Backdoors

Le
S L
Bonsoir

Le noyau Linux étant devenu obèse, comment savoir qu'il ne contient
aucun backdoor suite à des pressions de la NSA, comme Windows (depuis
95 voire avant) et Mac ?

Merci

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/CAFPKLMKma3vhksuaX-zZ3w1ti5Vj5Rq=vH9Y5-SuLpjk2hhirA@mail.gmail.com
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
juke
Le #25557312
On Mon, Jul 22, 2013 at 12:28:42AM +0200, S L wrote:
Bonsoir




Bonsoir

Le noyau Linux étant devenu obèse



C'est à partir de combien de ligne obèse ?

comment savoir qu'il ne contient aucun backdoor suite à des pressions de la NSA,



Le code etant libre tu l'auditer ou le faire auditer par des professionnels.


comme Windows (depuis 95 voire avant) et Mac ?



As tu des preuves de ce que tu avances ?

J.


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
fred
Le #25557392
Le Mon, Jul 22, 2013 at 12:28:42AM +0200, S L écrivait :
Bonsoir

Le noyau Linux étant devenu obèse, comment savoir qu'il ne contient
aucun backdoor suite à des pressions de la NSA, comme Windows (depuis
95 voire avant) et Mac ?

Merci



Ben , libre à toi de compiler uniquement ce qui t'es necessaire.
Debina te fournit tous les paquets nécéssaires pour cela.

Sinon tu fais confiance à Debian et aux "images" proposées.


--

Frédric F1sxo

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
stephane.gargoly
Le #25557462
Bonjour à tous les utilisateurs et développeurs de Debian :

Dans son message du 22/07/13 à 00:29, S L a écrit :
Le noyau Linux étant devenu obèse, comment savoir qu'il ne cont ient
aucun backdoor suite à des pressions de la NSA, comme Windows (depui s
95 voire avant) et Mac ?



C'est tout l'intérêt d'avoir son code source disponible à to us (mais la licence GPL n'est pas la seule à fournir cette possibilit é) - vas demander la même chose à Microsoft ! :-p

Cordialement et à bientôt,

Stéphane.



Une messagerie gratuite, garantie à vie et des services en plus, à §a vous tente ?
Je crée ma boîte mail www.laposte.net

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
stephane.gargoly
Le #25557472
Bonjour à tous les utilisateurs et développeurs de Debian :

Dans son message du 22/07/13 à 00:32, a écrit :
On Mon, Jul 22, 2013 at 12:28:42AM +0200, S L wrote:
> Le noyau Linux étant devenu obèse

C'est à partir de combien de ligne obèse ?



Ben quand on a dépassé la ligne minceur, voyons ! :-D

Donc pour lui faire un petit régime, on passe par la case "configurati on" - avec suppression de toutes les fonctionnalités et pilotes qu'on est sûr de ne jamais s'en servir et "modularisation" autant que possib le des autres qu'on pense utiliser, même occasionnellement - et on com pile tout ça...

Et voila, notre noyau retrouve sa silhouette svelte et sexy. ;-)

Note : A propos de la "modularisation", on doit conserver en interne (c'est -à-dire mettre dans le fichier /boot/vmlinuz-*) quelques unes de ces f onctionnalités et pilotes qui sont nécessaires au démarrage du système GNU/Linux (à moins de passer par initrd). Il faut, qua nd même, éviter de se retrouver avec un noyau anorexique... ;-)

Cordialement et à bientôt,

Stéphane.



Une messagerie gratuite, garantie à vie et des services en plus, à §a vous tente ?
Je crée ma boîte mail www.laposte.net

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Creasixtine Debian
Le #25557552
This is an OpenPGP/MIME signed message (RFC 4880 and 3156)
------enig2OBBBPFOEEAPTPKWDQTCW
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

Le 22/07/2013 00:28, S L a écrit :
Bonsoir

Le noyau Linux étant devenu obèse, comment savoir qu'il ne contient
aucun backdoor suite à des pressions de la NSA, comme Windows (depuis
95 voire avant) et Mac ?

Merci



Bonjour,
Tu as
http://fr.wikipedia.org/wiki/Porte_d%C3%A9rob%C3%A9e#Noyau_Linux_.282003. 29
qui est intéressant.
Une bonne question est de savoir combien de temps on met pour s'en
rendre compte quand il y a une backdoor comme ça.

À mon sens, même s'il peut y avoir des bugs qui peuvent permettre une
escalade de privilèges sur la machnie cible, dans notre cas de GNU/Linu x
c'est probablement le côté GNU que le côté Linux qui porte le plu s de
risques. Si le noyau Linux semble être audité régulièrement, le s ystème
est composé de nombreux programmes, et il est sûrement difficile de t ous
les auditer.

Un exemple récent : http://www.exploit-db.com/exploits/25134/ (j'ai
cherché /sudo backdoor/ sur la recherche Google).

Adrien.



