sur ce que je disais concernant les OS codés from scratch, elle montre clairement ton niveau d’ignorance à ce sujet.
en informatique, réinventer la roue à tout bout de champ ne donne pas de meilleurs résultats en terme de sécurité et fiabilité.
si les militaires codaient leurs OS from scratch et s’en servaient pour leurs opérations sensibles comme certains “experts” sur pci le préconisent, ces OS immature contiendraient beaucoup de failles comparé aux OS “civils” matures.
pire encore, certaines implementations d’algo de cryptage pourraient souffrir de bugs les rendant inefficaces (comme le bug de generation des clefs privés sur debian qui generait des clefs pas suffisamment aleatoires).
Le
24/06/2013 à
13h
46
Euh… tu te rends compte que ce que tu dis est une grosse connerie, ne serait-ce qu’historiquement
Je parle pas des années 70, je parle du présent.
actuellement aucun état n’utilise d’OS fait sur mesure spécialement pour ses opérations militaires (je ne parle pas des os embarqués, je parle de système d’information complet).
Je vois bien quelques dictatures qui utilisent leur propre OS, mais ce n’est rien de plus qu’une énième distribution linux vulnérable aux mêmes failles que toutes les autres.
Bref, si on concevait un OS pour l’armée from scratch, là ce serait de la connerie, car il est évident qu’il ne serait pas aussi testé et sécurisé qu’un OS civil. Sa seule protection serait la sécurité par l’obscurité, et encore, apres un leak cette “sécurité” disparaîtrait totalement.
Le
24/06/2013 à
13h
09
Je comprends pas pourquoi l’armée ne sous-traite pas des pilotes d’Air France pour piloter ses avions plutôt que de créer un système indépendant où ils doivent former eux-même leurs propres pilotes. Piloter un avion, c’est super compliqué, mieux vaut laisser ça aux gens qui ont réellement été formé pour ça.
Peut être est ce dû au fait que la conduite et l’usage d’engins militaires fait partie du coeur de métier de l’armée et que l’administration de systèmes d’information n’en fait pas partie…
conduire un avion au dessus d’un champ de bataille releve de l’opération militaire.
concevoir un OS et les logiciels releve du civil. Les militaires ne sont pas payés pour réinventer la roue.
Le
24/06/2013 à
12h
54
Il n’y a strictement aucune certitude que le vecteur d’attaque soit apache (il semblerait que ce ne soit d’ailleurs pas le cas), la comparaison avec IIS me semble un peu légère, je doute qu’il s’en sorte mieux sur un système possédé. Qu’est ce qui te dit que le vecteur d’attaque ne sont pas les postes windows utilisés pour administrer les serveurs
Possible, mais ces attaques apparentées ne s’en prennent jamais à des serveurs iis, ce qui réduit la probabilité que les sites soient hackés du fait de l’infection d’un poste de travail d’un admin.
entre 2007 et début 2013 apache/linux semblait être le seul point commun à ces infections. Une faille dans des outils d’administration coté serveur est aussi possible.
Le
24/06/2013 à
12h
47
Moi je me demande, si le code source est fourni aux Eta,t pourquoi y’a jamais eu de fuite?
il y a déjà eu une fuite d’une partie du code source de Windows 2000, en 2005 il me semble.
Apres, c’est pas tout le monde qui y a accès au service info de la défense hein!
en limitant à une dizaine de personnes par pays ça limite les risques de leak.
Le
24/06/2013 à
12h
19
Il va falloir le rappeler toutes les semaines que c’était du FUD cette rumeur
C’est pas du FUD, il est raisonnable de penser que la NSA “contribue” anonymement a certains projets open source majeurs pour s’assurer d’avoir le moyen de surveiller les gens qui les utilisent.
Qu’un audit n’ait rien donné de concluant ne garantie en rien l’absence de faille, laissées volontairement ou non, dans ce composant ou un autre qui n’aura pas fait l’objet d’un audit aussi poussé.
De toutes manières, les sociétés spécialisées dans la recherche de failles vendent leurs exploits 0day à des clients comme la NSA.
Donc que la faille ait été laissée volontairement ou non par la NSA ne change pas grand chose. En fin de compte la NSA a le moyen d’acheter les informations des chercheurs indépendants.
Il est raisonnable de penser qu’ils ont des exploits 0day pour tous les naviguateurs sur n’importe quelle plateforme.
ceux qui s’imaginent qu’un Firefox sur freebsd est moins vulnérable qu’un IE10 sur Windows sont loins du compte.
meme si bsd avait peu de faille (vu ses faibles PDM, je doute qu’il ait subi le même audit que linux ou Windows) au final une faille dans un logiciel tournant en mode utilisateur suffit à compromettre les données de l’utilisateur et fournir une porte d’entrée sur le réseau de l’entreprise, et intégrer la machine à un botnet.
Un BSD n’offre aucune protection miracle, malgré ce que certains s’imaginent ici en le glorifiant à tout va à coup de statistiques complément bidons.
Le
24/06/2013 à
11h
56
Cette mitraille d’arguments pro Microsoft n’aura pas séduit le député Jean-Yves Le Déaut. « Je ne partage votre optimisme sur la question des codes sources. Nous n’avons jamais rien obtenu de Microsoft. Je pense que l’utilisation de logiciels libres offre plus de garanties. »
Le code source de Windows est accessible aux gouvernements qui utilisent Windows.
si il y avait des backdoors évidentes, ça se serait rapidement remarqué.
Quant aux failles de sécurité qui peuvent servir de backdoor discrète, il y en a d’avantage dans les concurrents open source.
Donc c’est vraiment de l’ignorance de dire que l’Open source offre plus de sécurité que les produits MS.
il n’y a qu’à voir les serveurs apache qui se font hacker depuis 2007 sans qu’on arrive à comprendre comment les hackers arrivent à en prendre le controle
Certains oublient vite que dans un projet open source il est tout à fait possible de placer des backdoors sous forme de failles de sécurité difficiles à détecter.
Le
24/06/2013 à
11h
42
Windows recense 5000 à 15000 failels annuelles, qui sont corrigées à la traine.
BSD recense 2 à 5 failles annuelles… qui sont corrigées dans l’heure.
les betises qu’on peut lire ici….
Chiffres complement inventés.
En réalité, ces dernières années il y a moins de failles de sécurité dans tous les produits MS réunis que dans Google chrome à lui seul. (en moyenne 200 pour MS, contre 250 pour chrome).
pour IE seul, on en est à 41 failles contre 250 pour la concurrence.
Quant à BSD, une fois que tu lui ajoutes tous les composants nécessaires pour le rendre utilisable sur un poste de travail (services de partage de fichiers, gestion des imprimantes, naviguateur, …) au final tu te retrouves avec bien plus de faille que dans Windows.
D’où la débilité de comparer un simple noyau avec un OS complet.
À ce train là comparons le noyau windows CE à BSD, et tu seras choqué d’aoprendre qu’il y a d’avantage de faille dans le noyau BSD que celui de Windows CE. Pourtant Windows CE est en source ouverte, comme BSD.
Pour info, Microsoft vient de mettre en ligne sur Windows update les drivers GPU compatible win8.1 pour les tablettes tournant sur un Atom Clover Trail 32bit.
