logo Debian Debian Debian-France Debian-Facile Debian-fr.org Forum-Debian.fr Debian ? Communautés logo inclusivité

Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 02-10-2014 10:26:18

louispolaire
Membre
Distrib. : Siduction
Noyau : Linux 4.1.1-towo.1-siduction-amd64
(G)UI : xfce 4.12
Inscription : 22-08-2013

la confiance et les logiciels

Je voulais partager avec vous une pensée que j'ai eu concernant la sécurité des données et l’absence de malware (au sens de RMS) dans les logiciels.

"Un logiciel vraiment sécurisé serait un logiciel qui fonctionnerais sans avoir besoin de reposer à aucun moment sur la confiance de l'utilisateur vers le vendeur/developpeur."

je reformule du point de vue du développeur "mon logiciel est sécurisé car à aucun moment l'utilisateur de doit me faire confiance pourtant le logiciel effectue les taches demandée et protège l'utilisateur"

Alors évidement une illustration est celle des logiciels privateurs qui font signer des "chartes de confiance" à leurs utilisateurs mais ne sont donc pas sécurisés.

Évidement les logiciels libre vont dans le bon sens puisque la publication du code permet à toute personne "lettrée" (au sens de langage informatique) de vérifier les lignes de code. Mais encore une fois reste la question des personnes "non lettrées" comme moi qui doivent à un moment faire confiance à la communauté.

Sans vouloir troller (c'est le premier exemple qui me vient en tête) est on vraiment sur qu'il n'y a pas quelque part dans linux un bout de code qui aurait été placé là pour faire autre chose que ce qui lui est demandé (cf la "non-déclaration" de Linus Torvald il y a qques mois). un bout de code qui aurait été placé là et que personne n'aurait vu?

Un autre aspect est la conception même de l'architecture des logiciels (là je parle en néophyte) y a t-il moyen de produire des logiciels avec la philosophie que l'utilisateur ne doit pas faire confiance au développeur mais pourtant peut utiliser le logiciel en sécurité même si il est néophyte et "illettré"?

C'est une discussion philosophique puisque à mon gout ça pourrait s'applique à d'autres domaines de la vie publique, j’espère que certains d'entre vous auront des idées intéressantes smile

Taisez-vous ! On vous écoute... - Exprimez-vous ! Personne n'entend...

Hors ligne

#2 02-10-2014 13:53:32

Anonyme-8
Invité

Re : la confiance et les logiciels

tu peux aussi te poser la question sur ton matériel et des drivers associés.
le projet replicant a montré qu'on retrouve des choses indésirables dans certains  smartphone samsung.

Il y a des choses que l'on suppose plus fiables que d'autres, comme TAILS et des choses qui le sont moins comme Skype. Après, je suis comme toi, je n'ai ni les compétences ni l'envie de revoir l'intégralité du code exécuté sur ma machine. Je pense qu'il me faudrait plusieurs vie pour ça.

le code peut être altéré, le code présente des failles et qu'il est exécuté sur du matériel dont on ne connaît pas (ou très rarement) le fonctionnement, donc je ne fais pas confiance.
Le fait d'intégrer du code indésirable dans une distribution est réelle mais je pense que c'est compliqué. Je ne connais pas assez mais tôt ou tard ça doit se voir et il faudrait réitéré sur les versions suivantes.

#3 02-10-2014 15:21:05

Lunatic
Membre
Lieu : Lyon
Distrib. : Fedora 24
Noyau : Linux 4.6.5-300.fc24.x86_64
(G)UI : Gnome
Inscription : 03-08-2013
Site Web

Re : la confiance et les logiciels

louispolaire a écrit :

Je voulais partager avec vous une pensée que j'ai eu concernant la sécurité des données et l’absence de malware (au sens de RMS) dans les logiciels.

"Un logiciel vraiment sécurisé serait un logiciel qui fonctionnerais sans avoir besoin de reposer à aucun moment sur la confiance de l'utilisateur vers le vendeur/developpeur."

je reformule du point de vue du développeur "mon logiciel est sécurisé car à aucun moment l'utilisateur de doit me faire confiance pourtant le logiciel effectue les taches demandée et protège l'utilisateur"



Sujet intéressant smile je tente une réponse d'un point de vue sociologique/philosophique, pas d'un point de vue technique.

