32 To de code source de Windows 10 mis en ligne, Réactions à la publication du 24/06/2017

[Lionel]

The Register rapporte qu'une archive de 32 To de code source de Windows 10 a été mise en ligne sur BetaArchive avait d'être retirée.
Elle contenait plusieurs versions de Windows 10, x86 et ARM, semblant provenir d'un vol direct auprès de l'éditeur puisqu'il y avait dans ce code de nombreux tags contenant des explications précises sur le codage des différentes parties.

La source de ce document n'est pas connue et on ignore s'il s'agit d'un piratage des serveurs de l'éditeur, d'un vol en interne ou du piratage de la machine d'une des personnes autorisées à détenir ces documents (ce qui est de plus en plus souvent le cas avec des ciblages spécifiques et de l'ingénierie sociale).

Il est bien entendu très mauvais que cela se retrouve dans la nature. Les pirates auront maintenant le loisir de l'étudier afin de trouver des faiblesses, portes dérobées ou failles exploitables à grande échelle.

Lien vers le billet original

[jpph]

ce n'est pas forcément mauvais que le code source soit dispo. c'est la force de linux: plus de yeux à lire le code= code plus sécurisé...

[tutux]

ce n'est pas forcément mauvais que le code source soit dispo. c'est la force de linux: plus de yeux à lire le code= code plus sécurisé...

Exactement ce qui m'a poussé a venir écrire un commentaire.

En esperant juste que des white hat viennent lire le code également !

[vlady]

32 To juste pour le code source ??? C'est un peu fort, non ?

[amike]

32 To juste pour le code source ??? C'est un peu fort, non ?

Le code doit être bourré d'easter eggs ...

[fcoull]

32 To juste pour le code source ??? C'est un peu fort, non ?

cela me parait énorme aussi..

ce n'est pas forcément mauvais que le code source soit dispo. c'est la force de linux: plus de yeux à lire le code= code plus sécurisé...

Oui enfin, la force de linux c'est qu'il y a des milliers de contributeurs dans le monde qui vont venir corriger les failles et pousser les correctifs assez rapidement avant des pirates ne les exploitent.

Je doute que microsoft avec son organisation qui lui ait propre soit dans le même délire. Ils vont juste patcher massivement les failles que des pirates vont trouver; apres ces derniers aient fait suffisamment de degats.

Ce message a été modifié par fcoull - 24 Jun 2017, 10:07.

[frantz]

Il est bien entendu très mauvais que cela se retrouve dans la nature. Les pirates auront maintenant le loisir de l'étudier afin de trouver des faiblesses, portes dérobées ou failles exploitables à grande échelle.

Ça n'a absolument rien de bien entendu, la sécurité par l'obscurité étant illusoire et stupide. Réjouissons-nous que des chercheurs en sécurité aient enfin l'occasion d'examiner cette usine à gaz d'une part et d'autre part que la perspective de voir des black hat découvrir des failles fasse redoubler d'efforts les équipes de Microsoft !

[Ze Clubbeur]

32 To juste pour le code source ??? C'est un peu fort, non ?

C'est ce que je me disais aussi... Mais en réalité, la taille d'un code source peut aller très vite selon le mode de versioning. Et puis, il ne faut pas oublier que dans le code source, il y a aussi l'ensemble des médias (sons, images...) qui font augmenter la taille.
Si l'on considère que plusieurs versions de Win10 étaient dans cette archive et qu'il y a une "image" pour chaque version (versions alphas / betas / RC / 10.x), pas étonnant que le volume de données soit colossal.

Petite précision, en lisant cet article, on voit que dans cette archive, il y avait aussi d'autres codes sources que ceux de Win10. Ça explique donc davantage la taille de l'archive.

[Tophe974]

Ça n'a absolument rien de bien entendu, la sécurité par l'obscurité étant illusoire et stupide.

Ca l'est tout autant que penser "opensource=securite". Regarde les failles OpenSSL.

Réjouissons-nous que des chercheurs en sécurité aient enfin l'occasion d'examiner cette usine à gaz d'une part et d'autre part que la perspective de voir des black hat découvrir des failles fasse redoubler d'efforts les équipes de Microsoft !

