Re: Le Clusif et les logiciels libres

• [^]Re: Le Clusif et les logiciels libres

  Posté par MagicNinja (page perso, ) le 16/01/2004 à 12:16. (lien). Évalué à 1.

  > Mauvaise phrase, changer de phrase.
  Faut donner une version potable alors :)
  
  Euh... "le sentiment de sécurité que peut procurer à certaines personnes l'utilisation de logiciels libres" ? :)

  • [^]Re: Le Clusif et les logiciels libres

    Posté par Tay (page perso, ) le 16/01/2004 à 12:21. (lien). Évalué à 4.

    L'article donné en lien dit "(...)sentiment d'invulnérabilité des logiciel open-source(..)" pourquoi ne pas reprendre l'original? A noter que cela va au delà du logiciel libre (le libre pouvant être vu comme un sous ensemble de l'Open Source.
    
    2 cent...

    --
    Gare au Grand Chauve!

    • [^]Re: Le Clusif et les logiciels libres

      Posté par MagicNinja (page perso, ) le 16/01/2004 à 12:26. (lien). Évalué à 0.

      Effectivement on peut repomper l'article ;-)

• [^]Re: Le Clusif et les logiciels libres

  Posté par Emmanuel Seyman () le 16/01/2004 à 12:28. (lien). Évalué à 0.

  Mea culpa, c'est une coquille.
  C'est bien "le sentiment de sécurité" qu'il fallait lire.

Re: Le Clusif et les logiciels libres

• [^]Re: Le Clusif et les logiciels libres

  Posté par patatorz (page perso, ) le 16/01/2004 à 12:57. (lien). Évalué à 6.

  Il peut y avoir des virus sous Linux, et sous Unix en général. Mais du fait de la gestion des droits utilisateurs, ce serait limité comme effet; c'est sans doute pour cela que l'on voit plus souvent des vers que des virus sous les Unix.
  On est "un peu plus protéger" par défaut que sous Win en somme, mais pas à l'abrit.

  • [^]Re: Le Clusif et les logiciels libres

    Posté par Robert VISEUR (page perso, ) le 16/01/2004 à 13:00. (lien). Évalué à 1.

    Sauf pour les utilisateurs qui sont en root tout le temps, auquel cas ça revient un peu au même que Windows ;) ! De mémoire, Lindows est paramétré par défaut comme cela (ou l'a été, mais je me souviens avoir croisé ça dans le temps).

    • [^]Re: Le Clusif et les logiciels libres

      Posté par let antibarbie = xp <- xp - 1 (page perso, ) le 16/01/2004 à 13:13. (lien). Évalué à 2.

      Nan c'est plutôt les effets des "troyens". Car pour qu'un virus s'incruste dans le système il faut quand même qu'il y ait une faille locale exploitable (sauf année modèle 98 et compagnie).
      
      Maintenant ne pas exécuter les programmes en root c'est une question d'éducation. Le bâton pour se faire battre.

      • [^]Re: Le Clusif et les logiciels libres

        Posté par Vanhu () le 16/01/2004 à 13:38. (lien). Évalué à 7.

        Pas besoin de faille:
        
        Tu es neuneu, on t'ai dit "Linxu c'est sécurisé", tu as installé une distrib quelconque (meme une Debian ou une Slackware !!), tu te logues tout le temps en root, tu recois un mail dans ton kmail/evolution/autre qui contient un binaire en attachement, tu l'executes betement, et hop, le binaire fait ce qu'il veut !
        
        
        La sécurité, c'est une chaine complète de bonne philosophie.
        Une partie des logiciels OpenSource peuvent apporter un maillon a cette chaine (alors que la plupart des outils du monde de Bill ne le sont pas), mais ca ne suffit pas, et en ce sens, ils ont raison !
        
        Et en règle générale, quand tu te sens assez en sécurité pour t'endormir, tu redeviens tout de suite vulnérable !!!

  • [^]Re: Le Clusif et les logiciels libres

    Posté par jojo2002 () le 16/01/2004 à 14:05. (lien). Évalué à 5.

    je reviens encore à la charge sur ce sujet au risque de me faire moinsser.
    
    L'absence de virus sur Linux n'a rien à voir avec la gestion des droits. C'est sa meilleure qualité de code, sa plus faible diffusion et le fait que _pour l'instant_ les gens s'astreignent à la séparation root/user.
    
