Logiciels libres et formats ouverts pour la securité informatique.

Documents pareils
Jean-Christophe BECQUET

Jean-Christophe BECQUET

Logiciel Libre Cours 9 Modèles Économiques

Informatique. Les réponses doivent être données en cochant les cases sur la dernière feuille du sujet, intitulée feuille de réponse

Découverte des Logiciels Libres. Gilles Dequen

Les logiciels libres. Université Antilles Guyane 14 novembre 2008 Olivier Watté

Stratégie de sécurité grâce au logiciel libre. Frédéric Raynal Cédric Blancher

Le logiciel libre. Jeudi 19 janvier Rémi Boulle Sébastien Dinot

ZABBIX est distribué sous licence GNU General Public License Version 2 (GPL v.2).

Debian en milieu professionnel. This document is under the GNU Free Documentation License.

Systèmes en réseau : Linux 1ère partie : Introduction

Avantages. Protection des réseaux corporatifs de gestion centralisée

IBM Tivoli Compliance Insight Manager

Environnement Informatique EMSE Linux

Les Licences Libres Ouverture et Protection des Logiciels. Plan

PPE 2-1 Support Systeme. Partie Support Système

IFT3902 : (Gestion de projet pour le) développement, (et la) maintenance des logiciels

Logiciels libres et sécurité

PROFIL EXPERIENCE ARCHITECTE LINUX, OPEN SOURCE, COORDINATEUR SÉCURITÉ EMEA

Forum Poitou-Charentes du Logiciel Libre

18 TCP Les protocoles de domaines d applications

LES REGLES ELEMENTAIRES DE SECURITE LE POSTE DE TRAVAIL. CNRS RSSIC version du 11 mai 2012

Logiciels Open Sources et le Secteur Privé

La montée des bases de données open source

Dr.Web Les Fonctionnalités

NETTOYER ET SECURISER SON PC

Sécurité des applications Retour d'expérience

Modèles économiques de l'open Source

Prospective du logiciel libre

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation

Étude des Spywares. Étudiant : Professeur responsable : En collaboration avec : DE SOUSA Bruno LITZISTORF Gérald TRUPHEME Florent Telecom System 2005

La mémorisation des mots de passe dans les navigateurs web modernes

Architectures web/bases de données

Spécifications Techniques Générales. Techno Pole Internet. Lycée Djignabo / Ziguinchor

Liens de téléchargement des solutions de sécurité Bitdefender

Fiche Technique. Cisco Security Agent

DEMARREZ RAPIDEMENT VOTRE EVALUATION

Logiciels libres et Open source

SUGARCRM Sugar Open Source Guide d Installation de French SugarCRM Open Source Version 4.2

SOLUTIONS DE SECURITE DU DOCUMENT DES SOLUTIONS EPROUVEES POUR UNE SECURITE SANS FAILLE DE VOTRE SYSTEME MULTIFONCTIONS SHARP DOCUMENT SOLUTIONS

< <

MailStore Server 7 Caractéristiques techniques

2 mars HERS Libramont - Semaine Entreprise. Logiciel Libre et entreprise: un vaste catalogue de services

Mise en œuvre des serveurs d application

Firewall IDS Architecture. Assurer le contrôle des connexions au. Sécurité 1

Gestion des utilisateurs dans un environnement hétérogène

Les Fiches thématiques logiciels libres. Définition, avantages et limites

Suite bureautique, les enjeux d'une alternative.

Présentation de l outil d administration de réseau Nagios

AMI Enterprise Intelligence Pré-requis techniques

Le guide du chercheur. Créer des logiciels à l Université Libre de Bruxelles

Crédits... xi. Préface...xv. Chapitre 1. Démarrer et arrêter...1. Chapitre 2. L interface utilisateur...25

Utilisation de matériels industriels avec des outils de virtualisation open source. Open Source dans le monde industriel

INTERNET est un RESEAU D ORDINATEURS RELIES ENTRE EUX A L ECHELLE PLANETAIRE. Internet : interconnexion de réseaux (anglais : net = réseau)

«Le malware en 2005 Unix, Linux et autres plates-formes»

Gestion collaborative de documents

Un business model d éditeur open source

(Third-Man Attack) PASCAL BONHEUR PASCAL 4/07/2001. Introduction. 1 Domain Name Server. 2 Commandes DNS. 3 Hacking des serveurs DNS

Exigences système Edition & Imprimeries de labeur

Linux 1: Présentation

The Mozilla Art Of War. David Teller. 20 septembre Laboratoire d Informatique Fondamentale d Orléans. La sécurité des extensions.

