Apple embauche un crack en sécurité
par Christophe Laporte le 14.05.2009 à 00:01
Apple a embauché récemment Ivan Krstic. Il a rejoint lundi dernier l'équipe en charge de la sécurité sur les systèmes d'exploitation d'Apple. Ivan Krstić qui a reçu du MIT Technology Review le titre de meilleur innovateur mondial âgé de moins de 35 ans était jusqu'à l'année dernière le directeur de la sécurité pour l'organisation à but non lucratif OLPC (One Laptop Per Child). C'est lui qui développa la plate-forme de sécurité BitFrost, qui est au coeur de l'ordinateur "un portable par enfant". Pour mieux se protéger des virus, BitFrost fait fonctionner chaque programme dans sa propre machine virtuelle avec des permissions restreintes. Une approche très différente de celle que nous connaissons actuellement sous Mac ou PC…
Peu après son départ, l'homme était passé sur Mac (lire : La communauté open-source switche aussi). Il faut croire que le switch a bien pris…
Vos réactions (13 réactions)
Mac1978
[14/05/2009 01:02]
Pouvoir faire tourner dans des machines virtuelles certaines applications (navigateur, mail entre autres) serait vraiment un plus pour le monde professionnel. Pour cela, il faudrait qu'Apple accepte que son OS soit virtualisable, et pas seulement en version serveur.
@ oomu
+1 en ce qui concerne olpc.
Pouvoir faire tourner dans des machines virtuelles certaines applications (navigateur, mail entre autres) serait vraiment un plus pour le monde professionnel. Pour cela, il faudrait qu'Apple accepte que son OS soit virtualisable, et pas seulement en version serveur.
@ oomu
+1 en ce qui concerne olpc.
Chamalo
[14/05/2009 01:02]
"fait fonctionner chaque programme dans sa propre machine virtuelle avec des permissions restreintes" : c est un peu le principe de Solaris avec le systems de "Zones" (excellent principe) ?
"fait fonctionner chaque programme dans sa propre machine virtuelle avec des permissions restreintes" : c est un peu le principe de Solaris avec le systems de "Zones" (excellent principe) ?
hawker
[14/05/2009 03:05]
sauf que pour ceux qui veulent de la performance au niveau des logiciel ce n'est même pas envisageable.
S'il a été engagé c'est pour mettre son génie du logiciel a la disposition d'Apple pour l'amélioration de la securité du système, par pour integrer le systeme qu'il a créé pour les olpc.
Sinon ça fait plaisir de savoir qu'Apple se met a engager les meilleurs des meilleurs a tour de bras en ce moment.
sauf que pour ceux qui veulent de la performance au niveau des logiciel ce n'est même pas envisageable.
S'il a été engagé c'est pour mettre son génie du logiciel a la disposition d'Apple pour l'amélioration de la securité du système, par pour integrer le systeme qu'il a créé pour les olpc.
Sinon ça fait plaisir de savoir qu'Apple se met a engager les meilleurs des meilleurs a tour de bras en ce moment.
sunjohn
[14/05/2009 04:40]
hawker > l'OLPC n'est pas un monstre de puissance, pourtant.
et puis même dans une optique de performances maximales, on peut peut-être imaginer que ce principe ne fonctionne qu'avec certaines applications. Comme un navigateur internet, un logiciel d'email, ce genre de choses ou une petite baisse de vitesse ne sera pas forcément visible, et qui sont les produits les plus attaqués.
hawker > l'OLPC n'est pas un monstre de puissance, pourtant.
et puis même dans une optique de performances maximales, on peut peut-être imaginer que ce principe ne fonctionne qu'avec certaines applications. Comme un navigateur internet, un logiciel d'email, ce genre de choses ou une petite baisse de vitesse ne sera pas forcément visible, et qui sont les produits les plus attaqués.
ericb2
[14/05/2009 07:46]
Après Cups, OLPC.
D'un côté, être embauché de cette façon prend l'apparence d'un gain pour une entreprise, et d'une perte pour la communauté du libre, ici plutôt orientée partage des connaissances.
D'un autre côté, Google fait pareil avec son SoC, et le but c'est quand même que les meilleurs soient récompensés. Personne n'est vraiment philanthrope.