    Windows gère les différences user/admin mais il est plus répandu, sans doute moins bien programmé et les gens ne s'astreignent pas à faire leur opération sous un autre compte que admin sinon (au choix) leur scanner ne marche pas, ils ne peuvent pas graver, leur (mauvais) antivirus ne se met pas à jour, etc...
    
    Enfin dire je suis user, je m'en fous des virus c'est un faux sentiment de sécurité pour rester dans le ton. Certes mon système ne sera pas compromis mais chez soi ou au boulot posez-vous la question de savoir ce qui est le plus important : vos données non sauvegardées ou votre système que vous pouvez réinstaller ?

    • [^]Re: Le Clusif et les logiciels libres

      Posté par let antibarbie = xp <- xp - 1 (page perso, ) le 16/01/2004 à 16:30. (lien). Évalué à 1.

      Ca n'empêche pas de faire des backups des données utilisateur... ça n'est qu'un autre maillon de la chaîne "sécurité"...

    • [^]Re: Le Clusif et les logiciels libres

      Posté par gloups () le 16/01/2004 à 21:45. (lien). Évalué à 1.

      La mauvaise gestion des droits est une chose, certains systèmes sont plus fiables que d'autres dans leur philosophie, mais ne polémiquons pas sur ce sujet récurrant pour ce concentrer un instant sur d'autres aspects.
      
      Quelquesoit le système, il arrivera toujours un moment ou une faille permettra à un acteur mal intentioné de s'introduire, ce que le Clusif met en lumière et ce qui est vrai.
      
      Donc là, pas de supériorité notable d'un système par rapport à un autre (quoique...)
      
      Cependant je serai tenté de faire une autre distinction : entre systèmes propriétaires et ouverts; et là, d'autres arguments apparaissent :
      - la rapidité de détection de l'origine d'une faille du fait de la recherche simultanée de multiple individu.
      - la proposition de solutions temporaires par de différents individus permettant l'évaluation des solutions et des solutions de contournement.
      - la mise à disposition rapide de la solution optimum (du fait des 2 précédents éléments)
      
      Sur certaines failles importantes, j'ai vu par le passé des corrections et la mise à disposition d'une nouvelle version patché en quelques heures (sur squid à l'époque).
      
      Je doute que les logiciels propriétaires aient actuellement les moyens de faire de même.
      
      Et là, le CLUSIF ne met pas suffisement en valeur ces arguments...

  • [^]Re: Le Clusif et les logiciels libres

    Posté par jigso () le 16/01/2004 à 14:18. (lien). Évalué à 1.

    Mais du fait de la gestion des droits utilisateurs, ce serait limité comme effet;
    
    Pas si le vers essaye d'utiliser une faille comme ptrace ou breakmachinchose, qui lui permettent de passer root... Si GNU/Linux se répand de plus en plus parmi des utilisateurs lambda qui ne patcheront pas le système - pas plus qu'ils ne le font sous Windows -, on ira vers une situation proche de celle que l'on connait (mais peut-être pas avec la même ampleur, certes).

    • [^]Re: Le Clusif et les logiciels libres

      Posté par free2.org (page perso, ) le 16/01/2004 à 14:52. (lien). Évalué à 2.

      pour limiter ce genre de failles systrace est assez facile à utiliser (interface graphique interactive en option), mais c'est pas pour des débutants bien évidemment...
      
      http://systrace.org(...)

  • [^]Re: Le Clusif et les logiciels libres

    Posté par choocroot () le 16/01/2004 à 15:28. (lien). Évalué à 4.

    « Mais du fait de la gestion des droits utilisateurs, ce serait limité comme effet; »
    
    Ne pas oublier les failles en local de type privilege escalation comme la série des ptraces. Dans ce cas un virus « utilisateur » pourrait passer « root » et corrompre tout le système et plus si affinités.
    
    Même sous Linux, un virus « utilisateur » serait tout aussi « emmerdant » qu'un virus sous Windows. Un simple script/virus/troyen peut effacer tous les fichiers de l'utilisateur. Certe, ce n'est pas tous les fichiers systèmes, mais dans la majorité des cas, les documents utilisateurs sont bien plus importants que les fichiers systèmes qu'on peut facilement réinstaller. Alors que pour un document effacé c'est rarement le cas. Mais c'est vrai que j'oublie que TOUT le monde fait des sauvegardes RÉGULIÈREMENT ;)
    
    A mon avis, un element de sécurité indiscutable de Linux c'est celui offert par la diversité :
    - Diversité d'architecture : un exploit de buffer overflow avec un shellcode pour ia32 ne fonctionnera pas sur PCC ou bien sur Sparc, HPPA, etc.
    - Diversité des logiciels : logiciels de mail, mais aussi de navigation web, etc.
    - etc.
    