MS avait dit de ne pas installer win8.1 sur les atom 32bit récents car les drivers qui étaient dispo jusqu’alors avait un pb avec le moteur de rendu graphique utilisé dans la partie Metro. Le rendu du texte ne se faisait pas… Plutôt genant comme bug!
Le gros avantage du tactile, c’est surtout que je n’entends plus à longueur de temps la fameuse question “Et là, faut cliquer une ou deux fois?”
je connais des utilisateurs qui ont résolu ce problème depuis longtemps : ils double-cliquent systématiquement sur tout : icones, boutons, liens hypertextes. Comme ça ils sont sûrs que ça marche!
“oh pourquoi quand je clique sur ce lien ça ouvre 2 fenêtres?”
Le
26/06/2013 à
22h
33
Appareil sous architecture ARM ou X86(_64) ?
Car ça définira si le secure-boot sera désactivable ou pas et si il sera autorisé ou pas d’installer un autre OS.
il est questions de tablettes embarquant des core i5/i7 tout en offrant 10h d’autonomie.
donc oui, Secure boot desactivable.
Le
26/06/2013 à
22h
28
petite question, les nouveautées/corrections de 8.1 ne concernent que l’interface Metro ou il y aura aussi des nouveauté concernant le Bureau?
il y a des améliorations sur le support multi screen (support de DPI différent d’un écran à l’autre), boot to desktop, un Start screen en mode liste d’appli pour remplacer le menu démarrer, IE11, support miracast, support des imprimantes 3D, .Net Framework 4.5.1, direct3d 11.2, …
et aussi une meilleure sécurité que win8 grâce à une nouvelle protection mémoire qui fait échouer une méthode connue de contournement de dep/aslr. Bref, tout ce qui peut compliquer la vie des créateurs d’exploits est bon à prendre.
Le
26/06/2013 à
21h
31
Hum pas de nouveautés concernant le clavier virtuel ?
Le clavier actuel est vraiment basique, avoir ne serait-ce que celui intégré à WP8 serait vraiment bien (Swiftkey me manque )
justement oui, le clavier onscreen évolue, avec notamment la barre d’espace qui sert de zone de scrolling pour sélectionner parmi les suggestions automatiques (pour éviter d’avoir à faire de grands mouvements, puisque les suggestions s’affichent au niveau du curseur, et non au dessus du clavier comme c’est le cas sur WP).
Le
26/06/2013 à
21h
25
Pour un PC de bureau, j’aimerai qu’on m’en nomme 1 (de ces “heureux”), assis à son bureau, avec un écran tactile, le(s) bras constamment tendu(s) vers l’écran.
1 heure de travail, 1 jour d’arrêt pour se relaxer ?
sur des écrans pas trop grands (18 à 21”), inclinables à 45degres, ou positionnables horizontalement, le tactile est un complément très agréable à la souris.
même les laptops avec du tactile ont du sens, chose que je trouvais encore absurde il y a un an. Quand on est habitué au tactile, on a l’instinct de toucher l’écran, surtout quand on a pas la souris dans la main parce qu’on était en train de faire autre chose juste avant.
Sur une des photos on voit android avec la charm bar de windows 8 sur la droite.
Ca perd une partie de son interet du coup. Android plus léger en mde tablette: ba non puisque Windows 8 tourne également…
si les deux OS tournent en meme temps sur le meme CPU (pas de CPU ARM en parallele dans cette machine), c’est forcement de la virtualisation.
apres, pour le coup du android plus leger en mode tablette, si tu bootais android directement en x86 je suis a peu pres certain que tu aurais une autonomie plus mauvaise que windows 8 seul (avec virtualization android desactivee).
alors l’argument du Android “plus leger” n’est pas vraiment pertinent.
Le
20/06/2013 à
21h
57
Puis quid de la possibilité de flasher un device dual-boot ? Ca doit être tendu de pas faire sauter Windows en installant un Android stock, non ?
aucun risque de faire sauter windows, puisque android est juste virtualisé dans une VM. Rien à flasher donc.
en gros Android c’est de l’argument marketing, ou à la limite pour dépanner si une appli n’est pas encore dans le Windows store, mais c’est pas fait pour utiliser en permanence (consomme plus de ressources et réduit l’autonomie).
“On ne fait pas d’omelettes sans casser des oeufs”, ca ne marche pas avec les gens.
on supprime les enqueteurs, les juges, et les prisons, comme ça on est sûr de pas avoir de faux positifs?
c’est ce que tu suggeres?
Le
10/06/2013 à
13h
42
T’oublie que les terroristes ont aussi leur noob…
Mohamed Merra par exemple….
Et qu’il sont pas moins dangereux au contraire
+1
et si dans le cas de merrah les enqueteurs avaient pu acceder directement aux logs de connexion de la 1ere victime (le militaire qui a mis une annonce de vente de sa moto sur leboncoin) et au logs d’acces à l’annonce ainsi qu’aux noms des abos correspondants aux ip des visiteurs (et leurs liens parentaux) en quelques minutes Il aurait ete possible de faire sortir le nom d’un suspect et de l’arreter avant qu’il ne frappe à nouveau, puisque son nom etait deja connu par les services de renseignements.
mais evidemment quand Il faut attendre l’ordonnance d’une juge et qu’il n’y a pas de traitement massif et automatique des metadonnées de connexions, on finit par arriver après la bataille…
ça marche aussi pour les violeurs et meurtriers. De ce que j’ai pu lire, Facebook est tres utilisé par le FBI pour retrouver les coupables car souvent ceux ci ne prennent pas de precautions et parlent de leurs actes à leurs amis ou complices sur FB.
Le
10/06/2013 à
12h
19
Ou alors ce dire qu’entre surveiller des présumés terro-pédo-nazi-pirates-etc… et surveiller tout le monde, y’a un fossé quand même
et comment crois tu qu’ils font pour identifier les personnes suspectes avant qu’elles ne passent à l’acte?
c’est pas le pere noel qui va leur apporter une liste de suspects qui sont tres vilains et qu’il faut surveiller.
pour construire cette liste, Il faut pouvoir avoir une masse enorme de données (ex: toutes les tours radio auxquelles chaque mobile dans le pays s’est connecté et a quel moment), et extraire des informations exploitables à partir des données deja connues : qui se trouve regulierement a proximité de quelles personnes deja potentiellement suspectes? Qui echange des emails avec qui?
si tu n’a pas acces aux logs de tous les utilisateurs mobiles et internet (email/web) tu perds le moyen d’identifier les surpects à surveiller avant qu’ils ne passent à l’acte.
evidemment, le contenu des communications n’est analysé que pour les personnes suspectes. Pas pour la population toute entiere.
Le
10/06/2013 à
11h
33
quote]J’hésite entre un troll honteux ou une vision étrange d’une société démocratique…
[/quote]
la surveillance n’est pas incompatible avec la democratie. Il faut bien donner un moyen aux etats de proteger leurs citoyens et leurs interets. Sans surveillance, meme la police ne peut faire son travail.
tu crois vrainent que la population accepterait que la police ne puisse pas resoudre des affaires de meurtre et laisse courrir des criminels parce qu’une loi les empecherait d’utiliser les donnes des operateurs telephoniques au nom de la protection de la vie privée?
ce serait complement ridicule de considerer que la vie privé a plus de valeur que des vies humaines!
soit celui que tu sembles developper et qui me semble trollesque, à savoir de dire “OK on accepte”. Mais dans ce cas là, aux gouvernements de le dire clairement ! Oui on vous espionne, pour eviter ce genre de risques.
hum hum… Les etats unis n’ont jamais caché que le patriot act leur permettait ce type d’action, y compris hors des etats unis.
