Linux et IBM reçoivent un satisfecit de Washington

Posté par  . Modéré par Benoît Sibaud.
Étiquettes : aucune
0
7
août
2003
Linux
Decouvrant le moteur de news de Google je suis tombé sur cette info :

Les autorités fédéral américaines ont attribué au couple IBM / Suse, le CC (Commun Critera).

L'ordinateur doit respecter un certain nombre de règles pour que l'ordinateur soit jugé fiable en terme de protection des données.

Encore une preuve supplémentaire de la qualité de notre OS préféré (pour ceux qui en douteraient)

Aller plus loin

  • # Re: Linux et IBM recoivent un satisfecit de Washington

    Posté par  . Évalué à 6.

    http://www.commoncriteria.org/ccc/epl/productType/eplinfo.jsp?id=99(...)

    on peut voir dans leur liste que même windows 2000 est certifié pour la sécurité, alors je me pose quand même quelques questions sur cet organisme...
    • [^] # Re: Linux et IBM recoivent un satisfecit de Washington

      Posté par  (site web personnel) . Évalué à -5.

      Bon lien, mauvais commentaire.
    • [^] # Re: Linux et IBM recoivent un satisfecit de Washington

      Posté par  . Évalué à 5.

      C'est une preuve de manque de sérieux de l'organisme pour toi ?

      Avant d'être sous linux j'ai travaillé sous 2000 et je n'ai rien à reprocher à cet OS, ni en stabilité ni en sécurité, et je pense que c'est vraiment le meilleur de la série, je ne me prononce pas pour XP car je ne le connais pas.

      Même si je recommande n'importe quel UNIX ou alternative libre pour les serveurs (FreeBSD, Linux), c'est avant tout pour le respect des standard, de l'inter-opérabilité, le respect de la vie privée, la transparence et non la sécurité.

      D'autant plus que microsoft fait vraiment son maximum pour réduire le temps entre le moment où on découvre une faille et le moment où il livre un patch, ce qui est un des aspects les plus déterminants de la sécurité.

      Je ne vois pas en quoi il est choquant que cet organisme déclare windows 2000 comme un système sûre.

      zax
      • [^] # Re: Linux et IBM recoivent un satisfecit de Washington

        Posté par  . Évalué à 8.

        • [^] # Re: Linux et IBM recoivent un satisfecit de Washington

          Posté par  . Évalué à 0.

          Si c'etait une vrai attaque ca serait vrai, le prob c'est qu'il ne fait qu'utiliser des problemes dans des applications non-MS qui font des conneries plutot qu'utiliser un trou du systeme.

          C'est comme avoir un shell root qui a un socket ouvert et accepte des connections de n'importe qui, c'est pas le systeme la faille, c'est le shell qui fait le con.
          • [^] # c'est la faute des applications !

            Posté par  . Évalué à 4.

            d'ailleurs quand win se met à planter, il a parfois le temps de dire que c'est de la faute de l'application qu'on utilise.
            et moi je crois tout ce que le système me dit :)

            bon dans la pratique on sait qu'il y aura toujours des failles de sécurité dans les applications qui ne sont pas de petite taille, c'est donc au système de proposer d'exécuter facilement et efficacement ces applis dans une sandbox protégeant des overflows et controlant TOUS les appels sytèmes.

            Et Linux le fait, lui.
            • [^] # Re: c'est la faute des applications !

              Posté par  . Évalué à 0.

              Windows ne te dit jamais que c'est la faute d'une appli quand il plante, il te dit que c'est lui-meme ou un driver. Si tu apprenais a lire les ecrans bleus, tu apprendrais quelque chose.

              bon dans la pratique on sait qu'il y aura toujours des failles de sécurité dans les applications qui ne sont pas de petite taille, c'est donc au système de proposer d'exécuter facilement et efficacement ces applis dans une sandbox protégeant des overflows et controlant TOUS les appels sytèmes.

              Et Linux le fait, lui.


              Aucune des grosses distrib Linux sur le marche ne le fait, ce ne sont que des patchs non supportes par les distrib, bref inutilisables.
              • [^] # Debian apt-get

                Posté par  . Évalué à 3.

                je connais peu les autres distibs mais:
                LSM, SElinux, systrace, fireflier, userModeLinux et plex86 sont tous dans Debian: je te conseille de taper man apt-get ou de consulter ma page APT sécurisé "pour les nuls" http://free2.org/d/(...)

                un des avantages des softs libres, c'est qu'on peut les étudier avec Valgrind avant de leur faire confiance (apt-get valgrind aussi)
                • [^] # Re: Debian apt-get

                  Posté par  . Évalué à 2.

                  Oui, mais moi je te parles de Redhat, Suse, Mdk,... les distrib utilisees par les entreprises(oui Debian aussi, mais dans une moindre mesure car pas de grosse boite pour le support).

                  Ces compagnies ne te font du support que si tu ne changes pas les paquets qu'ils te filent, sinon c'est bonjour la cata et elles garantissent rien.
                  • [^] # Re: Debian apt-get

                    Posté par  . Évalué à 2.

                    Oui, mais moi je te parles de Redhat, Suse, Mdk,... les distrib utilisees par les entreprises(oui Debian aussi, mais dans une moindre mesure car pas de grosse boite pour le support).

                    Ben pour ce qui est de Suse, ici au CCC y'a eu un presentation de SELinux et un des deux gars était de chez suse... c'est tout ce que j'en sais, mais bon certain pourront troller à tout va en disant tout le mal qu'ils pensent des su-cités, moi je préfère pas utiliser ;-)
                  • [^] # Re: Debian apt-get

                    Posté par  . Évalué à 7.

                    donc si je vous lis bien

                    windows n' a rien de tout cela, que cela soit en offre commercial et pro de la part de microsoft ou pour le bidouilleur

                    tandis que linux n'aurait pas encore d'utilisation mature et professionnelle de ces nouvelles fonctionnalités
                    mais le connaisseur et admin motivé peut déjà les mettre en place.

                    c'est déjà ça, non ?

                    que l'offre commercial soit mauvaise ne condamne pas a mettre la tete ds un bloc de beton
                    que les "autres ne le font pas" ne vous obligent pas a faire l'autruche.


                    openBSD a divers systemes pour sécuriser la machine de puis longtemps. si vous avez un besoin critique, il vaut mieux se renseigner sur lui, plutot que de dire "baaah, y a pas de support des grands".


                    utilisateur pro de windows 2000 ,je vois pas en quoi il serait si sécurisé

                    on a quand même eu plus d'alertes de sécurités grave avec win que linux

                    et attention, ds le cas de windows c toujours lié a des services de bases.


                    la sécurité, c pas seulement une histoire de bugs
                    car win 2K est nettement moins buggé que NT ou win me, c un bon windows.
                    non, c surtout lié a un manque de transparence de windows et microsoft

                    que sait on des protocoles dedans ? comment savoir exactement ce que fait tel ou tel service ? il y a beaucoup moins de confiances avec windows que avec linux.

                    je me rappelle encore du fait que pas mal de programmes microsoft integrent un minu-serveur sql qui buggé, pouvait provoquer un trou de sécurité sur je ne sais plus quel port (54xx ? )
                    voit on cela sous les projets opensources de linux ? et combien même, vu que le linux est fourni de base avec pléthore de fonctions pour voir ce qui se passe, l'admin tatillon peut vite tout savoir. si on utilise des projets opensources on a les moyens de savoir ce qui se passe.

                    la différence avec windows ? de base, linux aide d'avantage a ce que le systeme soit transparent. pour l'admin c'est lui donner plus de moyens pour sécuriser.
                    • [^] # Re: Debian apt-get

                      Posté par  . Évalué à 1.

                      Si Windows a plusieurs de ces elements (VMWare == usermodelinux, fonctions d'audit non presentes dans Linux, jobs, ...) et n'en a pas d'autres. Simplement ce qui compte, c'est ce qui est utilisable en entreprise, si c'est pas supporte par Mdk,Redhat,Suse, en gros c'est a peu pres inutilisable car pas de support.
                      C'est bien que ca existe, mais tant que c'est a ce stade ca apporte pas grand chose de reeel aux utilisateurs.

                      on a quand même eu plus d'alertes de sécurités grave avec win que linux

                      et attention, ds le cas de windows c toujours lié a des services de bases.


                      T'appelles quoi services de base ? des elements de base du systeme ou livres par defaut ?

                      Car IE, IIS et Outlook peuvent difficilement etre consideres comme elements de base du systeme.

                      que sait on des protocoles dedans ? comment savoir exactement ce que fait tel ou tel service ? il y a beaucoup moins de confiances avec windows que avec linux.

                      Les services, une simple recherche 5 minutes sur le net te dit ce qu'ils font(peut-etre ecrit dans le manuel ou dans le help, pas sur), les protocoles, euh je vois pas l'utilite.
                      Cependant je suis assez d'accord que Windows donne une impression plus "opaque" que Linux a l'utilisation.
                  • [^] # Re: Debian apt-get

                    Posté par  . Évalué à 1.

                    "Oui, mais moi je te parles de Redhat, Suse, Mdk,... les distrib utilisees par les entreprises(oui Debian aussi, mais dans une moindre mesure car pas de grosse boite pour le support)."

                    Mouahahahaha....
                • [^] # Re: Debian apt-get

                  Posté par  (site web personnel) . Évalué à 2.

                  Hardened Gentoo fait des trucs marrants lui aussi
                  http://www.gentoo.org/proj/en/hardened/(...)
              • [^] # Re: c'est la faute des applications !

                Posté par  . Évalué à 2.

                vi, mais c'est une faille car sur linux les applications ne tournent pas en mode root. De plus, si tu lis bien, tu peux effectuer un buffer overflow ( car c'est comme ca que ca se fait ) sur n'importe quel appli, car il est pas possible de controler la taille des appels systèmes. Tu stipule que sous linux c'est aussi faisable, je répond par la négative car une appli qui tourne en utilisateur A ne peux pas déranger une appli qui tourne en tant que utilisateur B par des appels systèmes, sous Windows, c'est le cas. Donc il s'agit d'une enorme erreure de conception de la part de microsoft. C'est bien une faille, mais elle est incorrigible.

                Pour celui qui doute de la faisabilité, essaie, tu verras ;) ... ( perso, j'ai essayé sur Win98.
                • [^] # Re: c'est la faute des applications !

                  Posté par  . Évalué à 2.

                  MS a dit depuis des annees qu'il ne faut pas qu'un service tournant en root affiche une GUI sur le desktop d'un user, ca a ete repete a tort et a travers et la methode a utiliser a ete expliquee clairement x fois.

                  Certains pourtant continuent a le faire, c'est exactement similaire a un shell root sous Unix qui a un socket ouvert au monde.

                  C'est la maniere dont l'OS est concu, et ils ne comptent pas le changer. Ensuite si ton appli tourne en root et qu'elle decide de faire des conneries, Linux ou Windows, ca va finir en queue de poisson.

                  Les attaques sont differentes sous Linux et Windows, car les systemes sont differents, mais ces attaques ne sont pas dues au systeme lui meme, mais a des applications qui sont codees a l'encontre des principes du systeme.

                  Sinon pour Win98, Win98 n'a aucune notion d'utilisateur, donc ca ne sert a rien d'essayer cette attaque en particulier, t'as de toute facon la possibilite de jouer avec tous les process du systeme...
                  On parle de W2k et XP ici.
                  • [^] # monopole clavier xterm

                    Posté par  . Évalué à 1.

                    c'est exactement similaire a un shell root sous Unix qui a un socket ouvert au monde
                    non. ca ressemble de loin à une application root sous X qui accepterait des commandes sans qu'elles viennent d'un clavier monopolisé (les xterms ont une option de monopole du clavier, sans meme avoir besoin d'utiliser xsupervisor ou Xsecurity)

                    la différence (énorme), c'est que sous X on peut pas forcer une application root à faire quelque chose, et encore moins à lancer des commandes arbitraires si cette application n'est pas un shell

                    enfin l'usage qui veut que les GUI ne soient jamais imposées pour toutes les taches effectuables sous Linux, permet d'exécuter tous les programmes qu'on estime importants (pas seulement ceux de root) en mode console exclusivement
                    • [^] # Re: monopole clavier xterm

                      Posté par  . Évalué à 2.

                      sous X on peut pas forcer une application root à faire quelque chose

                      ca me fait penser...
                      est-ce possible via un programme de piloter une appli X ?
                      c'est-à-dire écrire blabla dans un champ de texte, actionner un bouton etc...
                      ou peut-etre faut il taper plus haut dans la bibliothèque graphique (qt, gtk...) et la encore est-ce possible ?

                      est-ce possible de récupérer la liste des fenetres, avec pour chaque fenetre les containeurs, les widgets de chaque containeur etc... et ensuite y accéder comme je le précise juste au dessus

                      de manière a detecter une certaine fenetre et réagir lorsqu'elle apparait en cliquant sur un bouton par exemple
                      • [^] # pilotage appli X

                        Posté par  . Évalué à 3.

