On traite souvent du probleme des logiciels proprios en déclarant qu'ils font un peu ce qu'ils veulent, qu'on ne peut pas controler ce qu'ils envoient sur le net, qu'ils sont peut-etre plein d'espion de notre vie privé voir meme qu'ils informent la nsa  et les chinois du fbi de la derniere fois qu'on a matté un film de vacances.  
 
Ce que je voudrais ici c pouvoir dresser une liste de liens ou d'articles PROUVANT l'existance de ce genre de problemes, que ce soit dans des logiciels qui aient existé ou qui existent encore.  
 
A terme, si ca se révele concluant, le but est de pondre une page web argumenté en faveur du libre, avec kk exemples d'abominations du coté obscure dans ce domaine précis.
 
Alors si vous avez des liens qu'ils sont bien !  
 
---

• CLUF autorisant l'accés et la vérification de qui se trouve sur le pc.

http://www.linux-nantes.fr.eu.org/ [...] rticle=126
http://www.uzine.net/article1940.html
 

• Microsoft et la NSA

http://www.assemblee-nat.fr/rap-in [...] P273_40688
http://www.uzine.net/article1891.html
http://www.01net.com/article/96244.html
http://www.politrix.org/foia/nsa/nsa-ms-spy.htm
 

• Report bug "dangeureux"

http://www.ciac.org/ciac/bulletins/m-005.shtml
 

• Pack office et GUID

http://iroi.seu.edu.cn/books/ee_dic/whatis/guid.htm
 

• Windows Media Player et les DVD

http://www.securityfocus.com/archive/1/257283
 

• Spyware

http://www.sstic.org/presentations [...] ows_XP.pdf
http://www.tom-cat.com/spybase/

http://www.tom-cat.com/spybase/

Le probleme du spyware c qu'on ne sait pas trop ce que ca fait, et que pour se rassurer, le quidam moyen va dire : "bho ca doit pas etre tres grave, au pire ca va m'envoyer des mails sur la cuisine russe"... J'aimerais trouver des infos sur des softs précis, genre une page expliquant le pseudo numéro d'identification que contient les fichiers words, les rapports d'erreurs contenant une liste de tout ce qui est installer... bref faire la part des choses entres les legendes urbaines et des faits démontrés.

installe toutes les pourritures connues et regarde ce qui sort de ta connexion Internet ...
 
Intéressant sujet

Sauf que visiblement tout le monde hurle au loup alors que ca s'arrete a de la paranoïa

Windows Update prétend n'envoyer aucune information personnelle de ton ordinateur à Microsoft.
 
Comment fait-il pour blacklister les gens avec des numéros de séries pirates ?

Chaque semaine M$ organise un grand tirage au sort qui désignera les n° pirates pour les 3 prochaines années.

 
c'est très clair dans l'aide de windows XP
 
windows update n'envoie aucune info personelle, mais par contre, envoie les numéros de série de tes composants...

la license de WMP est aussi très claire. Elle envoie tout
Adobe est très clair: les logiciels transmettent l'IP à Adobe.
 
Assez marant: lancer ethereal sur la passerelle puis lancer messenger sur un poste de travail....c'est le sapin de noël

 
Kk1 pourrait le faire histoire de poster le resultat ?  
 
Pour la licence de wmp, qu'est-ce qui est ecrit exactement ?

 
Ca commence ou et ca finit ou les "composants" ?  

Si les numéros de série de mes composants sont uniques, alors c'est une info personnelle.
S'ils ne sont pas uniques, ça n'est pas personnel, mais je ne vois pas comment ils peuvent blacklister dans ce cas.
 
NB: pour moi les "infos personnelles" c'est pas juste nom, prénom, date de naissance
une info qui permet de m'identifier, j'estime que c'est une info personnelle.

dans la license windows update il est précisé que le numéro de série est envoyé il me semble.
 
il y a aussi tous les fichiers cachés du cache explorer. Pour les supprimer, il faut passer sous émulateur DOS et lancer des commandes qui feraient peur à un linuxien. Et bien sûr, après ne plus utiliser explorer.

