ça fait un moment que certains esprits retors déconseillaient Skype,
BlackBerry et autres logiciels révolutionnaires en raison de leur
possible impact négatif en termes de sécurité. Et l'actualité
semble donner raison à ces indécrottables paranos :
- http://www.skype.com/security/skype-sb-2005-02.html
Buffer overflow in Skype-specific URI and VCARD import handling
- http://www.skype.com/security/skype-sb-2005-03.html
Heap overflow in networking routine (Hello les frenchies !)
- http://networks.silicon.com/mobile/0,39024665,39153677,00.htm
BBC shuts down BlackBerry service due to flaw
On Wed Nov 02 2005 at 23:34, Cedric Blancher wrote:
Mouais, enfin pour le moment, ça prend le même chemin que le Blackberry, c'est à dire un beau sujet pour faire parler tout ceux prêts à tout dévoiler, mais qui ne savent rien...
C'est bien parce qu'ils ne savent rien qu'ils parlent. Dans le cas de Skype comme de Blackberry, c'est l'épaisseur du brouillard qui inquiète. La comparaison s'arrête là : les données qui transitent par les BB sont bien plus intéressantes économiquement.
Il est bien légitime de s'inquiéter,
Ah tu vois :)
mais d'ici à en arriver à des discours comme certains que j'ai pu entendre dans des conférences réputées
Allons, un peu de mauvaise foi ne fait de mal à personne ! Et puis c'est Skype qui a ouvert le bal : les couches crypto ne servent pas à protéger le secret des communications, c'est bien le cadet de leur souci, mais plutôt à dissimuler quelque chose. Ils ne cherchent peut-être qu'à éviter le reverse engineering; ils n'avaient qu'à le dire...
il y a un pas qu'il faudrait éviter de franchir une nouvelle fois.
En français, on appelle ça "faire l'âne pour avoir du son". Skype ne veut pas dire ce qui se cache sous le capot ? FUD FUD FUD, jusqu'à ce qu'ils se mettent à table. C'est un moyen de pression comme un autre, et c'est plus facile à faire que décompiler un code touffu (et moins dangereux légalement).
On Wed Nov 02 2005 at 23:34, Cedric Blancher wrote:
Mouais, enfin pour le moment, ça prend le même chemin que le Blackberry,
c'est à dire un beau sujet pour faire parler tout ceux prêts à tout
dévoiler, mais qui ne savent rien...
C'est bien parce qu'ils ne savent rien qu'ils parlent.
Dans le cas de Skype comme de Blackberry, c'est l'épaisseur du
brouillard qui inquiète.
La comparaison s'arrête là : les données qui transitent par les BB
sont bien plus intéressantes économiquement.
Il est bien légitime de s'inquiéter,
Ah tu vois :)
mais d'ici à en arriver à des discours comme certains que j'ai pu
entendre dans des conférences réputées
Allons, un peu de mauvaise foi ne fait de mal à personne ! Et puis
c'est Skype qui a ouvert le bal : les couches crypto ne servent pas à
protéger le secret des communications, c'est bien le cadet de leur
souci, mais plutôt à dissimuler quelque chose. Ils ne cherchent
peut-être qu'à éviter le reverse engineering; ils n'avaient qu'à le
dire...
il y a un pas qu'il faudrait éviter de franchir une nouvelle
fois.
En français, on appelle ça "faire l'âne pour avoir du son". Skype ne
veut pas dire ce qui se cache sous le capot ? FUD FUD FUD, jusqu'à ce
qu'ils se mettent à table. C'est un moyen de pression comme un autre,
et c'est plus facile à faire que décompiler un code touffu (et moins
dangereux légalement).
On Wed Nov 02 2005 at 23:34, Cedric Blancher wrote:
Mouais, enfin pour le moment, ça prend le même chemin que le Blackberry, c'est à dire un beau sujet pour faire parler tout ceux prêts à tout dévoiler, mais qui ne savent rien...
C'est bien parce qu'ils ne savent rien qu'ils parlent. Dans le cas de Skype comme de Blackberry, c'est l'épaisseur du brouillard qui inquiète. La comparaison s'arrête là : les données qui transitent par les BB sont bien plus intéressantes économiquement.