Un des premiers auteurs à avoir bossé sur la notion se nomme Simmel, et il a bien montré que la confiance est liée au savoir, mais un savoir qui comporte toujours une dose d'ignorance. Elle est en fait un état intermédiaire entre « tout savoir » et « ne rien savoir » : «  Celui qui sait tout n’a pas besoin de faire confiance, celui qui ne sait rien ne peut raisonnablement même pas faire confiance ». Comme on est dans cet état intermédiaire, la confiance nécessite une certaine « foi » en celui vers lequel elle est portée.

C'est sans doute ce que veut dire le vendeur/développeur en question : dans une situation « idéale » (et « idéelle » par la même occasion), l'acheteur/utilisateur a pleine connaissance du produit qu'il a entre les mains, il sait ce que ce produit fait/comment ce produit fonctionne, et dans ce cas la confiance est inutile, le savoir étant entier.

Dans une situation parfaitement inverse ? une situation de non savoir total ? la confiance est exclue : si l'on me propose d'installer un logiciel sans me dire ce qu'il fait, ni comment il le fait, il m'est difficile d'avoir confiance (bon, en fait, ça dépendrait de la personne qui me demande d'installer ce logiciel. Mon impression ne sera pas la même si c'est un inconnu dans la rue, ou mon amie, même si les deux me répondent « tu verras bien » à la question « qu'est-ce qu'il fait, ce logiciel ? » La confiance, c'est avant tout une modalité des interactions humaines… je ne sais pas si on peut parler de « confiance » dans les interactions homme/objet… faudrait creuser !)

Ce qui est intéressant c'est qu'on peut facilement être dans une situation de non confiance dont on ne cherche pourtant pas à se défaire. L'informatique (au sens très large) en est un bel exemple justement : je suis certain qu'on peut trouver plein d'utilisateurs de Skype ne déclarant pas qu'ils font « confiance » au logiciel (ou à Microsoft, et donc aux gens qui y bossent), non pas parce qu'ils savent « tout » de Skype, mais au contraire parce qu'ils ne savent « rien » (ou pas grand chose en tout cas). Ça illustre bien que « avoir confiance » et « pouvoir compter sur » sont deux choses différentes : si j'estime ne même pas pouvoir compter sur Skype, je n'utilise pas Skype.

Pour en revenir à la position de ton vendeur/développeur, si elle est cohérente dans l'absolu, elle est irréalisable dans les faits : savoir tout d'un logiciel nécessite des compétences que tout le monde n'a pas, que tout le monde ne peut pas avoir, et est extrêmement chronophage et énergivore. Et même en admettant que je sache « tout » d'un logiciel, je ne peux pas étendre mes connaissances à l'ensemble des logiciels que j'utilise.


est on vraiment sur qu'il n'y a pas quelque part dans linux un bout de code qui aurait été placé là pour faire autre chose que ce qui lui est demandé (cf la "non-déclaration" de Linus Torvald il y a qques mois). un bout de code qui aurait été placé là et que personne n'aurait vu?



Je répondrais donc « non », tu ne peux pas être « vraiment sûr ». Les réponses techniques du type « le développement du noyau s'appuie sur des logiciels comme git qui rendent visible toute modification » supposent qu'on fasse confiance à git…

Mais je vois quand même une différence avec les logiciels privateurs. L'absence de confiance pour de « bonnes raisons », c'est-à-dire l'absence de confiance due au fait que « je sais tout », est un horizon inatteignable. Mais dans un cas, celui du logiciel libre, il me semble que ce chemin est parcourable. Jamais fini, mais parcourable. Dans l'autre cas, celui du logiciel « privateur », il me semble (en néophyte du point du vue technique), qu'arrive un moment où ce chemin n'est même plus parcourable, on a un mur devant soi.

My 2 cents tongue


Je suis aussi sur Twitter et nouvellement sur Diaspora*
Mon blog de geekeries : HAL-9000

(J'applique la règle de proximité)

Hors ligne

#4 02-10-2014 15:58:00

smolski
quasi...modo
Lieu : AIN
Distrib. : backports (buster) 10
Noyau : Linux 4.19.0-8-amd64
(G)UI : gnome
Inscription : 21-10-2008

Re : la confiance et les logiciels

Fichtre !
+1 avec Lunatic. Merci smile

saque eud dun (patois chtimi : fonce dedans)

Hors ligne

#5 02-10-2014 16:53:59

Anonyme-8
Invité

Re : la confiance et les logiciels

La confiance, c'est bien mais si dans mon cas, je cherche à chiffré mes données, j'utilise un logiciel pour chiffrer mais c'est un algorithme dont je ne suis pas certain de son efficacité.
Du coup, même si mon logiciel fait parfaitement ce qu'on lui demande, l'objectif n'est pas rempli.