PRISM n’est qu’un detail operationnel. Pour maintenir son efficacité, le moins on en parle, mieux c’est.
Le
10/06/2013 à
11h
16
Ce que j’attends c’est quand même la réaction de nos politiques Européens, pour l’instant j’ai rien vu.
Je suis curieux de savoir comment ils vont faire pour baisser leur froc encore plus bas qu’il ne l’est déjà
en Europe aussi on a ce genre de systeme de surveillance. Et tu crois que les organismes de lutte contre le terrorisme en Europe ne beneficient pas des informations fournies par ka NSA?
Ce serait vraiment de la mauvaise foi de critiquer.
871 commentaires
L’appel à projets sur la cybersécurité pointé du doigt par l’Anssi
20/07/2013
Le 21/07/2013 à 13h 43
et _NSAKEY c’est du boudin ?
des chercheurs du monde entier se sont penchés là dessus. Cette clef ne permet pas l’execution de code à distance, et n’offre pas non plus la possibilité de décrypter ce qui est crypté par l’utilisateur. Si ça avait été le cas, par reverse engineering en partant de cette clef, des backdoors auraient été découvertes très rapidement.
cette clef permet juste de vérifier quels modules cryptographiques ont le droit d’être installés sur la machine.
dans le pire des cas, avec cette clef, la NSA aurait pu créer un module crypto d’interception de clef, mais pour cela il aurait fallu que l’utilisateur l’installe d’abord sur son système…! Autrement dit, c’est totalement inutile, car si la NSA peut convaincre quelqu’un d’executer du code, nul besoin de cette NSAkey pour installer un trojan.
la vraie raison de cette clef est probablement que la NSA voulait pouvoir déployer ses propres modules cryptographiques sur les machines gouvernementales sans passer par Microsoft (normalement, les modules de cryptographie doivent être signés par MS pour que Windows accepte de s’en servir).
Le 20/07/2013 à 16h 17
Attaquer un organisme gouvernemental ou mettre à genoux une des plus importantes sociétés américaines, ce n’est pas exactement la même responsabilité pour le journaliste
c’est pourtant bien pire d’attaquer un gouvernement qu’une societe privée.
si les journalistes avaient entre les mains des preuves que des backdoor existent dans les produits MS, ils n’auraient pas hesité une seule seconde à les publier… Le scoop du siecle ça se refuse pas.
mais vu le nombre de chercheurs en secu qui examinent les produits MS depuis des decenies, s’il y avait des backdoors dans windows, ça ferait longtemps qu’elles auraient été exposées.
Le 20/07/2013 à 08h 52
C’est une très bonne initiative, mais totalement contradictoire avec l’affaire “Open Bar” (cf vos news sur le sujet) qui concerne l’armée, endroit où on peut imaginer que l’importance de pouvoir tenir des conversations “secrètes” est primordial
aucune contradiction avec l’usage des produits MS dans l’armée.
deja, l’armée utilise un reseau deconnecté d’internet pour proteger ses données confidentielles.
et s’il y avait des backdoors dans les produits MS, ne crois tu pas que Snowden aurait leaké les infos à ce sujet? Tu t’imagines vraiment que les logiciels open source offrent une garantie contre les backdoors placées discretement sous forme de faille de securité?
ensuite, de ce qui est dit dans l’article, il ne s’agit pas de proposer un replacement à windows, il semble qu’il s’agit de projets visant à examiner le traffic et proteger les infrastructures existantes, et à fournir des solutions de communications VoIP independantes des editeurs americains.
L’iPhone 5 pointé du doigt dans une mort suspecte par électrocution
16/07/2013
Le 16/07/2013 à 15h 26
Ce qui serait aussi intéressant de savoir, c’est si l’iPhone avait été en plastique, cela aurait il suffit pour éviter cette électrocution mortelle? (sur mon MacBook pro à chaque fois que je le touche je me prend une petite decharge lorsqu’il n’est pas relié à la terre… Ça m’a toujours fait craindre qu’un défaut électrique du chargeur puisse représenter un danger mortel sur les machines en alu)
aussi, est ce qu’un problème grave avec la batterie n’aurait pas pu provoquer sa decharge totale sur l’utilisateur en 1 fraction de seconde? (avec une intensité très élevée)
ça me rappelle des histoires de batteries d’onduleur qui éclatent et qui provoquent des arcs électriques mortels même à des dizaines de cm de distance.
Linux 3.11 for Workgroups : le clin d’oeil de Linus Torvalds à Windows
16/07/2013
Le 16/07/2013 à 12h 39
je suis un profane sur le sujet mais 7Zip divise par minimum 4 la taille d’un fichier…
tout depend du type de fichier que tu compresses, tu ne peux pas generaliser.
ex: une image jpeg ou png utilise deja une methode de compression lors de son encodage. En la compressant avec un outil comme 7zip, sa taille ne sera quasiment pas reduite.
en revanche tu peux esperer plus de gain sur une image bitmap ou un fichier texte d’avantage susceptible de contenir des informations redondantes.
Le 16/07/2013 à 11h 13
Pas compris la partie concernant les 15 ans de support de Windows 3.11.
D’après Wikipedia, elle est sortie en 1993, et le support s’est arrêté en 2001. Soit 8 ans, non ?
oui le support s’est terminé fin 2001.
mais il etait possible d’acheter des licenses OEM jusqu’en 2008.
et entre 2002 et 2008 j’imagine qu’il etait possible de recevoir du support technique et des hotfix en payant assez cher.
pour info le support de windows XP s’arrete officiellement en 2014, mais il restera possible pour les grands comptes de recevoir les maj de securite importantes et critiques jusqu’en 2018 si ma memoire est bonne. Mais ce type de support se facture en millions de dollars pour chaque enterprise qui souhaite en beneficier.
Snowden : la NSA est « de mèche » avec la plupart des pays occidentaux
08/07/2013
Le 08/07/2013 à 22h 15
Le 08/07/2013 à 20h 43
Mais bien entendu, d’ailleurs de tels systèmes existent clefs en main sur telecharger.com c’est bien connu!!
justement, il se trouve qu’il y a des tas d’entreprises qui vendent des solutions clef en main pour faire du deep packet inspection. Pas sur télécharger.com, mais presque!
et même si des solutions clef en main n’existaient pas, il est relativement trivial de développer une passerelle qui extrait et log les données des protocoles non cryptés les plus courants (sous entendu, c’est trivial à mettre en place lorsqu’on a le pouvoir de contraindre les operateurs nationaux à le faire.)
