Le 09/10/2014 à 20h 15

joma74fr a écrit :



 “Dégooglisons internet” est une opération de communication et de vulgarisation des usages à destination du grand public (les utilisateurs de Facebook, Google, Twitter, etc). C’est tout le contraire de ce dont tu parles.





Non ça c’est une partie de l’opération, l’autre partie c’est aussi de faire la promo de leurs outils dans lesquels on peut aussi foutre nos données. Et à part Framapad, le reste des projets qui existent parfois depuis des mois ne permettent toujours pas les connexions TLS. Interpréter les choses à votre convenance ne changera pas certains faits. :)

Le 09/10/2014 à 19h 22

Non mais prenez le pour un troll si vous voulez mais malheureusement, ça n’en est pas un du tout ! Si vous voulez continuer à avoir de la merde devant les yeux c’est totalement votre droit mais en attendant quand tu lances un moteur de recherche et un service de sondage (enfin n’importe quel site/service en 2014) et que tu ne mets même pas de TLS … Ca parle quand même pas mal de l’intérêt que tu montres envers les données des utilisateurs …

Le 09/10/2014 à 19h 11

Ha ben voilà, on a touché le niveau le plus bas de la réflexion, on a osé critiqué une partie des libristes français donc c’est qu’on a aucun commentaire constructif … " />



De plus en plus navrant, cela fait bien longtemps que je n’attends plus rien de projets français mais que je vois des projets bien plus porteurs à l’étranger  (toujours dans l’open-source ) …

Le 09/10/2014 à 17h 12

ActionFighter a écrit :



Si tu regardes la liste d’outils en exemple, tu verras que ceux proposés par Framasoft sont des dérivés de projets déjà existants.



Sinon, je ne peux que plussoyer l’initiative. Reste à trouver l’adhésion du public " />

 





C’est des dérivés de certains projets mais pour les projets pas encore commencé on en sait rien et pue tout simplement du cul vu l’annonce.



Après on peut parler de certains comme Framasearch : c’est un searx sans aucun https ! Ils sont serieux là ? C’est sympa de se baser sur un moteur de recherche qui anonymise la recherche en elle-même sauf que la connexion entre moi et le server framasoft passe en clair …



Enfin ça résumé assez bien malheureusement la méthode et ce qu’il faut attendre de ce projet quoi …

J’adorerai les soutenir mais là c’est vraiment pas possible …

Le 09/10/2014 à 16h 53

David_L a écrit :



Ils proposent surtout des solutions clefs en main et hébergées de ces outils

 

C’est l’un des problèmes auxquels ils devront faire face , même si le fait d’exploiter et de participer à des éléments open source réduit l’omnipotence de l’acteur qui propose un service. Mais la question se pose et se posera forcément si le succès est au rendez-vous.





Si t’avais été un peu plus loin et réfléchi un peu à ce que je disais, t’aurais remarqué que Twister est un système distribué et que héberger un outil distribué, tu m’expliqueras comment tu fais …



Sans parler du fait que je dis justement qu’il est plus intelligent de rendre les projets de nerds existant clés en main pour le grand publique, que d’essayer à chaque fois de réinventer la roue … ;)

Le 09/10/2014 à 16h 41

  Çac’est bien la communauté du libre français ! Il existe déjà des tonnes d’outils open-source qui existe et qui ne demandent qu’à être rendu accessible au grand publique en les améliorant, mais non, il faut qu’ils développent leur truc à eux dans leur coin …



Le cas d’un contre Twitter est assez parlant, Twister (http://twister.net.co/ ) existe déjà  depuis pas mal de temps et est pleinement fonctionnel. Plutôt que de partir de cette base là et voir comment le rendre accessible, ils vont prendre 2 ans à faire le leur … C’est juste idiot !

Le 07/10/2014 à 12h 25

unCaillou a écrit :



Tu précharges les clés des leaders et de tes amis, la toile de confiance fait le reste.

De plus, rien n'empêche le réseau mesh de se connecter au net, il faut qu'au moins un appareil du réseau y soit connecté.

Premièrement avoir les clés à l’avance va un peu à l’encontre de la philosophie d’un réseau maillé, c’est bien sympa mais je ne sais pas forcément avec qui je vais parler sur le réseau avant d’y être …



Ensuite, vouloir avoir recours à un point central pour la vérification des clés va aussi à l’encontre du principe de toile de confiance où chacun peut (et pour certains doit) vérifier de lui-même si la clé correspond bien à son propriétaire. Il est possible de faire confiance à un point central (comme un annuaire de clés ou un site comme keybase.io ) dans le cas où c’est un point de confiance. Hors actuellement les réseaux maillés n’ont justement aucun élément susceptible de faire cet office étant donné que les peers du réseau ne sont pas authentifiables.



