Espionite : Kaspersky Lab enclin à divulguer son code source

Le par  |  33 commentaire(s)
Examen Code Source

Face à une méfiance et une menace d'interdiction des législateurs américains pour ses solutions de sécurité, le patron de Kaspersky Lab se dit prêt à montrer le code source.

Faisant allusion à sa " vulnérabilité à l'influence du gouvernement russe ", le sénat américain préconise d'interdire les produits de sécurité de l'éditeur russe Kaspersky Lab dans le cadre d'un usage militaire. Le cas échéant, Kaspersky Lab pourrait perdre de gros contrats avec le département de la Défense des États-Unis.

Eugene-KasperskyEn fonction de l'évolution de la situation géopolitique, Kaspersky Lab est déjà plus ou moins rodé à ce genre d'allégations. Patron et cofondateur de Kaspersky Lab, Eugene Kaspersky parle de " cyber-maccarthysme " avec un certain sens de la formule.

Il pose la question : " Est-il juste d'interdire des produits en raison de leur origine ? ", et ajoute dans un billet de blog que " pour certaines raisons, l'hypothèse continue de résonner que, puisque nous sommes russes, nous devons également être liés au gouvernement russe. "

Le code source en guise de bonne foi

Soulignant avoir offert au gouvernement US toute aide susceptible d'éclaircir la situation et de lever d'éventuelles ambiguïtés, Eugene Kaspersky propose désormais de divulguer le code source de produits de Kaspersky Lab afin que le gouvernement américain puisse l'examiner. Une manière de démontrer que l'éditeur n'a rien à cacher.

Ce type de pratique n'a rien d'exceptionnel contrairement à ce que l'on pourrait croire. Par exemple, via ses centres de transparence, Microsoft accueille des organismes gouvernementaux afin qu'ils examinent le code source de certains produits comme Windows pour s'assurer qu'une backdoor n'est pas dissimulée.

Eugene Kaspersky a réitéré sa proposition de divulgation de code source à l'Associated Press (AP) en déclarant : " Si les États-Unis le souhaitent, nous pouvons divulguer le code source. Tout ce que je peux faire pour prouver que nous n'agissons pas de manière malveillante, je le ferai. " L'homme se dit également prêt à témoigner devant les législateurs américains.

Il a par ailleurs confirmé que des agents du FBI ont interrogé au moins une douzaine d'employés de Kaspersky Lab aux États-Unis, sans qu'il ne sache l'objet précis de cette visite à leurs domiciles.

L'AP rappelle que Eugene Kaspersky est ingénieur mathématicien de formation et diplômé de la faculté de mathématiques de la Haute école du KGB à Moscou (un établissement qui a depuis changé de nom). Il a jadis travaillé pour le ministère russe de la Défense. Un passé qui est régulièrement mis en avant pour entretenir la suspicion.

Complément d'information

Vos commentaires Page 1 / 3

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1971829
C'est une première étape.
La seconde consiste à démontrer que les binaires fournis proviennent bien du code source qui a été montré.
Il est aussi possible de compiler le code source avec un compilateur ajoutant une porte dérobée à la volée (on pourrait dans ce cas montrer le code source du programme, le compiler devant tout le monde, puis donner le binaire en ayant "prouvé" qu'il ne contient pas de backdoor, alors que ce n'est pas le cas).

Edit: je ne pense pas qu'il s'agisse d'espionnite dans la mesure ou les américains sont les premiers à savoir tout ce qu'il est possible de faire
Le #1971830
Il a par ailleurs confirmé que des agents du FBI ont interrogé au moins une douzaine d'employés de Kaspersky Lab aux États-Unis, sans qu'il ne sache l'objet précis de cette visite à leurs domiciles.

ils vont bientôt faire des camps de concentration russe...
Le #1971836
LinuxUser a écrit :

C'est une première étape.
La seconde consiste à démontrer que les binaires fournis proviennent bien du code source qui a été montré.
Il est aussi possible de compiler le code source avec un compilateur ajoutant une porte dérobée à la volée (on pourrait dans ce cas montrer le code source du programme, le compiler devant tout le monde, puis donner le binaire en ayant "prouvé" qu'il ne contient pas de backdoor, alors que ce n'est pas le cas).

Edit: je ne pense pas qu'il s'agisse d'espionnite dans la mesure ou les américains sont les premiers à savoir tout ce qu'il est possible de faire


À ce sujet, la conférence au CCC de Lunar, à propos de la reproducibilité des builds, devrait t'intéresser: https://media.ccc.de/v/camp2015-6657-how_to_make_your_software_build_reproducibly - et bien sûr, l'anecdote de Ken Thompson (avec Dennis Ritchie, un des créateurs d'UNIX), lorsqu'il avait injecté une backdoor dans un compilateur: http://wiki.c2.com/?TheKenThompsonHack - comme quoi c'est pas tout neuf
Le #1971839
lidstah a écrit :

LinuxUser a écrit :

C'est une première étape.
La seconde consiste à démontrer que les binaires fournis proviennent bien du code source qui a été montré.
Il est aussi possible de compiler le code source avec un compilateur ajoutant une porte dérobée à la volée (on pourrait dans ce cas montrer le code source du programme, le compiler devant tout le monde, puis donner le binaire en ayant "prouvé" qu'il ne contient pas de backdoor, alors que ce n'est pas le cas).