Avant d’arriver à une dictature, une guerre civile ou je ne sais quel autre argument massue et inutile, il y’a le droit à la vie privée qui est bafoué et la conservation des informations des entreprises. Avec Echelon et maintenant via ce système, qui peux évaluer les dégâts, au niveau économique notamment? C’est impossible
perso je préfère un état qui “bafoue” la vie privée (et encore, c’est grandement exagéré), à un état qui n’a aucune idée de ce qui se passe sur son territoire et qui serait pris au dépourvu et incapable d’assurer la sécurité de ses citoyens en cas de problèmes importants.
quant à.l’impact économique de l’espionnage, aucun rapport avec PRISM. L’espionnage industriel a toujours existé, et prism n’existe pas dans ce but (aucune entreprise ne stocke ses secrets industriels dans gdrive).
Le 08/07/2013 à 18h 36
Le 08/07/2013 à 17h 59
Le 08/07/2013 à 16h 16
Le 08/07/2013 à 10h 08
Windows 8.1 : l’intégration de Bing dans la recherche, passerelle des pubs
03/07/2013
Le 03/07/2013 à 22h 20
Le 03/07/2013 à 21h 20
@ff9098
si tu preferes, ce n’est pas une promesse, mais un contrat d’utilisation qui empêche Microsoft de faire ce que Google fait.
si Microsoft faisait du minage des données à des fin publicitaires alors qu’il n’en est pas fait mention dans le contrat, on s’en rendrait rapidement compte à cause des pubs qui deviendrait en rapport avec le contenu de l’utilisateur, et Microsoft subirait aussitôt une class action.
Le 03/07/2013 à 21h 11
Ce que je crains à l´avenir, ce sont les pubs basées sur le contenu du disque dur. C´est sûr que pour le profilage c´est le jackpot Heureusement que nous n´en sommes pas encore là, mais certains doivent y réfléchir…
Ah et comment crois tu que Google finance Gmail?
Dans une époque où on nous dit qu’il faut tout mettre dans le Cloud, au final, le disque dur, c’est ce qu’il y a dans le Cloud. Et Google ne se gene pas pour examiner les données de l’utilisateur afin d’afficher de la pub ciblée. Les chromebook c’est exactement ça. c’est du présent, pas un futur hypothétique.
MS se différencie justement de Google en promettant de ne jamais examiner le contenu des mails et fichiers de l’utilisateur.
Et en plus, MS ne force pas l’utilisation exclusive du Cloud.
Mais bon, les journaleux ont découvert que MS affiche de la pub dans les résultats de recherche bing et c’est le scandale du siècle…
Le 03/07/2013 à 21h 00
Mais en ce qui concerne les applications intégrées, je pense que c’est assez minable. J’ai suffisamment entendu gueuler sur ce point pour ne pas penser que je suis le seul à trouver cette pub envahissante. Ce n’est pas plus idiot que d’intégrer de la pub dans Paint et Wordpad sous prétexte que c’est la division Logiciel et pas OS qui s’est occupé de leur développement
comparaison foireuse.
Paint et wordpad ne reposent pas sur un service (pas de serveurs à payer, et pas de fournisseur de contenu à remunerer). Il n’y a donc pas de raison que MS veuille générer un revenu régulier à partir de ces applis.
mais des applications comme la météo, les actualités, la recherche web, ou même un naviguateur web ne sont utiles que si ils sont alimentés par du contenu régulièrement mis à jour. Qu’ils soient preinstallés avec l’OS n’y change strictement rien. L’os coûterait le même prix sans ces applications. La pub intégrée dans ces applis finance la source de données de l’appli, pas le coût de l’OS.
je trouve ta logique assez étrange compte tenu que tu es bien placé pour savoir que le contenu ne se crée pas tout seul et qu’il faut rémunérer des gens derrière pour mettre à jour des sites comme pci.
Et il ne suffit pas de payer une chose une fois pour avoir du contenu mis a jour gratuitement à vie. Si tu penses cela, alors tu es vraiment hypocrite compte tenu de la politique de pci sur la version premium qui repose sur un abonnement, et non un paiement unique.
vu que IE fait partie de Windows, peut être devrait il intégrer un bloqueur de pub actif par défaut, histoire que l’utilisateur ne subisse pas des pubs dans un logiciel livré avec un OS qu’il a payé?
Je ne pense pas que les journalistes seraient ravis si MS appliquait leurs conseils à la lettre…
Le 03/07/2013 à 20h 35
Eh les gars, je voudrais pas gâcher votre crise d’hystérie collective, mais je vous ferais bien remarquer qu’il y a déjà des pubs dans l’application Bing dans Windows 8 depuis un an.
il n’y a donc strictement rien de nouveau à cela.
Alors prenez vos medocs, et arrêter de vous conduire comme des bêtes qui beuglent toutes les conneries que les journalistes leur sortent dans le but de gagner de l’argent… grace aux bannières de pub!
pour rappel:
En 2001 : Windows xp ne pourra pas lire les mp3
en 2006: vista est plein de drm et ne pourra pas lire de musiques/videos non DRMisés
en 2012: secure boot vous empêchera d’installer linux sur votre pc
En 2013: Windows 8.1 contiendra des pubs intégrées à l’OS.
bref, quasiment chaque version de Windows est précédée de ses scandales basés sur du vent mais que les journalistes se plaisent à répéter.
Et bien sûr à chaque fois on a droit à une vague de : “j’abandonne Windows, je passe à linux” qui ne se traduit jamais par des faits à en juger par la stagnation des pdm de linux sur le desktop.
En plein scandale Prism, la Défense explique ses préférences pour Microsoft
24/06/2013
Le 28/06/2013 à 18h 39
Dans l’activité récente :
pour IE :
Faille découverte et publique non corrigée
http://www.journaldunet.com/solutions/saas-logiciel/faille-publique-dans-interne…
ça a été corrigé en mai.
Microsoft a pris son temps car il se n’agissait pas d’une faille 0day publique. Il n’y avait pas plus de risque immédiat que pour les failles pour lesquelles Mozilla et Google ne se privent pas de prendre des mois pour sortir un correctif.
mais comme je l’ai déjà mentionné, Google et Mozilla se sont précipités à sortir un patch pour donner l’impression qu’ils sont très réactifs parce que la presse avait les yeux braqués sur eux. Mais en temps normal, une faille sans exploit public est corrigée beaucoup plus lentement.
seul MS est resté fidèle à son planning habituel en ne sacrifiant pas ses longues phrases de tests des patchs juste dans le but d’impressionner la presse comme l’a fait Google.
Faille exploitée pour IE8 en 5⁄2013 non corrigée des mois après (bulletin de 2012) :
http://www.zdnet.fr/actualites/microsoft-reconna-t-une-faille-exploitee-dans-int…
bulletin de 2012? Où vois tu cela?
de mémoire, Microsoft a au contraire été très réactif avec ce 0day. Un hotfix a été publié 3 jours plus tard, et un patch définitif une semaine après.
Le 28/06/2013 à 18h 25
C’est mal connaître le monde de l’armement de dire ce genre de choses.
Les plus gros secrets militaires tournent autour des systèmes (informatiques) d’armement, de détection et de contre-mesures.
j’ai bien précisé que je ne parlais pas de système embarqué.
la news ne porte que sur le système informatique des postes de travail.
de ce que des connaissances m’ont dit, l’armée n’installe même pas les maj de sécurité sur ses postes de travail qui sont en réseau isolé… Donc niveau sécu ça reste discutable. la faiblesse ne vient pas des logiciels propriétaires mais de la politique en matière de test et déploiement de maj.