E-Remises Paramétrage des navigateurs

Tunnels et VPN. 22/01/2009 Formation Permanente Paris6 86

ORDINATEUR DOSSIERS FICHIERS

Logiciel Enterprise Guide Version 1.3 Windows

Liens de téléchargement des solutions de sécurité Bitdefender

Code Produit Nom Produit Dernière mise à jour. AM003 Alias Mobile On Demand Licence 1 mois 27/04/2015

1 ère Université WEB. Courbevoie Samedi 21 octobre Votre site interactif sur internet.

Logiciels libres en entreprise

Supervision système et réseau avec Zabbix. Anne Facq Centre de Recherche Paul Pascal 17 avril 2008

MODULE I1. Plan. Introduction. Introduction. Historique. Historique avant R&T 1ère année. Sylvain MERCHEZ

Outils de développement collaboratif

Méthode d Évaluation des Coûts liés à l Open Source (ECOS)

Une nouvelle approche globale de la sécurité des réseaux d entreprises

Charte Poséidon Ecole Polytechnique Fédérale de Lausanne

INGENIEUR SYSTEMES ET RESEAUX

L identité numérique. Risques, protection

Yann BECHET 32 ans 8 ans d expérience yann@bechet.org

WebSSO, synchronisation et contrôle des accès via LDAP

Exigences système Edition & Imprimeries de labeur

FLHD UE GLSE 301 Outils informatique Année Responsable : Andrea CHERUBINI andrea.cherubini@univ-montp2.fr

Quels fondements, services fonctionnalités et limites de l intranet?

NetCrunch 6. Superviser

Introduction aux «Services Web»

Les logiciels OpenSource pour l'entreprise

RESPONSABLE INFORMATIQUE

WINDOWS Remote Desktop & Application publishing facile!

Systèmes de gestion de code source

Formations Evolix Catalogue

CA ARCserve Backup. Avantages. Vue d'ensemble. Pourquoi choisir CA

Stratégie informatique

MySQL. (Administrateur) (Dernière édition) Programme de formation. France, Belgique, Suisse, Roumanie - Canada

Les risques HERVE SCHAUER HSC

Guide d installation de SugarCRM Open Source version 4.5.1

«clustering» et «load balancing» avec Zope et ZEO

Logiciel libre, utilisateurs libres, militants libres...

Microsoft Dynamics AX. Solutions flexibles avec la technologie Microsoft Dynamics AX Application Object Server

Mettez Linux en boîte avec ClearOS

Linux. Sécuriser un réseau. 3 e édition. l Admin. Cahiers. Bernard Boutherin Benoit Delaunay. Collection dirigée par Nat Makarévitch

Transcription:

Logiciels libres et formats ouverts pour la securité informatique. Paris, Decembre 2000 Roberto Di Cosmo Professeur Université de Paris VII e-mail: dicosmo@pps.jussieu.fr WWW: http://www.pps.jussieu.fr/ dicosmo 1

Free, Open Source Software : Logiciel libre Libre=avec sources 2, Gratuit=pas payant non libre, gratuit : Internet Explorer, MacTCP, Acrobat Reader, freeware etc. non libre, non gratuit : tout le shareware, et logiciel commercial libre, gratuit : Mozilla, Linux, FreeBSD, OpenBSD, sendmail, perl etc. libre, non gratuit distrib. comm. Linux etc. Quel espace économique pour le logiciel libre? 2 et protegé par une licence libre autorisant modification et redistribution du code (ex: GPL, LGPL, MPL, BSD etc. à différents niveaux) 2

Logiciel libre: qui et comment gagne avec ce modèle l utilisateur actif (sait modifier le code) plus grande stabilité / pérennité / flexibilité transfert du budget support vers budget developpement partage des couts de developpement/maintien securite (on y reviendra) 3

Logiciel libre: qui et comment gagne avec ce modèle l utilisateur passif (ne modifie pas le code) + logiciel pratiquement gratuit + Perennité de la solution + pas d emprisonnement proprietaire. - cout de sortie des fois eleve (un hasard?) 4

Logiciel libre: qui et comment gagne avec ce modèle les fournisseurs de services : support des utilisateurs actifs et passifs creation d un espace economique de proximité. la richesse se crée dans le support, et reste acquise à qui la produit. marge et marché plus importants pour la SSII concurrence basée sur la competence 5

