Alors pourquoi est-ce que tant de personnes ont confiance en des logiciels libres comme Apache ou Linux s'il suffisait de lire le code source pour y trouver des failles de sécurité ?
Je ne dis pas que ça suffit mais que cela facilite grandement la découverte de failles. Un exemple: un strcpy(), potentiellement capable de causer un dépassement de tampon, se trouve immédiatement dans un code source en C, par contre dans un code binaire c'est une autre histoire...
Maintenant, comme tu le dis c'est une histoire de "confiance", et cela n'est pas forcément en corrélation avec la sécurité. Si on prend linux (le noyau) peut-on le juger sûr alors qu'il est en perpétuel évolution: à chaque nouvelle version on corrige des trous de sécurité tout en rajoutant de nouvelles fonctionnalités susceptibles de contenir elles mêmes d'autre trous, que deviennent alors les anciennes versions ?
Il existe bien certains mainteneurs pour la branche 2.6.16.x mais quid de la 2.6.17 ? Peut-on dire que cette dernière version est sûre (si les trous de sécu n'ont été corrigés que dans la 2.6.18 et les suivantes) ? Donc même si linux n'est pas sûr aux yeux de certains cela n'empêche pas d'avoir confiance :-)
Tu noteras qu'on en trouve tous les jours d'ailleurs mais au moins, nous ne sommes pas dépendant d'une entité commerciale pour avoir des correctifs par rapport à ces failles.
Non mais nous sommes dépendant des programmeurs de ces logiciels libres, et de leur mainteneur, car tout le monde ne sait pas programmer...
Un des gros problème que rencontre le logiciel libre c'est la durée de vie des projets. Hormis un certains nombres de logiciels bien établis, beaucoup de logiciels ne sont pas maintenus, et certaines failles ne sont jamais comblées. Et quand bien même certaines le seraient, ce sont parfois les "packagers" qui ne répercutent pas les patchs de sécurité.
Pour autant, le décodeur n'est pas en mesure de compromettre ni le matériel, ni les logiciels et encore moins les données du client.
Comme tu le dis on n'en sait rien.
Peut-on en dire autant d'une freebox dont une faille de sécurité pourrait être utilisée à des fins malveillantes et ne serait pas révélée au grand public parce que la direction de Free la censure ?
On ne le saura pas davantage pour une box: la présence d'un logiciel correct n'assure en rien que le matériel ne causera pas de soucis.
Au sujet des failles, il faut voir à quel niveau elles peuvent se situer, mais quoi qu'il en soit la direction de Free a toute latitude pour aborder ou non ces sujets là, il n'y a qu'à se souvenir de ce que certains de ses clients ont subi avec le P2P il y a quelques temps sachant que Free n'a jamais reconnu avoir mis en place un quelconque bridage...
Investissement qui aurait été bien plus lourd si Free n'avait pas tiré partie de logiciels libres comme Busybox ou iptables pour ne citer que ceux dont les auteurs réclament les (quasiment peu de) modifications apportées.
Investissement qui aurait été bien moindre si Free avait pu copier directement le travail d'adaptation d'un autre FAI...
Si la sécurité de Free se trouve fragilisée par si peu de code, c'est qu'ils ont un gros problème d'architecture.
Quelle société prendrait le risque de divulguer à la concurrence ou aux pirates le coeur de son métier ? Si elle n'a pas à la faire (ce que dira un juge) rien ne l'y oblige, et elle aurait tort de s'en priver, vu les risques potentiels accrus. Quoi qu'on en dise le secret est une protection.
[^] # Re: J'ai donné.
Posté par croux . En réponse à la dépêche Les auteurs d'iptable et de Busybox appellent Iliad/Free à respecter la GPL. Évalué à 1.
Je ne dis pas que ça suffit mais que cela facilite grandement la découverte de failles. Un exemple: un strcpy(), potentiellement capable de causer un dépassement de tampon, se trouve immédiatement dans un code source en C, par contre dans un code binaire c'est une autre histoire...
Maintenant, comme tu le dis c'est une histoire de "confiance", et cela n'est pas forcément en corrélation avec la sécurité. Si on prend linux (le noyau) peut-on le juger sûr alors qu'il est en perpétuel évolution: à chaque nouvelle version on corrige des trous de sécurité tout en rajoutant de nouvelles fonctionnalités susceptibles de contenir elles mêmes d'autre trous, que deviennent alors les anciennes versions ?
Il existe bien certains mainteneurs pour la branche 2.6.16.x mais quid de la 2.6.17 ? Peut-on dire que cette dernière version est sûre (si les trous de sécu n'ont été corrigés que dans la 2.6.18 et les suivantes) ? Donc même si linux n'est pas sûr aux yeux de certains cela n'empêche pas d'avoir confiance :-)
Tu noteras qu'on en trouve tous les jours d'ailleurs mais au moins, nous ne sommes pas dépendant d'une entité commerciale pour avoir des correctifs par rapport à ces failles.
Non mais nous sommes dépendant des programmeurs de ces logiciels libres, et de leur mainteneur, car tout le monde ne sait pas programmer...
Un des gros problème que rencontre le logiciel libre c'est la durée de vie des projets. Hormis un certains nombres de logiciels bien établis, beaucoup de logiciels ne sont pas maintenus, et certaines failles ne sont jamais comblées. Et quand bien même certaines le seraient, ce sont parfois les "packagers" qui ne répercutent pas les patchs de sécurité.
Pour autant, le décodeur n'est pas en mesure de compromettre ni le matériel, ni les logiciels et encore moins les données du client.
Comme tu le dis on n'en sait rien.
Peut-on en dire autant d'une freebox dont une faille de sécurité pourrait être utilisée à des fins malveillantes et ne serait pas révélée au grand public parce que la direction de Free la censure ?
On ne le saura pas davantage pour une box: la présence d'un logiciel correct n'assure en rien que le matériel ne causera pas de soucis.
Au sujet des failles, il faut voir à quel niveau elles peuvent se situer, mais quoi qu'il en soit la direction de Free a toute latitude pour aborder ou non ces sujets là, il n'y a qu'à se souvenir de ce que certains de ses clients ont subi avec le P2P il y a quelques temps sachant que Free n'a jamais reconnu avoir mis en place un quelconque bridage...
Investissement qui aurait été bien plus lourd si Free n'avait pas tiré partie de logiciels libres comme Busybox ou iptables pour ne citer que ceux dont les auteurs réclament les (quasiment peu de) modifications apportées.
Investissement qui aurait été bien moindre si Free avait pu copier directement le travail d'adaptation d'un autre FAI...
Si la sécurité de Free se trouve fragilisée par si peu de code, c'est qu'ils ont un gros problème d'architecture.
Quelle société prendrait le risque de divulguer à la concurrence ou aux pirates le coeur de son métier ? Si elle n'a pas à la faire (ce que dira un juge) rien ne l'y oblige, et elle aurait tort de s'en priver, vu les risques potentiels accrus. Quoi qu'on en dise le secret est une protection.