Et enfin, quand on voit comment fonctionne PGP/GPG, il faut tout de suite se rendre compte qu’il y a très très peu de chance que son fonctionnement inhérent puisse aller de paire avec l’utilisation grand public. A mon grand regret d’ailleurs mais il faut rester réaliste. :)

Le 07/10/2014 à 11h 33

unCaillou a écrit :



Il suffirait d’y ajouter une surcouche avec GPG pour pouvoir signer et/ou chiffrer les messages sur Firechat, non ?





Et comment tu verifies les clés des gens sur un réseau mesh ? :p

Le 07/10/2014 à 11h 06

Mihashi a écrit :



C’est possible de faire communiquer deux téléphones en wifi directement, ou ça utilise des bornes wifi proches ?





Les puces wifi ont la capacité d’établir plusieurs modes de connexions, dans une d’elles il y a le mode “ad hoc” qui permet à chaque puce wifi de se connecter aux autres sans avoir besoin d’une borne centralisatrice justement. c’est ce mode qu’utilisent souvent les réseaux maillés (mesh) comme celui de FireChat. 

Le 03/10/2014 à 14h 52

RaoulC a écrit :



Je ne donne pas de conseil. Ou alors si j’en donne je m’adapte.



Ici on est sur NXI, si les gens peuvent sont capables de configurer Tor (et l’utiliser correctement) avec leur navigateur (équipé lui aussi) pourquoi se limiter a Torbrowser?



Si je dois conseiller un navigateur pour être utilisé avec Tor à un utilisateur quelconque, Torbrowser est le bon choix. " />



On est quand même d’accord que Torbrowser est basé sur Firefox?

Ou alors j’ai un train de retard (ce qui est possible aussi) ?



Je répondait à ton affirmation un peu péremptoire à propos de Torbrowser, c’est tout." />





Oui TBB est basé sur Firefox mais il n’est surement pas basé sur la version de  Firefox “grand public” à jour. C’est un Firefox ESR et ici précisemment un Firefox ESR 24.0.X avec donc support étendu sur le code par Mozilla elle-même. Cette version permet justement de s’assurer qu’il n’y a aucune faille 0day susceptible de venir perturber l’intégration entre Tor et le navigateur, ce qu’on ne peut pas du tout s’assurer avec les version très souvent mises à jour des version actuelles des navigateurs.



Là est un des TRES GRAND intérêt du TBB. ;)

Le 03/10/2014 à 14h 07

RaoulC a écrit :



Waaaait, la faille javascript qui a permit d’identifier des utilisateurs de Tor était dans TorBrowser." />



Waaaaaaaait : Pendant un temps , Firefox n’utilisait pas le proxy dans certaines circonstances notamment pour les requêtes DNShttp://feeblemind.blogspot.fr/2011/04/dns-leaking-with-browsers.html



Tor browser est un Firefox bien configuré avec les bons plugins, c’est tout " />

Après c’est un problème d’utilisation " />



Maintenant , il a le mérite d’exister pour les Mme Chang en Chine qui veulent un peu d’anonymat (équivalent de la célèbre Mmr Michu) " />





Les gars qui ont mis au point le réseau Tor sont aussi les mêmes qui s’appliquement à développer le TBB donc il y a une vrai synergie et une homogénéité au niveau de la sécurité entre les deux.



Les autres navigateurs ne sont pas pensés pour et c’ets à l’utilisateur de tout configurer pour que Tor soit utilisé dans les meilleures conditions pour que la sécurité soit toujours opérationnelle.

Excuse-moi  de pas mettre les deux solutions au même niveau et surtout de rire de ton exemple de Mme Michu en Chine …



Je connais personnellement des développeurs et  des contributeurs de Tor qui se marrent bien de voir des gens comme toi donner des conseils pareil. Sans animosité aucune d’ailleurs.

Le 03/10/2014 à 13h 10

san-claudio a écrit :



Il y eut un Opéra + Tor qui s’appelait Operator je crois mais ça date maintenant et je l’utilisais un peu par curiosité ça fonctionnait pas mal…

http://www.clubic.com/telecharger-fiche62356-operator.html





Le seul navigateur recommandé pour utiliser Tor actuellement est le TorBrowser Bundle disponible sur le site du Tor Project :https://www.torproject.org/download/download-easy.html.en 



Le reste n’est que création de brèche et mauvaise utilisatio. ;)

Le 03/10/2014 à 10h 56

RaoulC a écrit :



Carrément. Et la dernière fois que j’ai essayé DuckDuckGo sous TOR, j’avais une page blanche sans javascript activé (coupé dans les options de ff)" />



En fait devoir couper le Javascript c’est tellement pénalisant que je me demande si beaucoup de gens le feront.. Et du coup, ben ils se mettent en danger \0/



Edit : Oui, cool bro !







