[ Précédent :: 1 2 3 4 5 6 :: Suivant ]
Re: Peux pas m'empêcher
Ok, je suis un peu lent mais en lisant le titre, j'ai cru comprendre :).
C'est dommage, je croyais qu'il y avait réellement quelque chose d'intéressant là :).
Bon, bah.... merci quand même...
[ Répondre ]
Re: Peux pas m'empêcher
Pourquoi ? (c'est une vraie question, j'apprends le Perl actuellement et j'aimerai en savoir plus) Est-il possible de créer un exécutable ? J'avais cru lire quelque chose sur un présumé perlcc, mais est-ce que celà fonctionne vraiment ? Et est-ce que c'est réellement utilisé ?
Merci.
[ Répondre ]
Pertinence de l'article/dépêche ci-dessus
A lire les commentaires qui ont été fait jusque là et à voir les choix des lecteurs (article du Monde: 679 hits, abstract de l'article scientifique 208 et article même 279), je dois avouer que l'article (de linuxfr) a été posté et accepté trop tôt...
Que dire quand on lit : "La technique découverte par Jean-Pierre Seifert consiste à analyser le comportement du processeur lui-même afin de déduire statistiquement la clé de chiffrement."
quand le résumé de l'article initial dit très clairement : "a Simple Branch Prediction Analysis (SBPA) attack --- sharply differentiating it from those one relying on statistical methods"
Du coup on lit des commentaires parlant de timing attack, que c'est pas nouveau, quand le résumé de l'article dit : "The successful extraction of almost all secret key bits by our SBPA attack against an openSSL RSA implementation proves that the often recommended blinding or so called randomization techniques to protect RSA against side-channel attacks are, in the context of SBPA attacks, totally useless."
En bref, beaucoup trop de commentaires qui s'acharnent sur l'exagération des conséquences de la méthode, etc. quand visiblement ils n'ont pas pris la peine de lire, ne serait-ce que le résumé de l'article SCIENTIFIQUE. Ne me parlez pas du Monde, depuis quand un journal est-il une référence absolue en tèrmes d'avancées/résultats scientifiques si récents (mi-octobre 2006) et si pointus (d'ailleurs, ne prenez-vous jamais le temps de regarder une autre source d'information que la première qui vous tombe sous la main pour des sujets autres que l'informatique ?) ?!
Ne pas lire entre mes phrases pour essayer de dicerner un avis quelconque sur la compétence de la méthode : je ne suis pas là pour faire son éloge (ou la critiquer d'ailleurs), pour la simple et bonne raison que je sais et je le dis, moi, que je n'ai pas les connaissances nécessaires pour pouvoir en tirer une conclusion. Ceci n'empêche que je ne vais pas cracher non plus dessus, par simple respect des personnes qui ont travaillé dessus et qui ont pris la peine de pointer une (éventuelle) faille.
Plutôt que de crier au ridicule et à la paranoïa exagérée d'un journaliste (encore que vous oubliez de le mentionner, on pourrait presque croire que vous donnez un avis sur la méthode), concentrez-vous plutôt sur le sujet même. Et cher(s) rédacteur(s)/rédactrices (d'articles sur linuxfr j'entends), un grand merci pour votre contribution (franchement), mais je vous en prie, évitez dans l'avenir de paraphraser un article comme celui proposé par le Monde.
Pour ceux qui veulent avoir quelques infos supplémentaires, quelques commentaires pertinents peuvent être lus ici : http://it.slashdot.org/article.pl?sid=06/11/18/2030247
[ Répondre ]
Re: Pas si révoluionnaire
D'autant plus que il me semble que l'article n'aborde pas le probleme d'execution concurente
En effet, c'est l'un des deux points qui me sont flous. Dans la section 2.3 ils disent qu'ils ne pousseront pas l'analyse trop loin et simplifient le problème. Ceci dit, ils font référence à d'autres articles qui pourraient éventuellement répondre à ces questions. J'ai jeté un coup d'oeil rapide à l'un d'entre eux ( [OST06] dans les références de l'article), mais il me semble que ce ne soit pas le bon, puis franchement, j'avais pas le temps :).
Donc oui ce n'est pas dans une semaine qu'on va apprendre qu'amazon doit changer de certificat parce que quelqu'un a la clé privée, mais ceci dit j'ai tendance à croire que les barrières sont beaucoup plus faibles à présent. Si un système cryptographique ne tient sa force qu'au fait qu'on ne peut pas savoir quand est-ce que le processus de (dé)chiffrement tourne, c'est à priori loin d'être rassurant.