Mais c'est aussi une reconnaissance de la qualité du travail fait par la communauté du libre. C'est l'aspect le plus positif. Il y a aussi des inconvénients, mais je préfère prendre du recul.
Pour revenir à OLPC, Il y a justement un Sugar Camp à la Cantine ce samed :
http://www.olpc-france.org/wiki/index.php?title=SugarCamp
Comme je souhaite donner un coup de main au projet OLPC, j'y serai aussi.
Et vous ? :-)
Après Cups, OLPC.
D'un côté, être embauché de cette façon prend l'apparence d'un gain pour une entreprise, et d'une perte pour la communauté du libre, ici plutôt orientée partage des connaissances.
D'un autre côté, Google fait pareil avec son SoC, et le but c'est quand même que les meilleurs soient récompensés. Personne n'est vraiment philanthrope.
Mais c'est aussi une reconnaissance de la qualité du travail fait par la communauté du libre. C'est l'aspect le plus positif. Il y a aussi des inconvénients, mais je préfère prendre du recul.
Pour revenir à OLPC, Il y a justement un Sugar Camp à la Cantine ce samed :
http://www.olpc-france.org/wiki/index.php?title=SugarCamp
Comme je souhaite donner un coup de main au projet OLPC, j'y serai aussi.
Et vous ? :-)
ondex
[14/05/2009 07:57]
Lorsqu'on parle de "machine virtuelle", il ne s'agit pas forcément de virtualisation matériel ou de para-virtualisation. Ça peut aussi être de l'isolation de contexte (comme les jails de FreeBSD, les zones de Solaris ou Virtuozzo sous Linux). C'est extrèment performant !
J'administre des serveurs Virtuozzo Linux au taff : à condition d'être branché sur un SAN, on peut faire tourner beaucoup de machine virtuelle sur une même machine physique pas très puissante (sans problème plus de 60 machines virtuelles sur un Dual Core avec 4G de RAM). Le SAN c'est juste parce que les disques dur ne tiennent pas la charge.
Alors faire tourner un navigateur dans une machine virtuelle, ça me parait pas délirant. Faut juste voir l'implémentation (genre si je veux uploader mes photos, est ce que le navigateur y aura accès ?)
Lorsqu'on parle de "machine virtuelle", il ne s'agit pas forcément de virtualisation matériel ou de para-virtualisation. Ça peut aussi être de l'isolation de contexte (comme les jails de FreeBSD, les zones de Solaris ou Virtuozzo sous Linux). C'est extrèment performant !
J'administre des serveurs Virtuozzo Linux au taff : à condition d'être branché sur un SAN, on peut faire tourner beaucoup de machine virtuelle sur une même machine physique pas très puissante (sans problème plus de 60 machines virtuelles sur un Dual Core avec 4G de RAM). Le SAN c'est juste parce que les disques dur ne tiennent pas la charge.
Alors faire tourner un navigateur dans une machine virtuelle, ça me parait pas délirant. Faut juste voir l'implémentation (genre si je veux uploader mes photos, est ce que le navigateur y aura accès ?)
Dr_cube
[14/05/2009 08:26]
Je suis d'accord avec ondex : il faut arrêter de penser qu'une machine virtuelle implique forcément une baisse considérable de performances.. C'est une idée reçue (qui vient certainement des débuts de Java).
Sachez en tout cas qu'un système d'exploitation est une machine virtuelle.
sauf que pour ceux qui veulent de la performance au niveau des logiciel ce n'est même pas envisageable.
Je suis d'accord avec ondex : il faut arrêter de penser qu'une machine virtuelle implique forcément une baisse considérable de performances.. C'est une idée reçue (qui vient certainement des débuts de Java).
Sachez en tout cas qu'un système d'exploitation est une machine virtuelle.
ziedjo
[14/05/2009 11:25]
Avec un nom pareil, il ne pouvait que travailler sur des trucs compliqués. Krstić ! Ça se prononce ça ?