Tu as du tester il y a bien longtemps alors parce que perosnnellement ça fait déjà des mois que je peux utiliser DDG en hidden service sans Javascript d’activé sur TBB. Il va te choisir automatiquement la version “simple html” et tout se passe sans problème … " />

Le 03/10/2014 à 12h 15

David_L a écrit :



On en reparle au lancement de la v6 ;)





Soon™







Ca ne devait pas être cette semaine justement le lancement de la V6 ?

Le 01/10/2014 à 10h 45

Anonymous0112358 a écrit :



A terme, on pourrai pas avoir de CG externe avec thunderbolt sur les ordinateurs portables ? 







Si c’est en fait déjà possible techniquement. Il reste juste qu’actuellement le débit du Thunderbolt est en dessous de ce qu’il faudrait pour supporter des CG moyenne gamme/haut de gamme mais ça devrait changer avec les prochaines versions de TB d’ici ²⁰¹⁵⁄₂₀₁₆.

Ils ont commencé à 10Gb/s avec la première version et on est actuellement à 20Gb/s ce qui est faiblard pour des cartes graphiques intéressantes autre que du bas de gamme. On verra à la prochaine génération qui devrait apporter le 40Gb/s peut-être.

Le 30/09/2014 à 13h 22

Zyami a écrit :



Il suffit de double cliquer sur un fichier .sh, dans un spam par exemple, à vrai dire peu de gens savent ce que c’est et un paquet le feront sans hésiter.







J’ai testé sur plusieurs machines et par défaut l’utilisation de fichier avec extension .sh n’ouvre pas du tout le Terminal. (sans que l’utilisateur ne définisse lui-même la correlation entre extension .sh et Terminal)



Testé sous Mavericks et Yosemite.

Le 30/09/2014 à 10h 13

Il n’y a aucun vecteur d’attaque connu sur OSX actuellement avec ShellShock.

Sans parler du fait que 99% des Mac ne seront de toute façon jamais concerné par cette faille vu qu’extrêmement peu d’entre eux font tourner les services Unix nécessaire à pouvoir ensuite faire interpréter la variable par Bash.

Le 29/09/2014 à 11h 13

Je pose une question légèrement à côté du sujet mais j’ai un NAS Synology et j’etais depuis quelques jours avec le dernier DSM sorti “5.0-4493 Update 5” et je vois aujourd’hui qu’on me propose le “DSM 5.0-4493 update 7”.



Suis-je le seul à avoir cette mise à jour proposée ?

Je me pose des questions depuis les failles de ces dernières semaines. ;)

Le 26/09/2014 à 16h 54

moi1392 a écrit :



ça la rends juste plus performante…

à mon avis la raison première est surtout l’économie de battrie, qui doit pas mal souffrir à tout chiffrer.







Non le coprocesseur ne sert pas qu’à accélérer le travail du chiffrement, il permet aussi de stocker de manière bien plus sécuriser les clés de chiffrement. Les clés ne sont donc pas stockées sur le support de stockage “standard” mais sur une puce dédiée.







moi1392 a écrit :



T’as des sources pour ce que tu avances là ?







Le spécialiste en cryptologie Matthew Green a écrit un papier dans Slate (US) là dessus récemment :

http://www.slate.com/articles/technology/future_tense/2014/09/ios_8_encryption_w…

Le 26/09/2014 à 16h 20

Obelixator a écrit :



Une puce dédiée " />

Quoi de plus radical que de cacher un backdoor dans un matériel ou son microprogramme … La NSA doit être ravie … d’autant plus qu’Apple est le maitre d’œuvre de ses propres processeur ARM " />



" />







En partant de ce raisonnement là, plus aucun chiffrement n’est efficace vu que personne au monde n’utilise un materiel 100% open-source niveau hardware. Et pourtant certains exemples récents prouve le contraire.

Sans oublier que ceux qui chiffrent leur support de stockage sur smartphone utilisent aussi des applications qui chiffrent leurs propre données donc on a plusieurs couches de chiffrement et là il est plus facile d’utiliser des solutions libre et open-source.

Même si je suis d’accord que je ne ferai pas confiance à des smartphones pour des choses qui me mettrait en danger de mort.

Le 26/09/2014 à 16h 07

hellmut a écrit :



il me semble que les communication ne sont pas chiffrées contrairement à ce que dit l’article. il s’agit uniquement des DONNEES stockées sur le terminal.

spa pareil " />







Oui ce que critique le FBI contre les “nouvelles mesures” d’Apple et de Google c’est le chiffrement (!) des données sur le téléphone et non pas les communications.

L’accès aux données du Cloud, que ce soit d’Apple ou de Google et aisément accessible par requetes FISA aux Agences de renseignement américaines.

Ce qui les embête récemment c’est que les gens qui ne vont pas synchro leurs données avec le Cloud et qui chiffreront leur smartphone auront une sécurité bien plus élevée que précédemment.