    Je pense aussi qu'une distribution unique de Linux (Debian ou RedHat ou SuSE ou ...) et un desktop unique (Gnome ou KDE) serait néfaste à la sécurité. On se retrouverait finalement dans le même scénario que Microsoft avec un système et des applications identiques sur toutes les machines, et donc une perte de diversité qui entrainerait une vulnérabilité/propagation plus élevé en cas de virus.

    • [^]Re: Le Clusif et les logiciels libres

      Posté par dany () le 16/01/2004 à 16:29. (lien). Évalué à 3.

      Est ce qu'à la base de cette meilleure sécurité il n'y a pas tout simplement le fait que les utilisateurs (actuels) de linux sont conscients des dangers potentiels et plutôt imperméables au discours ambiant sur "l'informatique simple comme bonjour" qui a prévalu chez tous les vendeurs depuis deux décennies.
      Il est certain que le jour ou linux sera installé par défaut l'affaire pourrait être différente.
      Par contre, il serait bon de tenir compte également de la meilleure disponibilité d'outils de test, de contrôle, de documentation, le tout accessible librement et sans frais ce qui permet aux gens plus ou moins interressés de découvrir la question et de l'approfondir.

• [^]Re: Le Clusif et les logiciels libres

  Posté par Eudoxe (page perso, ) le 16/01/2004 à 12:59. (lien). Évalué à 6.

  D'après "Citations du Monde", c'est de Thomas Jefferson.

  • [^]Re: Le Clusif et les logiciels libres

    Posté par ploum (page perso, ) le 16/01/2004 à 13:18. (lien). Évalué à 1.

    merci ! C'était bien un président américain :)

  • [^]Re: Le Clusif et les logiciels libres

    Posté par Яник () le 16/01/2004 à 13:58. (lien). Évalué à 1.

    D'après :
    
    

    fortune politics -i -m Franklin

    
    
    C'est Benjamin Franklin qui aurait dit ça...
    
    Yannick

• [^]sentiment de sécurité

  Posté par ghunt (page perso, ) le 16/01/2004 à 13:47. (lien). Évalué à 4.

  "Ceux qui sont prêt à sacrifier un peu de leur liberté pour plus de sécurité ne sont dignes ni de l'un, ni de l'autre"
  
  (Je pense que c'est de Georges Washington... Ou au moins un président américain)
  Pour info, c'était Thomas Jefferson (un Président Américain).
  
  Quoi qu'il en soit, un OS, quel qu'il soit (propriétaire, libre, open-source ou quelle que soit la licence) ne sera jamais 100 % sûr, bug-free etc.
  
  Ce qui les différencie, c'est le mode de développement, leur finalité (pour le partage des connaissance, pour faire du fric, etc.) et leur mode de distribution.
  
  Une autre différenciation est la rapidité de réaction lorsqu'une faille est découverte et la facilité qu'ont les utilisateurs à boucher cette faille.
  L'impression que j'ai à ce niveau est la suivante [1]:
  l'open-source réagit plus vite.
  le propriétaire est plus facile à appliquer (patch windows, click-click-click)
  
  L'article pointe selon moi un problème fondamental: le faux sentiment de sécurité.
  Qui n'a jamais entendu dire que sous Linux, il n'y a pas de virus? Or des virus existent. Ils ne se propagent pas de la même manière que sous MS Windows et ils ne font probablement pas autrant de dégâts (puisqu'ils s'attaquent à l'utilisateur, qui ne devrait en aucun cas être root [2]).
  Qui n'a jamais entendu dire que tel OS est moins vulnérables aux utilisateurs non-autorisés et mal intentionnés qu'un autre (BSD Vs. Linux Vs MS WIN). On a la sécurité que l'on veux en configurant sa machine.[3] La machine qui est la moins vulnérable à ce point de vue est celle qui est enfermée quelque part sans possibilité d'accès local ou distant.
  
  [1] Impression personnelles que nul n'est obligé de partager.
  [2] Conseil normalement donné à tous les débutants *nix.
  [3] En ayant les programmes ad hoc et en prenant le temps de la configuration.

