Humeur : Réactions au site pecephobie.be
Posté par Miguel Quaremme (page perso, ). Modéré le 27 octobre 2005.
Je me tiens, ainsi que le BxLUG et LiLiT, à votre disposition pour tout
complément d'information.
Merci de bien vouloir diffuser la lettre le plus largement possible.
NdM : Le site Pecephobie est une initiative du gouvernement belge visant à sensibiliser les citoyens à l'utilisation d'internet en toute sécurité.
![[fr]](../images/fr.png)
Lettre ouverte à Peter Vanvelthoven (2325 hits)-
BxLUG (333 hits)
-
LiLiT (225 hits)
-
FSUGAr (703 hits)
-
Les recettes du site (accès Blindsurfer) (624 hits)
-
Le site pecephobie.be (2047 hits)
> Lire la dépêche (159 commentaires, moyenne: 2,5).
Vous avez demandé le commentaire #642126.
nan rien...
Le premier remède parle des virus, des spams, des spywares, des accès non-autorisés, mais oublie que le système d'exploitation qui est la première victime de ce genre de dangers est MS-Windows. On propose donc d'ajouter des mesures de protection en plus, plutôt que de se tourner vers des systèmes d'exploitation configurés pour garantir une sécurité importante à leurs utilisateurs comme par exemple GNU/Linux.
La mauvaise foi visiblement ne gene pas certains. En quoi est-ce que GNU/Linux va offrire une securite plus importante ?
Un spyware qui s'installe sur le compte d'un utilisateur a travers une faille de Galeon/Konqeror/Firefox va disparaitre par magie car c'est Linux ?
[^]Re: nan rien...
Par exemple:En faisant ce que la 6.0 de windows feras (je crois), c'est à dire encourager par défaut l'utilisation de comptes non privilégiés et en mettant à jour même les applications tierces.
En proposant, souvent gratuitement, PaX, virtualisation, Netfilter ...
En étant moins répandu, même si c'est triste à dire : les spywares sous windows sont plus rentables.
En ayant une meilleur réputation vis à vis des concepteurs de vers.
En décourageant l'utilisateur d'installer des logiciels qui ne sont pas fournis par les système de packaging de la distribution.
(sans parler de ceux qui pensent qu'un code libre est intrinsèquement plus sûr)
Y'a peut être d'autres raisons. Je ne sais pas auxquelles pensait l'auteur de la news.
Respect à RMS.
[^]Re: nan rien...
Un compte non privilegie n'y change rien justement, le spyware s'installe sur le compte de l'utilisateur(root ou pas) car Firefox tourne avec les droits de l'utilisateur, et il y reste.
Netfilter n'y change rien non plus, il va pas arreter un spyware dans une page web, il a le meme effet que le firewall de XP.
En étant moins répandu, même si c'est triste à dire : les spywares sous windows sont plus rentables.
En ayant une meilleur réputation vis à vis des concepteurs de vers.
Oui, mais rien de cela n'a trait a la config du systeme, qui est l'explication donnee dans le texte.
[^]Re: nan rien...
En fait, ta question à laquelle j'essayais de répondre ne mentionnais pas les spyware mais le cas plus général de la sécurité.À la base je répondait à ta question de savoir ce qui pouvait rendre GNU/Linux plus sûr.
C'est vrai que l'auteur aurait peut être pas dû présenter ces atouts comme un simple question de configuration (à moins que le mot "configuration" soit pris comme synonyme de "situation", je crois que c'est possible).
Respect à RMS.
[^]Re: nan rien...
J'ai toujours trouvé abusé le moinssonnage automatique de pBpG, il a plusieurs fois des réflexions et des compléments d'informations intéressants.
Mais là, dire qu'un programme malveillant qui s'installe sur un compte root ou utilisateur, ca revient au même, je trouve ca quand même de la mauvaise foi.
La différence est quand même que le compte de l'administrateur est sain dans un cas et pas dans un autre.
[^]Re: nan rien...
Et surtout qu'un compte administrateur à théoriquement, sur un système bien conçu... des pouvoirs illimités ou presque : ouvrir des ports < 1024, modifier des binaires dans le $PATH système, charger des modules pour le noyau, effacer l'ensemble du disque dur...
Les conséquences sont donc sans aucun rapport. Un compte utilisateur cracké, c'est dommage. Un compte root cracké, c'est tout à la poubelle.
[^]Re: nan rien...
des pouvoirs illimités ou presque
ben non, jsutement, ca c'est une connerie sans nom datant des 70's...
il me parait beaucoup plus judicieux d'avoir un compte pour gerer les users, un compte pour gerer les systemes de fichiers, un compte pour gerer apache, un compte pour gerer tel autre truc etc.
Comme ca, si tu fais une connerie sous un de ces comptes, ca n'impacte que la partie de ton systeme que tu modifies et tu risques pas de flinguer toute ta machine.
[^]Re: nan rien...
Et qui attribue tous ces pouvoirs ? celui qui en a la possibilité est bel et bien un superutilisateur avec pouvoirs illimités.
Ceci dit effectivement, il serait bien que nos distributions permettent la délégation de privilèges fins et pas simplement du binaire tout/rien. J'ai cru comprendre que coté noyeau les fonctionnalités sont là, il reste à les utiliser.
[^]Re: nan rien...
Et qui attribue tous ces pouvoirs ? celui qui en a la possibilité est bel et bien un superutilisateur avec pouvoirs illimités.
ben non, tu remplace root par le compte permettant uniquement la manipulation des utilisateurs/droits, personne n'a besoin d'etre dieu sur la machine (bon, sur une machine perso ca peut se discuter vis a vis de la lourdeur d'utilisation, apres tout est question d'implementation et d'interface).
Alors d'accord, l'acces a ce compte permet de devenir dieu, mais uniquement de facon indirecte, disons que ca ajoute toujours une pitite protection supplementaires (que celui qui n'a jamais fait une grosse bourde en root qui te prend un journee a reparer et te fait passer pour un cono aupres des collegues me jette la premiere pierre..)
[^]Re: nan rien...
je jette, juste 2H maxi :P
allez y vous autres ^^
[^]Re: nan rien...
aïe!!
on avait pas pointus les cailloux...
:-P
(bon, on est pas oblige de perdre la journee, foutre par terre le service de test d'un collegue qui n'avait rien demande, c'est valable aussi)
[^]Re: nan rien...
> ben non, tu remplace root par le compte permettant uniquement la
> manipulation des utilisateurs/droits
Dans les faits ça revient à lui donner tous les pouvoirs, puisqu'il peut se les ajouter ou se créer un second utilisateur et les lui ajouter.
> disons que ca ajoute toujours une pitite protection supplementaires
Ca fait une étape intermédiaire, mais c'est quelque chose tout à fait à la portée d'un virus/spyware/ver (puisque c'est ça la problématique).
Tout au plus ça te protège contre tes propres erreurs directes. Ca n'empêchera pas que si par erreur tu exécutes un binaire non sûr ou un binaire avec une faille de sécu, le méchant programme pourra faire ce qu'il veut de ton système.
[^]Re: nan rien...
ouais, mais la creation/modification d'utilisateur etant a priori rarissime, t'as tres peu de chance d'etre logge en "root".
Alors que dans un modele dieu/sale gueux, t'es oblige de passer root beaucoup plus souvent.
[^]Re: nan rien...
Tu prends le desktop "standard" chez monsieur tout le monde, le seul interet du compte admin par rapport au compte utilisateur, c'est de pouvoir changer les parametres du systeme.
A part ca, il n'y a aucune difference en pratique, si le compte de l'utilisateur est infecte, pour l'utilisateur ca revient exactement au meme : tous les utilisateurs sont infectes vu qu'il est le seul utilisateur.
Faut pas penser en terme de serveur quand on parle du desktop de monsieur tout le monde, il n'y a pas 150 personnes loggees en meme temps sur ces machines, il n'y a pas un SQL Server ou un Apache qui tourne et stocke les donnees de 200 personnes, il y a rarement plus d'un compte.
Dans ce cas la, que l'admin soit infecte ou pas ca ne change rien du tout.
[^]Re: nan rien...