Les cluf du sp3 win2k et de wmp9 a la loupe. Maintenant meme si ca ne va pas dans le sens que j'accepte, ce n'est pas a l'insu de mon plein gres, dans le sens ou l'utilisateur est censé avoir lu et compris ces conditions.  
 
http://www.linux-nantes.fr.eu.org/ [...] rticle=126
http://www.uzine.net/article1940.html

 
Ils sont unique mais ne t'associent pas a un nom ou une adresse c pour ca. Donc s'il découvrent que le meme numéro apparait 2 fois ou plus il blacklist. Ca ne veut pas dire qu'ils ne notent pas ton ip, mais par contre ils ont tout a fait droit de refuser de servir l'update de windows (payant), a d'autres machine que la premiere qui en aurait fait la demande. Apres si tu es bloqué a toi de prouver que tu es le détenteur de la licence. Ca ne me parrait pas abusif comme procédé si l'on reste dans le cadre de la verification des doublons.

 
Oui, reste à savoir dans quelles circonstances ils peuvent/doivent faire la correspondance entre le numéro de série et l'identité de la personne (info que le FAI pourrait fournir)...

Si c dans le cadre d'un plan de lutte contre le piratage, cad en s'en tenant uniquement a determiné l'ip de celui qui utilise une version illégal, et sur autorisation de justice pour obtenir le nom du proprio de l'ip, a mon avis ca n'a rien de choquant. Par contre si les simples infos de login servent a etablir des profils d'utilisation, meme si c dans le cadre d'une connexion legal a windowsupdate, la ca commence a etre dangeureux.

 
Ouais, ce serait bien

 
Personne pour faire ca ?  

Je plante mon drapeau en terre inconnue et intéressante.

Bonjour,
 
Voila une article en plus :
http://www.sstic.org/presentations [...] ows_XP.pdf
Un peu technique

 
=> J'ai testé avec ethereal sous windows Xp et ça marche carrément pas. J'ai regardé sur le site officiel et aparemment, les dernières versions de WinPCap n'aime pas trop win xp. Donc d'après ethereal.com, il faut installer une version antérieure à la 2.2 =) Mmmh, vais me régaler si ça marche, j'ai bien fait de pas résilier mon abo aol tt de suite :-D

nan en fait g rien compris à la vie, c'est les versions antérieures à la 2.2 qui marche pas sous win xp et je vais tester sur mon pécé perso.

 
Tres interessant !  

Un vieux truc sympa...
 
http://www.securityfocus.com/archive/1/257283

c clair que c un trou de sécu...le hashage pour l'identification de winXP utilise entre autre l'adresse MAC de la carte réseau...si qqn a fait sauter l'algo de hashage (et pense que ca doit etre le cas vu  les keygen qu'on peut trouver), si il sniffe tes paquets, il a ton adresse MAC en clair...

Un trou de secu se serait une fonction pouvant etre detourné pour obtenir un acces a ta machine. Là c ta machine qui bavarde directement avec d'autres serveurs. La grande question est de savoir "Why is Microsoft watching us watch DVD movies"

Slurp !
http://www.ciac.org/ciac/bulletins/m-005.shtml

http://www.01net.com/article/96244.html
 
Si kk1 a des infos plus précise sur ce point (cad des extraits de ce rapport ou d'autre enquetes), ca me parrait assez interessant tout de meme.
 

 
Et donc ?  

Je m'étais amusé avec un sniffer sur Windows... NSG Sniff, je crois... Je l'ai laissé plusieurs jours, puis je suis allé voir ce qu'il avait récupéré... J'avais repéré plusieurs spywares que je ne connaissais pas, et une enquête sur le web m'a montré que je ne m'étais pas trompé (Copernic et FlashGet notamment). Bien sûr, il y avait aussi des trucs bizarres avec des produits MS, mais c'était trop difficile de savoir ce que c'était (envoyé en crypté ou en chaîne de bits ordonnés type cookie). Pour Copernic, par contre, le choc : outre la mise à jour des moteurs, il y avait les requêtes... Stupéfiant.
 
Cela dit, je serais bien intéressé de voir ce qu'il se passe sur un système Linux émanant d'une distro standard... J'ai déjà observé des trucs étranges sur une Red Hat 9.0 (quand je dis étrange, je veux dire qu'une transaction en provenance de mon système, à destination d'un serveur RH, s'est déroulée à mon insu, mais a été interceptée par une passerelle en cours de config). Ce ressemblait à une habitude observée sur les systèmes MS (peut-être pour les mises à jour ? ).

