• [^] # Re: Compléments

    Posté par (site web personnel) . En réponse au journal tor et la nsa. Évalué à -2.

    Il est completement trivial d'ajouter une backdoor dans un programme proprietaire qui ne sera jamais trouvée par du fuzzing. Dans un programme open source, il faut faire un patch qui ajoute un bug subtile, en ésperant qu'il ne soit pas remarqué, ni corrigé lorsque le code change. C'est beaucoup moins trivial.

    Je parlais de bug, pas de backdoor volontaire. Heartbleed et Shellshock sont des bugs, et ce ne sont que 2 exemples qui ont fait parler d'eux par leur criticité et la popularité des softs associés, à mon avis ils sont loin d'être rares.

    Dans un programme open source, il faut faire un patch qui ajoute un bug subtile, en ésperant qu'il ne soit pas remarqué, ni corrigé lorsque le code change. C'est beaucoup moins trivial.

    C'est pas trivial mais c'est sans doute pas plus dur que de chercher à corrompre une boîte de dev propriétaire pour qu'il intègre un backdoor (ils acceptent rarement les pull request :-)). Parcqu'un éditeur qui propose une brique aussi populaire que OpenSSH il a une image de marque à défendre, alors prendre le risque de s'aliener tous ses clients en cas de découverte, faut que le risque en vaille sacrément la chandelle. C'est possible que ca arrive mais c'est du même niveau de probabilité que de trouver un heartbleed ou un shellshock, qu'il soit volontaire ou non. Et qui dit bug critique, dit installation potentielle d'un backdoor par derrière, tout aussi invisible que dans ton logiciel proprio.

    Bref, pour moi il n'y a pas de meilleur ou pire en matière de sécurité, aucune des 2 approches (libre/proprio) n'apporte de garantie à l'utilisateur.