Enfin on crie au loup, mais mes sites sont exposés et en Apache et j’ai personnellement rien vu
en même temps les attaques sont ciblées, il ne s’agit pas d’une attaque généralisée, sinon ça aurait été facile à détecter et corriger.
Il est possible. Donc dans le doute on évite de rapprocher deux évènements qui ont eu les mêmes effets mais dont l’origine est différente
je suis pas le seul à avoir émis cette hypothèse, vu les ressemblances.
et perso je trouve pas ça plus rassurant d’imaginer qu’il s’agisse de deux failles 0day différentes.
Le 27/06/2013 à 13h 42
Sauf qu’ici on parle de l’armée.
Contrairement à ce que tu dis, cela fait plus de 70 ans que l’informatique et la gestion de l’informatique est une branche militaire au même titre que l’aviation (ce nombre est basé sur la création de DARPA).
on est plus en guerre froide. Même les USA ne disposent plus d’un budget quasi “illimité” qui leur permettrait de réinventer la roue. Au final l’armée américaine utilise Windows (et une migration vers Windows 8 est en cours) sur ses postes de travail. Et quand on voit le nombre de choses sous traitées à des entreprises privées, on se rend compte que développer son OS à soi n’est pas franchement une priorité.
bref, la militarisation du développement de l’informatique, ça fait partie du passé.
ça vaut aussi pour la France. Perso je préfère que la France se focalise sur la R&D en armement, aviation, et achete des logiciels commerciaux aux USA plutôt que l’inverse (développer son propre OS, mais ne pas avoir les moyens de développer ses propres outils de combat). Les logiciels c’est franchement secondaire, et vu que c’est utilisé en réseau isolé, ça ne pose pas de problème.
ps: désolé pour les quotes mal faites, mais il faudrait plutôt demander à PCI de faire quelque chose pour ça dans sa version mobile…
Le 26/06/2013 à 20h 39
Pour moi, la grande différence, c’est que si tu remontes un bug à MS, tu es obligé d’attendre MS.
Si tu remontes un bug à un gros projet open source, n’importe qui peut t’aider à créer un patch.
en pratique, il est extrêmement rare que les entreprises utilisant des produits open source créent elles même leurs patchs ou demandent à la communauté de le faire.
si elles appliquent correctement les patchs existant à tout leur parc info c’est déjà le bout du monde, alors prendre en charge des patchs non officiels et dévier de la branche standard de support d’un logiciel est totalement irréaliste pour 99.99% des entreprises.
au final, c’est justement pour le support garanti pendant de très longues périodes (10ans minimum pour windows/IE) que les grosses boites préfèrent payer cher pour les produits MS. Faire eux même leur patchs à partir du code source ne les interesse pas (les compétences et les tests nécessaires au dev de patchs coutent cher)
Le 26/06/2013 à 20h 22
Cet individu bien malhonnête cite uniquement le contenue des messages d’autres commentateurs de PCI pour ne pas que le système d’alerte de citation de PCI ne les préviennent. Il espère ainsi que ses réponses ne parviennent pas aux yeux de ceux qu’il cite dans l’espoir d’avoir le dernier mot.
on dirait que t’es un gros amateur de théorie du complot mon gars!
au risque de te décevoir, en réalité je quote les commentaires à la main car il n’y a pas de bouton “citer” sur la version mobile de pci.
Le 26/06/2013 à 11h 43
Déjà, il n’y a aucun élément technique dans ce lien que tu nous a gentiment fait partager. (t’étais vraiment sérieux en envoyant ce lien????). Tu pourrais au moins faire l’effort d’aller chercher l’info là où elle est, c’est à dire ici ou là.
arstechnica n’est pas une source acceptable à tes yeux? Dans ce cas, pourquoi visites tu PCI?
les articles dont tu as posté le lien, je les ai déjà vu, mais j’ai pensé que le lien ars était suffisant pour résumer le problème.
après, les éléments techniques dans tes liens concernent le malware en lui même, et non la méthode d’intrusion qui a permis de le déposer. Et c’est ça qui est intéressant: personne ne semble savoir avec certitude comment les serveurs se font infecter.
Tu apprends notamment, que contrairement à ce que tu affirmes ouvertement (et dont je n’ai pas retrouvé aucun élément dans ton lien), ce virus n’exploite pas des failles non corrigées depuis 2007 . D’autre part, on parle de quelques centaines de serveurs infectés
20 000 > quelques centaines
et tu as raison, je me suis trompé pour 2007. C’est depuis 2008 que l’on voit des serveurs apache se faire pirater en masse sans savoir comment. La faille n’est peut être pas dans apache en lui meme, elle est peut être dans ssh (peu probable, mais certains experts avaient émis cette hypothèse à l’epoque) ou dans des outils d’administration populaires comme cpanel.
en tout cas il est possible qu’il s’agisse de la même faille qui ait persisté tout ce temps là grâce aux extrêmes précautions prises par les hackers pour assurer la furtivité du malware.
“The Apache server compromise in many ways resembles a mass infection from 2008 that also used tens of thousands of sites to silently expose visitors to malware attacks”
Bon, et puis sérieusement, prendre ton nom de famille comme pseudo… t’as pas trouvé plus sécure ???
j’ai fait le choix de ne pas me réfugier derrière un pseudo car je n’ai rien à cacher, ni honte de ce que je poste en ligne. En quoi est-ce un manque de sécurité?
un pseudo serait bien inutile vu que je poste parfois des liens vers mon site dont le nom de domaine est à mon nom.
Pour moi sur ce point, l’avantage du libre tourne autour de la réactivité de la communauté face à des éditeurs (MS en premier) qui traine parfois les pieds pour appliquer un correctif (on sait bien que leur problématique est plus large que celle qu’on croit…). Et les exemples se trouvent à la pelle sur le net (et même dans ces commentaires).
et pourtant, les éditeurs de logiciels open source sont bien moins réactifs que tu ne l’imagines. Je jète régulièrement un coup d’oeil dans les bulletins de sécurité des autres navigateurs, et il est fréquent de voir des failles corrigés seulement 2mois, parfois même 1an après leur signalement public (sans exploit public heureusement).
En gros, les gros projets open source sont à peu près aussi lents que MS pour corriger les failles, sauf lorsque la presse a les yeux braqués sur eux.
ex: Google qui corrige les failles révélées au pwn2own en quelques heures, mais qui met 50 jours pour corriger une faille dans chrome.