  • [^]Re: sentiment de sécurité

    Posté par Julien Portalier (page perso, ) le 16/01/2004 à 15:09. (lien). Évalué à 3.

    > L'impression que j'ai à ce niveau est la suivante [1]:
    > l'open-source réagit plus vite.
    > le propriétaire est plus facile à appliquer (patch windows, click-click-click)
    
    C'est pas faux du tout ça, et j'avoue partager ce point de vue. Il est plus facile d'installer un nouveau paquet patché que de devoir patcher soi-même les sources et se reconstruire un paquet. Même si ça restera toujours la méthode la plus rapide. Le problème pouvant naître justement de ce temps de test du patch avant d'avoir un paquet corrigé, ce qui entraînerait un surcout sur le temps de réaction. Donc à être moins réactif au final...
    
    > des virus existent. Ils ne se propagent pas de la même manière que
    > sous MS Windows et ils ne font probablement pas autrant de dégâts
    > (puisqu'ils s'attaquent à l'utilisateur, qui ne devrait en aucun cas
    > être root [2]).
    
    Oui, le système en lui-même devrait être épargné (tant qu'il ne s'agit pas de quelqu'un qui aurait des droits spéciaux, comme « staff » par exemple). Néanmoins même sur sa configuration privée il faut toujours pouvoir utiliser certaines applications en tant que root, et que ça devient vite lourd de devoir tout le temps faire « su -c » et de taper son passwd root à chaque fois. Alors on configure un violent sudo sur son user, et là niveau sécu, s'pas très top ...
    
    Ensuite, même un virus qui ne s'attaquerait qu'aux données de l'utilisateur, moi je dis que c'est peut-être le pire : un système on peut en réinstaller un assez rapidement (Debian netinstall, quelques gros apt-get et le Desktop il est ok en une demi journée). Mais perdre ses quelques gigas de données persos, là c'est le boules quand même, et on peut pas les retrouver. Sauf si on est prévoyant et qu'on a des systèmes de sauvegardes. Mais quel est le user qui sauvegarde régulièrement ses données ?

• [^]Re: Le Clusif et les logiciels libres

  Posté par fredix (Jabber id, page perso, ) le 16/01/2004 à 14:08. (lien). Évalué à 2.

  xscreensaver simule des plantages de divers OS, dont Windows et Linux. L'effet est radical :)

  --
  RubyFrance

• [^]Re: Le Clusif et les logiciels libres

  Posté par totoro () le 16/01/2004 à 14:57. (lien). Évalué à 1.

  C'est pas Thomas Jefferson plutot ?

  --
  dyslectics have more fnu

Re: Le Clusif et les logiciels libres

• [^]Re: Le Clusif et les logiciels libres

  Posté par Robert VISEUR (page perso, ) le 16/01/2004 à 12:50. (lien). Évalué à 4.

  J'avais développé ce thème il y a quelques moins de cela (http://www.logiciellibre.net/2003/news20031127.php(...) ), d'autant que Sun à l'époque faisait une grosse récup' de Lovsan pour refiler son Mat Hatter.
  J'ai toujours trouvé que mettre en avant les qualité du Libre en matière de sécurité, c'est bien (car c'est vrai) mais que tomber dans la caricature "LL=forteresse imprenable" et "Windows=passoire" est contre-productif. Notamment car l'aspect humain (confifuration correcte, installation de correctifs, etc) reste fondamental, quelque soit l'outil utilisé.
  C'est bien qu'un organe reconnu comme le CLUSIF développe le sujet.

sur France Info à l'instant

• [^]Re: sur France Info à l'instant

  Posté par Colin Leroy (page perso, ) le 16/01/2004 à 12:54. (lien). Évalué à 7.

  "Pas très gentil" ? C'est pourtant juste.
  On veut quoi, exactement ? N'entendre que du bien de l'open source et faire l'autruche face à quiconque ose émettre une critique ?
  
  On se plaint des infos biaisées pro-microsoft, et on voudrait des infos biaisées pro-OSS, c'est ça ?
  
  (goodbye sweet XPs...)

  --
  Claws Mail - it bites!

• [^]Re: sur France Info à l'instant

  Posté par yak () le 16/01/2004 à 12:55. (lien). Évalué à 2.

  Ce n'est pas lui qui est à l'origine de l'information. Il communique sur le rapport du Clusif.
  
