En poursuivant votre navigation sur ce site, vous acceptez nos CGU et l'utilisation de cookies afin de réaliser des statistiques d'audiences et vous proposer une navigation optimale, la possibilité de partager des contenus sur des réseaux sociaux ainsi que des services et offres adaptés à vos centres d'intérêts.
Pour en savoir plus et paramétrer les cookies...

Sécurité et open source : le prix de la transparence

Sécurité et open source : le prix de la transparence
 

Souvent, les rapports de sécurité laissent entendre que l'on découvre plus de trous de sécurité dans les logiciels libres que dans leurs équivalents propriétaires. Les apparences sont trompeuses...

Inscrivez-vous à la Newsletter BFM Business

Newsletter BFM Business

A voir aussi

Votre opinion

Postez un commentaire

28 opinions
  • Süe
    Süe     

    Quel est l'intérêt de certaine personne a critiquer l'open source?
    D'autant plus si ces personnes connaissent leur sujet (en faisant preuve ou non) de mauvaise foi?
    Aucune logiquement... sauf s'ils bossent pour l'entreprise concurrence au logiciel développez en open source. ;)

    Autres options : Des frustrés qui n'ont pas réussit a s'adapter. Mais a part des vicieux, je ne pense pas que ce genre de personne perdraient leur temps a poster de longue réponse construite. :)

  • Open source ne veut pas dire moin p
    Open source ne veut pas dire moin p     

    Pourquoi tant de gens qui cherche a critiqué l'open source?
    Il est vrai que l'open source n'est pas parfait mais les logicielle payant ne le sont pas non plus
    Comparon microsoft word avec open office:
    Personellement j'ai eu plus de beug avec word qu'avec open office

    Autre exemple: IE et FF:
    - Même problème, plus souvent beugué sous IE que sous Firefox

    Quand je voi tout ces gens critiqué l'open source, je ne comprend pas leur raison, car entre gratuit sans trop de beug et payant avec des beug répété....
    Et voir des gens payé 180? un Os mal fait alors que l'on peut avoir plus performant GRATUITEMENT

    Bon sur ceux

  • Jonas2
    Jonas2     

    Bonjour,
    Bien-sur qu'il y a des failles dans tout logiciel "open source", mais ni plus ni moins que dans les autres.
    Dans le cas de la fondation Mozilla, lorsqu'une faille de sécurité est découverte, la correction arrive environ 24 heures après.
    J'habite dans le Pacifique Sud, je reçois souvent l'alerte en même temps que le correctif, à cause du décalage horaire.
    (Je ne me lève pas la nuit pour relever les alertes.)

    Certaines failles de IE sont corrigées plusieurs semaines après leur découverte.
    Une faille découverte il y a une quinzaine de jours dans MS Excel n'a toujours pas été colmatée...

    Voir sur ce lien : Microsoft Security Advisory (968272)
    et sur celui-ci :
    http://www.zdnet.fr/actualites/informatique/0,39040745,39387637,00.htm?xtor=EPR-105

    Je n'ai pas eu à me fatiguer à chercher, j'ai reçu l'info hier et j'en reçois régulièrement des comme ça.

    Concernant les failles Mozilla que tu répertorie, je note un progrès énorme.
    En effet entre le 01/01/2009 et ce jour il n'y a que 4 failles listée, l'année dernière pour la même période, il y en avait beaucoup plus.
    Preuve que pour un produit aussi jeune et basé sur la bonne volonté de développeurs souvent bénévoles, les progrès sont au rendez-vous.
    A bientôt.
    Jonas.

  • benjovie
    benjovie     

    Et surtout gardez les bien au chaud. Elles sont probablement passionnantes.

  • shamanphenix
    shamanphenix     

    Je dois décerner l'oscar de la mauvais foi, là.
    Un copy/paste de Wikipedia qui conforte ce que j'ai écris et tu considères que les points te reviennent ?

    Non, pas un oscar, une médaille olympique !

  • JMMPP
    JMMPP     

    Il est consternant de voir que vous ne compreniez pas pourquoi je ne vais pas plus loin dans ce débats.

    Je l'ai dit : "Je n'attend qu'une chose c'est que l'article ne soit plus à la une".
    Une fois que c'est le cas, je n'ai plus aucune raison de rester.
    Il est juste déplorable que vous ayez mis autant de temps à répondre et pour quelles réponses ???

    Adieu ou peut être à bientôt sur un autre forum.

    PS : J'ai déjà préparé mes réponses à vos soit disant réponse mais vous m'excuserez de les garder pour une prochaine UNE sur le sujet.

  • benjovie
    benjovie     

    Amusant, vous demandez des arguments... Quand il y en a ou que l'on vous demande des comptes, vous vous esquivez par une pirouette d'outrage et d'offuscation.

    Je pense que vous faite bien d'aller voir ailleurs.