                        est-ce possible via un programme de piloter une appli X ?
                        oui. par défaut (ie si l'utilisateur n'active pas le mode untrusted de la "security extension" ou xsupervisor) une application qui a le droit de se connecter au serveur X (via xauth, donc par défaut seules les applications appartenant à l'utilisateur du X) peut observer les événements que recoit une appli X (sauf pour les application ayant demandé le monopole du clavier/souris), lire et écrire dans le presse-papier, copier l'affichage des autres fenetres et envoyer des événements (grace à Xtest extension ou Xtrap extension)

                        avec pour chaque fenetre les containeurs, les widgets de chaque containeur etc
                        là il faudrait passer par qt/gtk car X ne manipule que des bitmaps et des fontes en fait

                        de manière a detecter une certaine fenetre et réagir lorsqu'elle apparait en cliquant sur un bouton par exemple
                        c'est donc possible uniquement si les réglages de sécurité du X le permettent

                        quelques softs: xmacro, xtrap, xmx (pour travailler en même temps à plusieurs et à distance avec la même application)
                      • [^] # Re: monopole clavier xterm

                        Posté par  . Évalué à 1.

                        il y a l'extension xtest du serveur qui permet de simuler des evenements venant de la souris et du clavier ... Apres y a plus qu'a programmer ca, et tu fais ce que tu veux.
                  • [^] # Re: c'est la faute des applications !

                    Posté par  (site web personnel) . Évalué à 4.

                    L'argument, "on dit de ne pas faire de truc graphique mais personne ne le fait" n'est pas tres solide. Tout dans windows t'encourage a creer une appli graphique. Les utilisateurs comme les administrateurs ont ete eduques avec des appli graphiques. Forcement que tu vas creer une appli graphique, sinon, personne ne voudra de ton logiciel.

                    Deuxieme point, l'enchainement et la dependance des services a l'interieur de windows est tellement compliquee qu'il est tres dur de ne faire tourner que les services dont tu as besoin (et ca, c'est pas moi qui le dit, c'est un mec de Microsoft, cf les document Halloween)

                    > On parle de W2k et XP ici.
                    Ca veut dire en gros que Micrsoft commence a se preoccuper de la securite de son systeme depuis 2000 alors qu'il le developpe depuis 1986. Sous unix, la securite est un principe qui est present depuis beaucoup plus longtemp. Present et mis en application.

                    Et puisqu'on parlait des applications, microsoft est lui-meme responsable de la plus grande passoire de tous les temps, a elle seule responsable de pertes de milliards de dollar a l'echelle mondiale, j'ai nomme: Outlook et son execution automatique de code VB dans un mail,( ou comment abaisser la barriere technique pour ecrire un virus).

                    Bref, je pense que niveau securite, microsoft est indefendable. Ils sont tout simplement mauvais et c'est une honte qu'une boite qui fournit autant de logiciel en ait aussi peu a foutre de la securite de ses clients. Je parle en tant que professionnel de l'informatique et chef d'entreprise.
                    • [^] # Re: c'est la faute des applications !

                      Posté par  . Évalué à 0.

                      Le probleme c'est pas de ne pas faire d'appli graphique, c'est de comment la faire, il y a plein de services qui ont une GUI et qui n'ont pas de problemes car ils le font correctement.

                      Deuxieme point, l'enchainement et la dependance des services a l'interieur de windows est tellement compliquee qu'il est tres dur de ne faire tourner que les services dont tu as besoin

                      Expliques moi donc quels sont ces problemes

                      Ca veut dire en gros que Micrsoft commence a se preoccuper de la securite de son systeme depuis 2000 alors qu'il le developpe depuis 1986

                      Bon je vais etre plus precis alors.

                      Depuis NT, c'est a dire 1992. J'ai dit 2000/XP car c'est les OS d'aujourd'hui

                      Et puisqu'on parlait des applications, microsoft est lui-meme responsable de la plus grande passoire de tous les temps, a elle seule responsable de pertes de milliards de dollar a l'echelle mondiale, j'ai nomme: Outlook et son execution automatique de code VB dans un mail,( ou comment abaisser la barriere technique pour ecrire un virus).

                      Outlook n'est pas pire que wu_ftpd ou sendmail niveau securite, simplement vu qu'il est plus utilise et qu'il est utilise par des novices, ca a plus d'impact.

                      Bref, je pense que niveau securite, microsoft est indefendable. Ils sont tout simplement mauvais et c'est une honte qu'une boite qui fournit autant de logiciel en ait aussi peu a foutre de la securite de ses clients. Je parle en tant que professionnel de l'informatique et chef d'entreprise.

                      Moi je dirais plutot que tu parles en tant que linuxien qui prefere ne voir que le mal chez l'autre, mais ce n'est que mon avis, et je le partages.
                      • [^] # Re: c'est la faute des applications !

                        Posté par  . Évalué à 5.


                        Outlook n'est pas pire que wu_ftpd ou sendmail niveau securite, simplement vu qu'il est plus utilise et qu'il est utilise par des novices, ca a plus d'impact.

                        Ben, une différence fondamentale dans ta comparaison :
                        - Outlook : MUA, application cliente exécutée par des gens pas forcément spécialiste en informatique
                        - wu_ftp et sendmail : application serveur, normalement exécutée par des professionnels de l'informatique
                        Donc, je pense que l'on ne peux pas vraiment comparer ces programmes. A la limite, on peut comparer sendmail et Messenger. Mais pour comparer Outlook à un programme libre, il faudrait prendre evolution, etc.
                        Faut faire gaffe avec les comparaisons !
                      • [^] # Re: c'est la faute des applications !

                        Posté par  . Évalué à 2.

                        Microsoft a fait de gros efforts côté sécurité. C'était annoncé et les résultats arrivent.

                        > Outlook n'est pas pire que wu_ftpd ou sendmail niveau securite

                        Je m'inscrit en hyper faux. Outlook a des trous de sécurité au niveau de la conception. Autorité VB (qui n'a pas le niveau de sécurité de java en applet par exemple) dans les mails est une ÉNORME connerie. D'ailleur MS le sait très bien et a dit qu'à l'avenir, entre fonctionnalité (avoir VB) et sécurité ils supprimeront la fonctionnalité.

                        Ainsi, à l'avenir des fonctionnalités vont être supprimées à cause d'erreur de conception grossière (d'où la nécessité d'avoir un anti-virus qui filtre avant d'attaquer Outlook). Mais dans wu_ftpd ou sendmail, pour assurer la sécurité :
                        - Il n'y a pas d'antivirus
                        - Le renforcement de la sécurité ou la correction d'un trou de sécurité ne passe pas par la suppression de fonctionnalités.

                        Et puis wu_ftpd et sendmail sont très utilisés....
                        • [^] # Re: c'est la faute des applications !

                          Posté par  . Évalué à 0.

                          Je m'inscrit en hyper faux. Outlook a des trous de sécurité au niveau de la conception. Autorité VB (qui n'a pas le niveau de sécurité de java en applet par exemple) dans les mails est une ÉNORME connerie. D'ailleur MS le sait très bien et a dit qu'à l'avenir, entre fonctionnalité (avoir VB) et sécurité ils supprimeront la fonctionnalité.

                          Sauf faille dans le code, VB ne va pas t'executer tout et n'importe quoi, ce n'est donc pas un probleme de conception, mais des failles comme d'autres.

                          Mais dans wu_ftpd ou sendmail, pour assurer la sécurité :
                          - Il n'y a pas d'antivirus
                          - Le renforcement de la sécurité ou la correction d'un trou de sécurité ne passe pas par la suppression de fonctionnalités.


                          Non, par contre il y a un patchage regulier, tout comme Outlook.

                          Outlook, t'as pas besoin d'anti-virus tant que personne ne clicke sur un attachement executable, hors la plupart des novices le font, donc faut les proteger contre eux-meme, et Outlook mainetnant bloque meme l'arrivee d'attachements executables, a cause d'un manque de connaissances de l'utilisateur, pas a cause d'une faille de l'appli.
                          • [^] # Re: c'est la faute des applications !

                            Posté par  . Évalué à 3.

                            > ce n'est donc pas un probleme de conception, mais des failles comme d'autres.

                            Ben le patch on l'attend depuis longtemps. Et tu peux me pointer sur un advisory de MS sur ce point ?

                            > Outlook, t'as pas besoin d'anti-virus tant que personne ne clicke sur un attachement executable

                            Et sous Linux même si tu clickes sur un attachement executable t'as pas besoin d'anti-virus.

                            > hors la plupart des novices le font, donc faut les proteger contre eux-meme

                            Ça ne fait pas parti des buts d'un OS généraliste ça ?

                            > Outlook mainetnant bloque meme l'arrivee d'attachements executables, a cause d'un manque de connaissances de l'utilisateur

                            Ben ils ont fini par la corriger cette faille de sécurité.... En combien de temps ?

                            T'es en train d'expliquer que Outlook n'est pas sûre pour un novice et que c'est de la faute des novices car ce ne sont pas des experts... Tu vois pas un problème dans ton raisonnement.

                            Sous Linux il faut être un "expert" pour exécuter les pièces attachées. Tu ne peux pas l'excécuter directement. Il faut sauvegarder, changer le mode du fichier et l'excécuter. C'est pas un problème technique mais un chois de conception pour des raisons évidentes de sécurité. Avec un navigateur c'est la même chose. Sous Linux le fait de visualiser un document (Ooo par exemple) ne te fait pas courir des risques. Sous Linux il n'y a pas une option pour règler le niveau de sécurité du navigateur. Le navigateur est sûre par défaut, de part sa conception.
                            Puis compares Java à VB lorsqu'il est dans un document. La conception de java ne te permet pas de fouiller le carnet d'adresse, de supprimer des fichiers...

                            T'aime bien Windows, et pour ma part j'ai beaucoup de respect pour les compétences techniques de MS (de toute manière on ne devient pas le numéro 1 pour rien).
                            Mais là ton "amour" frise l'aveuglement alors que les pertes liés à cette "fonctionnalité" (je sens que tu vas dire "à l'incompétence des novices") sont énormes.
                          • [^] # Re: c'est la faute des applications !

                            Posté par  (site web personnel) . Évalué à 5.

                            Outlook, t'as pas besoin d'anti-virus tant que personne ne clicke sur un attachement executable

                            Ceci est totalement faux... outlook a eu plusieurs problèmes de sécurité lié à l'exécution automatique de script vb à l'affichage dans la fenêtre de pré-visualisation... c'est facile de dire que c'est les utilisateurs les neuneus...
                            • [^] # Re: c'est la faute des applications !

                              Posté par  (site web personnel) . Évalué à 2.

                              Tiens un petit lien pour te rafraîchir la mémoire...

                              http://www.securiteam.com/windowsntfocus/5AP0L0U6LW.html(...)
                            • [^] # Re: c'est la faute des applications !

                              Posté par  . Évalué à 1.

                              Oui, mais ca c'est des bugs de code, pas de conception, c'est ca dont on parlait.
                              • [^] # Re: c'est la faute des applications !

                                Posté par  . Évalué à 2.

                              • [^] # Re: c'est la faute des applications !

                                Posté par  (site web personnel) . Évalué à 2.

                                Excuse-moi de reprendre ta phrase : Outlook, t'as pas besoin d'anti-virus tant que personne ne clicke sur un attachement executable

                                Et maintenant de dire : Oui, mais ca c'est des bugs de code, pas de conception

                                ça me fait une belle jambe que ça vienne pas de la conception... en attendant si je perds toutes mes données ça change quoi d'où provient le problème...

                                Ni une ni deux, soit tu jettes outlook à la poubelle... soit t'installes un anti-virus... parce que moi mes données elles sont plus importantes que de savoir si le problème vient de la conception ou de la mauvaise programmation....
                                • [^] # Re: c'est la faute des applications !

                                  Posté par  . Évalué à -1.

                                  Ah oui, mais dans ce cas tu as aussi besoin d'un anti-virus pour ton browser Mozilla sous Linux, parce que si il a une faille c'est meme topo.
                                  • [^] # Re: c'est la faute des applications !

                                    Posté par  (site web personnel) . Évalué à 2.

                                    Oui mais à la différence que le cas d'outlook lui est réel...
                                  • [^] # Re: c'est la faute des applications !

                                    Posté par  (site web personnel) . Évalué à 0.

                                    Puis j'utilise pas Mozilla sous linux... Konqui roxor...

                                    ===> [-1]
                                  • [^] # Re: c'est la faute des applications !

                                    Posté par  . Évalué à 2.

                                    Parce que tu connais un anti-virus pour mozilla (que ce soit pour Windows ou Linux). Et tu connais un anti-virus pour Netscape 4.x (que ce soit pour Windows ou Linux).
                                    • [^] # Re: c'est la faute des applications !

                                      Posté par  . Évalué à -2.

                                      Je connais aucune boite qui fait des anti-virus pour des softs dont la part de marche est infime non.

                                      J'en connais un pour Eudora par contre :
                                      http://www.quickheal.com/xgen.htm(...)

                                      Bref, Outlook n'a rien de special a ce niveau.
                                      • [^] # Re: c'est la faute des applications !

                                        Posté par  . Évalué à 2.

                                        Et Netscape n'a pas dominé le marché à une époque ?

                                        Bizarre mais il n'y a pas eu de virus pour netscape (qui fait mailer aussi). Bizarre, Bizarre.
                                        • [^] # Re: c'est la faute des applications !