Edit: je ne pense pas qu'il s'agisse d'espionnite dans la mesure ou les américains sont les premiers à savoir tout ce qu'il est possible de faire


À ce sujet, la conférence au CCC de Lunar, à propos de la reproducibilité des builds, devrait t'intéresser: https://media.ccc.de/v/camp2015-6657-how_to_make_your_software_build_reproducibly - et bien sûr, l'anecdote de Ken Thompson (avec Dennis Ritchie, un des créateurs d'UNIX), lorsqu'il avait injecté une backdoor dans un compilateur: http://wiki.c2.com/?TheKenThompsonHack - comme quoi c'est pas tout neuf


Je pensais effectivement à Ken Thompson (busted ! )
Merci pour le lien je vais regarder ça
Le #1971840
lidstah a écrit :

LinuxUser a écrit :

C'est une première étape.
La seconde consiste à démontrer que les binaires fournis proviennent bien du code source qui a été montré.
Il est aussi possible de compiler le code source avec un compilateur ajoutant une porte dérobée à la volée (on pourrait dans ce cas montrer le code source du programme, le compiler devant tout le monde, puis donner le binaire en ayant "prouvé" qu'il ne contient pas de backdoor, alors que ce n'est pas le cas).

Edit: je ne pense pas qu'il s'agisse d'espionnite dans la mesure ou les américains sont les premiers à savoir tout ce qu'il est possible de faire


À ce sujet, la conférence au CCC de Lunar, à propos de la reproducibilité des builds, devrait t'intéresser: https://media.ccc.de/v/camp2015-6657-how_to_make_your_software_build_reproducibly - et bien sûr, l'anecdote de Ken Thompson (avec Dennis Ritchie, un des créateurs d'UNIX), lorsqu'il avait injecté une backdoor dans un compilateur: http://wiki.c2.com/?TheKenThompsonHack - comme quoi c'est pas tout neuf


Ce qu'a fait Denis Ritchie ça risque pas d'arriver dans libre,le code source est vérifié et revérifié
Le #1971847
yves64 a écrit :

lidstah a écrit :

LinuxUser a écrit :

C'est une première étape.
La seconde consiste à démontrer que les binaires fournis proviennent bien du code source qui a été montré.
Il est aussi possible de compiler le code source avec un compilateur ajoutant une porte dérobée à la volée (on pourrait dans ce cas montrer le code source du programme, le compiler devant tout le monde, puis donner le binaire en ayant "prouvé" qu'il ne contient pas de backdoor, alors que ce n'est pas le cas).

Edit: je ne pense pas qu'il s'agisse d'espionnite dans la mesure ou les américains sont les premiers à savoir tout ce qu'il est possible de faire


À ce sujet, la conférence au CCC de Lunar, à propos de la reproducibilité des builds, devrait t'intéresser: https://media.ccc.de/v/camp2015-6657-how_to_make_your_software_build_reproducibly - et bien sûr, l'anecdote de Ken Thompson (avec Dennis Ritchie, un des créateurs d'UNIX), lorsqu'il avait injecté une backdoor dans un compilateur: http://wiki.c2.com/?TheKenThompsonHack - comme quoi c'est pas tout neuf


Ce qu'a fait Denis Ritchie ça risque pas d'arriver dans libre,le code source est vérifié et revérifié


Mais oui, mais oui !

Tellement revérifié qu'il y avait une certaine faille shellshock (sévérité 10/10, rien que ça) découverte seulement en 2014, planquée dans le bash depuis sa conception dans les années 80.
Le #1971848
smartmeister a écrit :

yves64 a écrit :

lidstah a écrit :

LinuxUser a écrit :

C'est une première étape.
La seconde consiste à démontrer que les binaires fournis proviennent bien du code source qui a été montré.
Il est aussi possible de compiler le code source avec un compilateur ajoutant une porte dérobée à la volée (on pourrait dans ce cas montrer le code source du programme, le compiler devant tout le monde, puis donner le binaire en ayant "prouvé" qu'il ne contient pas de backdoor, alors que ce n'est pas le cas).