Par contre, je ne pense pas qu'on puisse parler de confiance en parlant d'un objet ou d'un logiciel. La confiance s'établit aux niveaux des developpeur, éditeur ce qui est différent.

Un logiciel qui a environ 2 bugs dans 1000 lignes de code est considéré comme un bon logiciel


Selon Intel, chaque processeur Pentium a environ 80 à 90 bugs. Dans le cas d’un téléphone avec une moyenne de 200 000 lignes de code, on peut compter près de 600 erreurs. Un programme comme Windows XP a environ 40 Millions de lignes de code ce qui représente, imprimé, sur une page A4 une pile de 60 mètres de feuilles. Selon les statistiques environ 800 000 bugs se sont glissés dans ce logiciel.


Alors avec 419 Millions de lignes de code pour Debian 7

#6 20-11-2014 18:35:01

Herbert west
Membre
Distrib. : stable 64 mise a jour regulièrement
Noyau : mise a jour toutes les semaines :amd64
(G)UI : gnome 3
Inscription : 17-05-2012

Re : la confiance et les logiciels

est on vraiment sur qu'il n'y a pas quelque part dans linux un bout de code qui aurait été placé là pour faire autre chose que ce qui lui est demandé (cf la "non-déclaration" de Linus Torvald il y a qques mois). un bout de code qui aurait été placé là et que personne n'aurait vu?



du style un smolski qui aurait fait un script pour faire tomber les banques mondiales ???


[I72600k / radeonhd 6870 /asus p8p67 pro b3/syncmaster 3D Samsung 23p displayport ]
[ hp spectre x360 i5 ] / [ raspbery pi 1.2 ] / [ 2 fixes core 2duo de recup ]
" Y a t il un sous-sol dans votre appartement ? "

Hors ligne

#7 20-11-2014 18:45:02

bendia
Chadministrateur
Distrib. : openSUSE Tumbleweed, Buster
Noyau : Linux 5.9.1-2-default + Linux 4.19.0-12-amd64
(G)UI : Gnome + Console et un peu Fluxbox
Inscription : 20-03-2012
Site Web

Re : la confiance et les logiciels

Herbert west a écrit :

du style un smolski qui aurait fait un script pour faire tomber les banques mondiales ???

les banques mondiales ... de chocolat lol


Ben
___________________
La seule question bête, c'est celle qu'on ne pose pas.

Hors ligne

#8 20-11-2014 18:55:09

smolski
quasi...modo
Lieu : AIN
Distrib. : backports (buster) 10
Noyau : Linux 4.19.0-8-amd64
(G)UI : gnome
Inscription : 21-10-2008

Re : la confiance et les logiciels

noir le chocolat, sinon ça vaut pas ! tongue

saque eud dun (patois chtimi : fonce dedans)

Hors ligne

#9 20-11-2014 19:59:21

Herbert west
Membre
Distrib. : stable 64 mise a jour regulièrement
Noyau : mise a jour toutes les semaines :amd64
(G)UI : gnome 3
Inscription : 17-05-2012

Re : la confiance et les logiciels

On est en danger alors...

[I72600k / radeonhd 6870 /asus p8p67 pro b3/syncmaster 3D Samsung 23p displayport ]
[ hp spectre x360 i5 ] / [ raspbery pi 1.2 ] / [ 2 fixes core 2duo de recup ]
" Y a t il un sous-sol dans votre appartement ? "

Hors ligne

#10 20-11-2014 20:14:16

smolski
quasi...modo
Lieu : AIN
Distrib. : backports (buster) 10
Noyau : Linux 4.19.0-8-amd64
(G)UI : gnome
Inscription : 21-10-2008

Re : la confiance et les logiciels

blblblbl tongue

saque eud dun (patois chtimi : fonce dedans)

Hors ligne

#11 20-11-2014 20:39:04

captnfab
Admin-Girafe
Lieu : /dev/random
Distrib. : Debian
Noyau : Dur
(G)UI : gui gui, je zuis un doiseau
Inscription : 07-07-2008
Site Web

Re : la confiance et les logiciels

Ben non on n'est pas sûrs. En particulier dans le code des pilotes.
Le code du noyau « dur », lui a été tellement lu et relu, qu'il semble à peu près impossible qu'il y ait des cochonneries dedans (encore que, y'a bien des corrections de bugs…) Mais le code des modules de drivers de périphériques, la cause du plus grand nombre d'instabilités, là on n'est sûrs de rien. Et alors pour ce qui est des blobs propriétaires…

captnfab,
Association Debian-Facile, bépo.
TheDoctor: Your wish is my command… But be careful what you wish for.