Quoi qu'il en soit, l'article du Monde est tout à fait déplacé. Ce serait vraiment bien que les gens cessent d'y faire référence et d'extrapoler leurs critiques sur l'article scientifique même.
[ Répondre ]
Re: Pas si révoluionnaire
Non, parce que le reste peut être trouvé par recherche exhaustive. Donc au final, on a la clé entière...
[ Répondre ]
Re: Pas si révoluionnaire
Si je ne me trompe pas, ils ont effectués des tests, donc à priori c'est faisable. Et il est à priori impossible qu'ils aient fait le tout dans un scénario du type "un seul processus tourne sur le processeur" non ?
Par contre je ne vois pas comment, puisqu'en effet, comme ils le disent d'ailleurs eux-même, le temps d'exécution est partagé entre tous les processus.
[ Répondre ]
Re: Pas si révoluionnaire
Le Monde n'est pas une référence en ce qui concerne des articles scientifiques. Si tu veux te faire un avis sur la méthode, lis plutôt l'article même. De là être outré de l'exagération qui est faites, je suis d'accord, même si je trouve que cette attaque, si elle fait vraiment ce qu'elle dit, est de loin beaucoup plus dangereuse que les sus-citées.
La plupart des canaux cachés auxquels tu fais référence ne sont plus valables aujourd'hui. Le temps d'exécution était certes une faille dans OpenSSL, mais ça a été corrigé puis longtemps. Pour ce qui est du bruit et la consommation électrique, le problème est au final le même, la solution aussi (on équilibre la longueur des branches en rajoutant du bruit). Enfin, micro sur clavier, ondes électromagnétiques, tout ceci nécessite une présence physique proche de la victime (au moins le micro par exemple).
Ce n'est pas le cas de cette attaque là. Ici, tout ce dont nous avons besoin, c'est de pouvoir exécuter un processus. Certes pas n'importe lequel, donc on doit avoir alors au moins accès à un compilateur, et pouvoir l'exécuter.
L'utilisateur "de base" (en gros, monsieur X qui est tranquillement devant son pc, dans son salon) n'a à priori rien à craindre, sauf si quelqu'un réussit à accéder à son pc. Or, ce monsieur X a 70% (et encore, je suis optimiste) de chances d'utiliser windows. Ce système étant particulièrement connu pour être la cible de multitudes de vers/chevaux de troie, il n'est pas impossible (loin de là même) d'exécuter un processus espion sur sa machine (par processus espion, j'entends le sens qui est donné dans l'article).
Nombreux sont ceux qui oublient que les serveurs aussi sont ciblés. Prenez l'exemple d'une entreprise/université qui possèdent un certain nombre de serveurs proposant des services aux employés/étudiants, qui peuvent profiter de ces derniers en se connectant à l'aide d'un terminal. N'importe qui peut alors lancé un processus espion.
Certes, ce n'est pas si facile que ça, mais la difficulté est considérablement réduite et la compléxité également (grande partie de la clé est trouvée en un seul passage, le reste peut être alors retrouvé par attaque exhaustive). Donc en quelque sorte c'est alarmant. Ce n'est pas la fin de SSL, il ne faut pas renoncer à SSH, mais disons qu'il va falloir suivre de près cette affaire.
[ Répondre ]
Re: Pas si révoluionnaire
Voilà ce que je me disais aussi, jusqu'à ce que je vois que l'article est en fait disponible (j'avais cru comprendre que rien n'avait été publié encore).
En fait, tout ce dont nous avons besoin c'est de pouvoir exécuter un processus sur le même processeur qui est utilisé par l'algorithme de chiffrement. C'est tout. Pas besoin d'accès privilégiés quelconques, donc au final c'est beaucoup plus dangereux (car beaucoup plus facile à déployer) qu'un intercepteur de touches par exemple. Enfin non, disons que si le système que nous avons en face n'est pas très sécurisé, c'est plus simple d'essayer directement de lire ce que la victime tappe sur le clavier, mais dans le cas d'une machine protégée, là les attaques possibles sont limitées.
Je ne pourrai pas résumer l'article ici, je n'en ai pas les moyens. Ceci dit, les 9 premières pages sont à priori abordables, puisque tout y est expliqué, de manière très claire. Seul flou (pour moi du moins), c'est le fonctionnement exact du processus espion. Je vois l'astuce, mais l'histoire de "mapper" les branches d'exécution de ce dernier sur celles du processus de chiffrement, là je vois plus trop.