Avec un nom pareil, il ne pouvait que travailler sur des trucs compliqués. Krstić ! Ça se prononce ça ?
naas
[14/05/2009 14:37]
un crack en sécurité..... :D
rigolo ça un crack pour de la sécurité :p
un crack en sécurité..... :D
rigolo ça un crack pour de la sécurité :p
Stanley Lubrik
[14/05/2009 21:08]
Pour limiter les effets de passoire sous Windows, il y a l'excellent Sandboxie qui fonctionne en bac à sable. Les applis dont le navigateur Web, ou l'explorateur peuvent fonctionner sans que ce qui y transite ne viennent affecter le reste.
On peut y tester des exécutables sans risques.
Dans l'esprit, c'est l'un des meilleurs anti-virus qui soient.
Pour limiter les effets de passoire sous Windows, il y a l'excellent Sandboxie qui fonctionne en bac à sable. Les applis dont le navigateur Web, ou l'explorateur peuvent fonctionner sans que ce qui y transite ne viennent affecter le reste.
On peut y tester des exécutables sans risques.
Dans l'esprit, c'est l'un des meilleurs anti-virus qui soient.
oomu
[15/05/2009 02:00]
on parle pas forcément d'isoler votre photoshop de votre finder de votre excel
mais par exemple le serveur web Apache
ou juste Safari (globalement tout ce qui est une porte d'entrée)
après tout, léopard a DEJA un équivalent d'accès mandataire sécurisé qui bride Apache, et ce n'est pas anodin à gérer. Mais ils l'appliquent au cas par cas, et vous ne le sentez pas.
Comme selinux ou les jails ou carrément Virtuozzo, rien n'oblige à le faire sur tous les logiciels de votre mac.
-
et de toute façon d'ici 10.7 , 10.8 (ou 11! ) ou peu importe ce que va réellement faire leur nouvelle recrue , même en considérant qu'on voie juste, d'ici là les ordinateurs auront gagné en performance et mémoire. Le progrès des machines ne sert pas à dire "whoaAA j'ai 236 gazillons de ram de libre, qu'est ce qu'il est zoptimizé mon os" mais bel et bien à utiliser ce progrès pour rendre les machines + fiables.
Bref, je suppose qu'apple se mettra à faire un truc radical quand ils estimeront que ca se sentira presque pas.
on parle pas forcément d'isoler votre photoshop de votre finder de votre excel
mais par exemple le serveur web Apache
ou juste Safari (globalement tout ce qui est une porte d'entrée)
après tout, léopard a DEJA un équivalent d'accès mandataire sécurisé qui bride Apache, et ce n'est pas anodin à gérer. Mais ils l'appliquent au cas par cas, et vous ne le sentez pas.
Comme selinux ou les jails ou carrément Virtuozzo, rien n'oblige à le faire sur tous les logiciels de votre mac.
-
et de toute façon d'ici 10.7 , 10.8 (ou 11! ) ou peu importe ce que va réellement faire leur nouvelle recrue , même en considérant qu'on voie juste, d'ici là les ordinateurs auront gagné en performance et mémoire. Le progrès des machines ne sert pas à dire "whoaAA j'ai 236 gazillons de ram de libre, qu'est ce qu'il est zoptimizé mon os" mais bel et bien à utiliser ce progrès pour rendre les machines + fiables.
Bref, je suppose qu'apple se mettra à faire un truc radical quand ils estimeront que ca se sentira presque pas.
oomu
[15/05/2009 02:11]
"
Après Cups, OLPC.
D'un côté, être embauché de cette façon prend l'apparence d'un gain pour une entreprise, et d'une perte pour la communauté du libre, ici plutôt orientée partage des connaissances.
"
pour l'heure, les sombres complotistes de chez Apple n'ont pas fait disparaître Cups de linux. Donc, il semble qu'apple sait laisser un logiciel libre vivre ou qu'ils n'ont aucune possibilité de changer cela. Ils utilisent leurs droits sur cups pour protéger os X.
et toute façon, tout le monde est libre de créer un nouveau projet de cups ou bitfrost, même si apple achetait tous les droits et tout les auteurs et leur pays avec.
-
tout va bien.
-
"D'un autre côté, Google fait pareil avec son SoC, et le but c'est quand même que les meilleurs soient récompensés. Personne n'est vraiment philanthrope.