Beau troll, mais c'est bien mal connaitre Microsoft.
Le source est accessible depuis biiiiieeeeennn longtemps aux chercheurs et universitaires.
Et aux gouvernement, etc.
Pour preuve, ces sources viennent, comme l'a indique Ze Clubbeur, du programme "Shared Source Initiative".

[marc_os]

[...] Petite précision, en lisant cet article, on voit que dans cette archive, il y avait aussi d'autres codes sources que ceux de Win10. Ça explique donc davantage la taille de l'archive.

Merci pour le lien, cet article en dit bien plus sur les origines du code:

"Our review confirms that these files are actually a portion of the source code from the Shared Source Initiative and is used by OEMs and partners," says a Microsoft spokesperson.

"OEMs and partners"... ça fait quand même bien du monde qui avait accès à ces sources !

Ce message a été modifié par marc_os - 24 Jun 2017, 11:53.

[SartMatt]

Réjouissons-nous que des chercheurs en sécurité aient enfin l'occasion d'examiner cette usine à gaz d'une part et d'autre part que la perspective de voir des black hat découvrir des failles fasse redoubler d'efforts les équipes de Microsoft !

Beau troll, mais c'est bien mal connaitre Microsoft.
Le source est accessible depuis biiiiieeeeennn longtemps aux chercheurs et universitaires.
Et aux gouvernement, etc.
Pour preuve, ces sources viennent, comme l'a indique Ze Clubbeur, du programme "Shared Source Initiative".

Je confirme, il y a quelques années je bossais à l'INRIA, et il y avait un collègue dans mon bureau qui avait le code source de Windows XP, dans le cadre d'un projet commun avec Microsoft.

[vlady]

32 To juste pour le code source ??? C'est un peu fort, non ?

C'est ce que je me disais aussi... Mais en réalité, la taille d'un code source peut aller très vite selon le mode de versioning. Et puis, il ne faut pas oublier que dans le code source, il y a aussi l'ensemble des médias (sons, images...) qui font augmenter la taille.
Si l'on considère que plusieurs versions de Win10 étaient dans cette archive et qu'il y a une "image" pour chaque version (versions alphas / betas / RC / 10.x), pas étonnant que le volume de données soit colossal.

Petite précision, en lisant cet article, on voit que dans cette archive, il y avait aussi d'autres codes sources que ceux de Win10. Ça explique donc davantage la taille de l'archive.

Plus sérieusement, dans l'article original il est marqué que c'est 32 To de données, code source inclus (plus des images d'installation pour multiples version de Windows, entre autres).

[zero]

en entendu très mauvais que cela se retrouve dans la nature. Les pirates auront maintenant le loisir de l'étudier afin de trouver des faiblesses, portes dérobées ou failles exploitables à grande échelle.

Pourquoi ? Il y a des portes cachées ?

[iAPX]

Réjouissons-nous que des chercheurs en sécurité aient enfin l'occasion d'examiner cette usine à gaz d'une part et d'autre part que la perspective de voir des black hat découvrir des failles fasse redoubler d'efforts les équipes de Microsoft !

Beau troll, mais c'est bien mal connaitre Microsoft.
Le source est accessible depuis biiiiieeeeennn longtemps aux chercheurs et universitaires.
Et aux gouvernement, etc.
Pour preuve, ces sources viennent, comme l'a indique Ze Clubbeur, du programme "Shared Source Initiative".

Je confirme, il y a quelques années je bossais à l'INRIA, et il y avait un collègue dans mon bureau qui avait le code source de Windows XP, dans le cadre d'un projet commun avec Microsoft.

Il n'avait probablement pas le code-source des drivers, surtout ceux hors-Microsoft, qui sont d'excitantes sources d'attaques potentielles

Ce message a été modifié par iAPX - 24 Jun 2017, 14:48.

[__otto__]

Il est bien entendu très mauvais que cela se retrouve dans la nature. Les pirates auront maintenant le loisir de l'étudier afin de trouver des faiblesses, portes dérobées ou failles exploitables à grande échelle.

Lien vers le billet original

Le code source de linux est disponible.... ca n'en fait pas l'OS le moins sécurisé

[Fafnir]

https://arstechnica.com/information-technol...git-repository/

[Lionel]

Il est bien entendu très mauvais que cela se retrouve dans la nature. Les pirates auront maintenant le loisir de l'étudier afin de trouver des faiblesses, portes dérobées ou failles exploitables à grande échelle.