Dans une situation familiale il y a souvent plusieurs utilisateur sur un même ordinateur, et là le père il est content que les conneries que fait le fils n'impactent que ses données personnelles.
[^]Re: nan rien...
Ça, c'est la théorie, mais ce que je vois en pratique, c'est plutôt que les gens de la même famille veulent avoir la même config pour tout le monde, sinon, le fils, il est obligé de refaire toutes les manips en 4 exemplaires.
Pourquoi crois-tu que les fonctionalités multi-utilisateurs de certains logiciels (genre outlook, de mémoire, qui permet d'avoir plusieurs utilisateurs pour le même « utilisateur » système, ou les profils de mozilla/firefox) qui nous paraissent absurdes en temps que bons unixiens, ont tellement de succès auprès des Windowsiens « de base » ?
[^]Re: nan rien...
Un compte non privilegie n'y change rien justement, le spyware s'installe sur le compte de l'utilisateur(root ou pas) car Firefox tourne avec les droits de l'utilisateur, et il y reste.
Sauf que pour pouvoir s'installer définitivement et être indépendant de l'application percée (comme on le voit sous windows), il va falloir que le spyware roote la machine et arrive à se rendre invisible, tout ça de manière automatique.
Ensuite, si l'antivirus / antispyware est un service root, il sera beaucoup plus difficile au virus/spyware éxécuté avec des droits user d'empêcher les scans comme on peut le voir sous windows.
Si MSWindows est plus visé que les systêmes unix ce n'est probablement pas uniquement à cause de sa plus grande diffusion, mais très certainement aussi parce qu'il est nettement plus facile de véroler un MSWindows de base qu'un unix de base de manière automatique.
[^]Re: nan rien...
> Sauf que pour pouvoir s'installer définitivement et être indépendant de
> l'application percée (comme on le voit sous windows), il va falloir que
> le spyware roote la machine et arrive à se rendre invisible, tout ça de
> manière automatique.
Bof, un spyware qui créé un binaire au nom de "gnome-delegator" dans .gnome2 et qui enregistre son démarage dans la session gnome ça suffit tout à fait.
Ca sera installé définitivement (redémarage à chaque fois que l'utilisateur lance sa session), c'est invisible (le non-informaticien ne saura pas que c'est un processus "mauvais", et même parmi les informaticiens j'en connais plein qui ne connaissent pas le rôle de tous les processus quand ils font un "ps aux" sur un desktop en utilisation).
Bref, la seule limitation c'est que ça ne va pourrir que le compte en cours et pas tous les comptes. Et cette limitation est strictement la même sous Win pour quelqu'un qui tourne en utilisateur simple.
[^]Re: nan rien...
Sans compter que le spyware peut s'arranger pour détecter lorsque l'utilisateur tape "sudo" et agir en conséquence (récupérer le mdp, passer root, patcher le kernel et disparaitre de l'userland par exemple :op).
Free Softwares Users Group Arlon (Sud Luxembourg, Belgique)
pertinent, e adj. Approprié ; qui se rapporte exactement à ce dont il est question.
[^]Re: nan rien...
En poussant un tout petit peu plus loin, tu fais un grabber de clavier qui repère les séquences "su........" en essayant divers combinaisons de ce qui suit le "su". Tu peux aussi à chaque touche frappée, tenter les suites de 1, 2, 3, ..., 10 caractères qui précèdent l'appui sur cette touche.
Bref, chopper le mot de passe root, quand tu as la controle du compte d'un utilisateur qui utilise le mot de passe root, c'est une affaire de temps.
Pour les paranoiaques, Control-Alt-f1 doit être une solution à peu près sécure.
[^]Re: nan rien...
et qui enregistre son démarage dans la session gnome
Un autre barrage GNU/Linux sont les environements de bureau multiples, ce genre de virus ne passera pas par KDE, WMaker, etc... Et il doit etre en langage interprété car un autre barrage GNU/Linux est la multi-architecture, un virus binaire x86 ne passera pas par un PPC.
[^]Re: nan rien...
Si tu veux atteindre 99% du marche Linux, tu vises x86 et tu oublies PPC, dans la meme veine, un virus x86 sur XP IA64 ou AMD64 il finira dans la poubelle aussi...
Pour KDE, WMaker, ... c'est vraiment hyper simple, ton virus il lui suffit de faire un if (KDE) installbinaryfor(KDE) else if (WMaker) ...
ca va bien ajouter 50 lignes au virus, mais ca va arreter personne.
[^]Re: nan rien...
> Un autre barrage GNU/Linux sont les environements de bureau
> multiples
Ah ? j'ai parlé de la session gnome, maintenant on peut recommencer avec le .profile qui est un peu plus standard.
Je suis aussi quasiment convaincu qu'il y a ou qu'il finira par y avoir une interface lancée par freedesktop pour avoir quelque chose de standard, bref, que cet argument n'est pas valable longtemps.
> ce genre de virus ne passera pas par KDE, WMaker, etc... Et il doit etre
> en langage interprété car un autre barrage GNU/Linux est la
> multi-architecture, un virus binaire x86 ne passera pas par un PPC.
De même que le spyware ne sait pas monitorer toutes les applis, il connait IE, outlook, éventuellement firefox et thunderbird. Ca lui suffit largement pour toucher suffisament de monde.
Fais une bêbête qui connait linux/x86 avec gnome et kde, ça représentera encore une énoooorme partie du desktop linux et ça suffira pour être efficace (récolter des données ou foutre la merde, au choix).
De plus tu sous-estimes largement les auteurs de virus. Ils sont largement capables de packager des binaires pour deux ou trois plateformes répandues et d'exécuter le bon (mais les diffuser tous quand il s'agit de se répandre). Ou autre méthode d'aller regarder la plateforme et lancer le téléchargement du binaire adapté. Encore autre méthode ; embarquer le code source réduit et profiter du fait que quasiment tous les linux ont un compilateur installé, même en desktop.
Bref, sauf si *toi* tu es sur une archi exotique, avec des softs vraiment pas courants (et encore), cette diversité ne te protège en rien.
Pour un petit exemple ; il y a eu des Windows sur processeur Alpha, tu crois que ça a emmerdé les auteurs de virus x86 ?
Il y a aussi des gens qui remplacent le shell de windows par des petits outils, tu crois que ça a emmerdé les auteurs de virus qui se servent d'explorer ?
Au pire ils touchent 90% des utilisateurs au lieu de 100%, ça ne gêne pas.
[^]Re: nan rien...
Ah ? j'ai parlé de la session gnome, maintenant on peut recommencer avec le .profile qui est un peu plus standard.
Mouais sauf que bon, il y a un .profile par session et qu'en mode graphique le .profile il ne s'éxécute pas forcément (il faut un shell pour ça non ?).
Ensuite, à l'heure actuelle, véroler automatiquement un compte user en bidouillant le .profile ce n'est pas facile. Tu le mets où l'éxécutable ? dans ~/bin ? dans /tmp ? Es-tu bien sur de pouvoir y écrire ? de pouvoir y executer un programme ? Tu vas toucher une seule distribution, et encore, quand elle est installée par défaut. Je ne connais pas gnome, mais j'imagine que le probleme est similaire avec la session gnome.
Enfin, ça n'élimine pas le fait que ton virus n'aura que des droits users et non root, ce qui interdit pratiquement la compromission du systeme et donc, de bloquer les antivirus qui eux tournent en root.
Je suis aussi quasiment convaincu qu'il y a ou qu'il finira par y avoir une interface lancée par freedesktop pour avoir quelque chose de standard, bref, que cet argument n'est pas valable longtemps.
Et ?
1- il existera toujours des environnements non compatibles freedesktop qui ne comporteront pas ce type de faille.
2- il existera toujours des versions de freedesktop compilées par des paranoiaques qui ne permettront pas ce type de faille
3- si ce scenario est facilement réalisable, alors freedesktop utilise une technologie pourrie d'un point de vue sécuritaire : mauvais produit => changer produit.
A l'heure actuelle, ces 3 points ne sont pas possibles sous MS Windows (ou MacOS : même combat) à cause de son environnement figé et dépendant d'un seul fournisseur, ce qui explique pourquoi un logiciel libre (linux ou firefox, par exemple) est -potentiellement- moins risqué qu'un logiciel propriétaire. La diversité complique énormément le déploiement et c'est valable aussi pour les virus.