Il est bien légitime de s'inquiéter,
Ah tu vois :)
mais d'ici à en arriver à des discours comme certains que j'ai pu entendre dans des conférences réputées
Allons, un peu de mauvaise foi ne fait de mal à personne ! Et puis c'est Skype qui a ouvert le bal : les couches crypto ne servent pas à protéger le secret des communications, c'est bien le cadet de leur souci, mais plutôt à dissimuler quelque chose. Ils ne cherchent peut-être qu'à éviter le reverse engineering; ils n'avaient qu'à le dire...
il y a un pas qu'il faudrait éviter de franchir une nouvelle fois.
En français, on appelle ça "faire l'âne pour avoir du son". Skype ne veut pas dire ce qui se cache sous le capot ? FUD FUD FUD, jusqu'à ce qu'ils se mettent à table. C'est un moyen de pression comme un autre, et c'est plus facile à faire que décompiler un code touffu (et moins dangereux légalement).
C'est *exactement* lme même mode de contamination que MS-Word...
Sauf que maintenant, on peut utiliser Open Office tout en étant compatible avec MS-Office. On peut même avoir une transition en douceur, avec les vieux postes sous MS-Office et les nouveaux postes en OpenOffice.
Peut-on espérer la même chose avec Skype ? Est-ce pour éviter ça que le format de données de Skype est totalement crypté ?
En France, il me semble qu'on a le droit de désassembler un logiciel si c'est le seul moyen d'obtenir des renseignements sur le format des fichiers de données. Est-ce la même chose pour les formats de transmission de données ?
On 03 Nov 2005 10:42:09 GMT, Erwan David <erwan@rail.eu.org>:
C'est
*exactement* lme même mode de contamination que MS-Word...
Sauf que maintenant, on peut utiliser Open Office tout en étant
compatible avec MS-Office. On peut même avoir une transition en
douceur, avec les vieux postes sous MS-Office et les nouveaux postes
en OpenOffice.
Peut-on espérer la même chose avec Skype ?
Est-ce pour éviter ça que le format de données de Skype est totalement
crypté ?
En France, il me semble qu'on a le droit de désassembler un logiciel
si c'est le seul moyen d'obtenir des renseignements sur le format des
fichiers de données. Est-ce la même chose pour les formats de
transmission de données ?
C'est *exactement* lme même mode de contamination que MS-Word...
Sauf que maintenant, on peut utiliser Open Office tout en étant compatible avec MS-Office. On peut même avoir une transition en douceur, avec les vieux postes sous MS-Office et les nouveaux postes en OpenOffice.
Peut-on espérer la même chose avec Skype ? Est-ce pour éviter ça que le format de données de Skype est totalement crypté ?
En France, il me semble qu'on a le droit de désassembler un logiciel si c'est le seul moyen d'obtenir des renseignements sur le format des fichiers de données. Est-ce la même chose pour les formats de transmission de données ?
Cedric Blancher
Le Thu, 03 Nov 2005 10:42:10 +0000, Michel Arboi a écrit :
Allons, un peu de mauvaise foi ne fait de mal à personne ! Et puis c'est Skype qui a ouvert le bal : les couches crypto ne servent pas à protéger le secret des communications, c'est bien le cadet de leur souci, mais plutôt à dissimuler quelque chose. Ils ne cherchent peut-être qu'à éviter le reverse engineering; ils n'avaient qu'à le dire...
Je n'ai pas dit qu'il n'y avait pas de vraie crypto pour les données de communication...
-- Il peut aussi attaquer la base distante (ou locale) par access, en utilisant MyOdbc, et en liant les tables ... -+- max in GFA : bondage & discipline database programming. -+-
Le Thu, 03 Nov 2005 10:42:10 +0000, Michel Arboi a écrit :
Allons, un peu de mauvaise foi ne fait de mal à personne ! Et puis
c'est Skype qui a ouvert le bal : les couches crypto ne servent pas à
protéger le secret des communications, c'est bien le cadet de leur
souci, mais plutôt à dissimuler quelque chose. Ils ne cherchent
peut-être qu'à éviter le reverse engineering; ils n'avaient qu'à le
dire...
Je n'ai pas dit qu'il n'y avait pas de vraie crypto pour les données de
communication...
--
Il peut aussi attaquer la base distante (ou locale) par access, en
utilisant MyOdbc, et en liant les tables ...