Lien vers le billet original

Le code source de linux est disponible.... ca n'en fait pas l'OS le moins sécurisé

Linux est prévu depuis son origine pour être Open Source, pas Windows.
Linux est autant tester par des spécialistes de la sécurité que par des pirates, en fait plus des premiers.
Tu crois que des spécialiste vont se pencher sur le code source de Windows pour l'expurger de ses bugs ? Quelques uns probablement, mais pas des masses par rapport à tous ceux, à commencer par les états qui vont y voir une opportunité fabuleuse de trouver le filon et vont y consacrer d'énormes ressources.

[zed_bill]

Je confirme, il y a quelques années je bossais à l'INRIA, et il y avait un collègue dans mon bureau qui avait le code source de Windows XP, dans le cadre d'un projet commun avec Microsoft.

Au début Microsoft ne partageait pas l'intégralité du code source de Windows, cela a peut-être changé depuis mais venant de Microsoft ça me surprendrait un peu.

[SartMatt]

Je confirme, il y a quelques années je bossais à l'INRIA, et il y avait un collègue dans mon bureau qui avait le code source de Windows XP, dans le cadre d'un projet commun avec Microsoft.

Au début Microsoft ne partageait pas l'intégralité du code source de Windows, cela a peut-être changé depuis mais venant de Microsoft ça me surprendrait un peu.

Oui, possible que ça ne soit qu'une partie, je n'avais pas les détails, j'étais sur un autre projet.

Tu crois que des spécialiste vont se pencher sur le code source de Windows pour l'expurger de ses bugs ? Quelques uns probablement, mais pas des masses par rapport à tous ceux, à commencer par les états qui vont y voir une opportunité fabuleuse de trouver le filon et vont y consacrer d'énormes ressources.

Il y a quand même le bug bounty qui pourrait motiver quelques white hats. Jusqu'à 100 000$ pour des failles de Windows.

[Lionel]

Tu crois que des spécialiste vont se pencher sur le code source de Windows pour l'expurger de ses bugs ? Quelques uns probablement, mais pas des masses par rapport à tous ceux, à commencer par les états qui vont y voir une opportunité fabuleuse de trouver le filon et vont y consacrer d'énormes ressources.

Il y a quand même le bug bounty qui pourrait motiver quelques white hats. Jusqu'à 100 000$ pour des failles de Windows.

Certes, mais une faille de sécurité inconnue, combien la Chine, la Russie ou la Corée du Sud (je met de côté les pays d'Europe moins riches ou moins motivés) paieraient pour cela ? Certainement des dizaines de millions.

[Webtourist]

Tu crois que des spécialiste vont se pencher sur le code source de Windows pour l'expurger de ses bugs ? Quelques uns probablement, mais pas des masses par rapport à tous ceux, à commencer par les états qui vont y voir une opportunité fabuleuse de trouver le filon et vont y consacrer d'énormes ressources.

Il y a quand même le bug bounty qui pourrait motiver quelques white hats. Jusqu'à 100 000$ pour des failles de Windows.

Certes, mais une faille de sécurité inconnue, combien la Chine, la Russie ou la Corée du Sud (je met de côté les pays d'Europe moins riches ou moins motivés) paieraient pour cela ? Certainement des dizaines de millions.

Certes, mais il y a aussi des pays comme l'Inde, très active dans le bug bounty. C'est une manière pour beaucoup d'indiens de se faire un "CV" et se faire employer par la suite par microsoft directement ou une compagnie spécialisée en développement ou sécurité.
Heureusement que cette démarche beaucoup plus "durable" est aussi répandue, et pas seulement l'appât du gain court-terme que peut présenter une faille. D'autant si un jour elle se retourne contre soi.

Ce message a été modifié par Webtourist - 26 Jun 2017, 09:53.

[fabounio]

Imaginez la cata pour Microsoft si ces 32 To tombaient dans les mains des hackers de la communauté du logiciel libre, ils seraient capables de nous faire un Windows 10 stable !

n'empêche que pour télécharger et stocker 32 TO... c'est pas donné a tout le monde ! pou

Ce message a été modifié par fabounio - 27 Jun 2017, 21:03.