    Ce qui est encore plus amusant, c'est que vous semblez persuadé que les "lecteurs" sont de votre avis. Comme si vous sentiez votre opinion (oui car cela ne reste que des avis personnels...) investi d'une valeur hors du commun.

    Peut-être devriez vous écrire un contre article et le faire publier ? Je sens que les commentaires seraient très amusant eux aussi.

    Bonne route !

  • JMMPP
    JMMPP     

    Vous m'excuserez ne pas répondre à vos réponses plus absurdes les unes que les autres mais tout comme Mr Nitot faire de la propagande A LA UNE de 01net (ainsi que sur son blog), je vais quitter ce forum QUI N'EST PLUS A LA UNE DE L'ACTUALITE et donc moins présent aux yeux des internautes.
    Vous pouvez continuer à jouer à me répondre n'importe quoi, cela n'a plus aucune importance à mes yeux et aux yeux des lecteurs...

  • JMMPP ?
    JMMPP ?     

    Webkit est un fork du moteur de rendu KHTML du projet KDE utilisé notamment dans le navigateur Konqueror.Elle intègre deux sous-bibliothèques : WebCore et JavaScriptCore correspondant respectivement à KHTML et KJS.

    Définition de fork:
    Parfois nommé fork. L'utilisation, parfois critiquée à bon escient, de l'anglicisme fork dans le contexte de projet informatique est une utilisation imagée du mot fork utilisé en programmation : on crée un nouveau projet à partir d'un autre à l'identique, sans détruire celui-ci.

    Sinon à part que le moteur de Safari est libre et open-source, le binaire de Safari lui n'est pas open-source.
    Tout comme Chrome est open-source mais n'a malgré cela pas encore été porté sur les autres OS que Windows.(Incompétence du monde libre à recompiler les sources ?)

    N'as tu trouver que cette fausse information pour essayer de défendre Mr Nitot ?

    Ce dernier doit être encore plus désemparé de voir que ceux qui essayent de le défendre sont aussi largués que lui.

    Sans rancune.

  • benjovie
    benjovie     

    J'ai l'impression que vous n'avez pas saisi exactement les propos de M. Nitot...

    Il avance que dans le monde du libre, même si le DETAIL TECHNIQUE de l'exploitation des failles est lui aussi tenu secret, le bug est par contre lui publié. Contrairement au monde du privé ou bien souvent (sauf bug rendu public par un labo ou des particuliers) le bug n'apparait pas si il est corrigé en interne.

    Ca ne vous semble pas logique ? Vous croyez que c'est intelligent de publier un exploit en même temps que de révéler la faille ? Franchement...

    "Je pense simplement et justement qu'il est mieux d'éviter de trop parler des failles de sécuritée sous peine d'être exploitée très rapidement et ce bien avant la moindre correction apportée."

    On dirait que vous pensez trop...
    Les efforts des "professionnels" de l'exploitation de failles connaissent toutes les petites combines et n'ont pas besoin de publication pour les trouver. Au contraire ne pas publier les aide à les garder pour eux et à les exploiter des années sans risquer de voir la faille comblée. La sécurité par le secret n'a jamais été considérée comme quelque chose de sûr... Etes-vous certains de maîtriser votre sujet ?

    Ensuite vous donnez une liste de bug dont certains non résolu... Quelle est la part des failles critiques/vraiment gênante non résolu dans votre résultat ? Merci de détailler un peu mieux vos chiffres.
    Et qui plus est... La liste de bug est disponible et publiée. Ce qui n'est pas souvent le cas dans le privé (ou de manière TRES parcellaire).

    Enfin pour le bug de Firefox 3... Ca ne vous es pas apparu évident que M. Nitot pouvait ne pas avoir un contact immédiat avec la liste des bugs n'étant pas développeur ?
    Il y a un temps de latence inévitable pour faire le lien entre un "président" qui entend parler d'un truc étrange dans la presse et le développeur qui peut établir le rapport avec un bug qu'il aurait publié. Je pense que ça peut se comprendre.
    Ensuite la lenteur de correction... Personne n'est parfait, le risque peut aussi être mésestimer (qualifié de "Major" chez Mozilla, donc un peu plus grave que la normale, ça peut expliquer la lenteur, il y a au dessus "Critical" et "Blocker"...). Le bug peut être vraiment complexe à résoudre et malgré toute la bonne volonté du développeur, ça peut prendre du temps...

    Mais bon, au moins, la transparence du système vous a donné un exemple et la matière à vos critiques. Pourriez vous y arriver avec un bug du privé ? Pas certain... C'est justement ce qui est mis en avant par M. Nitot ! Marrant non ?

    D'autre part... C'est UN bug. Vous avez beau jeux de démontrer votre "théorie" et de la généraliser sur un seul événement...

Lire la suite des opinions (28)

Votre réponse
Postez un commentaire