Je ne sais pas forcément bien ce qu’il en est pour Google mais du côté d’Apple, un co-processeur dédié au chiffrement a été rajouté aux iPhones ce qui rend la sécurité nettement plus élevées que ce qu’elle était avant. On ne peut pas être sur à 100% que les autorités n’ont pas de backdoors dans le fonctionnement mais pour l’instant pas mal d’expert en crypto semblent dire que c’esst un gros pas en avant. (hors Cloud toujours évidemment)

Le 23/09/2014 à 11h 23

jb07 a écrit :



C’est de ma faute, je me suis mal exprimé : je cherche à diffuser des fichiers en P2P, mais ces fichiers sont sur ma machine et nulle part ailleurs. J’ai voulu diffuser des images de CD de revues très anciennes, jamais réussi.



Sinon, l’upload fonctionne (avec la valeur ‘ignore’, d’ailleurs, étrange).







Si tu souhaites en effet transformer ton Download Station en “server p2p” donc en une sorte de tracker en effet c’est impossible normalement avec ce logiciel.



La seule solution est de passer par le partage de fichiers via http(s) qui est assez facilement réglable via l’interface de fichiers de DSM ou alors de permettre le dl via FTP(S) sur un dossier particulier.

Le 18/09/2014 à 17h 11

js2082 a écrit :



Marrant, mais Tim Cook n’a jamais prétendu une telle chose et ne l’a jamais écrit dans son texte. " />



C’est bien Vincent en l’occurrence qui interprète ses propos.

" />







J’ose quand même imaginer que le mot de passe n’est pas stocké en clair sur le téléphone mais bien au moins après un hash et normalement un salt. Donc techniquement parlant Apple n’est pas sensé avoir le mot de passe du téléphone. Il a bien le résultat du hash qui ne sert donc à rien en cas de mot de passe unique. (ce que tout le monde devrait avoir … " /> )

Le 18/09/2014 à 09h 25

Grumlyz a écrit :



Je ne pense pas qu’un outil de communication électronique réellement sécurisé soit un jour à la portée du grand public.

A la limite, pour avoir une communication à peu près sûre, il faut qu’elle ne soit non sécurisée et sur un outil très utilisé, pour se fondre dans une énorme masse de messages quelconques et être l’aiguille dans la botte de foin.







Le but n’est pas réellement de créer UNE application utilisée par tout le monde mais de généraliser le chiffrement des données et des communications. Il est illusoire et même inutile de tous utiliser la même application. Tant que l’on peut chiffrer tout ce qui passe dans les tuyaux c’est déjà un gros pas en avant. La surveillance générale de la population si tout le monde se met à la crypto va demander des moyens bien plus colossaux que ce dont ont besoin les services de renseignements actuels.

(Je pars du principe que le chiffrement est réellement efficace, c’est à dire qu’on utilise des softs libres et open-source dont on a vérifié qu’ils ne contiennent pas de backdoors évidentes … )



Quand à l’existence d’une application de chiffrement efficace et accessible à tout le monde, c’est bien sur possible. Malheureusement, les geeks ont essayé de faire croire pendant 20 ans que c’était impossible parce qu’ils utilisaient de mauvais paradigmes.

Regarde le boulot qu’à fait Nadim Kobeissi sur Cryptocat et maintenant sur miniLock pour rendre la crypto accessible à tous, c’est juste une nouvelle ère pour ce genre de softs.

Le 03/09/2014 à 22h 44

Je tiens quand même à signaler à tous les amoureux des anciennes versions de OSX qu’Apple ne patch vraiment pas toutes les failles de sécurité de ses ancienes versions.



Certains chercheurs en sécurité on depuis des mois, voire un peu plus sur SL par exemple, des failles de sécurité non comblées et spécifiques à certaines versions comme 10.6 ou 10.7. Apple est au courant mais fait la sourde oreille et n’a à ce jour toujours pas sorti de correctifs …



Donc conseil : Si votre machine le supporte, passez TOUJOURS au système le plus récent de OSX même si l’interface ne vous plait pas, àprès tout, on se fait à tout.

Il vaut mieux une interface qui vous plait moins que des trous CONNUS dans son OS …

Le 20/08/2014 à 17h 35

Tim-timmy a écrit :



sinon non … je t’invite à lire le billet du monde .. et à relire celui-là, et voir la nuance. Pourquoi ces différences ? C’est ma principale interrogation, en général, sur le traitement des infos …







Ou alors il est inutile de retraiter le sujet en ayant la même analyse sur des sites différents ? Le lien qui permet de lire l’article de Manach ne suffit pas ?

On a peut-être pas la même conception du journalisme, mais perso voir le même sujet traité de la même façon (limite copie intégrale des textes sur certains sujets)

sur des journaux différents, je n’y vois strictement aucun intérêt, voire une grave dérive de la profession.