(j’ai pris cet exemple un peu vieux volontairement car c’est un chercheur de MS qui a découvert cette faille, mais on trouve des exemples de failles longues à corriger quasiment à chaque release de fx ou chrome)
Le 25/06/2013 à 17h 28
Pour information, les CPU ça ne s’arrêtent pas à Intel et AMD. Les logiciels du système GNU, le kernel Linux et bon nombre de logiciels libres sont disponible sur bien plus d’architectures que tu ne l’imagine.
pour information, j’ai été utilisateur de linux assez régulièrement entre 1996 et 2007.
et j’avais également un assez bon niveau en administration de serveurs linux, meme si à la base je suis dev.
donc je suis bien au courant des avantages de linux, que ce soit en terme d’archi exotiques supportées, ou autre.
mais contrairement à beaucoup je garde les pieds sur terre, et malgré les contraintes des logiciels propriétaires, je suis convaincu que les produits d’entreprises comme MS, oracle, adobe sont plus profitables aux utilisateurs et aux grands comptes (ou meme à l’armée) que leurs équivalents “libre” actuels, et que ces produits libres n’offrent aucune garantie de meilleure sécurité (pour les raisons que j’ai déjà exposées dans mes précédents posts et que tu considères juste comme du FUD, au meme titre que je considère les histoires de backdoor dans Windows comme du FUD également).
ce n’est pas une guerre de religion pour moi. Peut être que dans 15ans je serai utilisateur d’un OS “libre” à nouveau?
au passage mon site perso (5000 visiteurs uniques/jour) est hébergé sur Linux depuis 6ans, et j’en suis assez satisfait.
voilà pour le petit HS.
Le 25/06/2013 à 17h 12
Mon cher Julien,
Je te lis depuis quelques postes, et je me poile pas mal à voir un fanboy aussi impliqué que toi dans ton analyse pointue de la qualité des produits MS :-)
Continue à croire ce que tu lis sur des sites ou apprend aux cours de certification MS et on se poilera encore quelques temps :)
encore une fois,
Merci.
Bien cher inconnu,
J’aimerais pouvoir te retourner le “compliment”.
Malheureusement, ton post si dénué d’argument ne rend pas cette tâche aisée.
Reviens donc me voir le jour où tu auras quelque chose digne d’intérêt à me raconter.
D’ici là, je suis ravis de savoir que ton ignorance t’apporte une telle joie.
Bonne chance sur le long chemin qui te reste à parcourir afin de pouvoir, peut être un jour, me livrer quelques arguments intéressants.
Julien
Le 25/06/2013 à 11h 34
il semblerait que la situation réelle est différente de celle que décrivent ceux qui prétendent que l’État a accès au code source et que donc utiliser Windows soit totalement sous contrôle:
http://www.numerama.com/magazine/26360-la-france-n-arrive-pas-a-avoir-des-inform…
Ce lien risque d’être pratique, vu que le principal argument contre l’utilisation de Windows est la perte de contrôle de l’armée sur son équipement et que cet article confirme que c’est bien le cas
Je sais pas si t’as pris la peine de lire l’article de ton lien, mais le gars prétend que l’état français est capable de décrypter toutes les communications cryptées.
Ca m’a l’air d’être un gros ramassis de conneries cet article, comme le lien framablog posté plus haut.
Et il ne parle pas d’accès au code source, il parle d’infos sur le noyau, ce qui n’est guere la même chose, un OS ne se composant pas que d’un noyau. Le gars veut peut être dire que MS ne leur explique pas comment comprendre le code source de Windows qu’il leur a livré.
Bref, impossible de tirer quoi que ce soit d’un article pareil.
Quant à tous ceux qui parlent d’indépendance technologique de la France, ils oublient un peu vite qu’on est déjà dépendant du matériel et des firmwares conçus aux usa et produits en Asie.
Remplacer Windows par une énième distrib linux ne donnerait pas d’indépendance technologique à la France pour autant (sans compter les éventuelles failles de sécurité laissées volontairement par la NSA dans les produits open source).
Le 24/06/2013 à 20h 42
Tu es serieux la, ou tu essaies de ridiculiser ton interlocuteur en faisant pire ? J’ai un doute sur le coup…
c’est quoi ton problème?
je ne l’ai pas inventé, c’est un fait que l’Iran et la Corée du nord préfèrent linux maintenant (pour l’Iran, c’est la conséquence du malware du malware créé sur mesure pour paralyser sa recherche sur le nucleaire. Apparemment les autorités iraniennes sont persuadées que ça ne pourra pas se produire à nouveau si l’Iran utilise son propre OS… basé sur linux…)
je ne fais que souligner l’ironie de la situation. Les états qui soutiennent le plus les logiciels libre n’ont rien d’un “paradise for people”.
Le 24/06/2013 à 18h 20
Tu m’as l’air d’en savoir pas mal sur ce sujet, sur les distributions, et les distributions spécifiques des dictatures, ainsi que que sur les failles UNIX, dis donc !
au hasard, l’Iran et la Corée du nord sont de grands amateurs de logiciels libre et linux est leur OS de choix désormais.
plutôt ironique comme situation, de voir les logiciels libres servir de socle aux SI des régimes les plus liberticides…
quant à ta réaction non argumentée et ridicule sur ce que je disais concernant les OS codés from scratch, elle montre clairement ton niveau d’ignorance à ce sujet.
en informatique, réinventer la roue à tout bout de champ ne donne pas de meilleurs résultats en terme de sécurité et fiabilité.
si les militaires codaient leurs OS from scratch et s’en servaient pour leurs opérations sensibles comme certains “experts” sur pci le préconisent, ces OS immature contiendraient beaucoup de failles comparé aux OS “civils” matures.
pire encore, certaines implementations d’algo de cryptage pourraient souffrir de bugs les rendant inefficaces (comme le bug de generation des clefs privés sur debian qui generait des clefs pas suffisamment aleatoires).
Le 24/06/2013 à 13h 46
Euh… tu te rends compte que ce que tu dis est une grosse connerie, ne serait-ce qu’historiquement
Je parle pas des années 70, je parle du présent.
actuellement aucun état n’utilise d’OS fait sur mesure spécialement pour ses opérations militaires (je ne parle pas des os embarqués, je parle de système d’information complet).
Je vois bien quelques dictatures qui utilisent leur propre OS, mais ce n’est rien de plus qu’une énième distribution linux vulnérable aux mêmes failles que toutes les autres.
Bref, si on concevait un OS pour l’armée from scratch, là ce serait de la connerie, car il est évident qu’il ne serait pas aussi testé et sécurisé qu’un OS civil. Sa seule protection serait la sécurité par l’obscurité, et encore, apres un leak cette “sécurité” disparaîtrait totalement.
Le 24/06/2013 à 13h 09
Je comprends pas pourquoi l’armée ne sous-traite pas des pilotes d’Air France pour piloter ses avions plutôt que de créer un système indépendant où ils doivent former eux-même leurs propres pilotes. Piloter un avion, c’est super compliqué, mieux vaut laisser ça aux gens qui ont réellement été formé pour ça.
Peut être est ce dû au fait que la conduite et l’usage d’engins militaires fait partie du coeur de métier de l’armée et que l’administration de systèmes d’information n’en fait pas partie…
conduire un avion au dessus d’un champ de bataille releve de l’opération militaire.
concevoir un OS et les logiciels releve du civil. Les militaires ne sont pas payés pour réinventer la roue.
Le 24/06/2013 à 12h 54
Il n’y a strictement aucune certitude que le vecteur d’attaque soit apache (il semblerait que ce ne soit d’ailleurs pas le cas), la comparaison avec IIS me semble un peu légère, je doute qu’il s’en sorte mieux sur un système possédé. Qu’est ce qui te dit que le vecteur d’attaque ne sont pas les postes windows utilisés pour administrer les serveurs
Possible, mais ces attaques apparentées ne s’en prennent jamais à des serveurs iis, ce qui réduit la probabilité que les sites soient hackés du fait de l’infection d’un poste de travail d’un admin.
entre 2007 et début 2013 apache/linux semblait être le seul point commun à ces infections. Une faille dans des outils d’administration coté serveur est aussi possible.
