Laurent Barme 2551@barme.fr wrote on 20/03/2024 at 14:40:01+0100:
Bonjour Stéphane,
Merci pour ta réponse bienveillante et apaisée…
Il n'y a pas de "fight" pour moi, juste un échange de point de vue ; c'est dommage que cela empêche certains de dormir :-)
Rassure-toi, l'intérêt que je porte à cet échange n'est pas la cause de ma courte nuit.
Je suis aussi surpris par les réactions enthousiastes que l'expression de mon point de vue a suscitées ; j'ai quand même l'impression que mes propos sont mal interprétés (sans parler de ceux qui les déforment).
Tu veux dire que quand tu écris que c'est un cheval de Troie il fallait lire "ce n'est PAS un cheval de Troie" ? Ou que "Z/nZ avec n premier" signifiait "Z/pqZ avec p et q premiers" ? Ou que quand tu disais que "le tout SSL est inutile", tu voulais dire "qu'il était inutile uniquement pour la partie confidentialité des données quand celles-ci sont publiques, mais qu'il était néanmoins totalement utile totalement pour l'intégrité et l'authenticité" ?
Ou bien tu essaies de te rattraper aux branches en constatant l'énormité des bêtises que tu as énoncées ? Je trouve l'inversion accusatoire assez caractérisée : tu essaies de ranger ceux qui ne laissent pas passer tes propos délirants qui peuvent avoir un impact fort sur des juniors qui tomberaient sur ce thread dans la case des malhonnêtes.
A la base, j'ai juste dit que je préférais dépenser 10 € pour être tranquille pendant un an plutôt que de dépendre d'un processus externe qui est potentiellement faillible ou compliqué à sécuriser.
Tu n'as pas dit cela comme ça, et surtout tu l'as argumenté par des arguments au mieux exagérés, voire bidons.
Il y d'ailleurs déjà eu des soucis (https://www.agwa.name/blog/post/last_weeks_lets_encrypt_downtime) et il suffit de chercher "bug let's encrypt" dans ton moteur de recherche préféré pour étayer cette possibilité.
C'est vrai qu'aucun provider payant de certificats n'a eu de soucis, que ce soit des bugs ou des outage, ou des émissions de certificats impersonnalisant des sites bien connus au profit d'autorités malveillantes. Non, vraiment, c'est jamais arrivé¹.
Indépendamment, je trouve cela surprenant cette limite de validité à 90 jours pour les certificats LE. Sans parler d'une sollicitation moindre de leurs serveurs, si cela avait été un an, nous n'aurions jamais eu cette discussion.
Le lien t'ayant déjà été communiqué je ne le remettrai pas, vu que l'article est public depuis des années (certes derrière du https, brrr), j'imagine que c'est à ranger derrière "je n'ai pas cherché plus loin".
Par contre je reste médusé par ceux qui sont capables de repérer des "vunls" à toute vitesse ou de conclure qu'un traitement open source est fiable rien qu'en constatant qu'une "centaine de ko" de code sont bien lisibles ! Pour avoir exploré les sources d'openssh à la recherche de la signification de messages d'erreur inhabituels dans les logs, je n'ai clairement pas eu cette impression.
Ce n'est pas ce qui a été dit. Ce qui a été dit c'est que la transparence est là, donc tu sais dans quoi tu mets les pieds, et qu'il est bien plus facile de trouver rapidement une vuln dans un code ouvert que dans un code auquel tu n'as pas accès.
C'est une autre idée qui semble largement partagée qu'un traitement est fiable juste parce qu'il est "open source".
Non. L'idée couramment partagée c'est qu'un traitement open source/libre est auditable. Et oui, pléthore de gens utilisent des tools sans les avoir étudiés/audités. C'est leur problème. Mais s'en remettre à un outil fermé/privé ne change rien, et enlève beaucoup de possibilités d'audit.
Il y a pourtant tellement de travail à faire pour vraiment s'en assurer ! Et si la disponibilité des sources est indissociable de la liberté d'utilisation (et de maintenance) d'un logiciel libre, ce serait plutôt un défaut potentiel pour sa sécurité ; la possibilité d'y repérer des failles de sécurité l'est aussi pour les pirates.
Et encore un poncif bien éculé.
C'est donc ça d'avoir 40 ans de métier ? En remettre une couche même quand on a les yeux sur les âneries qu'on a déjà raconté ?
Pas pressé de te rattraper dans ce cas.
Bref, j'arrête là en ce qui concerne mon interaction avec toi, ta mauvaise foi rend la chose non constructive.
J'espère juste avoir dissuadé quiconque de te faire confiance sur le sujet de la crypto et de la sécurisation d'un site web.
Et comme dit, je suis inquiet pour tes clients, mais en définitive, ce n'est pas mon problème, c'est le leur.