Lecture donc fortement recommandée à toute personne intéressée.
[ Répondre ]
Re: MS pour le libre ?
Bien que je sois aussi pour le 100% libre, ça me semble un peu naïf de résumer ainsi la contribution de Shuttleworth au libre.
Ubuntu, même si elle contient certains paquets non-libres permet la démocratisation de Linux. Les paquets non-libres sont là tout simplement parce qu'actuellement il n'y a pas d'alternative libre. Puis le public visé se soucie peu que ce soit libre ou pas. Par contre, avec le temps, je crois/espère/suis confiant qu'ils seront de plus en plus sensibles à la chose et là on dira que mine de rien, Shuttleworth était quelqu'un de bien.
Ubuntu à part (pour éviter tout commentaire inutile, je n'ai pas Ubuntu sur mes pc et je ne l'ai utilisée que 20 mn dans ma vie ; mais je connais beaucoup de personnes qui ne juraient que par windows, mais qui à présent tournent sous linux grâce à cette distrib), il a aussi donné beaucoup d'argent au libre, et que ça nous plaise ou pas, l'argent, même dans le libre, il y en a besoin. On peut faire sans, certes, mais une aide financière n'est jamais de refus.
Je suis tout de même rassuré de voir que contrairement à toi, certains font preuve d'ouverture d'esprit, le libre en a bien besoin.
[ Répondre ]
Re: Portefeuille de Brevets ?
En fait, on est tout à fait d'accord :). Enfin, je suis un peu moins pessimiste que toi, mais je ne garde de cet accord que l'inquiétude de me voir dire dans 5 ans (ou du moins un futur proche) : "Voilà, on vous le disait, cet accord était plus néfaste qu'autre chose pour le libre".
J'espère être mis à tord, vraiment...
[ Répondre ]
Re: Quelques passages de la conférence de presse
J'ai une question, parce que je me sens un peu perdu là. Pourquoi parle-t-on de copyright pour des projets libres ?
Si un projet est libre/open-source, il est accessible à tous sans restrictions particulières (mis à part quelques petites exceptions, et les restrictions qui pourraient être là pour garantir la liberté), non ?
Quelqu'un pourrait m'expliquer ?
[ Répondre ]
Re: Quelques passages de la conférence de presse
Faudra te démerder contre d'éventuelles attaques extérieures de la même manière.
On ne parle pas d'attaques extérieures imminentes envers Trolltech depuis longtemps non ? Je n'ai pas fait de recherche approfondie, mais à ce que je sache, il n'y a pas d'ennui. D'où le sans souci. Au contraire, des problèmes on sait (avec certitude à présent) qu'il y en a. On sait également que M$ poursuivra en justice (du moins elle peut s'amuser à faire du chantage) ceux qui ne sont pas couverts par l'accord avec Novell, soit une majorité du LL.
GCJ à mon goût n'est pas encore ancré dans le LL. Il n'introduit pas une nouvelle technologie dont la disparition pourrait laisser en suspens plusieurs projets libres (le fait de pouvoir compiler en exécutable une application java est certes intéressant, mais au pire on se contente d'une JVM puis voilà).
Si Linux était attaqué, la défense serait tellement importante que l'offensive serait très très vite arrêtée. Et puis comme j'ai dis précédemment, si Linux ne respecte pas certains brevets, les personnes/boîtes les détenants ne se sont pas particulièrement manifestées, ce qui n'est clairement pas le cas de M$ avec .net.
Python pour ma part je n'ai pas connaissance de problèmes de brevets qui font parler d'eux. J'ai cherché sur le net, j'ai rien trouvé. Je ne dis pas "Donc il n'y en a pas", je serai là bien naïf. Cependant, ce que je dis c'est qu'on cours moins de risques, voir quasiment pas.
Moi je regarde les intentions : MS a tout fait pour que naisse d'autres implémentation de .NET
Je ne dis pas que je suis ne suis pas d'accord, ceci je te serais reconnaissant si t'argumentais ton point de vue. Pour ma part, je pense plutôt que M$ voit le potentiel qu'il y a dans .net, sait que sa part de marché en ce qui concerne les OS serveur n'est pas foudroyante. Elle a donc intérêt à garder .net le moins accessible possible pour essayer de faire migrer petit à petit les gens vers des OS, des environnements de développement et des services payants qu'elle seule du coup pourrait proposer.
