Journal
Ce journal contient 2 entrées.
RSS Feed
Tag cloud
xkcd: Heartbleed Explanation
Une excellente explication du bug HeartBleed, une faille dans OpenSSL qui permet à un attaquant de récupérer des portions arbitraires de la mémoire et donc d'y trouver des informations telles que des clés, des mots de passes, etc.
C'est une excellente occasion pour revenir sur un paralogisme très répandu consistant à affirmer qu'un code Open Source est plus sûr car vérifié par de nombreuses personnes. Il s'agit d'une extension de la loi de Linus : "given enough eyeballs, all bugs are shallow" (trad. "avec suffisamment d'yeux, les bugs sont minimisés").
Ce raisonnement a été vivement critiqué (voir la Fallacy #8 du livre "Facts and Fallacies of Software Engineering", page 74 http://books.google.fr/books?id=3Ntz-UJzZN0C), avec notamment plusieurs études semblant montrer que la découverte de bug n'est pas proportionnelle au nombre d'observateurs.
Et aujourd'hui ce bug HeartBleed illustre parfaitement cela. OpenSSL est utilisé par des millions d'entreprises (dont Google, Apple, etc.), et ce bug critique n'a été découvert que deux ans après avoir été introduit. Sauf par la NSA, qui avoue l'avoir exploité (même si nous ne saurons jamais s'il s'agit d'un simple bluff).
En vérité, un code ouvert n'implique pas que celui-ci va être lu, surtout si tout le monde se dit "c'est Open Source, donc c'est sécurisé car d'autres regardent pour moi". De plus, les composants logiciels critiques comme OpenSSL requièrent une expérience considérable : peu de gens peuvent se vanter de maîtriser la cryptographie à haut niveau, aussi bien dans ses aspects mathématiques que dans ses aspects techniques.
Ce que nous devons retenir, c'est que l'ouverture du code ne garantit pas de facto la sécurité. Les entreprises qui utilisent des projets Open Source doivent prendre conscience de cela, et investir une partie de leurs ressources dans ces projets. OpenSSL reçoit 2000$ de dons par an, et c'est un pur miracle (sans doute couplé avec une équipe de personnes vraiment très compétentes) que si peu de failles aient émergé.
mar. 15 avril 2014 12:03:58 CEST -
-
link
- http://xkcd.com/1354/
sécurité open-source
C'est une excellente occasion pour revenir sur un paralogisme très répandu consistant à affirmer qu'un code Open Source est plus sûr car vérifié par de nombreuses personnes. Il s'agit d'une extension de la loi de Linus : "given enough eyeballs, all bugs are shallow" (trad. "avec suffisamment d'yeux, les bugs sont minimisés").
Ce raisonnement a été vivement critiqué (voir la Fallacy #8 du livre "Facts and Fallacies of Software Engineering", page 74 http://books.google.fr/books?id=3Ntz-UJzZN0C), avec notamment plusieurs études semblant montrer que la découverte de bug n'est pas proportionnelle au nombre d'observateurs.
Et aujourd'hui ce bug HeartBleed illustre parfaitement cela. OpenSSL est utilisé par des millions d'entreprises (dont Google, Apple, etc.), et ce bug critique n'a été découvert que deux ans après avoir été introduit. Sauf par la NSA, qui avoue l'avoir exploité (même si nous ne saurons jamais s'il s'agit d'un simple bluff).
En vérité, un code ouvert n'implique pas que celui-ci va être lu, surtout si tout le monde se dit "c'est Open Source, donc c'est sécurisé car d'autres regardent pour moi". De plus, les composants logiciels critiques comme OpenSSL requièrent une expérience considérable : peu de gens peuvent se vanter de maîtriser la cryptographie à haut niveau, aussi bien dans ses aspects mathématiques que dans ses aspects techniques.
Ce que nous devons retenir, c'est que l'ouverture du code ne garantit pas de facto la sécurité. Les entreprises qui utilisent des projets Open Source doivent prendre conscience de cela, et investir une partie de leurs ressources dans ces projets. OpenSSL reçoit 2000$ de dons par an, et c'est un pur miracle (sans doute couplé avec une équipe de personnes vraiment très compétentes) que si peu de failles aient émergé.
mar. 15 avril 2014 12:03:58 CEST -
-
link
- http://xkcd.com/1354/
sécurité open-source
H-Node
Le but du projet h-node est de créer une base de données de matériel afin d'identifier les dispositifs qui fonctionnent avec un système d’exploitation entièrement libre.
mer. 04 déc. 2013 21:35:54 CET -
-
link
- http://h-node.org/home/index/fr
linux libre open-source
mer. 04 déc. 2013 21:35:54 CET -
-
link
- http://h-node.org/home/index/fr
linux libre open-source
Ce journal est basé sur Ginger, un gestionnaire de lien minimaliste développé dans le cadre d'un stage de perfectionnement. Pour plus d'informations, consulter le wiki consacré à mes projets personnels.