Si les rédacteurs de NextInpact ont trouvé l’article de Manach complet et qu’ils ont la même analyse, j’ai aucun problème avec cette news qui référence l’article en le commentant. Après si t’aimes pas le second degré de certains articles, tu ferais mieux de les éviter plutôt que de polluer les commentaires. Cet esprit existe depuis la création de ce médium.

Le 20/08/2014 à 16h 45

Tim-timmy a écrit :



(…)



Je suis vilain et irrespectueux, je sais, et je participe au cirque en commentant régulièrement sur ce genre de news ;..







Non tu vas trop loin, la réponse est plus simple encore que ça, tu donnes totalement l’impression d’être bien partial et malhonnête intellectuellement … du coup tu perds encore plus en crédibilité en pointant ce que tu considères presque comme un complot ! " />



Saches raison garder et n’oublie pas que des news sur nextinpact ne sont pas des analyses ultra poussées, ce qui n’enlève rien au factuel de cette news. Des administrations laissent indexer des documents qu’elles considèrent ne pas devoir être consultable publiquement …



P.S.: je ne réponds même pas à l’argument du “déjà connu” tant il est idiot et condescendant.

Le 20/08/2014 à 16h 12

Tim-timmy a écrit :



ben justement, le journalisme dont tu parles parlerait du contenu pour justifier l’accès … Là c’est pas encore exactement ça … ni données au final, ni analyse, si ce n’est le “regardez on peut”… Le choix de la cible est également innocent :p Bref, pas grand chose d’intéressant à retenir, mais ça fera peut être parler…









ha oui donc pour toi, le fait que les administrations laissent indexer par des moteurs de recherche publiques des documents qu’ils considèrent comme “secret” ou ne devant pas être accessible au public, tu n’y vois pas de problème de fond ?



Ça te parait juste une news à troll ou une blague orientée … ?

Je t’encourage à réflechir avant de poster des commentaires à l’avenir, ça pourrait hausser le niveau au lieu de le tirer vers le bas comme TU le fais. (et pas l’article " /> )

Le 12/08/2014 à 13h 42

jaguar_fr a écrit :



" />

faudrait un atterrissage sur Mars ou sur la comète Rosetta, çà serait plus mouvementé







La NASA avait fait un direct pour le contact entre le rover curiosity et la surface de Mars. J’en ai encore un fameux souvenir.

Le 05/08/2014 à 14h 20

raffoul a écrit :



Ok merci. Il ne fallait pas chercher loin. Je n’ai pas d’avis … J’ai trop peu d’éléments pour me forger mon propre avis. Je vais être influencé suivant le fil de l’article. Si je lis un article pro google, je vais être d’accord. Si je lis un contre google, je vais également être ok avec l’article. Dans ces moments là, quand on n’est pas au tribunal, hummmm c’est difficile de connaître toute la vérité… donc je me tais " />









T’es un peu à côté de la plaque là, l’article ne traite pas réellement du cas de la pédopornographie et encore moins de la culpabilité ou pas de la personne en question mais bien de la pratique de Google sur les données de ses produits … heu pardon utilisateurs !

Le 05/08/2014 à 09h 36

Rhaxapopouetl a écrit :



Voici un petit script pour ceux et celles qui ont besoin de vérifier si la solution présentée est souhaitable pour un usage personnel:

• Appuyez sur Ctrl+F
  


• Tapez “Open-Source”
  


• Si vous ne trouvez pas le terme, fermez la page.
  
  
  
  
  
  
  
  Ça, ça s’appelle passer pour un boulet et montrer que tu réagis aux news sans mêmes les avoir lues … " />
  
  Sans parler du fait que ta technique est idiote et merdique à un point …

Le 04/08/2014 à 21h 17

jinge a écrit :



L’histoire de légalité des chiffrages supérieurs à 128bits ça n’existe plus?







En France , la Loi pour la Confiance dans l’Économie Numérique (LCEN) du 21/06/04 rend l’utilisation des moyens de cryptologie libre. Article 30-I



Il est temps de se mettre à jour. :)

Le 04/08/2014 à 17h 00

Depuis le temps que les algorithmes de chiffrement par factorisation de nombres premiers sont connus, il fallait se douter que le temps et l’augmentation de la puissance de calculs des ordinateurs finiraient par au moins conduire à des brèches, si théoriques et peu applicables soient-elles.



Par contre le monde de la cryptographie est en train de se tourner vers de nouveaux algorithmes liés aux fonctions des courbes elliptiques qui sont sensés apporter la même sécurité tout en réduisant la puissance de calcul pour les machines. (intéressant à l’heure des smartphones et tablettes)

Le 04/08/2014 à 12h 29

samsamcmoi a écrit :



C’est surtout que Synology reste le leader dans le domaine (un peu comme windows) c’est pour ça que la plupart des attaques lui sont destinées.



Autre solution : prendre un NAS d’une marque moins connue.