  Et dire du mal des logiciels libres c'est systématiquement "pas très gentil" ??
  
  J'espère qu'il reste encore la "liberté" d'être critique et de ne pas être d'accord avec certains excès communautaristes du monde des LL.

  • [^]Re: sur France Info à l'instant

    Posté par Annah C. Hue (page perso, ) le 16/01/2004 à 14:19. (lien). Évalué à 4.

    J'espère qu'il reste encore la "liberté" d'être critique et de ne pas être d'accord avec certains excès communautaristes du monde des LL.
    Moi je vois que quand on ose critiquer microsoft, une horde de bien-pensants arrive immédiatement pour crier au scandale. Etrangement, quand microsoft fudde à mort, ces bonnes gens ne se montrent plus. Mais bon là n'est pas le propos.
    
    Donc, ce rapport mériterait d'insister sur le fait qu'utiliser des logiciels libres n'est pas suffisant pour avoir un niveau de sécurité acceptable, mais que c'est UNE CONDITION NECESSAIRE :
    - les logiciels dont les sources sont fermées ne peuvent garantir leur sécurité
    - les logiciels dont les sources sont ouvertes le peuvent.
    
    L'argument "personne ne lit les sources donc ça n'apporte aucune sécurité" est un mensonge éhonté, l'obscurantisme des logiciels fermés empêche un audit sérieux, mais surement pas les trous de sécurité.
    
    Le rapport du clusif va encore faire croire que les logiciels propriétaires sont autant capables de sécuriser une architeture, car le communiqué de presse porte à confusion. C'est dommage.

    • [^]Re: sur France Info à l'instant

      Posté par Bilbo () le 16/01/2004 à 14:30. (lien). Évalué à 2.

      Donc, ce rapport mériterait d'insister sur le fait qu'utiliser des logiciels libres n'est pas suffisant pour avoir un niveau de sécurité acceptable, mais que c'est UNE CONDITION NECESSAIRE
      Je suis complétement d'accord. Je n'ai lu nul part dans ce rapport une vraie critique des logiciels libres, juste une (re)mise en garde.
      
      Pour moi, la vraie problématique se résume à ça : c'est pas parce que t'as installé une Debian stable et que tu fais un "apt-get upgrade" tous les quarts d'heure que tu peux te permettre de lire des mails en root et/ou de configurer ton apache avec les pieds.
      
      En fait, ce rapport ne fait que faire redescendre les gens sur terre. Le libre, c'est (très) bien, mais c'est pas pour ça qu'il faut faire n'importe quoi avec.

    • [^]Re: sur France Info à l'instant

      Posté par Benjamin François (page perso, ) le 16/01/2004 à 15:19. (lien). Évalué à 1.

      Moi je vois que quand on ose critiquer microsoft, une horde de bien-pensants arrive immédiatement pour crier au scandale.
      
      Ah bon ? Où ? Quand ?

    • [^]Re: sur France Info à l'instant

      Posté par Barbapapa () le 19/01/2004 à 12:56. (lien). Évalué à 1.

      Quand on veut défendre un point de vue, c'est sympa de le faire avec de vrais arguments et non en hurlant espérant intimider ses interlocuteurs et ses contradicteurs.
      
      Pour quelle raison mystérieuse voire magique un logiciel fermé ne pourrait-il pas garantir une bonne sécurité ? Si l'équipe de développement est composée de personnes compétentes et qui ont le temps de bien travailler, je ne vois pas pourquoi ils devraient aboutir à une passoire (sans doute ensorcelés par une malédiction).
      
      L'argument "personne ne lit les sources donc ça n'apporte aucune sécurité" est un mensonge éhonté
      
      Super !! Tu vas pouvoir me donner des statistiques, me fournir des URL d'études qui montrent noir sur blanc que le moindre logiciel libre est analysé, disséqué dans ses moindres recoins par des milliers de gentils hackers qui vont ensuite s'empresser d'envoyer des patchs de sécurité.
      
      Selon toi, par une malédiction tout aussi mystérieuse que la précédente, un logiciel fermé ne peut être audité. Pourquoi ? Mystère...

  • [^]Re: sur France Info à l'instant

    Posté par Stéphane Le Béchennec () le 16/01/2004 à 15:21. (lien). Évalué à 3.