Ca lui suffit largement pour toucher suffisament de monde.
Suffisemment ? Pourquoi pas. Mais ça m'étonnerai que ça touche autant de gens qu'à l'heure actuelle.
De plus tu sous-estimes largement les auteurs de virus.
Heu, c'est pas pour dire, mais je ne suis vraiment pas un expert windows et la plupart du temps j'arrive à faire sauter la majorité des spywares à la main tellement ils sont mal foutus. Actuellement, windows est tellement pourri, les utilisateurs tellement gavés de marketting débile ("l'ordinateur c'est à la portée de tout le monde sans formation, yaka mettre un firewall, etc.") et leur niveau moyen si bas que les auteurs de spyware / virus ne s'embêtent même plus à les cacher. Et puis, généralement, les antivirus detectent les virus au maximum une semaine apres leur sortie, et les virus vivent rarement plus d'un mois ou deux. Pourquoi se casser la tête à faire de la furtivité alors que les facteurs principaux de diffusion sont la nouveauté et l'ignorance ?
Ou autre méthode d'aller regarder la plateforme et lancer le téléchargement du binaire adapté.
Faire ça en automatique demande de sacrées compétances que n'ont clairement pas les auteurs de la majorité des virus/spywares que j'ai pu voir trainer sous windows. Sous Unix, il ne suffit pas d'aller ajouter une registry key dans run ou runonce et un binaire unique dans program files ou system32.
Encore autre méthode ; embarquer le code source réduit et profiter du fait que quasiment tous les linux ont un compilateur installé, même en desktop.
Mais bien sur, déployer une application à partir des sources et de manière automatique c'est super facile (./configure && make && make install :o) ) et la marmotte ...
Bref, sauf si *toi* tu es sur une archi exotique, avec des softs vraiment pas courants (et encore), cette diversité ne te protège en rien.
Si : elle réduit le risque. Je pense qu'il n'est évidemment pas possible de réduire le risque à zéro, mais on peut le réduire et fortement comprometre la diffusion de virus en rendant (comme c'est déjà le cas sous linux) nettement plus difficile l'installation automatique.
Au pire ils touchent 90% des utilisateurs au lieu de 100%, ça ne gêne pas.
S'il n'en touchent plus que 30% ça rendrait nettement moins intéressant ce genre de business et ce serait un progrès énorme.
[^]Re: nan rien...
Un compte non privilegie n'y change rien justement,(...) et il y reste.
Beh si justement... Il ne pourra pas y rester car il ne pourra pas s'installer. Si un utilisateur normal peut installer des logiciels (spyware ou non), n'y a-t-il pas un petit problème de séparation de privilège ? N'est-il pas alors temps de revoir sa manière d'installer ? N'est-ce pas justement ce qui est mis en avant dans le texte ? Que sous windows les applications peuvent installer des logiciels à ton insu (via une faille, une fonctionnalité mal avisée comme vbs ou une mauvaise configuration par défaut).
Je passe sur le fait qu'il ne pourra pas compromettre le systeme et dégager l'antispyware ou l'antivirus ou se rendre invisible aux yeux du root.
[^]Re: nan rien...
Un utilisateur peut toujours installer un logiciel dans son répertoire personnel (s'il a un quota suffisant et qu'il est sur une partition où l'exécution est autorisée).
[^]Re: nan rien...
Beh justement, ce n'est pas tres intéressant dans le cadre d'un ordi personnel d'autoriser l'exécution dans le home, non ?
[^]Re: nan rien...
Pourquoi ?
Tous les logiciels que je compile à la main sont dans ~/.bin, ainsi que les binaires téléchargés en tar.gz (comme Firefox par exemple). C'est pas bien ?
[^]Re: nan rien...
Beh tout betement ça veut dire qu'un programme que tu utilises peut facilement installer des executables à ton insu puisque tu as le droit d'écrire dans des zones éxecutables. Comme dit ici : https://linuxfr.org/comments/642331.html#642331 , le programme crée un binaire, colle son lancement dans un .truc-session et s'installe définitivement. Si un utilisateur n'a pas les droits d'écriture dans les zones éxécutables, il est plus difficile d'installer un programme à son insu.
Après, dire que c'est bien ou mal de mettre des trucs dans ~/bin ça dépend de ton point de vue et de tes priorités, mais d'un point de vue sécurité c'est plus risqué que si tu n'avais pas ce droit, donc moins bien.
[^]Re: nan rien...
J'ajouterai que la diversite des distributions aide beaucoup. Ok, tu utilises une faille de Firefox. Deja ca ne te permet pas de toucher ceux qui sont sous Konqueror ou Epiphany.
Donc ca va te permettre d'executer un binaire.
* Vu ce qu'on connait de la compatibilite binaire, il faut avoir de la chance, genre que tu le compiles avec gcc 3 ou gcc 4 ca va marcher sur certaines distribs et pas sur d'autres (si la glibc n'est pas compilee avec le meme compilo => risque de segfault).
* Si tu veux aller plus loin, sous Windows tu sais ce qu'il y a. Sous Linux, est-ce que tu vas trouver wget ou lynks pour telecharger des fichier malicieux ? Est-ce que tu vas infecter Thunderbird, Evolution ou KMail pour choper le carnet d'adresses et spammer les autres ?
[^]Re: nan rien...
Ben... oui :)
Tu mets à jour ta machine une fois le patch sorti, quelques heures à quelques jours, et t'as vraiment pas de chance si la faille a été exploitée et ce soit ataquée spécifiquement à toi.
La magie de linux et d'autres logiciels libre c'est d'avoir un code ouvert, accessible, passé au crible des instituts de sécurité et des profs qui le présente en exemple à leurs étudiants.
Tout ça amène une réactivité plus importante, un patch souvent si rapide qu'il sort avant la première attaque... dont le risque disparaît donc, comme par magie.
C'est pas comme les patch IE :)).
[^]Re: nan rien...
La magie de linux et d'autres logiciels libre c'est d'avoir un code ouvert, accessible, passé au crible des instituts de sécurité et des profs qui le présente en exemple à leurs étudiants.
Tout ça amène une réactivité plus importante, un patch souvent si rapide qu'il sort avant la première attaque... dont le risque disparaît donc, comme par magie.
Ca c'est du blabla qui est clairement faux en pratique.
CodeRed, Nimda, Zotob, ... _TOUS_ etaient bloques par les patchs qui etaient sortis avant le virus.
IE et Firefox c'est le meme topo aussi.
[^]Re: nan rien...
Si tu va par là, on peut dire la même chose du spyware qui vise Konqueror, du ver qui attaque corba, du virus macro d'OpenOffice (pas sûr remarque)...Ceci dit, je ne suis pas sur que ce soit faux si on considère le cas des "vrais pirates", je crois qu'ils sont au courant avant la sortie du patch. Après il faudrait poser la question à quelques un d'entre eux pour savoir ce qu'il en est au niveau de la réactivité du Libre. Pas facile.
Respect à RMS.
[^]Re: nan rien...
Mais combien ne le font pas "parce qu'ils ont une version piratée et ne veulent pas se faire repérer par MS" ? (oui, c'est du vécu)
Même si c'est pas trop justifié, et que c'est "mérité" si ils se prennent qqch de cette manière, cet état d'esprit n'aide pas à la diffusion des patchs.
Et il est d'autant plus implanté par les demandes d'activations et autres vérifications. (même si elles sont dans un sens logique)
Pour le SP2, le temps de terminer le win update, c'est déjà trop tard, c'est déjà rentré. (ca aussi c'est du vécu)
Et va demander à un noob de downloader le SP2 à partir d'une autre machine protégée (qu'il n'a p-ê pas lui-même) et le transférer (par gravure par exemple).
Tiens, pour éviter ça, une idée à faire breveter : "Pendant le processus de mise à jour, bloquer TOUT le traffic internet de la machine sauf venant du site d'update"
"We all freezed on a bugged subroutine, bugged subroutine, bugged subroutine..." (nearly Beatles)
[^]Re: nan rien...