 
Ca fait partis des prochaines investigations. Je ne vais pas m'amuser a "prouver" que c nul a coté en "supposant" que c bien chez moi  

Ca serait quand même la surprise si on se retrouvait avec un système infesté de trucs bizarroïdes, malgré le concept Open Source tant porté au nues ! Mais je me dis que ce n'est proablement pas (encore) le cas, tout en n'excluant pas la présence actuelle de quelques moutons noirs. Après tout, Linux est une niche en pleine croissance sur le plan économique...

Je pencherais plutot pour des packages ou des sources reconstruit avec un kk troyens ou kk chose de la sorte. L'augmentation de paquets "non-officiel" disponible pour des backports ou encore pour  aller plus vite que les mainteneurs peut laisser supposer kk dérapages, mais je ne pense pas que ce soit du niveau de ce qui se trouve sur les composants de windows

rawcut a écrit :

 
[Hors Sujet]
Linux-Nantes powaaaaa ! (euh.. oui je suis membre   )
Je conseille d'ailleurs à tous les linuxiens de la région nantaise d'aller faire un petit tour à l'atelier le samedi après-midi (après s'être assuré qu'il y'aura bien du monde ). Une équipe excellente, prête à aider tout ceux qui voudrait se lancer dans le libre. Il y'a d'ailleurs régulièrement des linux party d'organisée... voilà ct pour les remercier de m'avoir bcp aider...  
[Hors Sujet]

Mouais...
 
En fin de compte, c'est facile et rapide de prendre une source et d'y planquer quelques fonctions officieuses si on sait que :
- un certain nombre de personnes non négligeable s'approvisionne régulièrement auprès de sources non officielles
- la (très) large majorité des utilisateurs/administrateurs de Linux ne sont pas des programmeurs et qu'ils n'ont par conséquent pas les moyens, ni le temps, de vérifier ce qu'ils téléchargent, mais qu'ils tiennent quand même à dire qu'ils utilisent de l'Open Source
- la réputation de Linux en ce domaine, comme en celui des virii, fait que l'on ne se méfie pas à priori de ce que l'on installe, ce qui est une erreur gravissime en matière de politique de sécurité
- il y a plus de gens malhonnêtes que de gens honnêtes
- la quantité de sources/paquetages actuellement disponible fait que s'il fallait tout re-contrôler aujourd'hui, certaines fonctions douteuses auraient néanmoins encore largement le temps de "se propager"
- la responsabilité inhérente à celui qui installe un paquetage est quasiment impossible à exercer/assumer vu la complexité/diversité de ces derniers
- la (seule ?) possibilité technique de se prémunir est un firewall filtrant aussi bien les entrées que les sorties, et que la configuration des meilleurs d'entre eux n'est pas à la portée du simple utilisateur
 
Je veux pas noircir le tableau, mais si quelques programmeurs interessés et malins décident de "foutre le bordel", ils auront de beaux jours devant eux.
 
edit :
 
je rajoute encore un point :
- la disparité actuelle, et donc la non standardisation rigoureuse, de la gestion des paquetage (sur le plan de l'authenticité notamment), aggrave encore le problème du contrôle de la source

il y a une autre façon de se prémunir de ce genre de pb : l'utilisation des signatures GPG dans les paquets (vérifiés par APT ou URPMI par ex) > tu es alors sur de la provenance de ton paquet et avec les signatures "officielles" (MDK par ex) tu es à peu près sur que quelqu'un a vérifié le paquet.
 
d'où l'intérêt des sources officielles

 
Oui, mais tant que des processus d'installation n'en tiennent pas compte, ça ne sert pas à grand-chose.
 
Et puis si, comme le dit justement rawcut, des gens prennent l'habitude de s'approvisionner dans des circuits non officiels ET que l'OS tolère l'installation de trucs de cet accabit, on n'est pas sorti de l'auberge...
 
Je crois que la solution doit être technique et unifiée, et non humaine... Mais ça doit faire débat.

au moins sur Mandrake (et peut-être Debian), si le paquet n'est pas signé (ou signature inonnue) et que tu essayes de l'installer, URPMI (et donc drakconf) te le signale et te demande si tu es sur de vouloir l'installer. C'est une petite sécurité quand même.
 
Mais c'est vrai que si tu compiles toi même ; là
 
EDIT :
de toute façon, le principale trou de sécu sur une machine se situe au niveau de l'interface fauteuil/clavier et là, c'est un pb d'éducation à l'info