Logiciel libre: qui et comment gagne avec ce modèle le dévéloppeur originaire : non spécifiques : augmentation de la valeur du developpeur de ses biens création d une demande de support, acceptation d un standard (TCP/IP) spécifiques : mutualisations couts off business core (gcc,systèmes embarqués etc.) valorisation de l individu (propre à l informatique) 6

Le coeur de la croissance est la liberté Les protocoles libres (publics et ouverts): TCP/IP HTTP SMTP NNTP... Tous les utilisateurs sont égaux... face à la transmission des données... partout sur la planète 7

Grande qualité de la communication grâce au libre accès aux specifications de protocoles non brevetés 8

Quels protocoles ouverts utilisez vous? HTTP C:GET / dicosmo/index.html S: <html> S: <head> S: <title>roberto Di Cosmo</title> S: </head> S: <body> S: <h1>roberto Di Cosmo</h1> S: Professeur S: Ph.D. PISA, 1993<p> S: </body> S: </html> 9

Le coeur de la croissance est la liberté Les formats libres (publics et ouverts): ISO-Latin HTML JPEG TeX/LaTeX/DVI... Tous les utilisateurs sont égaux... face à l accés aux données... partout sur la planète 10

Grande qualité du Web grâce au libre accès aux sources des documents dont le format est non breveté File/View Source... 11

Les logiciels libres: Le coeur de la croissance est la liberté sendmail bind Apache GNU software Linux/FreeBsd/NetBSD... Tous les utilisateurs sont égaux... face à l accés à la technologie... partout sur la planète 12

Grande qualité grâce au libre accès aux sources non obfusquées de logiciels libres de brevet 13

Un logiciel libre plebiscité Evolution des serveurs Web (Netcraft overall): Hotmail.com a été réalisé avec à Apache, même aprés le rachat de Microsoft, qui a mis 3 ans pour reussir à faire fonctionner Windows NT/IIS assez bien pour pouvoir se liberer de ce logiciel libre. 14

Quelques exemples: Le coeur de la croissance vient de l Europe bases : projet LeLisp à l INRIA (France) Ilog NeXTStep (parti aux US) WWW : 1989, CERN (Suisse), T. Berners-Lee, R. Cailleau sur NeXTStep WebCrawler : 1992, US, avec l IndexingKit de NeXTSTEP Linux : 1990, Linus Torvalds, Finlande 15

Critères de choix pour l entreprise Coût coût de deployement logiciel propriétaire: licences chères et syndrome du tapis roulant logiliel libre: pas de licenses, dépense dans le service uniquement coût de maintenance: logiciel propriétaire: très cher (tapis roulant), et hors du contrôle du client logiciel libre: contrôle des source = le client est maître coût de sortie souvent élévé pour toute reconversion, y compris 98 vers NT 16

Critères de choix pour l entreprise Enjeux stratégiques (hors coûts) Seul le logiciel libre permet une maîtrise acceptable d enjeux non directement monetisables sécurité des sytèmes (Word Spy/GUID/BackDoors/IE Spy etc.) perénnité de l investissement (pas de phase-out pour cause du fournisseur) préservation de la propriété intellectuelle 17

LL: Intérêt pour la Sécurité Code source très largement disponible, utilisé et modifié par une masse d ingénieurs système, donc étudié par des experts (track record: beaucoup plus de defenseurs que d attaquants ) adaptable à des applications spécifiques, même en modèle de sécurité fermé prix trés competitifs (on ne paye que le service) Mais le sujet est grave, et merite quelques reflections... 18

Modèles de sécurité Fermé On construit un système dont les spécifications sont secrètes. La sécurité repose en partie sur le secret des spécifications (Ex: Enigma). Avantages: On ajoute une difficulté supplémentaire pour les casseurs Desavantages: La difficulté supplémentaire donne une fausse assurance Modèle traditionnellement sensible à la traison Difficile, voir impossible à mettre en oeuvre avec des composantes disponibles sur le marché 19

Modèles de sécurité Difficile, voir impossible à mettre en oeuvre avec des composantes disponibles sur le marché,... pourquoi? on ne maîtrise pas le code source propriétaire on ne sait pas faire d audit de sécurité complet automatique sur 50M lignes de code chacune de ces lignes de code est suspecte même les outils de compilation sont suspects! 20