    Ce matin, l'intervention du journaliste de France-Info à propos de la sécurité des logiciels libres et de la recrudescence des virus m'a interpellé. Pour quelqu'un qui peut être intéressé par Linux, le seul nom de logiciel cité, la courte chronique peut prêter à confusion, et l'amalgame peut être facile. Je ne sais pas quelle est la population des auditeurs de France-Info, mais j'imagine que nombre de ceux-ci ont un lien avec le SI de leur entreprise...
    
    Le journaliste faisait référence au document publié par le CLUSIF qui publie un panorama de la cybercriminalité. En fait, pour la forme, il s'agit d'un document au format "présentation" de 115 pages, et pour le fond, un recensement des méchancetés faites à l'encontre de divers systèmes d'information en 2003.
    
    Un chapitre (8 "slides"!) du document du CLUSIF (CLUb de la Sécurité des Systèmes d'Information Français) concerne le logiciel libre et revient sur les principaux faits et faiblesses apparus au cours de l'année 2003 en s'interrogeant sur la surestimation de la sécurité du LL.
    
    Quelques questions intéressantes sont posées ("La multiplication des projets et l'intérêt grandissant pour le libre peuvent-ils être des facteurs agravant la sécurité des systèmes?", "La sécurité des OS OpenSource a-t-elle tendance à être surestimée?", "La gestion des correctifs peut-elle devienir un facteur important dans le déploiement des OS libres?"), mais aucune réponse, aucune analyse de l'impact des failles apparues ne sont faites. Et, en particulier, aucun parallèle entre l'impact de ces faiblesses et les effets des logiciels propriétaires tant au niveau qualité que sécurité dans les entreprises n'apparait dans ce que j'hésiterai donc à appeler "panorama".
    
    Digression : ce n'est pas la première fois que France-Info, comme d'autres médias, ainsi qu'à d'autres sujets, cède à la facilité de retranscrire l'information en provenance d'une source unique. Cela ne fait que renforcer mon scepticisme quant à la qualité des informations qui nous sont données.
    
    Je me pose aussi une question : la cybercriminalité est-elle un sujet vendeur?

Re: Le Clusif et les logiciels libres

• [^]Re: Le Clusif et les logiciels libres

  Posté par Paul POULAIN (page perso, ) le 16/01/2004 à 13:37. (lien). Évalué à 6.

  Moi, la réponse que je trouve à ce genre de propos, c'est : et les serveurs webs ?
  IIS a 25% du marché, Apache 60%. Donc, selon le 1° point, ca devrait être la principale cible.
  D'autant que selon le 2 et le 3, ca sera plus facile.
  Sauf que...
  je ne connais pas de ver qui se soit propagé sous Apache.
  Des vers IIS qui encombrent les logs apache, oui !
  Mais des CodRed et autre, j'ai point vu avec Apache.
  
  Donc, les arguments ne tiennent pas.
  Je sais que je prèche des convaincus ici. Mais bon, cet argumentation est imparable, en tous cas, j'ai encore vu personne la contredire avec de bons arguments !

  • [^]Re: Le Clusif et les logiciels libres

    Posté par Robert VISEUR (page perso, ) le 16/01/2004 à 13:39. (lien). Évalué à 1.

    Je ne connais pas l'historique du Libre en matière de sécurité, mais si tu refais la démonstration avec Sendmail ou Wu-FTP par exemple, je crois que c'est moins brillant... Il faudrait une vue d'ensemble, plutôt que de s'en tenir toujours à Linux ou Apache.

    • [^]Re: Le Clusif et les logiciels libres

      Posté par indigo (page perso, ) le 16/01/2004 à 13:53. (lien). Évalué à 2.

      Surtout qu'apache a connu son lot de failles de sécurité. Que celles-ci n'aient pas été exploitées par un vers ne veut pas dire pour autant qu'elles n'étaient pas sérieuses.
      
      Par exemple : le chunk encoding remote buffer overflow aurait pu faire pas mal de bruit si il avait été exploité.
      
      http://httpd.apache.org/security_report.html(...)

    • [^]Re: Le Clusif et les logiciels libres

      Posté par gnap gnap (page perso, ) le 16/01/2004 à 14:01. (lien). Évalué à 3.

      Tu connais un serveur de mail ou ftp sous windows qui soit aussi largement utilisé que sendmail et wu-ftpd ?

      • [^]Re: Le Clusif et les logiciels libres

        Posté par Robert VISEUR (page perso, ) le 16/01/2004 à 15:45. (lien). Évalué à 2.