[ Répondre ]
Re: Quelques passages de la conférence de presse
A la seule différence que si Trolltech change sa licence, on peut forker sans soucis. Là les brevets sont le centre du problème même. On ne sera pas couverts par la protection qu'on les clients/utilisateurs de Novell une fois qu'on aura forké.
Ne met les doigts dans aucun logiciel, ils ont potentiellement tous le même problème.
Il y a moins d'enjeux pour une grande partie d'entre eux (voir ce que j'ai dis plus haut, différence entre un logiciel très simple qui peut disparaître pour cause de non respect d'un brevet, puis les conséquences dévastatrices que pourrait avoir une attaque de M$ envers Mono, et donc à fortiori les logiciels basés sur ce dernier, dans 5 ans!). De plus, si des brevets peuvent être utilisés contre des projets libres/open-source, le fait même qu'on n'en parle pas beaucoup est signe que soit ça ne mènera à rien en justice, soit les entités qui détiennent ces brevets ne sont pas intéressées par une attaque.
Au contraire, on sait pertinemment que M$ serait prête à tout pour blesser le libre, donc il faut faire particulièrement attention quand on traite avec des technologies qui proviennent de ses labos...
[ Répondre ]
Re: Quelques passages de la conférence de presse
A priori, les deux autres produits sont moins touchés par la crainte des brevets... Enfin du moins OOo. C'est même plutôt le contraire là, c'est Novell qui a la main sur M$.
Ce qui fait que Mono est la cible de toutes les critiques à mon avis est qu'il est pour la plus grande partie fondé sur des technologies introduites par M$ et que celle-ci y tient beaucoup. Le .net c'est tout de même le produit phare de M$ depuis quelques années.
Pis que tout, un problème avec mono est alarmant non seulement pour le produit Mono même, mais pour toutes les applications qui ont été développées avec ! C'est bien là (du moins en ce qui me concerne) le point critique. Si jamais M$, dans un futur plus ou moins proche, devait se retourner et attaquer Mono, elle s'attaquerait d'un coup à plusieurs projets (prenons l'exemple de Gnome et son intégration toujours plus importante de Mono, ou Beagle, Tomboy, etc.).
[ Répondre ]
Re: Sur le laboratoire OpenSource de microsoft
Justement, la standardisation oblige à ne pas abuser des brevets, et surtout à ne pas faire de discrimination dans l'attribution de ceux ci
Extraits de la conférence de presse d'avant-hier :
Ballmer (41:46): if you want to use Linux, let's make sure that you get a version of Linux that respects our intellectual property
Avocat de M$ (51.15): The cover net, that will run for example from Microsoft to customers, applies to the code and the patent issues on Linux as it exists today. It will (chuchottements, et l'avocat se rattrape) In Suse Linux as it exists today...
Ballmer (52:00): Novell is acting as a proxy for its customers, and it's only for its customers. So this does not apply to any forms of Linux other than Novell's Suse Linux. And if people want to have patent peace, and interoperability they'll look at Novell Suse Linux. If they make other choices they have all of the compliance of intellectual property issues that are associated with that.
C'est de la discrimination là non ?
[ Répondre ]
Re: Portefeuille de Brevets ?
MS s'est engagé à ne pas utiliser ses brevets contre les projets open-sources développés dans un cadre non commercial. C'est pas tip-top, mais c'est toujours ca. Bref, des projets comme Debian rentrent plus ou moins dans ce cadre.
C'est ce que je pensais au début également. C'est pour ça que je disais que DotGNU était du coup protégé. Seulement, voilà, on m'a filé un lien vers la page de M$ qui a le mérite d'être bien plus explicite que ce que j'ai peu entendre à la conférence de presse donnée avant-hier :
Microsoft hereby covenants not to assert Microsoft Patents against each Non-Compensated Individual Hobbyist Developer (also referred to as “You”) for Your personal creation of an originally authored work (“Original Work”) and personal use of Your Original Work. This pledge is personal to You and does not apply to the use of Your Original Work by others or to the distribution of Your Original Work by You or others.
Donc le seul protégé est l'auteur, et seulement pour la partie du code qu'il a écrite. Autant dire que ça n'apporte rien du tout aux projets libres (en tèrme de protection je veux dire).
Je suis plutôt pessimiste et connaissant les démarches agressives de M$ pour éliminer toute concurrence, je préfère ne pas prendre de "risques" jusqu'à ce qu'on m'assure que les garanties qu'ils mettent en avant seront valables non pas pour les 5 ans à suivre, mais à vie...