                                          Posté par  . Évalué à -1.

                                          Et ?

                                          Car il n'y en avait pas ca veut dire que c'etait pas utile ?

                                          Il n'y avait pas d'anti-virus pour Outlook non plus a une epoque.
                                          • [^] # Re: c'est la faute des applications !

                                            Posté par  . Évalué à 1.

                                            T'es d'une mauvaise foi sans nom.

                                            Je trouve comique que tu refuses de critiquer la sécurité dans les produits de Microsoft alors que Microsoft a fait son auto-critique. Le niveau de sécurité de Windows/Office c'est déjà grandement amélioré. D'ailleur je suis convaincu que les virus sous Windows seront épisodique dans 3 ou 4 ans pour leur nouveaux produits. Et ce jour là tu seras bien dans la merde pour expliquer pourquoi les anti-virus ne sont plus nécessaires. MS semble avoir sérieusement pris en compte le problème. Mais pas toi.
                                            • [^] # Re: c'est la faute des applications !

                                              Posté par  . Évalué à 1.

                                              Nope, je comprends l'informatique c'est tres different.

                                              Les anti-virus sont la pour proteger le systeme des utilisateurs principalement.

                                              Sur Amiga il y a 12 ans, il n'y avait pas de TCP/IP, pourtant les virus se promenaient partout.

                                              Pourquoi ? Parce que les utilisateurs ne comprenaient rien et lancaient toto.exe pour une raison x ou y. Pourtant il y avait pas de lecteur de mail qui leur permettait de tout lancer automatiquement, ils devaient le faire eux meme et le faisaient.

                                              Resultat : des anti-virus sont apparus, pour verifier au lancement les executables.

                                              Moi je suis sur que les virus ils seront toujours la dans 3-4 ans sous Windows, et si Linux se repand sur le desktop, il aura des petits amis parasites aussi qui apparaitront.
                                              • [^] # Re: c'est la faute des applications !

                                                Posté par  . Évalué à 1.

                                                non, car le virus pourra uniquement infecter les document de l'utilisateur, et pas tout le système. Il suffit simplement qu'il execute les fichier pas sur ( ou navigue sur internet ) dans un compte utilisateur à pas ( peu ) de droits et il n'y aura pas de problèmes.
                                                • [^] # Re: c'est la faute des applications !

                                                  Posté par  (site web personnel) . Évalué à 1.

                                                  oui mais bon le principal intérêt d'un virus, c'est de te faire perdre des documents... dans ce cas, le virus fonctionne même sur ton utilisateur (justemenent celui-là)... c'est tes données qui sont importantes pas l'OS...
                                          • [^] # Re: c'est la faute des applications !

                                            Posté par  (site web personnel) . Évalué à 1.

                                            Et pourquoi en a t-il fallu un, au lieu de sécuriser l'application ?
                                            Cherche un peu...
                                            • [^] # Re: c'est la faute des applications !

                                              Posté par  . Évalué à 0.

                                              Parce que les virus c'est pas une application qui va les arreter.

                                              Un virus c'est quoi ? Un executable ou un script.

                                              Comment est-ce qu'un soft peut savoir si il faut permettre a un executable/script X de se lancer ou pas ? En ayant une signature des scripts/executables dangereux, bref un anti-virus.

                                              Voila, toute la raison pour un anti-virus.

                                              C'etait identique sur Amiga, qui pourtant n'avait pas d'Outlook a l'epoque, le web n'existait pas encore.

                                              Les virus c'est dans 99% des cas un probleme de l'utilisateur qui lance qqe chose qu'il ne connait pas, et ca aucune application ne peut rien faire contre, sauf a etre un anti-virus qui check l'executable contre des signatures pour voir si c'est un virus connu.
                                              • [^] # Re: c'est la faute des applications !

                                                Posté par  . Évalué à 2.

                                                le probleme c'est que les virus lancés par un utilisateur sous win arrivent à accéder à des ressources privilégiées de root ("privilege escalation") à cause du mauvais design de win
                                              • [^] # Re: c'est la faute des applications !

                                                Posté par  . Évalué à 1.

                                                Les virus c'est dans 99% des cas un probleme de l'utilisateur qui lance qqe chose qu'il ne connait pas, et ca aucune application ne peut rien faire contre, sauf a etre un anti-virus qui check l'executable contre des signatures pour voir si c'est un virus connu

                                                hmm je suis pas vraiment sur de ces 99% ..
                                                je parle d'une experience personnelle : je n'ai aucun chiffre, mais ca j'ai une mon 2k completement detruit 3 fois par des virus, sans avoir executé de programme verolé, ni meme lancé une seule piece jointe et d'apres analyse post mortem, par des virus differents..
                                                j'avoue etre tout le temps logué en administrateur, mais sous windows 2k, passer en woot temporairement pour effectuer une tache d'administration toute simple, installer un soft, est pas vraiment pratike, sans compter les soft qui ne fonctionnent mal ou meme pas en mode utilisateur de base.. (a moins qu'un sudo ou qqch dans le genre existe sous win32,. mais j'ai pas trouvé..)

                                                et contrairement a ce que tu dit, une bonne partie des utilisateur a fini par etre sensibilisée au virus : ils n'executent plus de binaires inconnus, ou louches.. et ca n'empeche malheureusement l'infection..
                                                • [^] # Re: c'est la faute des applications !

                                                  Posté par  . Évalué à 1.

                                                  je parle d'une experience personnelle : je n'ai aucun chiffre, mais ca j'ai une mon 2k completement detruit 3 fois par des virus, sans avoir executé de programme verolé, ni meme lancé une seule piece jointe et d'apres analyse post mortem, par des virus differents..

                                                  Il se pourrait bien que tu te soit fait avoir a ton insu, c'est tout a fait possible, cependant c'est pas le cas de la grande majorite des gens.

                                                  j'avoue etre tout le temps logué en administrateur, mais sous windows 2k, passer en woot temporairement pour effectuer une tache d'administration toute simple, installer un soft, est pas vraiment pratike, sans compter les soft qui ne fonctionnent mal ou meme pas en mode utilisateur de base.. (a moins qu'un sudo ou qqch dans le genre existe sous win32,. mais j'ai pas trouvé..)

                                                  sudo == runas.exe, ca devrait resoudre bcp de tes soucis.

                                                  et contrairement a ce que tu dit, une bonne partie des utilisateur a fini par etre sensibilisée au virus : ils n'executent plus de binaires inconnus, ou louches.. et ca n'empeche malheureusement l'infection..

                                                  Ben je comptes plus le nombre de fois que j'ai recu des kournikova.jpg.vbs de la part de gens qui avaient mon e-mail par exemple, et ca c'est un virus que tu choppes d'une unique maniere : en cliquant dessus.
                                                  Les gens maintenant ne cliquent plus sur les attachements car Outlook bloque par defaut tout ce qui peut s'executer, mais ca empeche pas certains de decompresser le truc et le lancer quand meme, un comble...
                                    • [^] # Re: c'est la faute des applications !

                                      Posté par  . Évalué à 1.

                                      Heu, la plupart des antivirus actuels (du moins, ceux que je connais) créent un proxy SMTP, POP et IMAP transparent, et donc fonctionnent très bien avec Mozilla, ainsi qu'avec n'importe quel client mail d'ailleurs
                              • [^] # Re: c'est la faute des applications !

                                Posté par  . Évalué à 2.

                                Il faut patcher l'utilisateur...
                                • [^] # Re: c'est la faute des applications !

                                  Posté par  . Évalué à 1.

                                  On a essaye avec moi, mais le patch contre la tuberculose n'a jamais fonctionne...

                                  Me reste plus qu'a m'installer un firewall sur le corps.
                                  • [^] # Re: c'est la faute des applications !

                                    Posté par  (site web personnel) . Évalué à 4.

                                    Les premiers virus ont été créés sous Unix. On a très vite compris ce qu'il fallait faire et depuis plus de 20 ans, le problème est résolu.
                                    Unix/Linux fait de la prévention. Il n'y a donc pas besoin de faire un traitement curatif.
                                    Microsoft a pris l'option inverse : ne pas faire de prévention et vendre des anti-virus. C'est la logique du fric US. C'est la même que l'industrie pharmaceutique : Il vaut mieux que les gens attrapent des maladies graves, on leur vendra beaucoup de médicaments...

                                    Avec tout le fric gagné par Microsoft, il y aurait eu de quoi sécuriser Windows depuis très longtemps. Mais ce n'était pas rentable.
                                    Fais attention au jour où Pasbill Pasgates sera moins rentable !
                                    • [^] # Re: c'est la faute des applications !

                                      Posté par  . Évalué à 1.

                                      Unix/Linux fait de la prévention. Il n'y a donc pas besoin de faire un traitement curatif.
                                      Microsoft a pris l'option inverse : ne pas faire de prévention et vendre des anti-virus. C'est la logique du fric US. C'est la même que l'industrie pharmaceutique : Il vaut mieux que les gens attrapent des maladies graves, on leur vendra beaucoup de médicaments...


                                      N'importe quoi.

                                      Unix/Linux ils sont tres peu affectes principalement car les utilisateurs sont pour l'enorme majorite des admin systeme et des power users, hors un virus ca compte enormement sur l'ignorance de l'utilisateur pour s'executer.

                                      Le jour ou Linux aura 20% du marche desktop, on verra bien ce qui va arriver niveau virus, et ca va pas etre triste...

                                      Windows et Linux sont IDENTIQUES au niveau protection contre les virus, on ne peut rien faire contre pour la simple raison que ce sont des executables comme les autres. Il n'y a aucun moyen pour un utilisateur novice de savoir qu'il est en train de lancer un virus et pas autre chose quand il clique sur un soft.
                                      • [^] # Re: c'est la faute des applications !

                                        Posté par  (site web personnel) . Évalué à 1.

                                        Sauf que sous GNU/Linux, la plupart des éxecutables sont en lecture seule (pour l'utilisateur)*(sauf sous Lindows justement -_^). Il va pas avoir grand chose à se mettre sous la dent le virus (sans parler de la non intégration du moteur html de ms ie qui est troué comme pas possible)... De plus, et même si m$ fait son méa culpa, la plupart des apps window$ n'ont _pas_ été conçues pour gérer la sécurité (même pas le multiutilisateur souvent). Sous Un*x c'est depuis longtemps un point important pour tous les devs.

                                        *Je sais qu'on peut faire avec la winchose, mais on parlait du débutant. Et bein le débutant il a un compte root sous window$ (quand tu te laisse guider ça fait ça et les softs refusent la plupart du temps de s'installer sinon) et user sous GNU/Linux (quand tu te laisse guider ça fait ça et on te demande ton mot de passe seulement quand tu veut installer/configurer un truc).
                                        • [^] # Re: c'est la faute des applications !

                                          Posté par  . Évalué à -1.

                                          Ca change quoi ?

                                          Le jour ou Linux sera sur tous les desktops, les non-informaticiens vont s'echanger des executables par e-mail, alors soit ils vont apprendre a faire chmod u+x, soit ils vont avoir un client mail qui lancera le truc pour eux. Ils vont aussi avoir un client mail qui affiche d'office xyz car c'est plus agreable, et un jour il y aura un buffer overflow dans ce module, etc...

                                          Et un utilisateur novice, le chmod u+x il va le faire sur n'importe quoi et le lancer, car il se doute pas que ca peut etre dangereux.

                                          Ce qui protege Unix, c'est le niveau de connaissances de ses utilisateurs qui fait que pour l'instant un virus a tres peu de chances d'etre execute, mais le jour ou Linux aura une bonne part de marche desktop, ca va changer, et les virus vont pousser.
                                          • [^] # Re: c'est la faute des applications !

                                            Posté par  . Évalué à 2.

                                            les débutants sous Linux utilisent surtout le catalogue impressionant de logiciels libres signés par leur distrib
                                            ils n'ont pas besoin de s'échanger des binaires non signés comme sous win
                                            et les binaires lancés par un utilisateur ne peuvent pas modifier le reste d'un système Linux
                                            • [^] # Re: c'est la faute des applications !

                                              Posté par  . Évalué à 1.

                                              les débutants sous Linux utilisent surtout le catalogue impressionant de logiciels libres signés par leur distrib
                                              ils n'ont pas besoin de s'échanger des binaires non signés comme sous win


                                              Pour l'instant.

                                              Attends de voir a quoi ca va ressembler quand le marche de masse du desktop arrivera sur Linux, ca pas etre different du comportement sous Windows.

                                              et les binaires lancés par un utilisateur ne peuvent pas modifier le reste d'un système Linux

                                              Sous Windows non plus
                                          • [^] # Re: c'est la faute des applications !

                                            Posté par  (site web personnel) . Évalué à 1.

                                            <blockquote>
                                            soit ils vont avoir un client mail qui lancera le truc pour eux. Ils vont aussi avoir un client mail qui affiche d'office xyz car c'est plus agreable, et un jour il y aura un buffer overflow dans ce module, etc...
                                            </blockquote>
                                            Facile à dire. Pour l'instant aucune prémice d'un tel logiciel n'existe, alors que beaucoup des autres projets sont très avancés (à mois que m$ ne prépare un "Outlook Express.org" pour GNU/Linux lol).
                      • [^] # Re: c'est la faute des applications !