        Sans doute pas (Sendmail a près de 80% de parts de marché selon des chiffres récents).
        Tu connais un os pour poste de travail aussi largement utilisé que Windows (95%) ? Tu connais un navigateur Internet aussi largement utilisé que Internet Explorer (90%) ? Tu connais un client mail aussi largement utilisé qu'Outlook ?
        D'accord que la diffusion et l'ouverture vers l'extérieur joue un rôle dans la découverte de failles. Mais avec des raisonnements comme celui-là, on pardonne toutes les failles de la plupart des logiciels Microsoft, sous prétexte qu'ils sont massivement utilisés...

    • [^]Re: Le Clusif et les logiciels libres

      Posté par Paul POULAIN (page perso, ) le 16/01/2004 à 16:46. (lien). Évalué à 2.

      GROSSE différence entre Sendmail/wu-ftp : tout le monde (même les développeurs) reconnaissent que c'est mal codé, et "délicat" à paramétrer correctement.
      Demande à ms ce qu'ils disent de IIS :-D

  • [^]Re: Le Clusif et les logiciels libres

    Posté par tfing () le 16/01/2004 à 14:02. (lien). Évalué à 3.

    > je ne connais pas de ver qui se soit propagé sous Apache.
    
    raté, mais c'etait bien tenté :
    http://www.securiteam.com/unixfocus/5PP0B2A8AA.html(...)
    ;)
    
    le ver slapper a pas mal fait parler de lui quand meme
    bon d'accord c'est pas du pur apache parce qu'il utilisait une faille dans mod_ssl mais la propagation s'est quand meme faite en passant par apache

    • [^]Re: Le Clusif et les logiciels libres

      Posté par Paul POULAIN (page perso, ) le 16/01/2004 à 16:45. (lien). Évalué à 2.

      moi yen avait été prudent ! j'ai dit "je ne connais pas". Bon, maintenant, c'est sur que si je redis ca, ca sera un mensonge. Mais quand je l'ai dit, c'était vrai.
      
      Donc maintenant, je dirais :
      "je ne connais qu'un ver qui se soit propagé sous Apache, et il ne concernait que certaines fonctions désactivées par défaut, et active sur une minorité de serveurs".
      Ca va comme ca ? :-D

      • [^]Re: Le Clusif et les logiciels libres

        Posté par pappy (page perso, ) le 16/01/2004 à 18:35. (lien). Évalué à 1.

        non, toujours pas :-(
        
        Recherche sur scalper, li0n, Ramen ... et d'autres pour d'autres services ;-/

  • [^]Re: Le Clusif et les logiciels libres

    Posté par Thierry Boudet (page perso, ) le 16/01/2004 à 17:42. (lien). Évalué à 1.

    Sauf que...
    je ne connais pas de ver qui se soit propagé sous Apache.
    
    Ah ben si, il y en a eu, j'en ai vu un de mes yeux. Celui dont on cause là:
    
    http://www.derkeiler.com/Mailing-Lists/securityfocus/incidents/2002(...)

    --
    ( blog )

  • [^]Re: Le Clusif et les logiciels libres

    Posté par Wharf () le 16/01/2004 à 20:33. (lien). Évalué à 1.

    Quand on parle sécurité: Il n'y a pas que les virus, il y a aussi les hackers.
    
    moi je préfère du concret:
    Sur le site du CERTA qui est LE seul site officiel de réfèrence des failles de sécurité,
    http://www.certa.ssi.gouv.fr/site/index2.html#avis(...)
    
    Va voir la liste des 20 derniers avis: Autant de faille exploitables par des hackers.
    Cette fois-ci rien pour MS dans la liste, je doute que ca dure, mais c'est révélateur qu'ils améliorent la qualité de leurs produits.

    • [^]Re: Le Clusif et les logiciels libres

      Posté par Gohar () le 19/01/2004 à 21:57. (lien). Évalué à 2.

      Les hackers? Tu voulais peut-être dire les crackers, non?
      
      http://catb.org/~esr/jargon/html/C/cracker.html(...)

• [^]Re: Le Clusif et les logiciels libres

  Posté par Olivier () le 16/01/2004 à 13:38. (lien). Évalué à 1.

  Etait-ce une conférence où il était possible d'intervenir à la fin de celle-ci ? Si oui ... j'espère que quelqu'un aura argumenter avec l'orateur par rapport à son point de vue ... car si on laisse passer de tels propos, les gens venus écouter ... dans un but d'information repartent avec une version erronée.