Le 24/06/2013 à 12h 47
Moi je me demande, si le code source est fourni aux Eta,t pourquoi y’a jamais eu de fuite?
il y a déjà eu une fuite d’une partie du code source de Windows 2000, en 2005 il me semble.
Apres, c’est pas tout le monde qui y a accès au service info de la défense hein!
en limitant à une dizaine de personnes par pays ça limite les risques de leak.
Le 24/06/2013 à 12h 19
Il va falloir le rappeler toutes les semaines que c’était du FUD cette rumeur
C’est pas du FUD, il est raisonnable de penser que la NSA “contribue” anonymement a certains projets open source majeurs pour s’assurer d’avoir le moyen de surveiller les gens qui les utilisent.
Qu’un audit n’ait rien donné de concluant ne garantie en rien l’absence de faille, laissées volontairement ou non, dans ce composant ou un autre qui n’aura pas fait l’objet d’un audit aussi poussé.
De toutes manières, les sociétés spécialisées dans la recherche de failles vendent leurs exploits 0day à des clients comme la NSA.
Donc que la faille ait été laissée volontairement ou non par la NSA ne change pas grand chose. En fin de compte la NSA a le moyen d’acheter les informations des chercheurs indépendants.
Il est raisonnable de penser qu’ils ont des exploits 0day pour tous les naviguateurs sur n’importe quelle plateforme.
ceux qui s’imaginent qu’un Firefox sur freebsd est moins vulnérable qu’un IE10 sur Windows sont loins du compte.
meme si bsd avait peu de faille (vu ses faibles PDM, je doute qu’il ait subi le même audit que linux ou Windows) au final une faille dans un logiciel tournant en mode utilisateur suffit à compromettre les données de l’utilisateur et fournir une porte d’entrée sur le réseau de l’entreprise, et intégrer la machine à un botnet.
Un BSD n’offre aucune protection miracle, malgré ce que certains s’imaginent ici en le glorifiant à tout va à coup de statistiques complément bidons.
Le 24/06/2013 à 11h 56
Cette mitraille d’arguments pro Microsoft n’aura pas séduit le député Jean-Yves Le Déaut. « Je ne partage votre optimisme sur la question des codes sources. Nous n’avons jamais rien obtenu de Microsoft. Je pense que l’utilisation de logiciels libres offre plus de garanties. »
Le code source de Windows est accessible aux gouvernements qui utilisent Windows.
si il y avait des backdoors évidentes, ça se serait rapidement remarqué.
Quant aux failles de sécurité qui peuvent servir de backdoor discrète, il y en a d’avantage dans les concurrents open source.
Donc c’est vraiment de l’ignorance de dire que l’Open source offre plus de sécurité que les produits MS.
il n’y a qu’à voir les serveurs apache qui se font hacker depuis 2007 sans qu’on arrive à comprendre comment les hackers arrivent à en prendre le controle
En comparaison ça fait très longtemps qu’il n’y a pas eu de on de sécurité majeur sur IIS.
Le 24/06/2013 à 11h 46
Ce haut fonctionnaire a la défense parle comme un fanboy Microsoft.
Peut importe l’argument choisis il trouvera toujours un truc pour défendre Microsoft malgré les gros défaut qu’on lui met devant les yeux.
Pour moi, c’est justement parce que c’est la défense. Qu’ils sont sensé protéger leurs données coûte que coûte
en passant à BSD peut être?
Certains oublient vite que dans un projet open source il est tout à fait possible de placer des backdoors sous forme de failles de sécurité difficiles à détecter.
Le 24/06/2013 à 11h 42
Windows recense 5000 à 15000 failels annuelles, qui sont corrigées à la traine.
BSD recense 2 à 5 failles annuelles… qui sont corrigées dans l’heure.
les betises qu’on peut lire ici….
Chiffres complement inventés.
En réalité, ces dernières années il y a moins de failles de sécurité dans tous les produits MS réunis que dans Google chrome à lui seul. (en moyenne 200 pour MS, contre 250 pour chrome).
pour IE seul, on en est à 41 failles contre 250 pour la concurrence.
http://www.neowin.net/news/microsoft-talks-more-about-ie10-security-features
Quant à BSD, une fois que tu lui ajoutes tous les composants nécessaires pour le rendre utilisable sur un poste de travail (services de partage de fichiers, gestion des imprimantes, naviguateur, …) au final tu te retrouves avec bien plus de faille que dans Windows.
D’où la débilité de comparer un simple noyau avec un OS complet.
À ce train là comparons le noyau windows CE à BSD, et tu seras choqué d’aoprendre qu’il y a d’avantage de faille dans le noyau BSD que celui de Windows CE. Pourtant Windows CE est en source ouverte, comme BSD.
Windows 8.1 RT : attention aux limitations d’Outlook 2013 RT
28/06/2013
Le 28/06/2013 à 17h 04
Pour info, Microsoft vient de mettre en ligne sur Windows update les drivers GPU compatible win8.1 pour les tablettes tournant sur un Atom Clover Trail 32bit.
TwitterMaintenant tout fonctionne bien.
MS avait dit de ne pas installer win8.1 sur les atom 32bit récents car les drivers qui étaient dispo jusqu’alors avait un pb avec le moteur de rendu graphique utilisé dans la partie Metro. Le rendu du texte ne se faisait pas… Plutôt genant comme bug!
Windows 8.1, une version affinée et plus mature de Windows 8
26/06/2013
Le 27/06/2013 à 02h 25
Le gros avantage du tactile, c’est surtout que je n’entends plus à longueur de temps la fameuse question “Et là, faut cliquer une ou deux fois?”
je connais des utilisateurs qui ont résolu ce problème depuis longtemps : ils double-cliquent systématiquement sur tout : icones, boutons, liens hypertextes. Comme ça ils sont sûrs que ça marche!
“oh pourquoi quand je clique sur ce lien ça ouvre 2 fenêtres?”
Le 26/06/2013 à 22h 33
Appareil sous architecture ARM ou X86(_64) ?
Car ça définira si le secure-boot sera désactivable ou pas et si il sera autorisé ou pas d’installer un autre OS.
il est questions de tablettes embarquant des core i5/i7 tout en offrant 10h d’autonomie.
donc oui, Secure boot desactivable.
Le 26/06/2013 à 22h 28
petite question, les nouveautées/corrections de 8.1 ne concernent que l’interface Metro ou il y aura aussi des nouveauté concernant le Bureau?
il y a des améliorations sur le support multi screen (support de DPI différent d’un écran à l’autre), boot to desktop, un Start screen en mode liste d’appli pour remplacer le menu démarrer, IE11, support miracast, support des imprimantes 3D, .Net Framework 4.5.1, direct3d 11.2, …
et aussi une meilleure sécurité que win8 grâce à une nouvelle protection mémoire qui fait échouer une méthode connue de contournement de dep/aslr. Bref, tout ce qui peut compliquer la vie des créateurs d’exploits est bon à prendre.
Le 26/06/2013 à 21h 31
Hum pas de nouveautés concernant le clavier virtuel ?