Surtout qu’il ne faut pas non plus exagérer le problème ou mal l’interpréter. Avoir une marque plus ciblée ou qui pousse plus souvent des patchs de sécurité, ne veut absolument pas dire que le matos est plus risqué qu’ailleurs.

D’autres marques pourraient avoir nettement moins de retours ou moins de gens pour s’occuper des questions de sécurité sur leur plate-forme.

Le 04/08/2014 à 12h 25

J’ai temporairement désactivé toutes les redirections de mon routeur vers mon NAS.

Ça me fait penser qu’il serait pas mal que je pense à prendre une petite machine pour me faire un firewall en front-end pour toutes mes machines.

Le 02/08/2014 à 10h 16

Konrad a écrit :



(…)







Tu viens de résumer totalement ce que j’ai essayé de dire depuis le début. Enfin je ne pensais pas qu’il fallait rappeler que le closed source relevait d’un principe de confiance “aveugle” en la société qui développe l’application. Du coup mes premiers commentaires ont pu être pris pour du fanatisme, ce qui n’était en rien mon intention. Je voulais juste faire remarquer que dans le domaine de la sécurité, j’ai toujours trouvé “plus logique” de se baser sur de l’open-source correctement revu que sur du proprio même réputé.

Le 31/07/2014 à 23h 40

TZDZ a écrit :



Toi tu relis le code source ou tu vérifies que des gens l’ont relu avant d’utiliser un programme ? Je ne sais pas pourquoi mais je parie que tu te dis “bah c’est libre s’il y avait une faille énorme dans le code des passionnés de relecture l’auront bien trouvé”.





En gros les éditeurs de code proprio, on ne peut pas leur faire confiance ; par contre les personnes qui relisent du libre sont tous dignes de confiance (car le cas contraire tu reconnais que ça ne “fonctionne pas correctement”). Il n’y a pas un problème dans ton raisonnement ?







Non il y a un problème dans ta façon d’interpréter les choses que je dis et sur ce que tu projettes de moi …



Premièrement je relis pas mal de code sur des projets open source sur Github, donc tes supputations sur la personne qui parle en face de toi sans la connaître montre surtout que sur le fond, tu n’as pas grand chose à dire. Toute ta réponse tourne à propos de ce que tu crois que je dis, en tapant la plupart du temps à côté de la plaque …

Le 31/07/2014 à 12h 30

ça doit être open source parce que si les algos de chiffrement utilisés sont fiable ACTUELLEMENT (bien sur quand 30 ans le brute force sur du chiffrement actuel sera sûrement possible), l’implémentation de la crypto dans les sources du soft elle peut être totalement boguée. Et pour une soft comme Bleep ça permettrait de voir DES LE DÉPART que l’application n’est pas sécurisée ou contient du code qui ne devrait pas y être.



Faire un audit de sécurité sur un soft close source c’est totalement aléatoire, tu n’es jamais certain de trouver tout ce qui ne fonctionnerait pas correctement. le RE est beaucoup plus complique que de l’audit …

Le 31/07/2014 à 12h 11

Lafisk a écrit :



Un truc securisee, c’est un truc qu’on arrive pas a casser, open source ou pas … mais rien n’est incassable eternellement







Il nous manquait un captain obvious sur cette discussion … C’est bon on l’a trouvé ! " />

Le 31/07/2014 à 11h 16

J’ai répondu déjà plus haut sur le fond de ta remarque en réalité, c’est toi qui décide de l’ignorer ou de la prendre pour une remarque philosophique, ce qu’elle n’est pas, c’est totalement pratique.



Tu mets sur le même niveau une application dont tu dois faire confiance uniquement à celui qui la développe et de l’autre côté côté une dont tout le monde peut revoir le code source donc le fonctionnement.



Ca me semble assez logique que le fonctionnement de révision par des universitaires indépendants, des sociétés d’audit de code, des experts réputés dans leur domaine fonctionne mieux qu’un système basé sur la confiance dans une société privée, la plupart du temps à but lucratif, soumise à des lois territoriales qui peut lui imposer secrètement d’introduire du code arbitraire.



Je t’accorde que l’open source fonctionne correctement uniquement s’il y a full disclosure, c’est à dire que tous ces reviewers compétents parlent publiquement de ce qu’ils ont trouvé. Mais je reste d’avis qu’on ne peut certainement pas mettre le proprio et l’open source au même niveai dans le domaine de sécurité !

Le 31/07/2014 à 11h 02

TZDZ a écrit :



La grosse erreur (qui ressemble à de la mauvaise foi), c’est de dire que la sécurité des codes propriétaires se base sur le fait qu’ils ne sont pas libres : c’est juste faux.







Tu me fais dire ce que je n’ai pas dit là, relis mon post, tu n’y verras jamais mention de libre. Je parle bien de code open source ! Et oui ces 2 choses sont différentes l’une de l’autre.