Pour le SP2, le temps de terminer le win update, c'est déjà trop tard, c'est déjà rentré. (ca aussi c'est du vécu)
Si t'as ton firewall qui tourne, j'ai du mal a voir comment cela peut se produire.
Tiens, pour éviter ça, une idée à faire breveter : "Pendant le processus de mise à jour, bloquer TOUT le traffic internet de la machine sauf venant du site d'update"
Trop tard, WS03 SP1 (et XP SP2 je crois) font deja ca :+)
[^]Re: nan rien...
en effet, par contre une série d'exploits n'a pas eu de patch à temps, comme la vulnérabilité du décodeur jpeg.
Si une vulnérabilité est purement microsoftienne, la politique de publication de vulnérabilités imposée par microsoft aux chercheurs en sécurité fait qu' il y a de grandes chances qu'un patch sorte avant toute attaque massive (mais ça ne veut pas dire que personne n'a exploité la vulnérabilité de manière discrète.
Si la vulbnérabilité existe aussi dans du code open source (genre ms repompe sur une implémentation open source du jpeg) et que tout le monde est au courrant, là il y a de gros risques que Microsoft n'arrive pas à publier de patch à temps...
[^]Re: nan rien...
J'en doutes, c'est arrive avec la zlib, MS a sorti le patch a temps.
Effectivement si l'exploit est diffuse avant qu'on apprenne la faille, evidemment que c'est dangereux, mais c'est le meme topo dans le monde open source, ils n'ont pas encore IPoT installe.
[^]Re: nan rien...
pour l'affair jpeg, ça s'est passé comme ça en tout cas... comme microsoft avait lié statiquement la librairie jpeg défectueuse dans certains produits, ce qui a fait une belle pagaille de patches...
Un autre cas de vulnérabilité non-patchée, c'était un exploit IFRAME... à l'époque je venais de passer à firefox, et je me suis dit "ouf..."
http://www.techweb.com/wire/ebiz/53701292
[^]Re: nan rien...
Du blabla faux en pratique ? Non, là tu deviens franchement excessif et je commences à douter de tes connaissances pratiques concernant linux par exemple.
Ce qui est exagéré c'est le caractère automatique de la protection, mais on l'obtient en quelques lignes. La réactivité importante, c'est vrai, la sortie rapide des patchs, c'est vrai. Et ce qui n'a pas été mentionné, c'est la facilité de la mise à jour avec un gnu/linux bien installé. Essaie de mettre à jour une plateforme windows, attention, pas seulement office et xp, mais bien tes logiciels et dis moi si primo, c'est possible et secondo combien de temps cela te prends ?
C'est un peu facile de balancer à la poubelle tout un commentaire.
Quand à l'article partial, il s'addresse à un site sponsorisé principalement par microsoft. Tu t'attendais à quoi ?
[^]Re: nan rien...
Du blabla faux en pratique ? Non, là tu deviens franchement excessif et je commences à douter de tes connaissances pratiques concernant linux par exemple.
Non c'est une realite, le fait que les sources soient publiques n'a jamais ete prouve comme ayant fortement aide a trouver les failles, la plupart sont reportees par des gens qui font du fuzzing et autres techniques ne necessitant pas les sources, ou par les developpeurs du produit car eux sont capables de comprendre le code.
Faut rester realiste, un gros projet genre KDE/Mozilla/... il faut connaitre le code pour pouvoir l'analyser, et peu de gens peuvent faire ca.
Et ce qui n'a pas été mentionné, c'est la facilité de la mise à jour avec un gnu/linux bien installé. Essaie de mettre à jour une plateforme windows, attention, pas seulement office et xp, mais bien tes logiciels et dis moi si primo, c'est possible et secondo combien de temps cela te prends ?
Ca me prend le meme temps que d'updater un Linux avec des softs venant d'autres sources que la distrib(genre installer Oracle, Opera, etc... ).
[^]Re: nan rien...
Ca me prend le meme temps que d'updater un Linux avec des softs venant d'autres sources que la distrib(genre installer Oracle, Opera, etc... ).
Et tout ce que tu donne comme exemple ce sont des logiciels propriétaires....
[+] [^]Re: nan rien...
Et ? Faut etre realiste, les gens vont utiliser des softs ne venant pas avec les distrib, le logiciel proprietaire ne va pas disparaitre du jour au lendemain.
Bref, dans le monde reel, Linux a le meme probleme d'update.
[^]Re: nan rien...
Un serveur web avec apache/PHP et {my,postgre}sql plus un sendmail/postfix/exim/... est un exemple tout à fait concret et fréquent du monde réel. Tous ces composants sont libres, inclus depuis longtemps dans toutes les distributions orientées serveur et bénéficient d'un bon suivit de sécurité.
Si tu élimine le logiciel propriétaire tu peux très bien rationnaliser la gestion des logiciels.
[^]Re: nan rien...
Un serveur avec PHP/Apache et {my,prostge}sql ne représente qu'une infîme partie des rôles qu'on peut donner à un linux en entreprise. Pour ma part, je bosse dans le milieu financier et Linux commence a y entrer, mais absolument pas pour ces rôles là, et il est hors de question d'éliminer le propriétaire (ou alors on jette au moins les 3/4 des serveurs linux à la poubelle avec).
MAintenant, une vulnérabilité dans la distro est une vulnérabilité dans la distro. Une vulnérabilité dans sybase est une vulnérabilité dans sybase. Dans une entreprise structurée, ceux qui gèrent l'os ne gèrent pas forcément les applicatifs, ce sont des équipes dédiées qui s'en occupent.
[^]Re: nan rien...
Justement, c'est bien là un des désavantages du propriétaire. C'est que l'intégration dans les distribs n'est pas complète.
Quand tu as un problème de sécu dans Postgres et bien tu utilises le gestionnaire de packages de ta distrib et le problème est règlé. Par contre si j'ai bien compris avec Sybase, tu dois travailler de manière non standard et ce pour chaque application propriétaire.
S'il y a bien un argument en faveur de la sécurité sous Linux par rapport à Windows. C'est justement qu'il existe une méthode standard pour mettre à jour un package. Et ce pour toutes les applications de la plate-forme. Et ça, on ne retrouvera jamais sous Windows, une mise à jour aussi facile à moins que Microsoft rachète ou détruise tous ses concurents.
[^]Re: nan rien...
c'est en effet un désavantage sur le plan organisationnel, d'un autre côté on ne met pas à jour tout ensemble, chaque mise à jour doit être testée sous peine de bousiller les systèmes de production.
Mais il est vrai que de toutes façons, windows update, sus, wus et ces autres cochonneries ne rivalisent pas avec un simple apt-get upgrade...
[^]Re: nan rien...
De meme, un serveur web avec IIS/ASP.Net, t'as besoin de rien d'autre, ca n'a vraiment rien a voir.
Si tu installes sur ton serveur Apache un outil de blog ou autre en PHP qui n'est pas dans ta distrib, si il y a une faille dans l'outil, meme topo, et ton outil il peut etre GPL ca n'y change rien.
[^]Re: nan rien...
Au sujet des worms :
Avec un noyau Linux tu peux aussi ne pas seulement blocker une worm, mais faire carrément mieux...ralentir sa progression, donc tu es encore plus utile et efficace car tu participe de façon plus significative à la sécurisation des réseaux.
http://linuxfr.org/2003/08/22/13716.html
[^]Re: nan rien...
J'ai du mal a comprendre en quoi ca le ralentit.
Si le virus est stupide est fait ca en lineaire alors oui, un virus un tant soit peut intelligent lance plusieurs connections en meme temps sur plusieurs machines en attendant les reponses sur les connections precedentes, et des lors le temps d'attente ne va pas changer grand chose, il agrandira simplement la liste d'attente.
[^]Re: nan rien...
La magie de linux et d'autres logiciels libre c'est d'avoir un code ouvert, accessible, passé au crible des instituts de sécurité et des profs qui le présente en exemple à leurs étudiants.
Ouais, faudrait arrêter de se branler la nouille, tu ne crois pas ?