Donc j'espère que les projets que tu cites se verront améliorés, je le leur souhaite de tout coeur. Par contre, j'espère vraiment que les modifications qui seront apportés ne seront pas, à tèrme de l'accord (qui peut très bien ne pas être renouvelé), utilisées par M$ contre Novell et la communauté du libre. En effet, on parle ici de produits qui sont proches où s'adressent pas mal à une interopérabilité avec des machines Windows. Que se passe-t-il où, par excès de confiance et sous l'assurance de cet accord, les ingénieurs de Novell introduisent un code qui irait à l'encontre d'un brevet de M$. Là ils sont tranquilles, mais dans 5 ans ?
[ Répondre ]
Re: Quelques passages de la conférence de presse
En effet, c'est assez déplorant...
Un article qui a une vision un brin plus positive, avec des arguments qui me semblent fondés sur quelque chose d'assez concret : http://asay.blogspot.com/2006/11/microsoft-and-novell-much-a(...)
[ Répondre ]
Re: Portefeuille de Brevets ?
Je pense que la question initialie n'a pas eu droit à sa réponse. C'est très bien tout ça pour Novell, certes, on est d'accord ils s'assurent une base de clients bien plus importante... Comme tu l'as dit, leurs clients sont contents.
Mais le libre dans tout ça ? La question est plutôt là ! Que les clients de Novell soient heureux, moi je dis heureusement, parce que sinon avec leur accord avec M$, ils se seraient bien fait entuber ! Mais le libre est-il vraiment gagnant ?
Tu disais tout à l'heure que Mono est un produit Novell donc tout le monde est assuré par cet accord et que toute contribution nécessite plus ou moins un préaccord de Novell...
Si j'ai bien compris et que tes propos se résument à ça, je dois avouer que j'ai de sérieux doutes. Mono est distribué dans Debian. Si toute contribution au code (quelle qu'elle soit) nécessite un accord de Novell, c'est contraire au Debian Free Software Guidelines (cf. http://www.debian.org/social_contract et cf. histoires récentes de firefox, thunderbird !). Donc déjà ceci me fait croire que soit j'ai pas compris (fort possible), soit t'as tord.
Comme l'a dit Ballmer à maintes reprises, Novell sert de proxy. En gros, ils s'assurent que Mono (même s'il n'a pas été cité, on y faisait très probablement référence à ce moment là) n'enfreint pas les brevets M$ hors ceux qui font partie de l'accord. Mais alors qu'est-ce qui empêche monsieur X, d'étendre Mono en rajoutant des capacités qui ne "plaisent" pas à M$ ?
[ Répondre ]
Re: Quelques passages de la conférence de presse
Merci, je n'aurai pas pu mieux m'exprimer que ça... Tout à fait d'accord, plus ça va plus je suis persuadé que cet accord est plus néfaste qu'autre chose.
Pour ceux qui ne seraient pas d'accord (c'est leur droit après tout), je dois quand même avouer que je trouve du plus grand des ridicules la conférence de presse qui a été donnée. Si pour leur part les gens de M$ étaient assez clairs (on voyait bien que leurs propos étaient très mesurés et on décernait par moments des remarques plutôt gênantes, voir relevé que j'ai fait), les représentants de Novell semblaient tout extasiés et reprenaient quasiment tout le temps le terme de "communauté".
Je suis désolé, mais la communauté à mon avis n'a rien gagné (je garde tout de même une petite réserve jusqu'à publication de l'accord exact; quoi qu'il en soit, si quelque chose de positif ressort finalement de tout ça, faces à tous les reproches qu'on a à faire, ça passera inaperçu, et ce à juste titre). Je trouve donc honteux de la part des représentants de Novell de faire usage de la communauté pour placer leur produit et gagner leur part de marché, qui visiblement leur est si chère...
Regardez plutôt les titres des articles publiés par les médias et vous verrez à quel point l'information est biaisée...
[ Répondre ]
Cette page a été générée par Templeet en 0.1104s (dont 0.0115 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.
Faire un don !
Re: Linux exploite la propriété de Microsoft
L'article en question ne fait pas référence à la réponse de Redhat à l'invitation de M$ (visiblement cette dernière l'a contactée). Je n'ai plus l'article sous la main, mais ceci devrait faire l'affaire : http://www.redhat.com/promo/believe/
[ Répondre ]