Sinon j’ai toujours du mal avec les gens qui, en se basant sur leur propre expérience comme dans ton article de zdnet, viennent t’expliquer que vu qu’il y a de mauvais software open source, le propriétaire n’est pas moins adapté pour la sécurité que l’open source … " />

Le 31/07/2014 à 10h 35

Qruby a écrit :



Il y a forcément un business model. Gratuit != “ya pas de business model”.

Il y a beaucoup d’entreprises qui font de l’open source, et qui arrivent pourtant à générer des revenues. Dans la vie, rien n’est gratuit, tu paye forcément ce que tu utilise à un moment ou un autre. C’est pas une histoire de philosophie, c’est une histoire de logique économique (en opposition à un comportement opportuniste).



Que le développeur code bénévolement ou non, ça ne change pas que derrière il y a un intérêt économique. Le business model n’est qu’une explicitation de cet intérêt. (et le business model peut très bien être “on donne le produit gratuitement”).







Il est IMPOSSIBLE de gagner de l’argent avec une application gratuite basée sur la sécurité. Vu que théoriquement pour pouvoir être qualifiée de sécurisée elle DOIT être open-source sinon la sécurité est basée sur l’obscurité et j’irai même jusqu’à dire du vent.



Donc il faudra que tu m’expliques comment ut fais du fric en sortant un produit gratuit, dont tout le monde peut répliquer ou changer le produit vu que les sources sont disponibles et dont le fonctionnement est p2p c’est à dire que je n’ai pas besoin d’autre matériel que le miens pour le faire fonctionner.



C’est d’ailleurs pour ça que les projets les plus aboutis actuellement dans ce domaine (et ça risque de ne pas être le cas de Bleep tellement il accumule les tares dès son lancement) sont tous gratuit, open-source et financés par des fonds d’investissements publics. Exemple : Cryptocat ou WhisperSystems ou Tor dans un autre domaine.

D’autres sont des projets non financés mais collaboratifs (donc souvent plus lents) comme Twister ou Bitmessage.

Le 31/07/2014 à 09h 56

Qruby a écrit :



Ce qui est dommage c’est que cela arrive trop tard. Les principales raisons sont la difficulté de trouver un business model pour les entreprises développant des logiciels massivement P2P, et la performance des abonnements Internet utilisateurs.







Ben en réalité il n’y a aucun besoin de business model pour les systèmes distribués étant donné qu’ils sont pour la toute frande majorité gratuit (et les meilleurs open-source). Et aucun besoin de ressources financières importantes étant donné qu’il n’y a pas d’infrastructure à administrer et entretenir, chaque utilisateur utilise sa propore infra.



C’est un changement radical de philosophie de technologies et d’utilisation qui se cache derrière ces systèmes. Avec leurs avantages et leurs inconvénients. :)

Le 31/07/2014 à 09h 36

Par contre, je suis surpris qu’aucun article de presse, ni de réaction sur les réseaux sociaux, ne mentionne le fait que BitTorrent ne semble pas vouloir ouvrir les sources de son produit.

Ça reste selon moi toujours un problème quand on veut faire un produit soit-disant sécurisé …



Il faudra faire confiance à la société BitTorrent et c’est une très mauvaise façon de faire des outils basés sur la cryptographie.

Le 31/07/2014 à 09h 06

Nathan1138 a écrit :



Je vais probablement poser une question con mais comment un client A peut connaître l’adresse IP d’un client B sans serveur centralisé ?







En utilisant la technologie DHT déjà largement utilisée chez Bittorrent notamment dans µtorrent. Ça consiste à être en contact avec les peers les plus proches de toi pour demander des informations ou en envoyer, si jamais tu cherches quelqu’un qui n’est pas dans tes peers, l’info est propagée par les autres peers dans une chaîne qui fera aboutir ta demande à la bonne personne.



Pour être sur que tout ça est sécurisé Bleep se sert aussi du système de cryptographie à clé publique pour l’identification des peers, sur le réseau tu es donc identifié non pas comme une personne avec un compte (il n’y a pas de login) mais comme une clé publique. Ca marche en gros comme ça.

Le 31/07/2014 à 12h 08

Jed08 a écrit :



Argument puant la mauvaise foi ! La communauté s’est planté en beauté sur la revue du code d’OpenSSL. Ca prouve que même les gros projet ne sont pas revue ni audité en permanence ni de façon efficace.

Il faut l’assumer et pas commencer à chercher des excuses en prétextant une situation qui n’existe pas.