Je doute que les millions de lignes d'OpenOffice ou Mozilla/Firefox aient été "passées au crible des instituts de sécurité". Quant aux "profs qui le présentent en exemple à leurs étudiants", je ne vois pas pourquoi ce serait un gage de sécurité (et puis présenter OpenOffice en exemple de bonne conception, faut le faire... un logiciel libre n'est pas intrinsèquement un logiciel de qualité).
[^]Re: nan rien...
Au niveau de la recherche, des methodes pour analyser le code et trouver des défaillances existent. Mais c'est un domaine encore jeune et qui bute naturellement sur l'explosion des combinaisons à tester. C'est impossible à faire sur un logiciel come firefox par exemple. Mais par contre, l'approche contruction d'application par assemblage composants logiciel qui eux sont fiables et securisés est une approche réellement prometeuse. Et dans ce cas il est complétement inconcevable que chacun des composants ne soient pas à code source ouvert.
[^]Re: nan rien...
Il ne s'agit pas uniquement de puissance de calcul, certains problèmes sont indécidables ( cf boucle infinie), et dans tous les cas, rien ne remplace un developpeur.
Sur l'approche par composants logiciel, je suis d'accord avec toi mais rien n'empeche un composant de ne pas etre à code source ouvert, tant que son interface est fournie. Apres tout l'encapsulation vise justement cet objectif : pouvoir utiliser un composant sans connaitre sa structure interne. D'un point de vue securité, par contre, un code ouvert est indispensable.
[^]Re: nan rien...
rien n'empeche un composant de ne pas etre à code source ouvert, tant que son interface est fournie
Ce serai bien mais c'est pas vrai dans la réalité. Certaines propriétés de sécurité ne sont pas conservées par composition. Sans rentrer dans les détails, on peux créer des canaux de communication "caché" en assemblants composants qui analysés seuls sont sécurisés. Donc en fait il faut faire attention en composant et la connaissance de l'interface seule marche pour les propriétés fonctionnelles mais pas pour les propriétés de sécurité. Il ne faut pas forcément connaître tout le code, mais si on ne connaît pas ce qu'on connaît pas, on ne peux pas être sûr à 100 % que la composition est encore fiable.
Cela suppose que l'attaquant connaisse bien le fonctionnement interne des composants et là encore on ne peux pas vraiment tout cacher non plus. Il y a toujours moyen de faire du reverse ingeneering qui permettrai au createur de virus d'avoir suffisament d'info pour trouver une faille.
De plus, créer un génrateur d'attaques est interdit pour un logiciel proprio et pas
pour un logiciel open source. Ce qui fait que les failles de logiciels Windows
ont bien des chances de n'être connues que par les createurs anonymes de virus
et pas par des spécialistes du domaine.
[^]Re: nan rien...
De plus, créer un génrateur d'attaques est interdit pour un logiciel proprio et pas
pour un logiciel open source.
Ah bon ? Depuis quand c'est interdit ?
[^]Re: nan rien...
Au fait, je sais plus trop, quelqu'un peut m'aider ?
C'est Linusque qui su>><<0r un masque, ou Windaube qui roulaize2000 ?
Merci.
[^]Re: nan rien...
N'importe quoi.
C'est du FUD anti-Ms pur et dur.
Toutes les failles exploitée par les vers avaient leur patch disponible sur WindowsUpdate, par telechargement automatique.
Seulement certains desactivent WindowsUpdate, donc je ne vois pas pourquoi ils ne feraient pas pareil sous Linux.
Quand le probleme se trouve entre la chaise et l'ecran, le nom de l'OS importe peu...
[^]Re: nan rien...
Mais comme indiqué plus haut, il apparait que beaucoup d'utilisateurs de windows n'ont pas un système à jour (licences non payées etc) et que ce n'est pas dans tradition de ces systèmes d'être mis à jour si couramment, puisque dès fois ça implique un reboot et qu'en plus nul ne sait quels sont les changements réels.
Par exemple, lorsqu'on lit quelque part que le SP2 implique que les fichiers .mp3 sur le disque dur ne seront plus forcément lisible en bonne qualité si leur statut en copyright est clair, que ce soit vrai ou faux, ça n'incite pas à mettre à jour.
[^]Re: nan rien...
Ca peut-etre, mais lorsque on parle de l'OS et qu'on le compare a un autre OS, l'OS lui n'est pas a blamer.
Qu'ils blament le comportement des utilisateurs, le piratage, ... mais l'OS n'est pas en faute.
[^]Re: nan rien...
Je te signale juste que WindowsUpdate, ça marche pas pour tout le monde. Sur mon Windows 2000 OEM, il ne marche plus depuis longtemps, ainsi que la mise à jour automatique. Du coup, je suis obligé de télécharger les différents patchs à la main avec Firefox et les installer.
[^]Re: nan rien...
Ben si ca ne marche plus, faut essayer de voir comment reparer la chose.
Imagines que t'aies le meme probleme sous Linux, tu ferais quoi ?
[^]Re: nan rien...
Facile, IRC, en deux minutes c'est réparé :) Nan sérieux, je sais pas où chercher de l'aide pour mes soucis windowsiens.
Sinon, c'est plus la peine, le vaillant ordinateur nous a quitté le week end dernier, malgré un dernier barouf d'honneur. Ce portable n'arrive même plus à l'affichage de la fin du bios. Son enterrement a été très digne, à coup de "vas-tu marcher [CENSURE] !" et et de coups de pieds au derrière.
[^]Re: nan rien...
À l'heure actuelle, le risque est tout de même infiniment plus faible sous Linux que sous Windows XP.
Certes, le SP2 améliore un peu les choses, Vista résoudra peut-être le problème, mais ça ne change rien au fait qu'au jour d'aujourd'hui, une distribution Linux répandue est plus secure out of the box qu'un Windows XP SP2.
[+] [^]Re: nan rien...
Je suis d'accord que le risque est plus faible de par le fait que Windows est plus vise que Linux, mais "distribution Linux répandue est plus secure out of the box qu'un Windows XP SP2", ca ne je ne suis pas d'accord.
[^]Secunia: failles critiques non corrigées
On peut aller voir sur un site comme Secunia quels logiciels ont des failles de sécurité critiques et non corrigées:
http://secunia.com/
[^]Re: nan rien...
Je suis d'accord que le risque est plus faible de par le fait que Windows est plus vise que Linux, mais "distribution Linux répandue est plus secure out of the box qu'un Windows XP SP2", ca ne je ne suis pas d'accord.
Dans l'absolu, pourquoi pas mais ça serait une bonne idée d'étayer avec des arguments. Rien que le fait que l'utilisateur par défaut et principal sur le PC ait les droits d'administration, je trouve ça pas du tout secure. Et ça c'est "out of the box".
[^]Re: nan rien...
Moi je ne vois justement pas ce que ca change.
Exemple :
Monsieur duchmol a son desktop a la maison, il a un compte admin, et un compte "duchmol" sans droits d'admin qu'il utilise tout le temps.
Alors qu'il est sous le compte "duchmol", il se choppe un ver/spyware/...
Quel est le resultat pour duchmol ?
Toutes les donnees qu'il a, elles sont sous le compte duchmol, chaque fois qu'il se logge c'est sous duchmol, le compte duchmol peut ouvrir des ports reseaux et communiquer avec l'exterieur, bref le spyware/ver/... a acces a tout ce qui est interessant sur le systeme, et vu que le gars se logge tout le temps sous duchmol, le ver tourne tout le temps.
Le gars n'y gagne rien au final, il devra reinstaller la machine, et il perd tout.
Alors oui, un compte admin c'est tres bien sur des serveurs ou t'as plusieurs comptes differents et faut faire une distinction, mais sur la plupart des desktops c'est a peu pres inutile, car si le compte de l'utilisateur est viole(qu'il soit admin ou pas), ben vu que tout est sous ce compte, tout est perdu.
[^]Re: nan rien...
Le spyware ne pourras pas se dissimuler des outils antivirus et firewalls (lancés en tant qu'administrateur). Pour commencer.Ensuite, il ne pourras pas réécrire des exécutables, et dans le cas d'un ver il ne pourras pas forger de paquets. Il ne pourras pas non plus empêcher l'installation du correctif de sécurité par le système de mise à jour.
Enfin, si Mr Duchmol a une femme qui bosse sur un projet important pour elle, il ne laisseras pas le ver compromettre cela.