                        Posté par  . Évalué à 2.

                        « Outlook n'est pas pire que wu_ftpd ou sendmail niveau securite, simplement vu qu'il est plus utilise et qu'il est utilise par des novices, ca a plus d'impact. »

                        C'est vrai. C'est pourquoi quiconque décide, en entreprise, wu_ftpd, Sendmail... ou Outlook mérite de se faire virer pour faute grave : p
              • [^] # Re: c'est la faute des applications !

                Posté par  . Évalué à 0.

                "Aucune des grosses distrib Linux sur le marche ne le fait, ce ne sont que des patchs non supportes par les distrib, bref inutilisables"

                Re... Mouhahahahaha....

                Va falloir que microsoft sorte de sa bulle.
              • [^] # Re: c'est la faute des applications !

                Posté par  (site web personnel) . Évalué à 1.

                Aucune des grosses distrib Linux sur le marche ne le fait, ce ne sont que des patchs non supportes par les distrib, bref inutilisables.

                Tu as raison, les distribs n'utilisent jamais de patch... Il n'y a qu'à voir la Mandrake par exemple, qui patch à fond son kernel (ce qui en soit n'est pas une critique, je suis par exemple bien content d'avoir l'automount quand je fais une présentation à des newbies).
          • [^] # Re: Linux et IBM recoivent un satisfecit de Washington

            Posté par  (site web personnel) . Évalué à -1.

            Mouai, en theorie, c'est ca. En pratique, j'en doute. BackOrifice par exemple est une appliation windows tout a fait legitime qui n'utilise pas de "bugs" de l'OS et qui permet quand meme de faire pas mal de choses mechantes.
            • [^] # Re: Linux et IBM recoivent un satisfecit de Washington

              Posté par  . Évalué à 3.

              Des trojans t'en as sur tous les systemes, cf. les rootkits sur Linux et autres Unix
              • [^] # Re: Linux et IBM recoivent un satisfecit de Washington

                Posté par  . Évalué à 1.

                Tu peux me donner un équivalent de backoriffice sous Linux ?

                Je dit un truc que j'installe sur une machine A et j'utilise la machine B d'une manière non prévue par l'admin. Et surtout un outil qui n'utilise pas un trou de sécurité (un bug quoi) mais fait une utilisation prévue, normale de la bécane.
                • [^] # Re: Linux et IBM recoivent un satisfecit de Washington

                  Posté par  . Évalué à 1.

                  "Tu peux me donner un équivalent de backoriffice sous Linux ?"

                  Moi oui: ssh, en root. héhé
                  • [^] # Re: Linux et IBM recoivent un satisfecit de Washington

                    Posté par  . Évalué à 1.

                    Non prévu par l'admin !
                    Si je fais un ssh chez toi c'est que tu m'as donné le mot de passe root, que tu as activé ssh et autorité root à se loggué via ssh.
                    • [^] # le succès de backorifice est du aux faiblesses de win

                      Posté par  . Évalué à 2.

                      même s'il s'est très répandu, cela reste quand meme un troyen...

                      le succès de backorifice et de ses clones s'explique à mon avis par 2 choses:
                      1. il est courant pour les utilisateurs win de lancer un binaire (ou une macro) du Net non signé par une autorité centrale (contrairement aux nombreux binaires et scripts libres signés par les distribs linux)
                      2. une fois ce programme win non signé lancé, il peut utiliser des techniques connues de privilege escalation (comme celle cité plus haut qui est inhérente aux specs de win) pour installer un troyen root, ou encore infecter les comptes d'autres utilisateurs (ce qui reste possible même sur les machines n'ayant pas de fenetres root)
                      • [^] # Re: le succès de backorifice est du aux faiblesses de win

                        Posté par  . Évalué à 1.

                        une fois ce programme win non signé lancé, il peut utiliser des techniques connues de privilege escalation (comme celle cité plus haut qui est inhérente aux specs de win) pour installer un troyen root, ou encore infecter les comptes d'autres utilisateurs (ce qui reste possible même sur les machines n'ayant pas de fenetres root)

                        Sauf faille dans un service(qui sera des lors patche), le truc plus haut n'est pas possible. Donc si tu tiens ta machine a jour, ce n'est pas faisable de cette maniere.

                        Sinon, tu m'expliqueras comment infecter les comptes d'autres utilisateurs sans etre root.
                        • [^] # privilege escalation inhérente à win

                          Posté par  . Évalué à 2.

                          tu es 1 intrus
                          tu as réussi à accéder aux droits du service S via une faille dans ce service
                          si un utilisateur U est connecté (ou se connecte ensuite)et a des fenetres ouvertes alors tu peux utiliser l'exploit évoqué plus haut pour accéder aux droits de U

                          je cite http://informatics.ntu.edu.au/staff/kgilbert/security/shatter_attac(...)

                          Any application on a given desktop can send a message to any window on the same desktop, regardless of whether or not that window is owned by the sending application, and regardless of whether the target application wants to receive those messages. There is no mechanism for authenticating the source of a message; a message sent from a malicious application is indistinguishable from a message sent by the Windows kernel.
                          • [^] # Re: privilege escalation inhérente à win

                            Posté par  . Évalué à 1.

                            Si tu as accede au service S, tu l'as dans le fion, car les services par defaut sont empeches d'interagir avec le desktop.

                            Start Menu -> Run -> services.msc -> proprietes des services -> LogOn et tu verras que les services ne peuvent pas interagir avec le desktop.

                            Bref, pas de bol, faudra trouver autre chose.
                            • [^] # Re: privilege escalation inhérente à win

                              Posté par  . Évalué à 1.

                              y'a des erreurs de design dans tous les programmes ... y compris dans certains services
                              (tu vas encore me dire que ces vilains ne respectent pas les recommandations MS ... )

                              sinon n'importe quel client internet peut faire l'affaire: ftp/browser/mail/chat/etc.
                              • [^] # Re: privilege escalation inhérente à win

                                Posté par  . Évalué à 1.

                                Ben oui il y a des erreurs dans tous les softs, c'est bien ca que je te dis, le probleme est dans le soft, pas dans l'OS
                                Tout comme ecrire un daemon qui tourne en root et qui accepte des connexion sans rien verifier.

                                Sinon, n'importe quel client internet ne fait pas l'affaire, pour la simple raison que si tu prends le controle du client web, ben ca te sert a rien d'essayer de controler un autre process du meme user a travers les fenetres, vu que tu controles deja ce process.
                                • [^] # Re: privilege escalation inhérente à win

                                  Posté par  . Évalué à 1.

                                  non, tout systeme sûr digne de ce nom doit refuser le "privilege escalation", meme quand les programmes comportent des failles, ca la majorité des programmes ont des failles

                                  sinon tu attends qu'un autre user se logge pour prendre controle du compte de ce user
                                  (tu as du mal à te mettre dans la peau d'un intrus, tu ferais un mauvais spécialiste en sécurité)
                                  • [^] # Re: privilege escalation inhérente à win

                                    Posté par  . Évalué à 1.

                                    On est bien d'accord, mais les systemes ont tous des limites.

                                    Linux il va se faire entuber si tu fais tourner dessus un shell root avec acces a travers un socket sans authentication.

                                    C'est exactement similaire a la situation de Windows avec les fenetres, et le systeme lui meme n'y peut rien.
                                    Si le gars qui a code le soft a decide d'etre stupide, le systeme peut pas l'en empecher sauf settings de l'administrateur(pour bloquer les sockets ouverts par root ou empecher un service d'etre interactif par exemple).
                                    • [^] # Re: privilege escalation inhérente à win

                                      Posté par  . Évalué à 3.

                                      lol, ta comparaison est innutile, "un shell root avec un socket sans autentification" <- mais personne utilise un tel programme ( d'ailleur il n'y a aucune utilité à employer cela ).

                                      Tandis que l'interface graphique sous win est inséparable avec le reste de l'OS. Voila l'erreure de conception windows.

                                      Berf, à nouveau, tu fait preuve d'une mauvaise foi flagrande.
                                      • [^] # Re: privilege escalation inhérente à win

                                        Posté par  . Évalué à 1.

                                        mais personne utilise un tel programme ( d'ailleur il n'y a aucune utilité à employer cela ).

                                        Ben oui, ceux qui le font font une connerie, tout comme ceux qui utilisent un service qui interagit avec le desktop !

                                        Tandis que l'interface graphique sous win est inséparable avec le reste de l'OS. Voila l'erreure de conception windows.

                                        Ouaip, et l'interface graphique n'est pas dangereuse, si elle est utilisee correctement, tout comme les sockets ne sont pas dangereux quand ils sont utilises correctement.

                                        Berf, à nouveau, tu fait preuve d'une mauvaise foi flagrande.

                                        Plutot toi qui ne comprend rien au probleme et au fait que le systeme de messages entre fenetres est identique au systeme de sockets niveau securite
                                        • [^] # Re: privilege escalation inhérente à win

                                          Posté par  . Évalué à 2.

                                          je suis désolé, mais c'est pas "intuitif" de lancer une application avec un socket ouvert ! ( d'ailleur en existe t'il ? ( a part les troyen ) )

                                          Sous win, il est "intuitif" d'utiliser l'interface graphique pour TOUT ! ( d'ailleur c'est comme ca que Ms à "éduqué" ses clients: le clicodrome ! ) Donc l'administareur fera bcp plus rapidement cette connerie. Contrairement à linux ou il faut vraiment le vouloire ! ( de plus ton histoire de socket, les firewall, ca existe ! )

                                          Petite métaphore, je compart Win à un tableau de commandesur lequel, il y a un bouton rouge. Si tu presse dessus, tout explose. Certe, tu sais très bien qu'il ne faut pas presser dessus.

                                          Par la même méthaphore, je prend linux, c'est le même tableau de bord, sauf que le bouton est cadenassé. La clé est à côté.

                                          Sous win, tu peux presser par "mégarde". Sous linux, il faut décadenasser puis presser dessus. C'est volontaire.

                                          Tu t'aveugle devant l'erreur de windows, avoule la ! c'est pas une honte ! Il suffit juste d'y remèdier !
                                          • [^] # Re: privilege escalation inhérente à win

                                            Posté par  . Évalué à 1.

                                            Bordel...

                                            Utiliser la GUI de Windows n'est PAS dangereux pour quoi que ce soit.

                                            Ce qui est dangereux c'est d'ecrire un soft qui tourne avec droits root comme un porc.

                                            Tu prends un Windows, t'installes les SP/patches, t'installes Office, Mozilla, Eudora, ....

                                            Ton systeme n'est PAS vulnerable a cette attaque.

                                            Ton systeme il sera vulnerable uniquement quand t'auras installe une application qui elle est vulnerable.

                                            Ce n'est pas du au systeme, c'est du a l'application.

                                            L'administrateur il est libre d'utiliser la GUI, il court aucun risque tant qu'il a pas une appli trouee sur son systeme, tout comme sur Linux.
                                            • [^] # Re: privilege escalation inhérente à win

                                              Posté par  (site web personnel) . Évalué à 1.

                                              Mais bon un OS est fait pour ça aussi... empécher des applis de faire n'importe quoi... sinon pourquoi protéger la mémoire utilisée par les processus... sous linux si je programme comme un porc et que j'essaye d'accéder à une partie mémoire non permise ==> segfault...

                                              Sous windows... au mieux erreur de protection générale... reboot...

                                              Si ça c'est pas une erreur de conception... qu'est-ce que c'est qu'une erreur de conception...
                                              • [^] # Re: privilege escalation inhérente à win

                                                Posté par  . Évalué à 0.

                                                Mais bon un OS est fait pour ça aussi... empécher des applis de faire n'importe quoi... sinon pourquoi protéger la mémoire utilisée par les processus... sous linux si je programme comme un porc et que j'essaye d'accéder à une partie mémoire non permise ==> segfault...

                                                Sous windows... au mieux erreur de protection générale... reboot...


                                                N'importe quoi.

                                                C'etait en partie vrai sous Win9x, c'est totalement faux sous Win2000/XP
                                            • [^] # Re: privilege escalation inhérente à win

                                              Posté par  . Évalué à 2.

                                              c'est drole, mais c'est pas du tout ce que raconte la page que je t'ai filé... TOUTES les application sont vulnérables car windows ne permet pas de vérifier d'ou vient le message ....

                                              Bref, c'est ton interprétation contre la mienne.

                                              De plus, si tu compare windows à linux, Win est plus vulnérable, car un socket sur win est aussi possible. Tandit que le privilage escalation de win, est impossible sous linux.
                                              • [^] # Re: privilege escalation inhérente à win

                                                Posté par  . Évalué à 1.

                                                C'est pas ton interpretation contre la mienne, c'est la realite.

                                                Sur un systeme installe comme precite, il n'y a aucun process avec droits privilegies qui affiche des fenetres, ils utilisent tous les techniques correctes pour afficher des GUI.

                                                Resultat: tu peux t'amuser a peter tes propres process, comme sous Unix, mais t'iras pas plus loin.
                                                • [^] # Re: privilege escalation inhérente à win

                                                  Posté par  . Évalué à 1.

                                                  tien tien tien... c'est toi qui détient la réalité maintenant !