"
récompenser les meilleurs c'est être philanthrope
travailler comme un dingue pour faire le meilleur boulot, c'est être philanthrope
financer des outils qui vont faire vivre sa propre entreprise mais qui sont aussi accessible à tous c'est être philanthrope
je préfère 1000 fois un philanthrope qui garde une part pour vivre, mais qui apporte régulièrement à tous quelque chose tout au long de sa vie
qu'un philanthrope qui fait un coup d'éclat dément une fois, brûle tout et disparaît.
-
le fondateur de Canonical avait expliqué. Il aurait pu donner toute sa fortune à une asso de logiciel libre et la pérenniser, pourquoi pas?
Où fonder une entreprise linux, essayer d'en vivre, prospérer et changer les choses, financer des travaux avec les gains de l'entreprise et faire quelque chose de DURABLE. C'est Moral aussi.
Ca donne Ubuntu. Ca prends des années, mais ça produit quelque chose de durable et des gens sont payés au passage et en vivent. Travailler à faire du logiciel libre, partageable, bon sang.
Apple et Google donnent cette possibilité aussi. Quel progrès !
L'entreprise n'est pas le mal, le communautaire n'est pas le mal. C'est l'intention qui importe.
"
Après Cups, OLPC.
D'un côté, être embauché de cette façon prend l'apparence d'un gain pour une entreprise, et d'une perte pour la communauté du libre, ici plutôt orientée partage des connaissances.
"
pour l'heure, les sombres complotistes de chez Apple n'ont pas fait disparaître Cups de linux. Donc, il semble qu'apple sait laisser un logiciel libre vivre ou qu'ils n'ont aucune possibilité de changer cela. Ils utilisent leurs droits sur cups pour protéger os X.
et toute façon, tout le monde est libre de créer un nouveau projet de cups ou bitfrost, même si apple achetait tous les droits et tout les auteurs et leur pays avec.
-
tout va bien.
-
"D'un autre côté, Google fait pareil avec son SoC, et le but c'est quand même que les meilleurs soient récompensés. Personne n'est vraiment philanthrope.
"
récompenser les meilleurs c'est être philanthrope
travailler comme un dingue pour faire le meilleur boulot, c'est être philanthrope
financer des outils qui vont faire vivre sa propre entreprise mais qui sont aussi accessible à tous c'est être philanthrope
je préfère 1000 fois un philanthrope qui garde une part pour vivre, mais qui apporte régulièrement à tous quelque chose tout au long de sa vie
qu'un philanthrope qui fait un coup d'éclat dément une fois, brûle tout et disparaît.
-
le fondateur de Canonical avait expliqué. Il aurait pu donner toute sa fortune à une asso de logiciel libre et la pérenniser, pourquoi pas?
Où fonder une entreprise linux, essayer d'en vivre, prospérer et changer les choses, financer des travaux avec les gains de l'entreprise et faire quelque chose de DURABLE. C'est Moral aussi.
Ca donne Ubuntu. Ca prends des années, mais ça produit quelque chose de durable et des gens sont payés au passage et en vivent. Travailler à faire du logiciel libre, partageable, bon sang.
Apple et Google donnent cette possibilité aussi. Quel progrès !
L'entreprise n'est pas le mal, le communautaire n'est pas le mal. C'est l'intention qui importe.
Réagir
Cinq consignes avant de réagir :
- Rester dans le cadre de la dépêche. Pour des discussions plus générales, vous pouvez utiliser nos forums.
- Développer son argumentation. Les messages dont le seul but est de mettre de l'huile sur le feu seront modifiés ou effacés sans préavis par la rédaction.
- Respecter les acteurs de l'informatique et les autres lecteurs. Les messages agressifs, vulgaires, haineux, etc. seront modifiés ou effacés sans préavis par la rédaction.
- Pour toute remarque concernant le contenu de l'article, pour nous signaler une erreur, une faute d'orthographe, une omission, merci de nous contacter exclusivement par e-mail.
- Relisez-vous, et pour les utilisateurs de Safari profitez de l'aide du navigateur : activez le menu édition > Orthographe > Vérifier l'orthographe lors de la frappe.
Mars 2010
ha oui, bitfrost, une idée radicale pour un projet radical.
Triste de voir ce qu'est devenu finalement le projet olpc. Damn Intel !