Faudrais vraiment organiser des cours sur les notions basiques de sécurité à microsoft: la séparation des privilège c'est un peu un principe de base.
Le problème c'est qu'il peut simuler l'invite de mot de passe. Faudrais trouver une parade, par exemple en ajoutant une fonction qui afficherais un secret connu de l'utilisateur et de l'administrateur (une photo ?), et en empêchant les applications louches d'y accéder. Ou alors on pourrait généraliser le système de ctrl+alt+backspace en codant un truc qui masque toutes les applications demandant un mot de passe. En attendant, c'est quand même beaucoup plus compliqué pour le ver qui doit trouver une excuse pour demander le mot de passe à l'utilisateur, et le faire de manière crédible.
Respect à RMS.
[+] [^]Re: nan rien...
Le spyware ne pourras pas se dissimuler des outils antivirus et firewalls (lancés en tant qu'administrateur). Pour commencer.
Il pourra se dissimuler de plein de manieres, eviter un anti-virus c'est pas vraiment le probleme, tu connais bcp d'anti-virus qui bloquent les spyware par exemple ?
Firewall, idem, suffit d'injecter du code dans un processus de l'utilisateur et c'est regle, pas besoin d'etre admin pour ca.
Ensuite, il ne pourras pas réécrire des exécutables, et dans le cas d'un ver il ne pourras pas forger de paquets. Il ne pourras pas non plus empêcher l'installation du correctif de sécurité par le système de mise à jour.
Forger des paquets c'est tellement utile qu'aucun virus ne fait ca aujourd'hui, quand a reecrire des executables, il suffit d'ecrire des nouveaux executables, pas besoin de reecrire.
Quand a installer le correctif, quel est le besoin ? T'as un virus deja installe, installer le correctif ne va rien changer, le virus sera toujours la.
Enfin, si Mr Duchmol a une femme qui bosse sur un projet important pour elle, il ne laisseras pas le ver compromettre cela.
C'est bien le seul avantage, et pour ca il faut que plusieurs comptes aient ete cree, ce qui n'est malheureusement pas souvent le cas.
Faudrais vraiment organiser des cours sur les notions basiques de sécurité à microsoft: la séparation des privilège c'est un peu un principe de base.
Moi je crois plutot que tu devrais arreter de repeter des notions de securite qui si elles sont logiques dans un environnement d'entreprise (plusieurs utilisateurs, IDS, ...) ne sont pas si efficaces dans un environnement desktop ou les choses a proteger sont differentes(tout est dispo depuis le meme utilisateur).
En attendant, c'est quand même beaucoup plus compliqué pour le ver qui doit trouver une excuse pour demander le mot de passe à l'utilisateur, et le faire de manière crédible.
Malheureusement ca ne l'est pas, tres souvent il lui suffit de demander, simplement en mettant comme titre un truc qui fait un peu peur a l'utilisateur et qui commence par "Microsoft Windows" pour le rendre officiel.
[^]Re: nan rien...
C'est bien le seul avantage, et pour ca il faut que plusieurs comptes aient ete cree, ce qui n'est malheureusement pas souvent le cas.
Dans les install parties on explique toujours l'intérêt de faire plusieurs comptes distinct de l'administrateur. Et les arguments sont très bien reçus.
C'est encore une mauvaise habitude de windowsien que de n'utiliser qu'un seul compte pour tout le monde. Et ce n'est pas uen fatalité, avant même de connaître Linux il y avait déjà plusieurs comptes sur le windows 98 de l'époque (ce qui n'avançait à rien en terme de sécurité avec un win98).
[^]Re: nan rien...
Chez moi : Madame, Monsieur, quatre enfants, cela donne sept comptes (administrateur plus six comptes perso) que ce soit sous Linux ou sous Windows 2000 ; et c'est d'une banalité affligeante. Entre parenthèses, depuis que chaque compte utilisateur ne dispose plus de privilèges particuliers, je n'ai plus eu à réparer ou même réinstaller Windows 2000. Mes charmants bambins (plus particulièrement les ados) avaient tendance à me l'embourber jusqu'au moyeu...
Et comme j'ai un PC qui fonctionne sous Linux et Windows 2000 avec les mêmes règles de base, je confirme ce qu'ont raconté en beaucoup d'occasions pas mal d'intervenants : Linux est bien plus simple à administrer dans ce cas de figure. Il semble qu'un compte utilisateur simple sous Windows se comporte comme s'il était orphelin du compte administrateur. Des tas de softs qui fonctionnent sans problème sur le compte admin (outils de développement, de gravage de CD, jeux) fonctionnent mal ou pas du tout sur les comptes utilisateurs. Les softs équivalents (sauf pour les jeux) fonctionnent nickel dans les mêmes conditions sous Linux.
[^]Re: nan rien...
le virus/spyware s'installe grâce à UNE faille d'un logiciel.
L'utilisation d'outils simple comme ps, netstat, find ... permettra de détecter son activité et de l'éradiquer.
Si on travaille en root il suffit au virus/spyware d'ajouter un rootkit pour modifier ces commandes de base ou ajouter des modules noyaux qui masqueront son activité !
Après il n'y plus qu'a reformater toute la machine pour s'en tirer. Comme sous windows où même s'il n'y a qu'un utilisateur il faut au moins qu'il soit "utilisateur avec pouvoir" et alors il peut allègrement détruire la base de registre et autre plaisanterie comme arréter l'antivirus, le firewall, ...
PbPg me dira que ce n'est pas la faute de windows si des applications tièrces sont mal développées et ne fonctionnent qu'avec un "utilisateur avec pouvoir", mais à part que Office à longtemps fait partie de ses applications (impossible de modifier sa barre de menu en utilisateur simple, ....), le modèle de sécurité de windows est tellement obscure pour l'utilisateur et développeur lambda que en général XP, 2000, NT sont équivalent en terme de sécurité que 98, 95, 3.1 .. DOS
[^]Re: nan rien...
L'utilisation d'outils simple comme ps, netstat, find ... permettra de détecter son activité et de l'éradiquer.
Ah parce que tu crois qu'un utilisateur lambda sait que ps, netstat, find, ... existent et sait comment les utiliser ? Tu reves.
Si on travaille en root il suffit au virus/spyware d'ajouter un rootkit pour modifier ces commandes de base ou ajouter des modules noyaux qui masqueront son activité !
Oui, mais si tu travailles en utilisateur il peut se cacher parmis les differents fichiers que tu as(genre prendre un de tes documents et se renommer mondocument.txt.bak, ou se nommer toto.mp3 dans ton repertoire de mp3 et hop, bien cache) et ca devient des lors largement assez dur a trouver pour le commun des mortels.
le modèle de sécurité de windows est tellement obscure pour l'utilisateur et développeur lambda que en général XP, 2000, NT sont équivalent en terme de sécurité que 98, 95, 3.1 .. DOS
Obscur pour les developpeurs qui ne prennent pas la peine de se documenter c'est sur, mais ca c'est le probleme des developpeurs, ils sont senses etre assez intelligents pour comprendre un systeme de permission classique.
[^]Re: nan rien...
Alors qu'il est sous le compte "duchmol", il se choppe un ver/spyware/...
Quel est le resultat pour duchmol ?
Aucun !
Les "méchants virus" de l'époque 16bits qui effaçaient ton disque dur ou corrompaient les données persos n'existent plus (ou du moins, je n'en entend plus parler).
La majorité des attaques à un but commercial derrière :
- récupération des données persos pour des bases marketing
- zombification du PC pour l'utiliser comme plate-forme d'attaque ou de relais mail.
Donc les photos de famille ne disparaitront pas et les lettres pourront éventuellement être infectées par un macro-virus mais ne seront pas modifiées.
Et les anti-virus seront protégés contre une modification les empéchants de voir ces spyware.
Et pour revenir à Windows Update, c'est beau, ça marche bien, mais internet est tellement saturé en attaque que ton ordi est infecté avant même d'avoir installé les patchs ou installé un firewall si tu n'en as pas sur un CD (cas vécu).