                                                  Et dis en moi un peux plus sur ces techniques dites "correctes"?

                                                  Les process intéragissant avec la GUI on quels droit alors ? un pseudo utilisateur est créé ? C'est runas.exe qui le lance ? mais alors, comment la GUI arrive à modifier les options ( ben oui, l'affichage de la GUI c'est pour configurer le serveur, si la gui tourne en untilisateur normal, elle ne peux pas effecteuer les changement demandé par l'utilisateur, sinon, n'importe quel utilisateur peux modifier quoi que ce soit. )
                                                  • [^] # Re: privilege escalation inhérente à win

                                                    Posté par  . Évalué à 2.

                                                    La realite je la connais car moi je comprends ce que dit l'article et je sais parfaitement comment le systeme fonctionne, contrairement a toi.

                                                    Les process intéragissant avec la GUI on quels droit alors ? un pseudo utilisateur est créé ? C'est runas.exe qui le lance ? mais alors, comment la GUI arrive à modifier les options ( ben oui, l'affichage de la GUI c'est pour configurer le serveur, si la gui tourne en untilisateur normal, elle ne peux pas effecteuer les changement demandé par l'utilisateur, sinon, n'importe quel utilisateur peux modifier quoi que ce soit. )

                                                    La GUI des services est sensee tourner avec les droits de l'utilisateur, et elle communique par IPC avec les services, tu peux mettre n'importe quel ACL sur un named pipe par exemple, et seuls ceux qui sont autorises a s'y connecter le pourront.

                                                    cf. http://msdn.microsoft.com/library/default.asp?url=/library/en-us/dl(...)
                • [^] # Re: Linux et IBM recoivent un satisfecit de Washington

                  Posté par  . Évalué à 1.

                  Installes BackOrifice sur une machine A, et montre moi comment il peut prendre le controle d'une machine B patchee a jour, on discutera des rootkit Linux apres.
          • [^] # Re: Linux et IBM recoivent un satisfecit de Washington

            Posté par  . Évalué à 3.

            je ne vais pas répondre à ce que tu as dit car je pense que c'est à peu près juste. Mais que penses-tu de cette page:
            http://www.pivx.com/larholm/unpatched/(...)
          • [^] # Re: Linux et IBM recoivent un satisfecit de Washington

            Posté par  (site web personnel) . Évalué à -1.

            Windows c'est de la merde.

            Hier, j'ai configuré un Windows XP *Professionnel*.
            J'y ai appliqué TOUTES les mise à jour de Microsoft dispo via Windows Update et en particulier toutes celle liés à la sécurité.

            J'ai laissé le PC branché sur l'ADSL toute la nuit pour voir si le modem ne se déconnectait pas inopinément.

            Le lendemain matin j'avais des messages porno affiché à l'écran que des gugus sur Internet m'avait envoyé via le service de notification de messages de windows !!

            Donc j'insiste, Windows C'EST DE LA MERDE.

            Qui a besoin d'un système qui n'est meme pas foutu de protéger SA VIE PRIVÉE et ne vous offre meme pas une protection minimal sur Internet.

            Et je ne parle meme pas des dossiers partagés en accès complet et autres saloperies du meme genre que Microsoft vous offre en standard.

            C'est pas sous GNU/Linux que je risque de voir ce genre de chose !
            • [^] # Re: Linux et IBM recoivent un satisfecit de Washington

              Posté par  . Évalué à 0.

              Qui a besoin d'un système qui n'est meme pas foutu de protéger SA VIE PRIVÉE et ne vous offre meme pas une protection minimal sur Internet.

              Ah, le service Messenger a revele qqe chose a ton propos ?

              Non.

              T'as pas utilise le firewall livre en standard(qui aurait bloque ces popups) ? Pourtant l'OS te propose par defaut de le mettre sur ta connexion ADSL, t'as donc refuse, t'assumes.

              Quand aux dossiers partages en acces complet en standard, montre moi lesquels que je rigole.

              Vive la mauvaise foi.
        • [^] # Re: Linux et IBM recoivent un satisfecit de Washington

          Posté par  . Évalué à 1.

          L'article est dans le cas où tu as un accès à la machine avec un compte invité, moi je te parles du cas ou l'on s'en sert de serveur.

          En tant que client c'est clair qu'il est tout sauf sûr, mais bien configuré, je ne vois pas de problème, si ce n'est que si tu regardes les failles exploitées, c'est souvent du à l'incompétence des administrateurs. Et c'est d'ailleur une des raisons pour lequel je ne veux pas de serveur sous windows, car il existe trop peu de personnes compétentes pour trouver l'information rapidement en cas de problèmes.
          • [^] # Re: Linux et IBM recoivent un satisfecit de Washington

            Posté par  . Évalué à 2.

            Oui, c'est dans le cas ou tu a un accès à la machine. Mais le pire, c'est que l'administrateur ne peux rien faire contre des attaques de ce types. ( pas de patchs, rien... ) car n'importe quelles application peux envoyer un signal à n'importe quelle autre application ( par le GUI ). Elle effectue un buffer overflow et comme ca tu peux executer n'importe quel code sur la machine avec les droits administrateur ( et mm plus, système ... ). La réponse de microsoft à été claire: Pour le faire à distance, il faut executer un code spécifique -> virus -> c'est pas de notre faute ( quel mauvaise foi ! car un système serveur ne devrait pas avoir besoin d'antivirus ( les système unix n'en n'ont pas ) ). Et tu peux très bien le faire si tu a un accès direct à la machine: la réponse à été: L'utilisateur à un accès physique! eh bien, c'est pas une faille ! puisqu'il peux avoir accès au clavier. ( dans ce cas, il ne faut JAMAIS utiliser un système microsoft lorsque des utilisateur on accès à la machine. )

            C'est comme je l'ai dit, une erreure de conception de l'OS, et ca, microsoft ne peux pas l'admettre, car ils devrait romprent la compatibilitée ascendente de leur OS.

            C'est pour cela que je m'indigne contre le fait que l'on puisse considérer microsoft comme sécurisé !
            • [^] # Re: Linux et IBM recoivent un satisfecit de Washington

              Posté par  . Évalué à 3.

              « [...] envoyer un signal à n'importe quelle autre application ( par le GUI ). Elle effectue un buffer overflow [...] »

              Plus exactement : une application peut envoyer n'importe quel message à n'importe quelle fenêtre d'une autre application (peu importe les privilèges). Certains de ces messages peuvent être envoyés avec des paramètres faussés qui permettent de modifier la mémoire du processus ciblé et donc de lui faire exécuter un programme arbitraire avec ses privilèges.

              Ce qui permet de modifier la mémoire du processus ne tient pas du buffer overflow : on utilise des messages qui modifient des structures, et l'on donne des pointeurs détournés pour ces structures, de sortes que certains mots de la mémoire sont modifiés comme s'ils étaient des paramètres d'un élément de la GUI.
            • [^] # Re: Linux et IBM recoivent un satisfecit de Washington

              Posté par  . Évalué à 1.

              T'as justement rien compris.

              Sur un systeme installe de base(donc pur MS), tu remarqueras qu'aucun service tournant en root ne vas t'afficher de GUI en utilisant un process root.

              Bref, sur ce systeme, t'es pas vulnerable.

              Si t'installes apres toi-meme un service qui fait pas ce qu'il faut, MS n'y peut rien, on a dit comment ca devait se faire pourtant.

              Sur un systeme avec Terminal Services(plusieurs users sur la meme machine), les messages ne peuvent pas transiter d'un desktop a l'autre, donc tu peux pas acceder aux process des autres users.

              Si ca te chante, tu peux meme faire de meme pour un process en particulier, les API sont la pour ca.

              Bref, je crois surtout que tu ne connais pas le probleme
              • [^] # Re: Linux et IBM recoivent un satisfecit de Washington

                Posté par  . Évalué à 1.

                mouarf, c'est que en général, tout machine windows à un antivirus ( tellement l'os est bien conçu ... ;) ). Et celui ci, à des drois assez élevé. Et comporte en général ( les plus connus en tout cas ) un gui.

                Ms dit: c'est pas de notre faute! vous avez un programme tournant en root. Mais malheureusement, ce programme est la pour parrer au déficiences de Ms...

                C'est la poule ou l'oeuf ?!?!
                • [^] # Re: Linux et IBM recoivent un satisfecit de Washington

                  Posté par  . Évalué à 1.

                  1) Moi j'ai pas d'anti-virus, et je suis pas le seul.

                  2) Expliques moi en quoi un anti-virus palie aux deficiences d'un OS qu'on rigole. Notamment, dis moi la difference entre Linux et Windows sur ce point la, je sens qu'on va bien rigoler.

                  3) Il y a des anti-virus qui font les choses proprement quand ils affichent une GUI, eTrust en est un exemple.

                  Donc c'est ni la poule ni l'oeuf, c'est toi qui ne sait pas de quoi tu parles.
                  • [^] # Re: Linux et IBM recoivent un satisfecit de Washington

                    Posté par  (site web personnel) . Évalué à 1.

                    > 2) Expliques moi en quoi un anti-virus palie aux deficiences d'un OS qu'on rigole.

                    hahahahaha

                    C'est pas Microsoft qui a justifier le rachat de l'éditeur d'antivirus GeCAD en disant que cela les aiderait à sécuriser Windows ?

                    Attends je vérifie... ha si c'est bien ça... je cite

                    « “Customers told us they needed a safer, more trustworthy computing experience to help combat the threats posed by those who write viruses and malicious code,” said Mike Nash, corporate vice president of the Security Business Unit at Microsoft. “This acquisition will help us and our partner antivirus providers further mitigate risks from these threats.” »

                    ou encore...

                    « The knowledge and experience acquired from GeCAD will contribute to Microsoft’s understanding of how systems are attacked, enabling Microsoft to more effectively focus on platform improvements that will benefit customers and partners alike. »

                    Allez, je suis gentil, je te done meme le lien du communiqué de presse de crosoft http://www.ravantivirus.com/pages/shownews.php?i=154(...)
                    • [^] # Re: Linux et IBM recoivent un satisfecit de Washington

                      Posté par  . Évalué à -1.

                      Genial.

                      Des gens ecrivent des virus pour plateforme Windows, genre l'executable en attachement, il y a un joli nom genre kournikova.jpg.exe , les novices cliquent dessus et l'executent, paf ils sont infectes.

                      Dis moi ou est la faille du systeme la-dedans ?

                      En quoi Linux est different ? Il est capable d'empecher un novice qui veut lancer un soft a lui de le faire ?

                      C'est dingue quand meme les conneries que vous pouvez sortir.
          • [^] # win specs privilege escalation exploit

            Posté par  . Évalué à 1.

            L'article est dans le cas où tu as un accès à la machine avec un compte invité, moi je te parles du cas ou l'on s'en sert de serveur.
            le première chose que fait un intrus qui a réussi à s'emparer du compte d'un programme serveur (qui normalement ne devrait pas avoir tous les privileges de root), c'est utiliser ce compte pour devenir root

            les specs de win dont on parle permettent à n'importe quel compte C de s'emparer d'un autre compte D à partir du moment où D a des fenetres ouvertes (visibles ou même sous forme de controles invisibles). Si D a des fichiers intéressants ou si il est privilégié (root)alors on peut aussi s'emparer de ses fichiers et de ses privilèges.
            • [^] # Re: win specs privilege escalation exploit

              Posté par  . Évalué à 1.

              Il faut aussi que C et D aient leur fenetres qui apparaissent dans le meme desktop.
              • [^] # Re: win specs privilege escalation exploit

                Posté par  . Évalué à 1.

                les fenetres et controles ne sont pas tous visibles, et l'utilisateur n'est pas toujours averti de leur présence (et cela suppose que l'utilisateur soit toujours en train de regarder son écran et qu'il réagisse très vite, souvent trop tard, en cas d'attaque)

                de toutes façons "shatter attacks" n'évoque meme pas la nécessité de créer une fenetre/controle: il suffit juste d'envoyer quelques messages pour exploiter cette faille inhérente aux specs de win
                • [^] # Re: win specs privilege escalation exploit

                  Posté par  . Évalué à 1.

                  T'as toujours pas compris, c'est grave quand meme.

                  Prends un Windows 2000 de base, sans aucun autre soft installe que les patch/service packs.

                  Il est impermeable a cette attaque(sauf bug de notre part dans un service et qui sera fixe).
                  • [^] # Re: win specs privilege escalation exploit

                    Posté par  . Évalué à 1.

                    désolé c'est toi qui comprend pas que ce bug ne concerne pas que les services privilégiés: il concerne toutes les applications (quelque soit leur utilisateur U) qui ouvrent des fenetres

                    toutes ces applications peuvent être exploitées par le "shatter attacks" pour obtenir les droits (privilégiés ou non) de l'utilisateur U
                    • [^] # Re: win specs privilege escalation exploit

                      Posté par  . Évalué à -1.

                      Oui, et comment tu accedes a ces applications ?

                      En ayant un truc qui tourne sur le desktop de l'user, seule maniere d'envoyer des messages aux fenetres/controles.

                      Qu'est ce qui tourne sur le desktop de l'user ? Des applis de l'user.

                      Donc si tu peux controler les applis de l'user, c'est que tu es deja cet user.