Modèles de sécurité Ouvert les spécifications du système sont connues de tous. La sécurité repose en partie sur la vérification par les paires (Ex: RSA). Avantages: Modèle étanche à la traison (inutile de voler un decodeur RSA). Modèle facile á mettre en place avec des composantes du marché, à condition qu elles soient aussi ouvertes (i.e. livrées avec leur code) Desavantages: La qualité de la protection depende seulement de la qualité des algorithmes et de leur mise en oeuvre (crypto encore une art). La qualité de la protection depende aussi de la rapidité de correction des erreurs de conception ou mise en oeuvre (necessite encore du logiciel libre) 21

Proprietaire, Libre, Monopoliste Mais le logiciel d un monopoliste est encore moins adapté que celui d une SSII privée quelconque à la securité: en effet, il multiplie les pirates (tout le monde a ce système) il divise les vérificateurs/correcteurs (presque personne a le code source). Mais il y a plus que ça... 22

Conséquences de la mise en réseau Toute information peut être recueillie tracée transmise à notre insu. 23

Microsoft Security Track Record Microsoft (parmis d autres) l a fait, le fait et continuera à le faire pour plusieurs raisons: lutte aux copies illégales : Windows Registration Wizard (http://www.lemonde.fr/nvtechno/gates/pirate.html) fichiers Office avec GUID projet Tempest 24

Proprietary Security Track Record construction de profil commercial (int. opt.) : Cookies Champs HTTP-Referer Mobile Phones canaux cachés entre serveur et client Web... 25

Microsoft Security Track Record négligence, stratégie anticompetitive : fichiers Word avec la trace de vos effacements ActiveX/Quicken/Web (Hambourg CCC), Java est (assez plus) sûr DLLs, backdoors virus,... 26

Microsoft Security Track Record pressions US : Backdoors NSA dans les API crypto N.B.: tout logiciel proprietaire est soumis à ces pressions...... donc: les logiciels/protocoles/formats libres sont indispensables pour la transparence, et la sécurité. 27

Un exemple des dangers: Word espion Document Word visible: Voilà pour voir si on efface ou pas le contenu d un document... Si on autorise la sauvegarde rapide Un peu gros? ranger> ls -l Prova.doc -rw-rw-rw- 1 dicosmo 22016 Mar 7 00:28 Prova.doc Voyons... ranger> tr -s \000 < Prova.doc tr -d [:cntrl:] > clair 28

Word espion ranger> cat clair Oh+ 0p,8DPX hvoil pour voir si on efface Mi oil Voyager oya Normal.dot v Voyager 4ya MicrosoftWord8.0 o@ˆ@z_g@ /gy-d3d9-11d2-85fc-d05649c10000}%a@.+,d.+,hhp VMSVoilpourvoirsi oneffacettulo6>_pid_guidan{2d3b7143-d3d9-11d2-85fc-d05649c10000}% A@Voila pour voir si on efface ou pas le contenu d un document...si on autorise la su\mh@auxz\:<> @AUauvegarde rapide du document QUESTO NON VOGLIO CHE SI VEDA 11111Qsdf qsdfqsdfqsdfqsdfqsdfsdfu\ mh@auxz\:<> :<>@Z\ auve garde rapide du document QUESTO NON VOGLIO CHE SI VEDA 11111Qsdf qsdfqsdfqsdfqsdfqsdfsdfauv egarderapidedudocumentqsdfqsdfqsdfqsdfqs 29

Regardons mieux... dfqsdfsdf[$@$normalmhfa@ffuentedeprraf opredeter.aqrst U;Aqt?AprstVoyager#C:\Prova.doc @rr drrptrtu *ˆ* gzlrootentryt&qdata.qsda"2 T&Qd Fgg $D1TableQIA*"2c$$kD carte.qif CARTE.QIA&l.QIFPEL.QIA& L.QIWordDocument eta.qif LIVRETA.QIF YPARAi$1i$IdecdA"1ndowSummaryIn etc. Hmmm... 30

Sécurité La sécurité, on ne peut pas y penser après: Dos/W95/98 pas sûr par conception (monoutilisateur/(mono)tache) WinNT, en thèorie, bien conçu, mais... Unix pas totalement sûr (origines BSD), mais contient les notions de base depuis sa conception Linux/xBSD les ont reprises, et vous permettent de les élaborer la biodiversité est essentielle (sauf pour votre dir. fin.) 31

Conclusions Les logiciels libres fournissent le seul profil acceptable pour les applications critiques. immunes aux pressions externes permettent l inspection de leur code source, donc... permettent la formation de vrais experts, donc... multiplient les vérificateurs et non seulement les pirates permettent une deploiement/adaptation à très faible coût immunes aux décés par logique commerciales... mais ils ne font pas (encore) de pubs à 20h à la télé 32

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back