Edit: je ne pense pas qu'il s'agisse d'espionnite dans la mesure ou les américains sont les premiers à savoir tout ce qu'il est possible de faire


À ce sujet, la conférence au CCC de Lunar, à propos de la reproducibilité des builds, devrait t'intéresser: https://media.ccc.de/v/camp2015-6657-how_to_make_your_software_build_reproducibly - et bien sûr, l'anecdote de Ken Thompson (avec Dennis Ritchie, un des créateurs d'UNIX), lorsqu'il avait injecté une backdoor dans un compilateur: http://wiki.c2.com/?TheKenThompsonHack - comme quoi c'est pas tout neuf


Ce qu'a fait Denis Ritchie ça risque pas d'arriver dans libre,le code source est vérifié et revérifié


Mais oui, mais oui !

Tellement revérifié qu'il y avait une certaine faille shellshock (sévérité 10/10, rien que ça) découverte seulement en 2014, planquée dans le bash depuis sa conception dans les années 80.


La tu as sortie l’appât qui attire dooto
Le #1971849
yves64 a écrit :

smartmeister a écrit :

yves64 a écrit :

lidstah a écrit :

LinuxUser a écrit :

C'est une première étape.
La seconde consiste à démontrer que les binaires fournis proviennent bien du code source qui a été montré.
Il est aussi possible de compiler le code source avec un compilateur ajoutant une porte dérobée à la volée (on pourrait dans ce cas montrer le code source du programme, le compiler devant tout le monde, puis donner le binaire en ayant "prouvé" qu'il ne contient pas de backdoor, alors que ce n'est pas le cas).

Edit: je ne pense pas qu'il s'agisse d'espionnite dans la mesure ou les américains sont les premiers à savoir tout ce qu'il est possible de faire


À ce sujet, la conférence au CCC de Lunar, à propos de la reproducibilité des builds, devrait t'intéresser: https://media.ccc.de/v/camp2015-6657-how_to_make_your_software_build_reproducibly - et bien sûr, l'anecdote de Ken Thompson (avec Dennis Ritchie, un des créateurs d'UNIX), lorsqu'il avait injecté une backdoor dans un compilateur: http://wiki.c2.com/?TheKenThompsonHack - comme quoi c'est pas tout neuf


Ce qu'a fait Denis Ritchie ça risque pas d'arriver dans libre,le code source est vérifié et revérifié


Mais oui, mais oui !

Tellement revérifié qu'il y avait une certaine faille shellshock (sévérité 10/10, rien que ça) découverte seulement en 2014, planquée dans le bash depuis sa conception dans les années 80.


La tu as sortie l’appât qui attire dooto


Magnifique ce que tu viens de faire... je n'avais jamais vu ça
Le #1971855
LinuxUser a écrit :

yves64 a écrit :

smartmeister a écrit :

yves64 a écrit :

lidstah a écrit :

LinuxUser a écrit :

C'est une première étape.
La seconde consiste à démontrer que les binaires fournis proviennent bien du code source qui a été montré.
Il est aussi possible de compiler le code source avec un compilateur ajoutant une porte dérobée à la volée (on pourrait dans ce cas montrer le code source du programme, le compiler devant tout le monde, puis donner le binaire en ayant "prouvé" qu'il ne contient pas de backdoor, alors que ce n'est pas le cas).

Edit: je ne pense pas qu'il s'agisse d'espionnite dans la mesure ou les américains sont les premiers à savoir tout ce qu'il est possible de faire


À ce sujet, la conférence au CCC de Lunar, à propos de la reproducibilité des builds, devrait t'intéresser: https://media.ccc.de/v/camp2015-6657-how_to_make_your_software_build_reproducibly - et bien sûr, l'anecdote de Ken Thompson (avec Dennis Ritchie, un des créateurs d'UNIX), lorsqu'il avait injecté une backdoor dans un compilateur: http://wiki.c2.com/?TheKenThompsonHack - comme quoi c'est pas tout neuf


Ce qu'a fait Denis Ritchie ça risque pas d'arriver dans libre,le code source est vérifié et revérifié


Mais oui, mais oui !

Tellement revérifié qu'il y avait une certaine faille shellshock (sévérité 10/10, rien que ça) découverte seulement en 2014, planquée dans le bash depuis sa conception dans les années 80.


La tu as sortie l’appât qui attire dooto


Magnifique ce que tu viens de faire... je n'avais jamais vu ça


Si le commentaire te plait pas contente toi de mettre un -1
Le #1971881
LinuxUser a écrit :

C'est une première étape.
La seconde consiste à démontrer que les binaires fournis proviennent bien du code source qui a été montré.
Il est aussi possible de compiler le code source avec un compilateur ajoutant une porte dérobée à la volée (on pourrait dans ce cas montrer le code source du programme, le compiler devant tout le monde, puis donner le binaire en ayant "prouvé" qu'il ne contient pas de backdoor, alors que ce n'est pas le cas).

Edit: je ne pense pas qu'il s'agisse d'espionnite dans la mesure ou les américains sont les premiers à savoir tout ce qu'il est possible de faire


Ben ben ben ....

Toi tu es du genre à compiler entièrement ton système d'exploitation alors non ?

Ou alors tu as juste confiance en celui-ci ?
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]