1. La mauvaise foi est plutôt de ton côté, lis la phrase que j’ai mis juste en dessous de ce que tu commentes … :p
   
   
   


2. OpenSSL c’etait 3 développeurs qui s’occupaient du projet en dehors de leur boulot … venir parler de gros projet me fait doucement rire. Le problème!me c’est qu’ “on” a basé une bonne partie du web et de tout un tas de projet sur ce projet qui n’était quasiment pas audité, même pas par les grosses boites privées qui les utilisaient (cf Google par exemple)
   
   
   
   
   
   
   
   
   
   Jed08 a écrit :
   
   
   
   Maintenant, rien ne prouve qu’il n’y a pas de backdoor dans l’open source. On a retrouvé à quelques mois d’intervalle des vulnérabilités dans des solutions open source de chiffrement présentent depuis assez longtemps.
   
   
   
   
   
   
   
   Encore une fois vous vous trompez de débat, c’est pas l’open source qui est en question ici mais la façon dont on le pratique AUJOURD’HUI ! Et c’est bien ça le problème. Après ça ne me fera pas changé d’avis sur le close source. Je ne peux simplement pas envisager que logiquement on puisse le mettre à égalité que l’open source en terme de sécurité.

Le 31/07/2014 à 12h 00

bobdu87 a écrit :



Il n’est pas question de le contester, mais voir la NSA dans SElinux me donne envie de rire à gorge déployer…

C’est bien beau d’avoir accès au code source, faut-il encore avoir des années de temps cerveau pour auditer la chose…







Vous restez dans l’optique d’un audit individuel, en réalité il faut créer des comités ou associations financées publiquement, transparentes qui regroupent des gens payés pour faire ce boulot.

L’autre alternative est de payer directement les développeurs de projets open source à partir de financement collaboratifs ou de fonds financés par les boites privée squi tirent partie de ces softs comme les projet en cours pour OpenSSL notamment.



L’open source est je pense le seul avenir à long terme de la sécurité des softwares, la réalité c’est qu’aujourd’hui les softs proprio qui font de la sécu sont tout aussi peu audités et que les failles ne sont pas souvent rendues publiques. En gros on a un regard biaisé sur l’ensemble de ce domaine actuellement.

Le 31/07/2014 à 11h 36

Je parle de tendance, je n’ai jamais dit que c’était une règle absolue.

Sinon pour la remarque OpenSSL ça me fera toujours rire, combien d”années encore elle serait restée cette faille peut-être dans un système proprio.

Vous voyez je peux réfléchir comme vous aussi … en faisait des supputations à tout vas ! " />



@Jed08, l’open source qui marche est l’open source bien audité est avec full disclosure. c’est le seul qui marche correctement, je suis bien d’accord que la façon de faire de l’open source sur les gros projets actuellement est largement insuffisante au niveau des reviews. Mais j’ai l’impression que tout ça est en train de changer.



Par contre je reste totalement inflexible sur les backdoors, le proprio (notamment américain) en est totalement bourré et ça me ferait bien rire que vous veniez le contester …

Le 31/07/2014 à 10h 54

THM077 a écrit :



N’empêche ça fais une très bonne technique d’espionnage en masse,

on dit partout “aller sur TOR, votre serez totalement anonyme” et pendant ce temps on récupère toutes les données!!

J’ai bien l’impression qu’on voit juste la partie émergée de l’iceberg…







C’est inhérent au réseau Tor le fait que tout le monde puisse faire tourner des noeuds et servir de relai. A partir de là, les gens qui connaissent bien ce système savaient aussi que les autorités étatiques ou des associations malintentionnées en faisaient tourner pour essayer de trouver une faille ou de récolter des données.

Inutile de chercher à encore développer une théorie du complot basée sur rien du tout.



N’oublions pas non plus une chose, ces failles sont découvertes parce que Tor est un réseau ouvert et publique et que le code source est ouvert lui aussi. C’est pour ça que beaucoup de failles, comme celle qui devait être présentée à la BlackHat, ont été trouvées par des universitaires qui revoient le code indépendamment.

Et c’est très important, bien entendu que la sécurité absolue n’existe pas, mais on voit ici que le système de l’open-source est bien plus sécurisé que la sécurité par l’obscurité. " />

Le 25/07/2014 à 17h 33

after_burner a écrit :



Je ne suis pas un expert en chiffrement, mais si le code de l’application du coté du client permet de s’assurer que les données sont chiffrées de bout en bout alors je retire ce que j’ai dit." />



Mais comme on l’entend beaucoup ces temps ci, il y a des failles qui permettent de casser ces méthodes de chiffrements et cela concerne les programmes qu’ils soient open source ou pas.







Pour être un peu plus explicite, dans le cas du chiffrement de bout en bout, le server ne sert qu’à transmettre les paquets entre les clients (et initialement à établir les connexions sécurisées). Il ne s’occupe pas du tout du chiffrement en lui-même, on veut justement qu’il ne s’en occupe pas.

Seul les 2 clients font du chiffrement “entre-eux”, du coup il est assez logique que dans le code source des softs client se trouvent tout le nécessaire pour comprendre comment ils chiffrent. :)