Oui on peut utiliser les régles de "firewall" de base associé à chaque carte réseau, mais il faut le faire avant de se connecter (et en plus je ne sais même pas si cela serait possible de faire marcher windows update en fermant tous les ports en entrées, sachant que le navigateur crée une connexion sortante)
Si tu as oublié de débranché ton cable réseau, c'est mort, tu es bon pour une réinstall
D'ailleurs c'est un peu pour cela que j'utilise Linux, je n'ai pas besoin de sortir une checklist chaque fois que je me connecte sur internet au cas ou un logiciel installé aurait modifié mes paramétres (surtout du côté des services)
Et puis je n'ai pas 10~15% de CPU bouffés par un antivirus sous Linux.
Maintenant, je suis sur qu'il peut y avoir des winbox secure, mais il faut être paradoxalement encore plus parano que sous linux.
[^]Re: nan rien...
Dans ce cas explique moi comment se fait-il qu'un Windows connecté à Internet après install ne tient pas 10 minutes sans être pourri de virus. Testé et approuvé par moi-même. Je n'en croyais pas mes yeux mais il faut croire que si : Windows XP est une passoire.
Maintenant j'ai ma Cooker depuis des années connectée au net sans firewall ni antivirus et jamais rien eu.
Donc tu peux me faire croire que Windows est plus touché car plus répandu mais 3 ans ça fait juste 157 680 fois plus de temps de vie. Ne me dis pas qu'il y a 157 680 fois plus de Windows dans le monde que de Linux tu ne serais pas crédible :)
[^]Re: nan rien...
Peut-être que la proportion de vers n'est pas linéairement dépendante de la proportion d'utilisateurs de l'OS (genre si l'OS est n fois plus utilisé il a plus que n fois plus de chances d'être attaqué).
Free Softwares Users Group Arlon (Sud Luxembourg, Belgique)
pertinent, e adj. Approprié ; qui se rapporte exactement à ce dont il est question.
[^]Re: nan rien...
GNU/Linux est beaucoup plus sécurisé que Windows, non pas à cause de la réactivité des correcteurs, mais principalement grâce à la prise en compte dès le début de sa conception, des contraintes de sécurité imposées par une utilisation en réseau. Les systèmes UNIX sont mieux faits que Windows ou l'ancien Mac OS qui ont été conçus au départ pour du monoposte et qui malgré toutes les bidouilles pour en faire des systèmes capables de fonctionner correctement en réseau, ne tiennent pas la route face à GNU/Linux, BSD, Mac OS X et autres UNIX.
[^]Re: nan rien...
C'est interessant ca, vas-y developpe, qu'est ce qui n'a pas ete pris en compte a la conception de NT ?
[^]Re: nan rien...
Le droit d'execution sur un fichier, qui empèche de cliquer bêtement sur femme_a_poil.jpg.exe ?
[^]Re: nan rien...
Le droit d'execution sur un fichier c'est la depuis longtemps, la maniere dont c'est applique par le browser/soft de mail/... pour des softs downloades c'est autre chose.
Mais bon, cette feature n'a de toute facon rien a voir avec le fait qu'il y ait un reseau ou pas.
[^]Re: nan rien...
LE problème de Windows c'est avant tout la gestion des droits qui est censé être faite par les logiciels, et non par le noyau, ainsi que l'accès total au périphériques.
[^]Re: nan rien...
Ah tiens c'est nouveau ca, j'etais pas au courant, tu peux developper et donner des exemples ?
[^]Re: nan rien...
Je me sers vraiment rarement de windows, mais il me semble que même XP se base sur l'extention .exe, .com, etc, pour savoir si il doit executer un fichier ou non ?
Donc quand je reçois un truc.doc.exe, si je le sauvegarde sur mon disque dur il suffit que je double clic dessus pour le lancer, pensant qu'il allait m'ouvrir word, me trompe-je ? Mon Ubuntu n'a pas cette "feature"...
[^]Re: nan rien...
Il y a 2 choses :
- Chaque fichier a des permissions, une de ces permissions est la permission d'executer
- L'OS regarde les extensions pour determiner si il va tenter d'executer un soft, que le soft ait l'extension .exe ne signifie pas que l'execution va s'effectuer.
Bref, il suffirait a Outlook/IE/... d'enlever le droit d'execution des fichiers qu'ils sauvent.
[^]Re: nan rien...
Mais pourquoi le leur mettent-ils??
[^]Re: nan rien...
Parfait, tu peux rapporter le bug (avec un priorité critique de préférence) pour que les équipe de dev le corrige ?
Je n'ai malheuresement pas accés à votre bugtracker ...
"Les États-Unis sont le seul pays à être passé de la barbarie à la décadence sans connaître la civilisation." -- (origine réelle inconnue) Albert Einstein/Oscar Wilde/Georges Clemenceau/etc..
[^]Re: nan rien...
Je ne suis malheureusement pas convaincu du tout que ce soit un bug serieux, le soft ne fait rien de dangereux en lui-meme, c'est l'utilisateur qui lance qqe chose qu'il n'est pas sense lancer, apres avoir telecharge qqe chose qu'il n'est pas sense telecharger.
On peut enlever le droit d'execution, mais dans ce cas faut donner un moyen assez simple de le remettre, qui donc nous dit que les utilisateurs ne vont pas simplement utiliser ca pour remettre le droit d'execution car l'e-mail ou la page web leur dira de le faire ?
C'est malheureusement pas si simple de proteger des gens qui ne connaissent rien a l'informatique d'eux meme.
[^]Re: nan rien...
Je comprends pas. Dans nautilus, si je renome toto.mov en toto.mov.doc, ou toto, ou toto.tif... il continue a me lancer Totem quand je clic dessus et non OOo, Gimp, etc, ce qui est logique, le type du fichier n'est pas extrapolé de l'extension.
Pour les executable, c'est encore plus flagrant, je dois changer les permission pour autoriser l'execution.
Le mode de fonctionnement de Windows a ce niveau facilite grandement le virussage du système a mon avis, avec en plus le fait de cacher par défaut l'extention (en tout cas sur les derniers windows fraichement installé que j'ai vu).
[^]Re: nan rien...
j'en connais qui ont des windows sans anti virus et sans pare feu connecte a internet, et qui n'ont aucun probleme avec.
J'ai eu du mal a y croire, mais si si, c'est vrai.
Le truc c'est que, eux, ils savent s'en servir de windows, ils se contentent pas de dire "c'est windows donc ca pux0r".
Et ils font ce que font tous les geeks ici : ils maintiennent leur systeme a jour (ca evite deja beaucoup de problemes)
[^]Re: nan rien...
Je te parle d'un Windows après l'installation. Pas le temps de mettre à jour que c'est pourri de virus.
Et sinon moi aussi j'ai un pote qui me disais "Aucun virus ni spyware" jusqu'à ce qu'il passe un antivirus et qu'il se rende compte qu'il n'y avait pas plus échappé que les autres.
Et puis je peux te ressortir une veille Mandrake 5.3 si tu veux et je suis sûr que son temps de vie avant infection sera très largement plus long que 10 minutes.
[^]Re: nan rien...
moi aussi je te parle d'un windows apres l'installation (SP2, evidemment).
Et quand ils disent ne pas avoir de virus, c'est qu'ils n'on pas de virus.
Et puis je peux te ressortir une veille Mandrake 5.3 si tu veux et je suis sûr que son temps de vie avant infection sera très largement plus long que 10 minutes.
d'un autre cote essaye d'installer un win98 meme sans pare feu ca doit se passer plutot pas mal.
[^]Re: nan rien...
Donc soit ils ont beaucoup de chances, soit je n'en ai pas eu :)
Mais bon en même temps je ne suis pas un cas isolé http://www.realtechnews.com/posts/1511
[+] [^]Re: nan rien...
non, c'est pas de la chance, c'est juste qu'ils savent comment marche windows et ils sont capable de l'administrer correctement.
Un peu comme beaucoup de linuxiens avec leurs machines ici, en fait et qui se gargarisent de leur securite soi disant tellement superieur au reste du monde (en pretendant que les millions de lignes de codes FF ou OOo ont ete audite par je sais pas combien d'institut de securite).
[^]Re: nan rien...
