Korben, roi d’internet, logo bébé avec des lunettes en mode thug life Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

Korben Upgrade your mind

Le mauvais état d’esprit de Peerio

Je vous ai déjà parlé de Nadim Kobeissi chercheur en sécurité et auteur de CryptocatMiniLock et Peerio. Je vous ai d’ailleurs déjà présenté Peerio, un outil de messagerie et de stockage chiffré de bout en bout et open source.

C’était du lourd et du sérieux, Nadim Kobeissi y apportant toute sa crédibilité en tant que cofondateur. Mais dans une série de tweets postés hier, Nadim explique pourquoi il quitte la société Peerio et vous allez voir c’est pas joli joli.

Capture d'écran 2016-01-17 06.24.53

En gros, ce qu’il explique c’est qu’il a subi des pressions pour donner ses droits sur miniLock, un autre de ses outils et surtout des pressions pour signer un papier qui l’empêcherait de s’exprimer à propos de Peerio.

Pourquoi l’empêcher de s’exprimer ? Et bien il semblerait que les mecs à la direction de Peerio aient prévu comme business model d’intégrer une backdoor (porte dérobée) dans les versions privées vendues aux entreprises (sur demande de celles-ci évidemment). C’est moche comme état d’esprit, surtout pour une boite qui base sa réussite sur la confiance que les utilisateurs lui accordent…

C’est à ce moment-là que Nadim Kobeissi a décidé de dire stop et d’expliquer tout cela publiquement, prenant le risque d’être poursuivi au tribunal.

Notez aussi que dans un rapport, la boite de pentesting Cure53 a montré que Peerio contenait plusieurs failles, dont 2 critiques qui permettraient de lancer des attaques XSS via Peerio. Ouille ouille ouille.

Capture d'écran 2016-01-17 06.36.10

Bref, si vous utilisez ce logiciel, vous voilà averti. Toutes mes pensées et mon soutien vont maintenant à Nadim Kobeissi, en espérant qu’il n’aura pas trop d’ennuis.


Vous partez en vacances? Cinq choses à faire en matière d’hygiène cybersécurité avant de partir



contenu proposé par ESET sécurité

Le fait d’être à l’extérieur de l’environnement familier de votre domicile ou de votre bureau peut vous exposer à des menaces imprévues. C’est pourquoi vous seriez bien avisé d’être doublement vigilant en matière de cybersécurité

Quel que soit le ou les dispositifs que vous emportez avec vous, assurez-vous que les systèmes d’exploitation et les applications sont mis à jour pour des correctifs de sécurité, en particulier les logiciels dont les vulnérabilités sont connues pour être souvent exploitées par les cybercriminels. Il est préférable d’automatiser cette routine dans tous les cas où c’est possible, ou du moins de s’assurer que vous recevez des notifications chaque fois qu’une mise à jour est en attente.

Vérifiez deux fois plutôt qu’une que…


Lire la suite



Réponses notables

  1. skepty says:

    “sémantiquement co-fondateur”??? “il ne fait plus partie de nos équipes aujourd’hui” : on n’avait bien compris que lorsqu’il écrit “I left Peerio” c’est plus ou moins ce qu’il voulait dire.

  2. Y a une grosse différence entre laisser un accès administratif et laisser une faille dans un système de chiffrement (backdoor). Ton raisonnement ne tient pas du tout. Quelqu’un d’autre pourrait exploiter une backdoor, pas forcément un accès maîtrisé.

    Ensuite si l’idée était de créer un chiffrement de bout en bout, je ne vois pas ce que vient faire ce genre de spécification dans le projet. Même pour des raisons légales … y a un moment où il faut choisir son camp.

    Peux-tu éclaircir la partie Minilock ? Parce qu’il était aussi question de ça. Céder ses droits, tout ci tout ça.

  3. D’accord, je comprends mieux de quoi il s’agit. J’ai rien dit … ça me paraît correcte.

    Pour le coup, la signature d’un contrat de confidentialité ne va effectivement pas dans son sens. Je ne connais pas tous les détails (toi non plus apparement), mais je pense qu’on peut oublier le titre de “mauvais état d’esprit de Peerio” … c’est aller un peu vite en besogne.

  4. Backdoor ou pas, un dev détestera toujours les pressions des entreprises. C’est pour cela qu’il y a de plus en plus de dev solo et de plus en plus d’entreprises qui peinent à trouver des dev. C’est comme si on avait demandé à Picasso de faire partie d’une entreprise de peinture et qu’on lui ait dicté comment peindre pour qu’il soit plus rentable ou qu’il soit “administrativement correcte”. Ça ne marche tout simplement pas. Quand on perd un talentueux dev comme Nadim, il faut se demander ce qu’il aurait été nécessaire de faire pour le garder. A moins que le but était de le pousser dehors…

  5. Leemon says:

    D’accord, donc après avoir lu les interventions de Syn, je suis un peu plus mitigé sur Nadim qu’après la lecture de l’article. Le problème c’est que Peerio & co étant des outils sur lesquels la confiance est un élément clef, je ne suis plus convaincu. Peut-être que Nadim a pris la mouche et raconte des sottises pour se venger ou peut-être que Peerio cherche à étouffer des révélations. Difficile de savoir qui croire.

    Pour trancher ce serais vraiment bien que quelqu’un (Korben, en édit de son article ? :wink: ) apporte des faits qui puissent nous permettent de trancher. Car dans le cas où Peerio est irréroprochable, ce serait bête de perdre un tel service juste à cause d’une rumeur lancée qui détruit la confiance de ses clients.

  6. Peux-tu rendres à césar ce qui est à césar ? Je n’ai jamais écrit ça.

    La messagerie si elle gérée par l’entreprise peut être librement consulté par la direction. C’est un outil appartenant à l’organisation, tout comme le poste informatique qu’on peut te fournir, tout comme l’accès internet. C’est de la catégorie fournitures & services. Une entreprise a également l’obligation de traçabilité - c’est pour faciliter les enquêtes judiciaires*. Pour autant je ne suis pas forcément d’accord avec ça … et j’imagine qu’il existe des dérogations légales (= triche) pour permettre de justifier l’intraçabilité d’une boîte professionnel.

Continuer la discussion sur Korben Communauté

15 commentaires supplémentaires dans les réponses

Participants