Hors ligne

#12 20-11-2014 20:50:29

sogal
Black Metal Modo
Lieu : Nord Isère
Distrib. : openSUSE Leap 42.3
Noyau : Linux 4.4.76
(G)UI : GNOME
Inscription : 09-05-2013
Site Web

Re : la confiance et les logiciels

Y compris dans le cas de Debian GNU/Linux ? Auquel cas est-ce qu'une utilisation de Debian KFreeBSD pourrait améliorer la situation?
En ce qui concerne les blobs privateurs, certes on n'a pas accès à leur code, mais de part leur fonctionnement, leur accès au système, au réseau etc... il y a tout de même moyen d'avoir une idée de leur degré de nocivité, non?

1485418338.png Hello IT ! Have you tried turning it off and on again ?

Hors ligne

#13 20-11-2014 23:41:30

captnfab
Admin-Girafe
Lieu : /dev/random
Distrib. : Debian
Noyau : Dur
(G)UI : gui gui, je zuis un doiseau
Inscription : 07-07-2008
Site Web

Re : la confiance et les logiciels

sogalpunx a écrit :

Y compris dans le cas de Debian GNU/Linux ? Auquel cas est-ce qu'une utilisation de Debian KFreeBSD pourrait améliorer la situation?


Non, parce que tu aurais besoin des pilotes de la même manière.

sogalpunx a écrit :

En ce qui concerne les blobs privateurs, certes on n'a pas accès à leur code, mais de part leur fonctionnement, leur accès au système, au réseau etc... il y a tout de même moyen d'avoir une idée de leur degré de nocivité, non?


Pas vraiment. Si tu prends les routeurs visiblement cheval-de-troyés par les ricains, une écoute sur le réseau donne un paquet inattendu par mois. Très difficile à détecter. Ensuite, les modules en kernel-space, ils peuvent juste tout faire, et ils peuvent agir sur tous les moyens logiciels de détection de ce qu'ils pourraient éventuellement faire… Donc bon…


captnfab,
Association Debian-Facile, bépo.
TheDoctor: Your wish is my command… But be careful what you wish for.

Hors ligne

#14 20-11-2014 23:46:47

Haricophile
Adhérent(e)
Lieu : Pignans (Var)
Distrib. : SID
Noyau : 4.0.0-1-amd64
(G)UI : Mate / i3 selon...
Inscription : 14-09-2009

Re : la confiance et les logiciels

"Un logiciel vraiment sécurisé serait un logiciel qui fonctionnerais sans avoir besoin de reposer à aucun moment sur la confiance de l'utilisateur vers le vendeur/developpeur."

je reformule du point de vue du développeur "mon logiciel est sécurisé car à aucun moment l'utilisateur de doit me faire confiance pourtant le logiciel effectue les taches demandée et protège l'utilisateur"



Franchement je n'aurais aucune confiance dans un logiciel programmé par moi, il faut connaître ses limites °<:OP


« Un optimiste n’est pas un être satisfait, content de la situation actuelle. C’est quelqu’un qui pense qu’il peut faire quelque chose qui servira. » (Raymond Aubrac)

Hors ligne

#15 21-11-2014 00:19:25

sogal
Black Metal Modo
Lieu : Nord Isère
Distrib. : openSUSE Leap 42.3
Noyau : Linux 4.4.76
(G)UI : GNOME
Inscription : 09-05-2013
Site Web

Re : la confiance et les logiciels

Donc si on pousse un tout petit peu loin, même les données d'un ordinateur entièrement libre (OS + firmware + bios) ne serait pas vraiment sécurisé (depuis l'intérieur, s'entend. Des attaques extérieures c'est encore une autre affaire roll )
C'est un peu déprimant tout cela, une partie du monde s'amuse à exploiter ou à détériorer les outils fantastiques que l'autre partie cherche à construire...

