Tout d’abord un grand merci pour ces promptes réponses !

Je commence à mieux cerner les différents termes et cas de figure. C’est vrai que lorsque l’on touche à de l’immatériel, tout est possible.

Cacher le code et la structure, je suppose que celà se fait pour éviter le plagiat, voire le détournement du logiciel. Peux-tu m’en dire plus sur l’analyse de Skype par EADS (entreprise en pleine actualité d’ailleurs pour d’autres faits) et par les chinois ? Quelles étaient leurs motivations ? Espionnage industriel ? Autre objectif ?

Quand tu évoques les audits de sécurité, je suppose que tu mets en place toute une batterie de tests afin de jauger le logiciel en question, sans savoir exactement comment il fonctionnne mais plutôt savoir comment il va réagir face à un évement extérieur (attaque volontaire, phénomène technologique ou naturel…). En apparté, ceci est très difficile à réaliser dans le cas des audits financiers… L’analyse, rien que l’analyse ! (sauf dans le cas des audits des logiciels de gestion bien entendu)

Sur ce je te souhaite une excellente poursuite d’activité dans ce magnifique pays qu’est la Suisse.

A bientôt.

Ghost

bonne question que tu me poses ici. En fait je pourrai te renvoyer directement vers la définition de la wikipédia que je te laisse lire, mais je préfère rapidement expliquer cela :

Ta seconde vision concernant le monde industriel est exacte, et c’est de celle là que l’on fait allusion dans le monde logiciel : un programme (ou une fonction) possède une ou des entrées, une ou des sorties, et traite les données. Si ce traitement est inconnu ou non compréhensible on a tendance à parler de boîte noire. Certains algorithmes de chiffrement (les mauvais, soyons clair!) optent pour cette approche aux allures mystérieuses et leurs concepteurs partent du principe que si l’on cache le contenu du programme c’est mieux pour tout le monde. C’est ce que l’on appelle “la sécurité par l’obscurité”, qui n’est en fait obscure que pour le néophyte et les commerciaux ! Skype en est un exemple flagrant, on sait à quoi sert le programme mais celui-ci est si fortement protégé chiffré et surchiffré que personne ne sait comment il fonctionne… ou du moins ne savait pas, car en y passant du temps, on y arrive toujours : au moins les équipes d’EADS et la Chine ont tout démonté.

L’approche “boite noire” sert également aux audits de sécurité, lorsqu’on doit rendre compte du niveau de sécurité d’un ensemble ou sous-ensemble de composants dont on n’a pas [le temps|l'envie|les capacités] pour les analyser en détail. Par extension l’approche “boîte blanche” s’effectue lorsque l’on a tous les codes sources et éléments à disposition, et l’approche “boîte grise” correspond à l’obtention indirecte des éléments permettant de comprendre les fonctions de l’élément analysé.

Pour en revenir à tes questions, BlackBox est aussi un nom de société spécialisée en connectique et… en vente de boîtiers noirs !

Enfin, non ton jeu tournant sur Ms-Dos et basculant sur une capture d’écran de Multiplan n’est pas une blackbox, mais intègre une fonctionnalité cachée, appellée “Easter Egg” (relative au fait que l’on part souvent à la chasse aux oeufs de Pâques !).

Pour faire une rapide synthèse :

BlackBox : se dit lorsqu’un logiciel doit être audité sans en posséder les éléments constitutifs, sources et documentation.

Easter Egg: fonctionnalité cachée intégrée dès la conception dans le logiciel mais activable par l’utilisateur sous certaines conditions (touches, code, etc.). On peut en trouver par tâtonnement, ou en optant pour une approche d’analyse “bo’ite grise”

Backdoor : fonctionnalité cachée intégrée dès la conception dans le logiciel mais inconnue de l’utilisateur, permettant à une personne malveillante de s’introduire via le logiciel sur le système d’information de l’utilisateur à son insu.

Bombe logique : fonctionnalité cachée intégrée dès la conception dans le logiciel mais inconnue de l’utilisateur, permettant à une personne malveillante de modifier les fontionnalités du logiciel le logiciel ou à effectuer des actions malveillantes (chantage, effacement de données, etc.) à l’insu de l’utilisateur.

Très intéressant cet article sur les “black box”.

Où puis-je trouver une définition “exhaustive” de ce que peuvent être les black box ? Je connais la notion de boite noire dans le domaine des transports (aérien, ferroviaire, maritime et routier) ainsi que celle de black box dans l’entreprise (input —> BLACK BOX —> output - version simplifiée voire simpliste d’un process, ce dernier restant à analyser et à modéliser). Mais dans un logiciel ??? Je me souviens d’une fonction d’un jeu tournant sous MS-DOS qui permettait, en cas d’intervention innopinée de son supérieur, de basculer sur Multiplan ! Peut-on dire qu’il s’agit d’une black box ?

Quels sont les types de black box que l’on peut rencontrer le plus fréquemment ?

Que de question !!!

Amclt.

Ghost