                      C'est pour ca que MS dit depuis longtemps "pas d'interaction avec le desktop pour les services qui tournent avec d'autres droits que celui de l'user"
                      • [^] # Re: win specs privilege escalation exploit

                        Posté par  . Évalué à 1.

                        il suffit pas de le dire, il faut changer le design de win qui permet à un programme d'interagir avec des fenetres ne lui appartenant pas !
                        • [^] # Re: win specs privilege escalation exploit

                          Posté par  . Évalué à 1.

                          Pourquoi ?

                          Il faudrait modifier le design de Linux pour empecher des users non authentifies de se connecter a un socket sur la machine ?
                          • [^] # Re: win specs privilege escalation exploit

                            Posté par  . Évalué à 1.

                            tien, un nouvel exemple de mauvaise foi ! ( tu fait fort sur ce troll ! )

                            en effet, ta question pourquoi est sans sens. Car la réponse était dans le fil de la discution : à cause des escalade de privilèges que permet la GUI.

                            De plus, ta dernière phrase est hors context, pour défendre Windows, tu accuse linux.... Magnifique !

                            Et soit dit en passant, aucun administateur ne va laisser un socket inutile ouvert....... Tandit que sur windows, essaie d'enlever la GUI !
                            • [^] # Re: win specs privilege escalation exploit

                              Posté par  . Évalué à 1.

                              Si tu comprenais le sujet, tu eviterais probablement de parler de mauvaise foi.

                              Pourquoi je parles de socket sur Linux(ou windows, ca revient au meme) ?

                              Parce que c'est le meme genre de probleme que cette histoire de GUI.

                              Hors, personne ne s'en plaint, et c'est tout a fait normal car ca fait partie du design et les developpeurs d'application sont senses faire ce qu'il faut pour eviter de mettre en danger le systeme.

                              Sinon, sur Windows il n'y a rien de plus simple que d'empecher un service d'interagir avec le desktop, ca demande un clic de souris(ou un script qui change la registry, selon les gouts).
                              • [^] # Re: win specs privilege escalation exploit

                                Posté par  . Évalué à 2.

                                eh ben, t'est vraiment bouché !

                                La gui est indispensable pour tout travail sur Win ( d'ailleur, tu ne peux PAS empêcher sont démarrage ). C'est une erreure de conseption car, sous linux ( comme tu aime bien la comparaison ) l'os n'est PAS livré avec un socket ouvert sur l'extérieur sans autentification ( d'ailleur, je me répète, ca ne sert strictement à rien d'avoir une telle application ). Or pour configuer quoi que ce soit, tu est obligé d'avoire une interface root. Donc, tu ne peux pas utiliser ton win, car sans interface graphique, c'est 0. C'est pourquoi l'attaquant ( avec de la patience ) peux très bien attendre le moment fatidique de la configuration de l'OS ( ou de l'application de patchs ) afin de gagner les privilèges root. C'est démontré, Windows à une erreur de conception ( et pas qu'une! ). A nouveau, tu ne veux pas comprendre le problème et tu répond à côté, bref, tu agis comme ton employeur.
                                • [^] # Re: win specs privilege escalation exploit

                                  Posté par  . Évalué à 1.

                                  Je suis pas bouche, je sais de quoi je parles contrairement a toi.

                                  Linux n'a aucun socket ouvert sur l'exterieur sans authentification par defaut.

                                  Windows n'a pas une GUI susceptible d'etre attaquee par cette attaque par defaut.

                                  Je te le repete, tu n'as rien compris au probleme.

                                  Tu ne sais pas comment Windows fonctionne, ce que sont les desktops et winstation, comment les services de base interagissent avec l'utilisateur, etc... pourtant tu continues de sortir des idioties.
                                  • [^] # Re: win specs privilege escalation exploit

                                    Posté par  . Évalué à 1.

                                    Windows n'a pas une GUI susceptible d'etre attaquee par cette attaque par defaut.


                                    Ah non, ... tu lance une GUI en root, et paf, tu te fait baiser !
                                    • [^] # Re: win specs privilege escalation exploit

                                      Posté par  . Évalué à 1.

                                      Si tu te logges en root et que ton compte est compromis, ben t'es baise de toute facon, GUI ou pas car le virus tourne avec tes droits, qui sont les droits root.

                                      Donc ca ne change strictement rien
                                      • [^] # Re: win specs privilege escalation exploit

                                        Posté par  . Évalué à 2.

                                        non, car si tu est un utilisateur normal et que tu lance une fenêtre en root, tu est baisé.

                                        Si cette faille n'existait pas, tu pourrait ne jamais tu logger entièrmenent en root, et lancer uniquement les application dont tu a besoin ( à l'aide de runas.exe, comme tu l'as dit ) depuis le compte normal. Ce qui serait un gain de sécurité ( car quand tu lance une session root tu peux bcp plus facilement effectuer qqch de mal. D'ailleur c'est bien connu qu'il ne faut jamais être entièrement loggé en root. ). C'est pour cela que windows à une erreur de conception ( ou une faiblaisse, je te l'accorde ;) ). Car sous linux, si ton compte utilisateur est vérolé, il est bcp plus difficile à une application de gagner les droit root si une application root tourne.
      • [^] # sécurité linux blindable

        Posté par  . Évalué à 5.

        on peut régler le niveau de sécurité de linux (jusqu'à un niveau que je qualifierais de paranoiaque) avec de nombreux softs dont voici quelques un vraiment sympas:
        systrace ou LSM (linux security module) pour controler l'accès à tous les appels systèmes (!) et vous demander votre autorisation en cas de changement de comportement d'une application (peut-être le meilleur IDS imaginable), xsupervisor pour la sécurité de X, fireflier pour iptables, exec-shield pour les overflows

        sans compter les linux virtuels de UserModeLinux et plex86, voir bochs si on privilégie la paranoia (mon hardware est-il de confiance :) ) aux performances ! (de quoi attendre le système complet en mode user que nous promet GNU Hurd)

        sans compter que la plupart des softs libres, quelle que soit leur origine, sont fréquemment mis à jour et signés cryptographiquement par les distribs (ce qui évite quelques troyens/virus)

        je ne suis pas sûr que toutes ces fonctions soient dispos sous Win (et à quel prix, et quelle confiance accorder à des softs de sécurité opaques ?)
        • [^] # Re: sécurité linux blindable

          Posté par  . Évalué à 3.

          avec systrace on peut controler les ouvertures de socket et réagir (de maniere personnalisée) à leur tentative ?

          ca m'interesse, pour faire un firewall personnel

          exemple : galeon essaie d'ouvrir une socket vers www.linuxfr.org, le programme est mis en pause et une interface demande a l'utilisateur si il accepete, et si il acceptera toujours ou le temps de sa session actuelle les ouvertures de socket par galeon
          si il accepte, la socket est ouverte et le programme continue

          idem pour les connexions depuis l'exterieur

          d'ailleurs je me demande comment on peut identifier a coup sur un executable dans ce cas... empreinte MD5 ?
          • [^] # Re: sécurité linux blindable

            Posté par  . Évalué à 4.

            oui tu peux utiliser systrace pour controler les sockets mais fireflier (qui est interactif aussi)est spécialisé dans iptables et fait exactement ce qu'il y a dans ton exemple

            y'a des digests + fiables que md5 (comme sha1 et ses successeurs)

            si la session de l'utilisateur est controlée par systrace, alors tous les programmes qu'il lancera exprès (ou sans le faire exprès) seront controlés aussis
            • [^] # Re: sécurité linux blindable

              Posté par  . Évalué à 1.

              ok, c'est tres bien tout ca :)
              je v mater fireflier

              sinon pour md5 ct juste pour illustrer l'idée
      • [^] # Re: Linux et IBM recoivent un satisfecit de Washington

        Posté par  . Évalué à 0.

        > C'est une preuve de manque de sérieux de l'organisme pour toi ?
        (win2000 avait eu le meme "satisfecit")

        Pour moi oui!

        (patati, patata)
        >Avant d'être sous linux j'ai travaillé sous 2000 et je n'ai rien à reprocher à cet OS
        (/patati, patata )

        Tu travailles chez M$ ou quoi?!

        (patati, patata)
        D'autant plus que microsoft fait vraiment son maximum pour réduire le temps entre le moment où on découvre une faille et le moment où il livre un patch, ce qui est un des aspects les plus déterminants de la sécurité.
        (/patati, patata )

        Si le code source n'est pas ouvert, rien ne te garanti que le proprietaire ne cache
        pas des backdoors, pour venir pomper des donnees chez toi, ou par exemple
        parce qu'un organisme (genre NSA) les y a oblige.
        Dailleurs j'ai entendu parler d'une rumeur sur une instruction de ce genre
        dans les processeurs Intel (backdoor imposee par NSA). Cependant je
        n'ai rien lu/trouve de sur la dessus.

        C'est une des raisons pour lesquels les logiciels aux sources ouvertes
        sont toujours plus sur que des logiciels proprietaires (si il y a une backdoor,
        tout le monde est en mesure de la voir).

        >Je ne vois pas en quoi il est choquant que cet organisme déclare windows 2000 >comme un système sûre.

        Moi je vois, et j'espere que tu vois aussi maintenant.

        :O)
        • [^] # Re: Linux et IBM recoivent un satisfecit de Washington

          Posté par  . Évalué à 1.

          C'est une des raisons pour lesquels les logiciels aux sources ouvertes
          sont toujours plus sur que des logiciels proprietaires


          ok pour ton argument, mais j'ai l'impression que ce n'est pas à ça que tu pensais quand tu as sous entendu que w2k n'était pas sécurisé

          car si on suit ton argument, il devient méprisable de considérer n'importe lequel des OS proprios comme sécurisé : windows 2k mais aussi les Unix célèbres comme solaris ou AIX
        • [^] # Re: Linux et IBM recoivent un satisfecit de Washington

          Posté par  (site web personnel) . Évalué à 1.

          > Si le code source n'est pas ouvert, rien ne te garanti que le proprietaire
          > ne cache pas des backdoors

          Ok pour la théorie. En pratique le problème existe aussi avec les sources ouvertes. Pourquoi ?

          Parce que la plupart ne recompilent pas à partir des sources mais utilisent les binaires de la distrib ou de l'éditeur. Aucun moyen de s'assurer qu'il n'y a pas de backdoor dans le binaire. Le principe est donc de faire confiance à son éditeur ou sa distrib, c'est la même chose pour Windows.

          Imaginons que tu utilises une distribution comme gentoo et que tu compiles tout à partir des sources. Le problème reste entier parce que tout le monde n'a pas le temps et les compétences pour faire un audit sur toutes les applications utilisées. Tu as audité ton Linux ? non ? alors il est où l'avantage ?

          Comme tous le monde tu fais confiance aux autres pour faire cet audit. Les autres c'est vague et ca regroupe plus ou moins ta distribution et le groupe qui fait l'application. Bref, encore une fois il s'agit de faire confiance. Certains font confiance à MS, voilà tout.

          Imaginons que tu compiles à partir des sources, que tu audites toi même toutes les sources de ton OS (bonne chance ;) le problème n'est pas réglé car pour compiler tout ca il te faut ... un compilateur. Ce compilateur peut lui aussi être compilé à partir des sources mais pour ca tu auras besoin d'un autre compilateur, sous forme exécutable. Bref, on ne s'en sort pas et tu as toujours besoin d'un compilateur sans pouvoir y vérifier la présence de backdoor. Le cas n'est pas imaginaire, c'est le concept d'une backdoor faite il y a pas mal de temps (je crois sur AIX mais pas sur).

          Il ne te reste qu'une solution : tout compiler à partir des sources, auditer complètement les sources de ton OS et des librairies, faire du reverse engeneering sur le compilateur et les libs utilisées pour être sûr qu'il n'y a pas de backdoor. Tu es toujours sur que l'accès au source te garanti l'absence de backdoor ?
    • [^] # Re: Linux et IBM recoivent un satisfecit de Washington

      Posté par  . Évalué à 6.

      c'est un organisme indépendant qui effectue l'évaluation.

      Il y a plusieurs modes de certification (ITSEC, CC) et chaque pays à un organisme chargé de délivré des certifications (en France la DCSSI).

      Le demandeur choisi un niveau de certification souhaité (EAL2+ pour Linux chez Suse par ex) et plus le niveau est élevé, plus la rigueur d'analyse des mécanismes de sécurité sera importante : c'est l'évaluation qui n'est pas réalisé par l'organisme certificateur mais par un tiers indépendant (en France , les CESTI cf http://www.ssi.gouv.fr(...)). De plus, la certification porte souvent sur une sous-partie du produit : c'est la cible d'évaluation. Cela regroupe ce qui est analysé et en regardant ce document qui est public, on peut voir que des coupes sont souvent effectuées. Ensuite dans le certificat, il y a des conditions d'emploi nécessaire au fonctionnement en mode "certifié" : par exemple Windows NT4 était certifié mais en standalone (sans réseau). Pour Win2K ce n'est plus le cas, mais tout çà pour dire que la certification en elle-même c'est bien mais il y a des détails à regarder pour évaluer la confiance que l'on peut avoir en un produit (cible et contraintes d'utilisation).