1485418338.png Hello IT ! Have you tried turning it off and on again ?

Hors ligne

#16 21-11-2014 17:33:14

captnfab
Admin-Girafe
Lieu : /dev/random
Distrib. : Debian
Noyau : Dur
(G)UI : gui gui, je zuis un doiseau
Inscription : 07-07-2008
Site Web

Re : la confiance et les logiciels

Mais non mais non mais non. Tu comprends tout de travers !
Ce sont les gentils qui essayent de contourner les moyens de protections des terroristes potentiels pour protéger le monde ! Et ça, c'est presque légal smile
Alors que quand ce sont les terroristes potentiels qui essayent de déverrouiller les systèmes privateurs des gentils, ça c'est illégal et sévèrement puni.

Pour le reste, tout est question de vocabulaire. smile

captnfab,
Association Debian-Facile, bépo.
TheDoctor: Your wish is my command… But be careful what you wish for.

Hors ligne

#17 21-11-2014 18:55:20

Haricophile
Adhérent(e)
Lieu : Pignans (Var)
Distrib. : SID
Noyau : 4.0.0-1-amd64
(G)UI : Mate / i3 selon...
Inscription : 14-09-2009

Re : la confiance et les logiciels

Tout système est faillible,  a fortiori un système complexe. C'est d'ailleurs pour ça que certains militent pour la philosophie KISS tongue

« Un optimiste n’est pas un être satisfait, content de la situation actuelle. C’est quelqu’un qui pense qu’il peut faire quelque chose qui servira. » (Raymond Aubrac)

Hors ligne

#18 21-11-2014 19:11:27

sogal
Black Metal Modo
Lieu : Nord Isère
Distrib. : openSUSE Leap 42.3
Noyau : Linux 4.4.76
(G)UI : GNOME
Inscription : 09-05-2013
Site Web

Re : la confiance et les logiciels

@ captnfab: Ahahahaha oki oki oki, je m'étais fourvoyé dans une spirale binaire et manichéenne! Mais c'est bien sûr pour ma sécurité tout cela, comment ai-je pu douter un instant de la bonhomie philanthropique de leurs intentions!

1485418338.png Hello IT ! Have you tried turning it off and on again ?

Hors ligne

#19 19-09-2015 15:10:51

Guppy88
Membre
Lieu : Rambervillers Vosges
Distrib. : Bullseye (EFI)+Bullseye (bios) + Buster (bios)
Noyau : Linux 5.10.0-9-amd64 - Linux 4.19.0-6-amd64
(G)UI : Gnome 3.38.5 - 3.38.05
Inscription : 07-01-2012

Re : la confiance et les logiciels

Quelqu'un qui m'a installé ma première mandrake, et qui était un spécialiste de la sécurité, m'a dit que le seul ordinateur sûr était celui qui était éteint et noyé au milieu d'un mètre cube de béton.
Guppy

Hors ligne

#20 19-09-2015 15:19:34

smolski
quasi...modo
Lieu : AIN
Distrib. : backports (buster) 10
Noyau : Linux 4.19.0-8-amd64
(G)UI : gnome
Inscription : 21-10-2008

Re : la confiance et les logiciels

Et le seul chemin assuré pour tous est celui du cimetière, même ! tongue

saque eud dun (patois chtimi : fonce dedans)

Hors ligne

#21 19-09-2015 16:12:40

milou
Membre
Lieu : Sur une autre planète....
Distrib. : Jessie - Stretch/Sid
Noyau : 3.16.0-4-amd64
(G)UI : Lxde
Inscription : 12-02-2015

Re : la confiance et les logiciels

lol

J’adorerais changer le monde, mais ils ne veulent pas me fournir le code source
Un vrai geek, c'est un mec qui croit que dans 1km, il y a 1024 mètres
Dans le doute, rebootes. Si tu te tâtes, formates.
1453651422.jpg

Hors ligne

#22 19-09-2015 16:23:54

Papadakis
Membre
Lieu : Far ouest environ
Distrib. : Bookworm
Noyau : Linux 6.1.0-9-amd64
(G)UI : xfce 4.18
Inscription : 23-04-2014

Re : la confiance et les logiciels

smolski a écrit :

Et le seul chemin assuré pour tous est celui du cimetière, même ! tongue




Je veux des FAV sur DF !


Le désordre, c'est l'ordre, moins le pouvoir.

Hors ligne

Pied de page des forums