------enig2OBBBPFOEEAPTPKWDQTCW
Content-Type: application/pgp-signature; name="signature.asc"
Content-Description: OpenPGP digital signature
Content-Disposition: attachment; filename="signature.asc"

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.12 (GNU/Linux)
Comment: Using GnuPG with Icedove - http://www.enigmail.net/

iQEcBAEBAgAGBQJR7Nv4AAoJEN2mnsXFeEtwbIgH/3o0f1C9InaFe+/Flr3aDx6N
5AR2C7zulqRomFaowGZpc84Zq6apajypTGlkOm+3uX8pfRsoy9exoERlj75DvjLl
qL+3ZalSBdbAltxMDV3BhiTxGcc8zG76Aps01eH0J3Go8i8Y3MNigtJO9JzwpCe2
VB+z9nIqLGhn7vOcy3ca+L4lzegp8l1sQJ/z8AaF9E0i/lCBV8ldmftiq3KtazSI
pSEwRYJZBSzyX/FxcNN7QGy9Z5OUs66tCsfNPDc62ahzz6VBMXjBDKTzGr6d+62U
Mb13Putu5vUpo5so+nafx4r9TAray1ZXxhH5R7SVK0oT2UnW9HWTmz2JqK3i/CQ =cqoJ
-----END PGP SIGNATURE-----

------enig2OBBBPFOEEAPTPKWDQTCW--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Yves Rutschle
Le #25557662
On Mon, Jul 22, 2013 at 12:28:42AM +0200, S L wrote:
Bonsoir

Le noyau Linux étant devenu obèse, comment savoir qu'il ne contient
aucun backdoor suite à des pressions de la NSA, comme Windows (depuis
95 voire avant) et Mac ?



On ne peut pas savoir. Dès que la taille du source ne tient
plus dans la tête d'une personne, il est illusoire de penser
qu'une revue garantie qu'il n'y en a pas, à moins de mettre
en place des processus d'assurance extrêmement lourds.

La seule façon de faire confiance à un logiciel, c'est de
l'avoir écrit entièrement soi-même. Et de le compiler avec
un compilateur qu'on écrit (et assemblé) soi-même. Sur un
processeur qu'on a conçu et gravé soi-même. En espérant qu'à
aucun moment tu n'aies embauché de personne que la NSA
pourrait corrompre.

Y. -- ce n'est pas parce que je suis paranoïaque qu'on ne
m'en veut pas.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Creasixtine Debian
Le #25558092
This is an OpenPGP/MIME signed message (RFC 4880 and 3156)
------enig2FWEAMOTAHDVDLQSBKPPB
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

Autre point de réflexion : ça ne concerne plus les backdoors mais les bugs exploitables.

La recherche de bugs, c'est comme la chasse au trésor : c'est le premie r arrivé qui en profite. Dans la philosophie du Libre, en profiter ça revient à publier le bug, et c'est un moyen de rentrer dans la communa uté.
Pour d'autres moins scrupuleux, ils gardent le bug par devers eux, écri vent un exploit si c'est possible, et s'en servent éventuellement.

Pour trouver un bug, c'est comme un trésor, il faut savoir où cherche r (et surtout comment). Bilan des courses, le premier gus qui pense à c hercher dans telle direction se retrouve confronté au dilemme sus-nommé (et comme ils disent outre-manche : "With great power comes great respon sibility").

Il y a d'ailleurs un article intéressant qui parle de cette approche da ns le MISC de cet été (fuzzing wireshark). Le gars, parce qu'il a app orté une nouvelle méthode de recherche de bugs, en a trouvé quarant e, alors qu'auparavant la communauté en rapportait une dizaine par an.. . http://www.unixgarden.com/index.php/misc/misc-n68-marsavril-2013-en-k iosque (contrairement à l'url marsavril, c'est bien juillet / août).

Adrien.



------enig2FWEAMOTAHDVDLQSBKPPB
Content-Type: application/pgp-signature; name="signature.asc"
Content-Description: OpenPGP digital signature
Content-Disposition: attachment; filename="signature.asc"

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.12 (GNU/Linux)
Comment: Using GnuPG with Icedove - http://www.enigmail.net/

iQEcBAEBAgAGBQJR7OG2AAoJEN2mnsXFeEtwuC4IAKHP158FdnOANaMbAQ/SNvjQ
dOxYp5WOJAtqnCKaK3sNj285V0J6rdYgqK15jDkDW7pOV5xsLiEE0mFFy8A8mzXy
XPN1FtlPlDQ4Cwvb0N7tVrKfjYbrx41Ow3hwZ0nzHbuJt1A8KfHGe1xYGn6nw6do
8gfoYO5O0RpJQrJYH5DeMkQpx1c2W80Fnddqv30xAEILQ3O91f8EpWfxTehWivwJ
2Be10ULF4N8t9+VaIgzMzwo5/1PFD9WKOv4AJSltkBhcmrGhItCT8jomL3NTTUxC
VirS45sP0h6HHfobUUcDBu/3vxoOhT+Bq5u9Slc658jJ7OKo8VduX6+N50sFPkE =TkYt
-----END PGP SIGNATURE-----

------enig2FWEAMOTAHDVDLQSBKPPB--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Sylvain L. Sauvage
Le #25558632
Le lundi 22 juillet 2013 09:39:34 Creasixtine Debian a écrit :
[…]
La recherche de bugs, c'est comme la chasse au trésor : c'est
le premier arrivé qui en profite.



Euh, non, en général, c’est plutôt l’à ‰tat.

Comme quoi l’analogie était bonne !

--
Sylvain Sauvage

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Publicité
Poster une réponse
Anonyme