      En schématisant, pour un bas niveau, une simple doc commerciale pourrait suffire et pour les niveaux élevés, il faut des preuves formelles (modèle mathématique, etc...). Pour le logiciel, les hauts niveaux sont très difficiles car on tire bcp de dépendances qu'on ne maîtrise pas (librairie C par exemple) et qu'on ne sait modéliser.

      Bref, plus on monte dans les niveaux, plus on doit affiner la présentation des dispositifs de sécurité en énumérant les risques auxquelles ils peuvent être confrontés et les contre mesures mises en oeuvre. Et si tout çà est cohérent et que le produit résiste aux attaques "état de l'art", on le certifie.

      Mais le certificat est valable un jour et il ne prémunit pas contre la découverte de nouvelles failles. Pour le logiciel, une analyse rigoureuse du code source peut être effectuée dans des niveaux élevés de certification. Or, Win2k n'est pas certifié à un tel niveau, donc on ne peut garantir l'absence de failles type buffer overflow par exemple. Par contre, on sait que l'authentification çà marche comme çà et que c'est robuste (syskey par exemple), pareil pour d'autres éléments de sécurité.

      Le fait que Linux soit à un niveau inférieur à Win2k ne veut pas dire qu'il est moins bon. Mais la certification c'est compliqué et on ne se lance pas bille en tête dans une évaluation haut niveau (çà coûte cher). Donc Suse commence EAL2 puis il vont monter les niveaux
      (cf. http://www.suse.com/en/company/press/press_releases/archive03/secur(...))
      vers EAL3 et on verra après.

      Au fait, ils font çà parce qu'une loi ou directive est passée aux Etats Unis qui oblige à présenter des produits certifiés pour fournir la défense ou tout les ministères (je sais plus trop bien).
      • [^] # Re: Linux et IBM recoivent un satisfecit de Washington

        Posté par  (site web personnel) . Évalué à 1.

        Si je me souviens bien, la certification obtenue par win2k est tres ciblee. Un article expliquait que ca voulait dire que en gros, un win2k non connecte a internet ou a un quelconque reseau sur lequel tu n'installes aucune application est securisee. Bref, pas grand chose concretement mais ca a fait son effet de presse. Operation encore une fois reussie pour microsoft.
        • [^] # Re: Linux et IBM recoivent un satisfecit de Washington

          Posté par  . Évalué à 1.

          le PP en question était "Access Control", EAL 4 + (augmenté de quoi d'ailleurs ? même ce + est une arnaque...). Donc déjà là on regarde pas tout, et sans aucun soft d'installé...
        • [^] # Re: Linux et IBM recoivent un satisfecit de Washington

          Posté par  . Évalué à 1.

          W2k c'etait connecte au reseau.

          C'est NT4 qui etait non connecte.
          • [^] # Re: Linux et IBM recoivent un satisfecit de Washington

            Posté par  (site web personnel) . Évalué à 1.

            C'est vrai, mais il a fallu attendre longtemps pour connaitre les conditions qui ont permis cette certification. Ni réseau, ni floppy, ni lecteur de CD... On avait le droit de se demander à quoi la machine pouvait servir.
            • [^] # Re: Linux et IBM recoivent un satisfecit de Washington

              Posté par  . Évalué à 1.

              Il a pas fallu longtemps : dès la certification accordée, la cible d'évaluation ainsi que le rapport de certification sont publics. Donc les conditions d'emploi que tu cites le sont aussi car contenues dans le rapport de certification.

              Les gens qui achètent des produits certifiés (défense, secteurs sensibles) le savaient donc. Par contre, savoir ce qu'il en ferait c'est autre chose...

              Il s'agissait peut être d'une statégie de MS. En effet, comme je le dis plus bas, la certification çà ne s'improvise pas. Suse a fait le choix de monter progressivement les niveaux pour moduler la difficulté.

              MS avait peut être fait le choix de partir sur un niveau qu'il se fixait comme objectif mais pour faciliter le travail il a joué sur la cible d'évaluation. Comme çà il a, pour NT, un beau certificat pour un produit inutilisable. Pour Win2K la cible s'est élargie mais il y a encore pas mal de coupe je crois.
    • [^] # Re: Linux et IBM recoivent un satisfecit de Washington

      Posté par  . Évalué à 1.

      D'après le bouquin sur les systèmes d'exploitation que j'ai lu récemment (le lien était passé sur linuxfr, l'auteur était le concepteur de minix), windows 2000 est loin d'être un mauvais OS en terme de sécurité. Bien sur avec Internet Explorer ça change du tout au tout...
      • [^] # sécurité des GUI

        Posté par  . Évalué à 3.

        un des problèmes, c'est que les "experts" se penchent rarement sur la sécurité des systèmes de GUI (X et la partie graphique de Windows). pourtant de nombreux problèmes de sécurité leur sont liés.

        "X security extension" et maintenant xsupervisor répondent plutot bien à ces problèmes, d'autant + que les GUI ne sont jamais obligatoires sous linux

        (voir la remarque de couriousous tout en haut)
      • [^] # Re: Linux et IBM recoivent un satisfecit de Washington

        Posté par  . Évalué à 1.

        Le bouquin est surement "Operating Systems: Design and Implementation (Prentice-Hall Software Series)".
        Il a ete traduit en francais surement.

        Cependant le bonhomme a l'air d'etre un sacre bougre (plein de bouquins
        d'info de reference, dont un sur les reseaux).
        Il a ecrit une "nouvelle" version du meme bouquin ou il parle d'OS distribues.
        Et la il parle d'amoeba, plus de minix.

        On trouve ses bouquins dans pas mal de bibliotheques universitaires
        (on les trouve presque tous a la BU de Toulouse).
        Le bouquin que tu cites est celui qui aurait permis a Linus d'apprendre
        "quoi c'est un OS, comment ca s'implente".

        Le probleme est que Linus se la peta assez vite du genre
        "les micro noyaux ca pu, les noyaux monolithiques ca va plus vite".
        Or si l'on suit l'histoire, les modules dans le noyau, ca fait que le noyau
        n'est pas si monolithique que ca. De plus HURD est base sur un micro noyaux, et je sais pas si vous avez lu les specifications de HURD mais c'est assez allechant.

        :O)
        • [^] # Re: Linux et IBM recoivent un satisfecit de Washington

          Posté par  (site web personnel) . Évalué à 2.

          Cependant le bonhomme a l'air d'etre un sacre bougre

          Ben oui, c'est Tanenbaum, c'est une référence.

          Le probleme est que Linus se la peta assez vite du genre
          "les micro noyaux ca pu, les noyaux monolithiques ca va plus vite".


          Pas exactement ... Linus a pas dit que les µ-noyaux puaient, absolument pas.
          Simplement il se trouve qu'il a développé linux en monolithique, parce qu'il voulait faire un OS simple pour apprendre l'archi du x86, qui a évolué ensuite pour faire tourner quelques logiciels, etc.

          Citation : «True, linux is monolithic, and I agree that microkernels are nicer. With a less argumentative subject, I'd probably have agreed with most of what you said. From a theoretical (and aesthetical) standpoint linux looses. If the GNU kernel had been ready last spring, I'd not have bothered to even start my project: the fact is that it wasn't and still isn't. Linux wins heavily on points of being available now.»

          Il ne l'a pas commencé pour faire un OS qui tue au niveau théorie des OS, juste pour avoir un truc qui tourne rapidement.

          Il se trouve après que Linux a généré un engrenage et que de plus en plus de personnes ont contribuées, dont pas mal de gens qui à l'époque utilisaient Minix.

          Minix étant un OS programmé par Tanenbaum, mais plus dans une optique d'enseignement des concepts liés aux Unix que dans une optique utilisation réelle, du coup pas mal d'utilisateurs étaient assez frustrés.

          Quand linux a commencé à prendre plus d'importance, Tanenbaum a fait la remarque que l'utilisation d'un kernel monolithique était pas une idée géniale. Linus a dessus rétorqué que ça permettait au moins d'aller plus vite, etc.
          discussion célébre que l'on peut trouver ici : http://groups.google.com/groups?threadm=12595%40star.cs.vu.nl(...) ou là : http://people.fluidsignal.com/~luferbu/misc/Linus_vs_Tanenbaum.html(...)
          (avec le célèbre mort de Tanenbaum : «I still maintain the point that designing a monolithic kernel in 1991 is a fundamental error. Be thankful you are not my student. You would not get a high grade for such a design :-)»

          Résultat, au bout de quelques années, on s'aperçoit que 1) Linux a évolué vers un kernel très modulaire, plus vraiment du monolithique pur jus 2) ça n'a pas empêché de porter Linux sur pleins d'architectures 3) d'autres µ-kernels ont fait le chemin inverse pour des questions de rapidité (Windows NT, Mac OS X)
        • [^] # Re: Linux et IBM recoivent un satisfecit de Washington

          Posté par  . Évalué à 1.

          « je sais pas si vous avez lu les specifications de HURD mais c'est assez allechant. »

          Le problème est que, pour l'instant, seules les spécifications sont alléchantes : p
  • # Re: Linux et IBM reçoivent un satisfecit de Washington

    Posté par  . Évalué à 2.

    Même si Windows2000 l'a déja, cela ne dévalue pas le fait que IBM/Suse se le voit accordé.

    C'est un plus qui va permettre aux organismes américains d'installer du Linux.
    C'est pas une bonne nouvelle ça ?!
    • [^] # Re: Linux et IBM reçoivent un satisfecit de Washington

      Posté par  . Évalué à 2.

      Tu as tout à fait raison, l'objectif numéro 1 est que linux soit présent dans les esprits dès que l'on pense produit fiable et transparent.

      Tout le monde a entendu parlé de linux, maintenant il faut qu'il soit connu comme un excellent produit dans les esprits de tous le monde sans se soucier des autres systèmes d'exploitations.
  • # IBM va exploser SCO :-)))

    Posté par  (site web personnel) . Évalué à 4.

    Tiens, au passage, puisqu'on parle de IBM et Linux, je vous annonce qu'IBM se décide enfin à répondre à SCO en les attaquant en justice sur plusiers points :

    * Violations de brevets dans 4 logiciels de SCO
    * Violations de la GPL

    http://news.com.com/2100-1016_3-5060965.html(...)
    • [^] # Re: IBM va exploser SCO :-)))

      Posté par  (site web personnel) . Évalué à 3.

      En bas de l'article, il est intéressant de relever le cours de l'action des deux entreprises : visiblement même les investisseurs ne croient pas SCO :-)
    • [^] # Re: IBM va exploser SCO :-)))

      Posté par  (site web personnel) . Évalué à 0.

      Violations de la GPL
      -_-
      Déjà ça parrait pas valable paske $CO n'était (officiellement) pas au courant de la présence de ce code.
      Mais surtout si ils gagnent ça va être encore pire: ça signifierais que si quelqu'un planque du code dans un logiciel libre et que son proprietaire diffuse ledit logiciel, le code volé passe GPL; ce qui accentuerais la réticence des boites à contribuer à des softs libres.

      Y'a quelque chose qui m'a echappé, ou IBM voit pas plus loin que le bout de son nez ? (ou alors ils en ont juste rien à f**tre)
      • [^] # violations de la GPL + courantes que l'inverse

        Posté par  . Évalué à 4.

        Violations de la GPL
        Déjà ça parrait pas valable paske $CO n'était (officiellement) pas au courant de la présence de ce code.


        Euh paske qui était (à supposer que ce soit vrai) officiellement au courant de la présence du code sco (non dévoilé) dans Linux ?

        faut être logique: c'est quand meme + facile de vérifier l'existence d'un code sous GPL public dans du code sous NDA qu'on possède, que de trouver du code sous NDA qu'on possède pas dans un code GPL public !

        en fait je ne vois que 3 raisons qui fait que le code est toujours non dévoilé:
        1. il n'est pas au final l'exclusivité de sco (il était deja sous GPL, ou BSD ou vient vraiment d'IBM)
        2. empecher les gens de légalement supprimer (ca concernerait que certains SMP 64 bits) ou de remplacer les quelques lignes incriminées: car toutes les autres lignes (99,99%) du noyau seront toujours distribuables légalement car leurs droits n'appartiennent pas à sco de toutes facons.
        3. générer le maximum de FUD
      • [^] # Re: IBM va exploser SCO :-)))

        Posté par  (site web personnel) . Évalué à 3.

        Déjà ça parrait pas valable paske $CO n'était (officiellement) pas au courant de la présence de ce code.
        Mais surtout si ils gagnent ça va être encore pire: ça signifierais que si quelqu'un planque du code dans un logiciel libre et que son proprietaire diffuse ledit logiciel, le code volé passe GPL; ce qui accentuerais la réticence des boites à contribuer à des softs libres.


        Attends, c'est quand même normal non ?

        Tu écrit un soft (propriétaire). Un des barbus communistes d'IBM se procure ton code on ne sait trop comment et l'inclu dans un soft GPL. Jusque là, tout le monde est d'accord, le barbu communiste a fait quelque chose d'illégal et le soft GPL est corrompu par du code proprio.