-+- max in GFA : bondage & discipline database programming. -+-
Le Thu, 03 Nov 2005 10:42:10 +0000, Michel Arboi a écrit :
Allons, un peu de mauvaise foi ne fait de mal à personne ! Et puis c'est Skype qui a ouvert le bal : les couches crypto ne servent pas à protéger le secret des communications, c'est bien le cadet de leur souci, mais plutôt à dissimuler quelque chose. Ils ne cherchent peut-être qu'à éviter le reverse engineering; ils n'avaient qu'à le dire...
Je n'ai pas dit qu'il n'y avait pas de vraie crypto pour les données de communication...
-- Il peut aussi attaquer la base distante (ou locale) par access, en utilisant MyOdbc, et en liant les tables ... -+- max in GFA : bondage & discipline database programming. -+-
Nicob
On Sat, 29 Oct 2005 14:36:37 +0000, Cedric Blancher wrote:
Une analyse du trafic Skype ne montre _rien_ pouvant être interprété comme des valeurs de champ, ce qui laisse fortement à penser que toutes les trames seraient au minimum cryptées pour que l'observateur lambda ne puisse pas les comprendre.
A ce propos, est-il possible d'avoir des détails sur le comment du pourquoi de la découverte de la faille publiée ce mois par le EADS/CRC sur Skype ? Fuzzing aléatoire, identification de blocs de données, ...
Nicob
On Sat, 29 Oct 2005 14:36:37 +0000, Cedric Blancher wrote:
Une analyse du trafic Skype ne montre _rien_ pouvant être interprété
comme des valeurs de champ, ce qui laisse fortement à penser que toutes
les trames seraient au minimum cryptées pour que l'observateur lambda
ne puisse pas les comprendre.
A ce propos, est-il possible d'avoir des détails sur le comment du
pourquoi de la découverte de la faille publiée ce mois par le EADS/CRC
sur Skype ? Fuzzing aléatoire, identification de blocs de données, ...
On Sat, 29 Oct 2005 14:36:37 +0000, Cedric Blancher wrote:
Une analyse du trafic Skype ne montre _rien_ pouvant être interprété comme des valeurs de champ, ce qui laisse fortement à penser que toutes les trames seraient au minimum cryptées pour que l'observateur lambda ne puisse pas les comprendre.
A ce propos, est-il possible d'avoir des détails sur le comment du pourquoi de la découverte de la faille publiée ce mois par le EADS/CRC sur Skype ? Fuzzing aléatoire, identification de blocs de données, ...
Nicob
Cedric Blancher
Le Fri, 04 Nov 2005 18:44:56 +0000, Nicob a écrit :
A ce propos, est-il possible d'avoir des détails sur le comment du pourquoi de la découverte de la faille publiée ce mois par le EADS/CRC sur Skype ? Fuzzing aléatoire, identification de blocs de données, ...
Cf. OSSIR lundi...
-- SP: Aux dernière nouvelles, MOSXS est "due... in the next few weeks". EL: La bonne nouvelle, est que vu la tournure des événements, on va EL: bientôt être sûr que MacOS X Server est bien compatible an 2000 ;-) -+- EL in Guide du Macounet Pervers : Le bug Y30K nous guête -+-
Le Fri, 04 Nov 2005 18:44:56 +0000, Nicob a écrit :
A ce propos, est-il possible d'avoir des détails sur le comment du
pourquoi de la découverte de la faille publiée ce mois par le EADS/CRC
sur Skype ? Fuzzing aléatoire, identification de blocs de données, ...
Cf. OSSIR lundi...
--
SP: Aux dernière nouvelles, MOSXS est "due... in the next few weeks".
EL: La bonne nouvelle, est que vu la tournure des événements, on va
EL: bientôt être sûr que MacOS X Server est bien compatible an 2000 ;-)
-+- EL in Guide du Macounet Pervers : Le bug Y30K nous guête -+-
Le Fri, 04 Nov 2005 18:44:56 +0000, Nicob a écrit :
A ce propos, est-il possible d'avoir des détails sur le comment du pourquoi de la découverte de la faille publiée ce mois par le EADS/CRC sur Skype ? Fuzzing aléatoire, identification de blocs de données, ...
Cf. OSSIR lundi...
-- SP: Aux dernière nouvelles, MOSXS est "due... in the next few weeks". EL: La bonne nouvelle, est que vu la tournure des événements, on va EL: bientôt être sûr que MacOS X Server est bien compatible an 2000 ;-) -+- EL in Guide du Macounet Pervers : Le bug Y30K nous guête -+-