Le clavier actuel est vraiment basique, avoir ne serait-ce que celui intégré à WP8 serait vraiment bien (Swiftkey me manque )
justement oui, le clavier onscreen évolue, avec notamment la barre d’espace qui sert de zone de scrolling pour sélectionner parmi les suggestions automatiques (pour éviter d’avoir à faire de grands mouvements, puisque les suggestions s’affichent au niveau du curseur, et non au dessus du clavier comme c’est le cas sur WP).
Le 26/06/2013 à 21h 25
Pour un PC de bureau, j’aimerai qu’on m’en nomme 1 (de ces “heureux”), assis à son bureau, avec un écran tactile, le(s) bras constamment tendu(s) vers l’écran.
1 heure de travail, 1 jour d’arrêt pour se relaxer ?
sur des écrans pas trop grands (18 à 21”), inclinables à 45degres, ou positionnables horizontalement, le tactile est un complément très agréable à la souris.
même les laptops avec du tactile ont du sens, chose que je trouvais encore absurde il y a un an. Quand on est habitué au tactile, on a l’instinct de toucher l’écran, surtout quand on a pas la souris dans la main parce qu’on était en train de faire autre chose juste avant.
[Dossier PCi] Windows 8.1 : à la découverte de la Public Preview
27/06/2013
Le 24/06/2013 à 17h 33
Je cherche les nouveautés non tactile mais je n’en vois pas
le boot to desktop, le Start screen qui passe en mode liste d’appli, des améliorations pour le multi écran, le streaming d’affichage, IE11, …
il y a pas mal de choses qui concernent le bureau.
Samsung renouvelle sa gamme ATIV et dévoile son Galaxy NX sous Android
20/06/2013
Le 21/06/2013 à 11h 41
Apparement c’est bien de la virtualisation
Ca m’interesse moins du coup.
Sur une des photos on voit android avec la charm bar de windows 8 sur la droite.
Ca perd une partie de son interet du coup. Android plus léger en mde tablette: ba non puisque Windows 8 tourne également…
si les deux OS tournent en meme temps sur le meme CPU (pas de CPU ARM en parallele dans cette machine), c’est forcement de la virtualisation.
apres, pour le coup du android plus leger en mode tablette, si tu bootais android directement en x86 je suis a peu pres certain que tu aurais une autonomie plus mauvaise que windows 8 seul (avec virtualization android desactivee).
alors l’argument du Android “plus leger” n’est pas vraiment pertinent.
Le 20/06/2013 à 21h 57
Puis quid de la possibilité de flasher un device dual-boot ? Ca doit être tendu de pas faire sauter Windows en installant un Android stock, non ?
aucun risque de faire sauter windows, puisque android est juste virtualisé dans une VM. Rien à flasher donc.
en gros Android c’est de l’argument marketing, ou à la limite pour dépanner si une appli n’est pas encore dans le Windows store, mais c’est pas fait pour utiliser en permanence (consomme plus de ressources et réduit l’autonomie).
Un ex-agent de la CIA à l’origine des fuites sur le programme PRISM
10/06/2013
Le 10/06/2013 à 13h 47
Compliqué….
Et que se passe-t-il en cas de faux positif ?
“On ne fait pas d’omelettes sans casser des oeufs”, ca ne marche pas avec les gens.
on supprime les enqueteurs, les juges, et les prisons, comme ça on est sûr de pas avoir de faux positifs?
c’est ce que tu suggeres?
Le 10/06/2013 à 13h 42
T’oublie que les terroristes ont aussi leur noob…
Mohamed Merra par exemple….
Et qu’il sont pas moins dangereux au contraire
+1
et si dans le cas de merrah les enqueteurs avaient pu acceder directement aux logs de connexion de la 1ere victime (le militaire qui a mis une annonce de vente de sa moto sur leboncoin) et au logs d’acces à l’annonce ainsi qu’aux noms des abos correspondants aux ip des visiteurs (et leurs liens parentaux) en quelques minutes Il aurait ete possible de faire sortir le nom d’un suspect et de l’arreter avant qu’il ne frappe à nouveau, puisque son nom etait deja connu par les services de renseignements.
mais evidemment quand Il faut attendre l’ordonnance d’une juge et qu’il n’y a pas de traitement massif et automatique des metadonnées de connexions, on finit par arriver après la bataille…
ça marche aussi pour les violeurs et meurtriers. De ce que j’ai pu lire, Facebook est tres utilisé par le FBI pour retrouver les coupables car souvent ceux ci ne prennent pas de precautions et parlent de leurs actes à leurs amis ou complices sur FB.
Le 10/06/2013 à 12h 19
Ou alors ce dire qu’entre surveiller des présumés terro-pédo-nazi-pirates-etc… et surveiller tout le monde, y’a un fossé quand même
et comment crois tu qu’ils font pour identifier les personnes suspectes avant qu’elles ne passent à l’acte?
c’est pas le pere noel qui va leur apporter une liste de suspects qui sont tres vilains et qu’il faut surveiller.
pour construire cette liste, Il faut pouvoir avoir une masse enorme de données (ex: toutes les tours radio auxquelles chaque mobile dans le pays s’est connecté et a quel moment), et extraire des informations exploitables à partir des données deja connues : qui se trouve regulierement a proximité de quelles personnes deja potentiellement suspectes? Qui echange des emails avec qui?
si tu n’a pas acces aux logs de tous les utilisateurs mobiles et internet (email/web) tu perds le moyen d’identifier les surpects à surveiller avant qu’ils ne passent à l’acte.
evidemment, le contenu des communications n’est analysé que pour les personnes suspectes. Pas pour la population toute entiere.
Le 10/06/2013 à 11h 33
quote]J’hésite entre un troll honteux ou une vision étrange d’une société démocratique…
[/quote]
la surveillance n’est pas incompatible avec la democratie. Il faut bien donner un moyen aux etats de proteger leurs citoyens et leurs interets. Sans surveillance, meme la police ne peut faire son travail.
tu crois vrainent que la population accepterait que la police ne puisse pas resoudre des affaires de meurtre et laisse courrir des criminels parce qu’une loi les empecherait d’utiliser les donnes des operateurs telephoniques au nom de la protection de la vie privée?
ce serait complement ridicule de considerer que la vie privé a plus de valeur que des vies humaines!
soit celui que tu sembles developper et qui me semble trollesque, à savoir de dire “OK on accepte”. Mais dans ce cas là, aux gouvernements de le dire clairement ! Oui on vous espionne, pour eviter ce genre de risques.
hum hum… Les etats unis n’ont jamais caché que le patriot act leur permettait ce type d’action, y compris hors des etats unis.
PRISM n’est qu’un detail operationnel. Pour maintenir son efficacité, le moins on en parle, mieux c’est.
Le 10/06/2013 à 11h 16
Ce que j’attends c’est quand même la réaction de nos politiques Européens, pour l’instant j’ai rien vu.
Je suis curieux de savoir comment ils vont faire pour baisser leur froc encore plus bas qu’il ne l’est déjà
en Europe aussi on a ce genre de systeme de surveillance. Et tu crois que les organismes de lutte contre le terrorisme en Europe ne beneficient pas des informations fournies par ka NSA?
Ce serait vraiment de la mauvaise foi de critiquer.