Je ne vois pas ce que viens faire l'administration là-dedans. Je te parle d'une installation. Si tes copains savent comment à l'installation désactiver les services succeptibles de recevoir des virus, je suis preneur car de ce coté là Windows ne m'a jamais rien demandé contrairement à une Mandriva (ou autres).
Et en mode non-expert, une Mandriva (ou autres) ne t'installent pas de services vérolés en les laissant en route même si ils ne servent à rien pour un poste isolé (hors réseau entreprise).
Après je ne remet pas en cause qu'un Windows bien administré est sécurisé. Comme toi j'ai des copains qui ont un Windows bien configuré avec peu des services lancés et ça marche bien mais de base Windows n'est pas sécurisé (sauf le SP2 qui a un pare-feu mais où les services inutiles sont toujours là).
[^]Re: nan rien...
c'est clair que s'il faut se taper netsh et autres pour fermer correctement un Windows, il y a comme un soucis...
Windows has no users. It has hostages.
[^]Re: nan rien...
Si tes copains savent comment à l'installation désactiver les services succeptibles de recevoir des virus, je suis preneur car de ce coté là Windows ne m'a jamais rien demandé contrairement à une Mandriva (ou autres).
Oui enfin on peut aussi réfléchir un peu, et éviter d'être connecté à Internet pendant l'installation. Ensuite si on est prévoyant on a soit mis directement le SP2 avec son firewall, soit un firewall gratuit quelconque (genre ZoneAlarm) qui permet d'éviter les catastrophes à la première connexion sans patches.
[^]Re: nan rien...
Oui enfin on peut aussi réfléchir un peu, et éviter d'être connecté à Internet pendant l'installation.
Le machin d'activation toussa, il ne t'inviterait pas un peu à être connecté à Internet ?
[^]Re: nan rien...
Oui enfin on peut aussi réfléchir un peu, et éviter d'être connecté à Internet pendant l'installation.
Le machin d'activation toussa, il ne t'inviterait pas un peu à être connecté à Internet ?
[^]Re: nan rien...
Si ça n'a pas changé, tu as 15 jours pour activer ta copie de Windows, ce qui te laisse amplement le temps d'installer / activer ton firewall, connecter la machine à Internet puis faire les mises à jour.
Cette signature n'existe que dans votre esprit dérangé
http://goddess-gate.com/dc2/index.php/fr (français)
http://goddess-gate.com/dc2/index.php/en (english)
[^]Re: nan rien...
C'est intuitif ça encore.Donc je résume : tu installe Mandriva, tu télécharge zonealarm en toute sécurité, et enuite tu débranche le cable et tu passe à windows.
Respect à RMS.
[^]Re: nan rien...
C'est pourtant pas complique a comprendre :
a) Installe XP sans etre connecte au reseau
b) Demarre le firewall de XP
c) Connecte au reaseau et le SP2 + autres patches plus recents
d) Redemarre
Il y a quoi de complique la dedans ?
[^]Re: nan rien...
Bah,
- c'est pas intuitif (qui aurait l'idée de débrancher completement sa machine pour installer quoique ce soit ?) ;
- c'est pas ergonomique (Ce n'est pas indiqué à l'écran, et ce n'est pas la procédure classique lorsqu'on installe quelque chose. De plus le firewall XP, il faut le trouver, hein...) ;
- c'est pas indiqué dans le mode d'emploi (cette notion existe-t-elle encore ?) ;
- c'est une solution de geek (quel débutant va lire linuxfr ou generationnt, ou etc, pour installer son XP ? et quid du mec qui est chez wanadoo dont l'interface utilisateur bloque tout accès aux propriété de la connexion réseau ?) ;
- et ça fait un peu bidouille (franchement, c'est pas dans "l'esprit microsoft")...
Sinon, en effet, il n'y a rien de compliqué :-)
[^]Re: nan rien...
Ben sp2, ils ont un firewall activé par défaut si je ne me trompe (bon aprés, il faut faire attention a ne pas installer un logiciel malveillant qui désactivera tranquillement le firewall. Enfin je dis ça, c'est juste pour troller un peu sur la séparation admin/utilisateur...).
D'ailleurs il me semble que les problèmes de configuration dont parle la lettre visent bien windows avant sp2. Les vers ça rentrent bien par quelques part, et les problèmes de configuration de windows c'etait bien d'avoir je ne sais combien de ports ouverts sur le monde par défaut. La réponse de microsoft ne me semble d'ailleur pas la bonne, compliquer la vie des utilisateurs avec la configuration d'un firewall alors qu'il suffisait de livrer des windows correctement configuré, avec une politique de 0 port ouvert par defaut.
Alors pBpG me dirai avec raison que le problème est donc réglé, et il a surement raison, mais bon, on ne refait sa réputation en quelques mois, la pdm des windows antérieurs à XP SP2 encore vivace permet de dire, avec le minimum nécessaire de mauvaise foi, que les problèmes de Windows sont tout à fait actuels :)
Moi si je tourne sans firewall sous linux, ce n'est pas parce que j'ai une confiance aveugle dans le logiciel libre, mais bien parce que ma distribution ne m'expose pas sans raison. Si je me prends quelques choses, ce sera du a une faille dans mon navigateur ou mon client mail, voir simplement de ma faute, mais pas a cause d'un obscure service qui tourne alors que je ne lui ai rien démandé.
(note, vu ma relative non maitrise du sujet, il est possible que je dise absolument n'importe quoi. :))
[+] [^]Re: nan rien...
putin, quand je dit que le mec a pas de pare feu, c'est qu'il a PAS de pare feu, vous savez lire ou bien?
Qu'il soit active par defaut ne change rien, le mec le desactive une fois installe.
[^]Re: nan rien...
Pas besoin de désactiver le firewall ^^
Mon frère a le firewall windows, et il s'active apres l'activation du réseau ^^ il est obligé de débrancher sa freebox avant de booter sinon il choppe un virus.
Ensuite certains fournisseur d'acces filtrent les virus / spyware; ce qui permet de laisser un windows sans trop de risque... J'ai un copain qui a un fournisseur comme ça, ben il a jamais configuré son xp, et un jour il nous a apporté son disque dur car un virus avait fait son chemin :(
par défaut un linux est en général plus sécurisé qu'un windows, ne serai-ce par l'absence de serveur lancé/installé par défaut ^^
Ensuite le fait d'encourager les utilisateurs a ne pas utiliser un compte root permet que si l'un est infecté, l'autre reste tranquille ^^
et puis c'est vrai que le manque de compatibilité binaire entre les distribs, rend la création d'un virus un poil rude ^^ ( sans compter qu'on peut avoir un /usr en read only, et la pour infecter un prog dedans, c'est plus dur ^^ ) et un live cd, un reboot et on en parle plus ^^ c'est bô linux ^^
[^]Re: nan rien...
Euh, je ne veux pas t'ôter une raison de râler sur windows (ne t'inquiète pas, il en reste beaucoup beaucoup), mais si ton frère active le mode routeur de sa freebox et fait le suivi (on traduit comment "forwarding" en bon français?? transfert? suivi??) de ports s'il s'agit d'un serveur, et bien il ne sera plus obligé de la débrancher...
[^]Re: nan rien...
le pb c'est qu'il a un bi-boot win/linux, et il aimerai bien avoir encore les services qui fonctionne quand il passe sous linux ( c'est vrai que c'est par fréquent mais bon ^^ )
Je lui en parlerai quand même.
sinon je rale peu ( mais quand même un peu ) sur windows, et j'ai même encore un 98 ( légal et qui sert 1x par trimestre) et une licence d'un xp qui n'a jamais démarré pour cause de désintégration volontaire de la partition sur laquelle il était installé ( mais acer fait chier pour le remboursement :( )
je fais comme les utilisateurs de win-win je ne vois pas l'utilité de regarder a coté :-) sauf que moi je suis sous linux ( mandriva / débian ) et le système vient avec bcp plus de truc qu'un démineur/freecell/pinball
[^]Re: nan rien...
Mon frère a le firewall windows, et il s'active apres l'activation du réseau ^^ il est obligé de débrancher sa freebox avant de booter sinon il choppe un virus.
Faudrait dire a ton frere d'installer le SP2...
[^]Re: nan rien...
peut-être que son frère n'accepte pas le DRM :