  • [^]Re: Le Clusif et les logiciels libres

    Posté par golgoth13 () le 16/01/2004 à 19:21. (lien). Évalué à 1.

    Oui c'était tout à fait ça. C'était la fin, les gens partaient/voulaient partir, enfin bref. Je n'ai pas de grands talents d'orateurs non plus et j'ai laissé courrir. Je sais j'aurais pas dû...

• [^]Re: Le Clusif et les logiciels libres

  Posté par Olivier (page perso, ) le 16/01/2004 à 13:40. (lien). Évalué à 5.

  Le code source ouvert permet de trouver les failles et de les exploiter
  
  C'est le discours classique de ceux qui pensent que la meilleur sécurité s'obtient pas l'oburentisme et le manque d'informations. C'est typiquement ce qui s'est passé au niveau des cartes banquaires : Tant que personne ne decouvre le truc, ca marche. Et puis quand il y a tro pde fraude, on change le système (et accessoirement, ce sont les commercants et les clients qui payent l'ardoise).
  
  Il serait intéressant de lui demander ce qu'il pense de l'application de cette technique à CSS, le système de cryptage des DVD : Tout repose sur une serie de codes, dont un a été trouvé par un adolescent de 15 ans(*) dans un lecteur de DVD Windows... 4 ans plus tard, et bien que les techniques de décryptage des DVD aient évolées (libdvdcss), le consortium de DVD ne peut toujours pas empécher la lecture des films par des logiciels n'ayant pas payés leur license (mplayer, xine, etc)....
  
  Le reste de son discours est typique de certains dirigeants : Tant que personne ne sait qu'il y a un problème, le problème n'existe pas...
  
  (*) Son age n'enlevant en rien les capacités de ce garçon

  • [^]Re: Le Clusif et les logiciels libres

    Posté par Ackira () le 16/01/2004 à 20:42. (lien). Évalué à 1.

    http://linuxfr.org/~Ackira/8275.html(...)
    
    je précise que tu ne dois rien connaitre à l'histoire de DVD Jon, mais c'est juste pour la précision.
    Je n'en connais pas plus :)

• [^]Re: Le Clusif et les logiciels libres

  Posté par shbrol () le 16/01/2004 à 13:51. (lien). Évalué à 5.

  Devant ce genre de discours, une bonne question a poser c'est:
  "pouvez vous nous donnez des informations sur les vitesses d'arrivée de patches entre Windows/Linux ?"
  C'est suffisamment ouvert pour ne pas passer pour un intaigriste, et il y a de forte chances que ton interlocuteur se ridiculise dans sa réponse.
  
  (parano)
  La DST utilise Windows, et lui fait confiance parce que c'est propriétaire, alors
  ca fait peur. Ou bien la DST sait parfaitement à quoi s'en tenir, mais elle veut que tu utilises Windows par ce que ca lui facilite le travail (et ca fait peur aussi).
  (/parano)

  • [^]Re: Le Clusif et les logiciels libres

    Posté par gnap gnap (page perso, ) le 16/01/2004 à 14:04. (lien). Évalué à 1.

    L'autre question c'est : qui peut faire un patch ?
    
    N'importe qui peut faire un patch pour un logiciel libre. N'importe quelle boite peut faire appel à une autre boite pour s'assurer que ses systèmes sont sécurisés, patchés. C'est pas plus idiot et forcément plus cher que de payer des licences à une boite qui est libre de ne pas faire de patch et qui est la seule à pouvoir faire un patch.

  • [^]Re: Le Clusif et les logiciels libres

    Posté par Caeies () le 16/01/2004 à 14:06. (lien). Évalué à 1.

    La deuxième réponse me parait la plus probable ... quoique ... il suffit de voir les bourdes que ceux-ci font de temps en temps :p.
    
    Caeies

  • [^]Re: Le Clusif et les logiciels libres

    Posté par Matho (page perso, ) le 16/01/2004 à 14:37. (lien). Évalué à 2.

    Non la DST n'utilise pas Windows.
    
    Ils font croire qu'ils l'utilisent pour mieux t'attrapper petit canard.
    :x
    
    Oups j'en ai trop dit. A dans 30 ans, des que je sortirais de prison.
    :/

linux pour éviter détournements de comptes bancaires

Re: Le Clusif et les logiciels libres