Korben, roi d’internet, logo bébé avec des lunettes en mode thug life Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

Korben Upgrade your mind

Le mauvais état d’esprit de Peerio

Je vous ai déjà parlé de Nadim Kobeissi chercheur en sécurité et auteur de CryptocatMiniLock et Peerio. Je vous ai d’ailleurs déjà présenté Peerio, un outil de messagerie et de stockage chiffré de bout en bout et open source.

C’était du lourd et du sérieux, Nadim Kobeissi y apportant toute sa crédibilité en tant que cofondateur. Mais dans une série de tweets postés hier, Nadim explique pourquoi il quitte la société Peerio et vous allez voir c’est pas joli joli.

Capture d'écran 2016-01-17 06.24.53

En gros, ce qu’il explique c’est qu’il a subi des pressions pour donner ses droits sur miniLock, un autre de ses outils et surtout des pressions pour signer un papier qui l’empêcherait de s’exprimer à propos de Peerio.

Pourquoi l’empêcher de s’exprimer ? Et bien il semblerait que les mecs à la direction de Peerio aient prévu comme business model d’intégrer une backdoor (porte dérobée) dans les versions privées vendues aux entreprises (sur demande de celles-ci évidemment). C’est moche comme état d’esprit, surtout pour une boite qui base sa réussite sur la confiance que les utilisateurs lui accordent…

C’est à ce moment-là que Nadim Kobeissi a décidé de dire stop et d’expliquer tout cela publiquement, prenant le risque d’être poursuivi au tribunal.

Notez aussi que dans un rapport, la boite de pentesting Cure53 a montré que Peerio contenait plusieurs failles, dont 2 critiques qui permettraient de lancer des attaques XSS via Peerio. Ouille ouille ouille.

Capture d'écran 2016-01-17 06.36.10

Bref, si vous utilisez ce logiciel, vous voilà averti. Toutes mes pensées et mon soutien vont maintenant à Nadim Kobeissi, en espérant qu’il n’aura pas trop d’ennuis.



Réponses notables

  1. skepty says:

    “sémantiquement co-fondateur”??? “il ne fait plus partie de nos équipes aujourd’hui” : on n’avait bien compris que lorsqu’il écrit “I left Peerio” c’est plus ou moins ce qu’il voulait dire.

  2. Y a une grosse différence entre laisser un accès administratif et laisser une faille dans un système de chiffrement (backdoor). Ton raisonnement ne tient pas du tout. Quelqu’un d’autre pourrait exploiter une backdoor, pas forcément un accès maîtrisé.

    Ensuite si l’idée était de créer un chiffrement de bout en bout, je ne vois pas ce que vient faire ce genre de spécification dans le projet. Même pour des raisons légales … y a un moment où il faut choisir son camp.

    Peux-tu éclaircir la partie Minilock ? Parce qu’il était aussi question de ça. Céder ses droits, tout ci tout ça.

  3. D’accord, je comprends mieux de quoi il s’agit. J’ai rien dit … ça me paraît correcte.

    Pour le coup, la signature d’un contrat de confidentialité ne va effectivement pas dans son sens. Je ne connais pas tous les détails (toi non plus apparement), mais je pense qu’on peut oublier le titre de “mauvais état d’esprit de Peerio” … c’est aller un peu vite en besogne.

  4. Backdoor ou pas, un dev détestera toujours les pressions des entreprises. C’est pour cela qu’il y a de plus en plus de dev solo et de plus en plus d’entreprises qui peinent à trouver des dev. C’est comme si on avait demandé à Picasso de faire partie d’une entreprise de peinture et qu’on lui ait dicté comment peindre pour qu’il soit plus rentable ou qu’il soit “administrativement correcte”. Ça ne marche tout simplement pas. Quand on perd un talentueux dev comme Nadim, il faut se demander ce qu’il aurait été nécessaire de faire pour le garder. A moins que le but était de le pousser dehors…

  5. Leemon says:

    D’accord, donc après avoir lu les interventions de Syn, je suis un peu plus mitigé sur Nadim qu’après la lecture de l’article. Le problème c’est que Peerio & co étant des outils sur lesquels la confiance est un élément clef, je ne suis plus convaincu. Peut-être que Nadim a pris la mouche et raconte des sottises pour se venger ou peut-être que Peerio cherche à étouffer des révélations. Difficile de savoir qui croire.

    Pour trancher ce serais vraiment bien que quelqu’un (Korben, en édit de son article ? :wink: ) apporte des faits qui puissent nous permettent de trancher. Car dans le cas où Peerio est irréroprochable, ce serait bête de perdre un tel service juste à cause d’une rumeur lancée qui détruit la confiance de ses clients.

  6. Peux-tu rendres à césar ce qui est à césar ? Je n’ai jamais écrit ça.

    La messagerie si elle gérée par l’entreprise peut être librement consulté par la direction. C’est un outil appartenant à l’organisation, tout comme le poste informatique qu’on peut te fournir, tout comme l’accès internet. C’est de la catégorie fournitures & services. Une entreprise a également l’obligation de traçabilité - c’est pour faciliter les enquêtes judiciaires*. Pour autant je ne suis pas forcément d’accord avec ça … et j’imagine qu’il existe des dérogations légales (= triche) pour permettre de justifier l’intraçabilité d’une boîte professionnel.

Continuer la discussion sur Korben Communauté

15 commentaires supplémentaires dans les réponses

Participants

Vérifiez la sécurité de votre compte Gmail

Je ne recommande à personne d’utiliser une boite mail Gmail pour tout un tas de raisons liées à l’exploitation des données personnelles, au patriot act, en passant par la lecture automatisée des emails…etc.

Toutefois si vous avez encore un compte Gmail, qui plus est, ancien mais encore en activité, il serait peut-être bien de vérifier la qualité de sa sécurité. …

Lire la suite



Comment bloquer Red Shell, le spyware des gamers

Si vous suivez un peu l’actualité du jeu vidéo, vous n’avez surement pas manqué la polémique Red Shell. Cet outil mis sur le marché en 2017 par la société Innervate est très utilisé par les éditeurs de jeux pour mesurer la quantité de nouvelles installations de leurs jeux générés par une pub Facebook, YouTube ou Twitter.

Lire la suite



Mettre en place un backup de Github

C’est cool de faire confiance à des sites pour conserver nos données, mais il peut arriver à un moment que celles-ci disparaissent. Soit parce que vous ne respectez plus les CGU du site, soit parce que le site a subi une panne vraiment importante et que leur processus de sauvegarde a été négligé, soit parce que vous avez vous-même supprimé vos données par erreur tel un gros boulet (ça arrive souvent aussi, même aux meilleurs).

Lire la suite