        Maintenant, tu décide de prendre le soft GPL parce qu'il est super bien et de le vendre. Il est peut être un peu normal de faire un audit du code d'un logiciel que tu VENDS, non ? au moins pour justement être sûr que ce logiciel n'inclu pas ton code (si tu est une boite dont le code aurait pu être utilisé). C'est facile d'arriver la bouche en coeur en disant que tu n'était pas au courant ! distribuer du code et faire de l'argent dessus implique à mon avis un minimum de responsabilité (au moins celle de vérifier que le logiciel n'enfreigne pas ton propre code !!!)

        SCO a distribué et continue à le faire le kernel linux sous licence GPL, et pire, des développeurs SCO ont bossés sur le kernel avec IBM. On ne peut pas croire honnêtement qu'ils n'étaient pas au "courant" si effectivement il y avait du code SCO dans le kernel. Ou plus exactement, même si c'est le cas, je pense qu'ils ont fait alors preuve d'une incompétence caractérisée et que d'un point de vue juridique ça ne peut que se retourner contre eux.

        Maintenant, ce que ça veut dire c'est juste que SCO peut difficilement, à mon avis, revenir sur le fait que le code soit passé en GPL (si code il y a, ce dont on peut douter très fortement). Par contre, SCO peut parfaitement (et c'est ce qu'ils font, si on met de côté les FUDs plus généraux) se retourner pour rupture de contrat ou violation de propriété intellectuelle vers IBM.

        Et de toute façon, même si un tribunal considère que le code a été injustement passé en GPL (ce qui est tangent, vu le peu d'importance accordé par SCO à la protection de sa propre propriété intellectuelle), la seule chose qu'il peut demander c'est le retrait de ce code du programme GPL.

        Parce que bon, les fuddeurs parlent à tout va du caractère "viral" de la GPL, mais enfin, SCO nous fait pour l'occasion une sacré démonstration de virus de code propriétaire ! 80 lignes de code propriétaire arrivant à corrompre un kernel linux de plus d'un million de lignes !

        C'est absolument risible, et ils vont se faire exploser la gueule, à juste titre.

        Par contre, le fait qu'IBM utilise les brevets logiciels dans sa contre-attaque... brr...
      • [^] # Re: IBM va exploser SCO :-)))

        Posté par  . Évalué à 2.

        Déjà ça parrait pas valable paske $CO n'était (officiellement) pas au courant de la présence de ce code.
        Maintenant, tu estimes qu'ils sont au courant ?
        Alors toi aussi, télécharges ton noyau SCO Linux sous GPL
        ftp://ftp.sco.com/pub/updates/OpenLinux/3.1.1/Server/CSSA-2003-020(...)
      • [^] # Re: IBM va exploser SCO :-)))

        Posté par  . Évalué à 1.

        Euh, il me semble que la violation de la GPL ici, c'est plutôt l'intégration de code GPL dans l'Unix de SCO, à savoir Unixware... Donc pas ce que tu as compris :)
  • # Re: Linux et IBM reçoivent un satisfecit de Washington

    Posté par  . Évalué à 2.

    Une petite précision à l'article qui tel que ne veut pas dire grand chose ;)



    Donc on peut trouver ici => http://www.suse.de/en/company/press/press_releases/archive03/securi(...) l'article de Suse concernant cette "certification".

    Le produit concerné est SuSE Linux Enterprise Server 8 (SLES 8) sur un IBM xSeries.

    On y voit que la certification obtenue est l'EAL2+ et qu'ils espère (à juste titre :) ) obtenir l'EAL3+ dans le courant de cette année.
    De plus, ils s'attendre à obtenir cette année le Common Operating Environment (COE) qui est la "certification" validé par le Département de la Defense Américaine (US DoD) et le gouvernement. pour leurs systemes de controles et de commandes.
  • # Re: Linux et IBM reçoivent un satisfecit de Washington

    Posté par  . Évalué à 3.

    Je vous renvoie au post, très bien, plus au dessus de jojo2002 qui manifestement sait de quoi il retourne, en ajoutant qu'il faut aussi tenir compte du PP, le protection profile, qui définit les domaines précis où on souhaite évaluer le niveau. Le niveau en soit ne veut pas dire grand chose: si je vous dis que j'ai eu 20/20 et que je ne vous dis pas que c'est en gymnastique, et que vous être prêt à croire que c'est en math que j'ai tant gazé tampis pour vous...

    Ne jamais parler d'un EAL sans indiquer le PP ! Sauf si vous voulez passer soit pour un marketeur soit pour un charlot...
    • [^] # Re: Linux et IBM reçoivent un satisfecit de Washington

      Posté par  . Évalué à 2.

      Par contre c'est clair que tous les marketeux passent sous silence ces subtilités.
      Les communiqués de presse et les publicités des sites attirent toujours le chaland en signalant que le produit a été certificié. Le petit mensonge par omission est le fait que le produit est rarement certifié dans sa globalité mais une sous-partie seulement.

      Par exemple, je dit peut être des conneries n'ayant pas regarder les cibles d'évaluation de Win2k ou de Suse, mais vous pouvez imaginer que Windows Media Player ou Mplayer sur Suse ne font pas partie de la cible hors ces derniers peuvent avoir des buffers overflows mettant à mal le système...

      Les professionnels de la sécurité ou plutot les utilisateurs avertis en sécurité (défense, systèmes sensibles), sont les vrais demandeurs de produits certifiés et eux savent lire un PP, une cible d'évaluation et un rapport de certification. Les autres néophytes ne voient en général que le discours marketing qui consiste à dire je suis certifié à tel niveau (sous entendu j'écrase tous les autres) alors que le niveau n'est pas directement lié à la qualité du produit en terme de sécurité mais plutot à la finesse de l'analyse qui a été effectuée. Plus l'analyse est poussée, plus la confiance peut être grande et donc indirectement plus le produit peut être considéré comme robuste. Tout est dans la notion de considération et de confiance mais il ne s'agit pas d'une mesure brute du niveau de sécurité d'un produit...
      • [^] # Re: Linux et IBM reçoivent un satisfecit de Washington

        Posté par  . Évalué à 1.

        Rien à ajouter :)

        Mais déjà rien que le titre de la news est affarant :

        Linux et IBM reçoivent un satisfecit de Washington

        Je ne pensais vraiment pas qu'il s'agissait de CC, mais alors vraiment pas... Pq ?

        1/ les CC sont maintenant une norme ISO, internationale dès le début
        2/ Washington ? même à l'époque des FIPS c'est pas le NIST qui certifiait, jamais...

        Pas grand monde connait les shémas de certifications en fait...
        • [^] # Re: Linux et IBM reçoivent un satisfecit de Washington

          Posté par  . Évalué à 1.

          Sans compter mes fautes d'orthographes et de grammaire....

          Il faisait chaud, j'etais fatigué, je voulais juste mettre les lecteurs de linuxfr au courant de cette certification.... J'ai fais un mauvais copier-coller ...
          Désolé je ferais mieux la prochaine fois, et merci Tselek et Jojo pour les rectifications :)
          • [^] # Re: Linux et IBM reçoivent un satisfecit de Washington

            Posté par  . Évalué à 1.

            Tu verras que tout de suite les gens seront sympa et te remercieront plutot que de crier "A la faute d'ortho qui tue et qui pourrit toute ta news que j'ai même pas lu la fin car ca me fait trop mal aux yeux qui prefere lire du code ..."
          • [^] # Re: Linux et IBM reçoivent un satisfecit de Washington

            Posté par  . Évalué à 3.

            mon argumentaire n'avait rien contre le contenu même de la dépêche mais contre les remarques du style : quel organisme a eu le culot de donner une évaluation supérieure à Win2k qu'à Linux ? ( je caricature un peu).

            Je voulais juste indiquer que ce n'était pas comme çà qu'on lit une certification. Je rajoute que, en dehors de problème de programmation et de celui indiqué autour des interfaces graphiques, le modèle de sécurité de windows 2000 tient à peu près la route.

            Tous les annonces de failles sont souvent liées à des erreurs de prog. qui peuvent être contournés par des correctifs mais ne viennent pas remettre complètement en cause le modèle de sécurité.

            Le problème de Win2k, c'est que bien configuré, cela peut être un très bon produit en terme de sécurité mais par défaut, c'est quasiment une horreur. De leur côté, les distributions linux sont souvent plus robustes de base mais la mise en place de barrières encore plus solides demande des compétences (comme sur Win2k).

            Un exemple, l'authentification sur windows. Autant sur NT, le HashLM et NTLMv1 c'était tout pourri, autant win2k avec NTLMv2 et Kerberos, y'a pas grand chose à redire (sauf des bugs d'implémentation :) ). Le problème est que Win2K (pour compatibilité ascendante) accepte les authentifiants pourris par défaut et l'administrateur doit, à la main, modifier ces paramètres.

            A propos de l'authentification, sur une Debian, qd vous passez en stockage des password MD5, vous avez remarqué que la longueur maximale d'un mot de passe reste à 8, ce qui est un comble pour du MD5 (y a déjà un bug report où les gens disent qu'il faut le changer à la main mais aucun avertissement visible n'indique cette astuce).

            Je ne suis en aucun cas un partisan de microsoft et l'avantage principal que je vois au libre par rapport au propriétaire pour la sécurité c'est une plus forte réactivité (microsoft améliore sensiblement son image de ce côté mais pas d'autres éditeurs) et surtout la disponibilité du code qui n'est pas en soit une garantie contre la présence de failles. Cependant, je pense (supputation), que les projets libres (les plus critiques, pas ceux fait sur un coin de table) ont sans doute une meilleur qualité dans l'écriture du code en terme de rigueur (on code moins avec les pieds). En effet, si qqun n'est pas satisfait d'une implémentation, il peut proposer une alternative...
            • [^] # Re: Linux et IBM reçoivent un satisfecit de Washington

              Posté par  . Évalué à 1.

              Il me semble necessaire de clarifier la notion de certification Common Criterias:

              1/ SUSE et IBM ont obtenu une certification EAL2+ par rapport à une cible de sécurité (TOE) publiée par eux
              http://www.bsi.de/zertifiz/zert/reporte/0216b.pdf(...) http://www.bsi.de/zertifiz/zert/reporte/0216a.pdf.(...)

              Le niveau EAL2 signifie que SUSE et IBM ont financé une étude qui prouve que, par rapport à cette TOE (cible de sécurité), la structure de la solution (hard+soft) a été jugée conforme.
              EAL2 c'est donc un critère de qualité de définition de la structure, mais pas une garantie de sécurité.

              EAL2 - structurally tested

              EAL2 requires the cooperation of the developer in terms of the delivery of design information and test results, but should not demand more effort on the part of the developer than is consistent with good commercial practice. As such it should not require a substantially increased investment of cost or time.

              EAL2 is applicable in those circumstances where developers or users require a low to moderate level of independently assured security in the absence of ready availability of the complete development record. Such a situation may arise when securing legacy systems, or where access to the developer may be limited.


              c’est bizzare dans le cas de Linux, pour obtenir un niveau d’évaluation EAL2, l’accessibilité au code source de l'OS n’est même pas nécessaire (seulement à partir d'EAL3)
              Pour obtenir EAL3 il faudra du temps, beaucoup de sous, et l'analyse des sources.
              Pour obtenir EAL4, il faudrait des milions d'Euros, et que SUSE soit développé dans une "usine à logiciel" équipée d'outil de gestion du cycle de vie, et de méthodologie normalisée: pas simple pour la communauté du libre , et assez incompatible avec le "bazar" qui offre d'autres avantages tels que la spontanéité généreuse !!!

              2/ Windows 2000 SP3 a obetnu une certification EAL4+ par rapport à une cible de sécurité aussi publiée (elle comprend IPSEC, l'authentification Kerberos, et l'accès LDAP)
              http://niap.nist.gov/cc-scheme/CCEVS-VID402.html(...)
              Le process de certif aurait duré environ 2 ans !!
              EAL4 exige l'analyse du code source, pour vérifier que les assertions de la TOE sont vraies, que le code a été conçu et documenté en vue d'un audit de sécurité ultérieur, et que le process de développement permette de maintenir dans le temps cette certification.


              EAL4 - methodically designed, tested and reviewed

              EAL4 permits a developer to maximize assurance gained from positive security engineering based on good commercial development practices. Although rigorous, these practices do not require substantial specialist knowledge, skills, and other resources. EAL4 is the highest level at which it is likely to be economically feasible to retrofit to an existing product line. It is applicable in those circumstances where developers or users require a moderate to high level of independently assured security in conventional commodity TOEs, and are prepared to incur additional security-specific engineering costs.

              An EAL4 evaluation provides an analysis supported by the low-level design of the modules of the TOE, and a subset of the implementation. Testing is supported by an independent search for vulnerabilities. Development controls are supported by a life-cycle model, identification of tools, and automated configuration management.



              Autre point, ce n'est pas la version SUSE "standard" qui a passé la certif, mais une version modifiée « certification-sles-eal2 » uniquement disponible auprès d’eux, qui doit etre compilée par SUSE, et la certif n'est valide que sur le hard IBM indiqué dans la doc.

              Donc cette certif de SUSE/IBM n'est pas applicable à Mandrake, Red Hat ou autre, ... qui devront se faire sponsoriser par un autre partenaire,.
              Il va leur falloir des millions d'Euros s'ils veulent plus que le niveau EAL2 !!!!

              Bye

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.