Non pas que Windows et MS soient sans reproches, mais je ne vois pas le lien.
Rien ne dit qu'une telle attaque serait impossible sous Linux. Et il n'est pas improbable que la maintenance n'ait pas été optimale ce qui est problématique quelque soit le système derrière.
Ce genre d'attaque n'est possible qu'à cause justement de l'uniformité d'un parc informatique qui exploite probablement la même faille sur tout les postes pour se répandre ainsi.
C'est un peu comme une forêt dans laquelle on aurait qu'une seule essence d'arbre, si un parasite arrive il décimera tout les individus, alors que si vous avez une diversité d'essence, votre parasite aura plus de mal à propager.
C'est exactement le même schéma ici. Donc si on peut sans trop de difficulté considérer que l'utilisation de tout Microsoft dans un parc informatique est aussi con que de planter une forêt de châtaigner sans y mettre autre chose.
Les ransomwares qui infectent les réseaux Windows, il y en a quasiment toutes les semaines maintenant.
En théorie, oui, l'homogénéité d'un réseau en fait sa faiblesse.
Mais en pratique, les S.I. bâtis autour de Linux sont plus robustes. C'est mon point de vue.
Ton reflex anti-anti-microsoft me semble encore plus pavlovien que ceux qui sont prompts à critiquer Microsoft à la moindre faille de sécurité impliquant l'écosystème Windows.
Il est évident qu'un écosystème Linux embarque une diversité sans commune mesure avec celui de Microsoft, et que la probabilité qu'une même faille aussi critique impliquant l'ensemble d'un parc informatique devient très faible. Sinon ça ferait longtemps qu'on aurait des datacenter entier victime de ransomware…
Il est évident qu'un écosystème Linux embarque une diversité sans commune mesure avec celui de Microsoft, et que la probabilité qu'une même faille aussi critique impliquant l'ensemble d'un parc informatique devient très faible.
Même quand c'est la même version d'OS installée partout ? Ou deux distributions différentes, une pour le serveur, une pour les postes utilisateurs finaux ?
C'est une vraie question. Il ne me semble pas qu'on ait là une telle diversité.
« Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.
Posté par Anonyme .
Évalué à 4.
Dernière modification le 21 février 2020 à 15:01.
Si parce que au sein d'une même distribution tu as souvent l'embarras du choix pour les outils que tu choisis d'utiliser pour tel ou tel service, la façon dont ils seront configurer aussi pourra jouer, on a souvent des cas de faille qui sont ou non exploitables en fonction de la façon dont est configurer le service dernière, ce qui encore une fois limite beaucoup la probabilité d'avoir une action en chaîne sur un parc entier, et rendra l'attaque beaucoup moins automatisable, et nécessitera une étude bien plus poussé de l'attaquant pour parvenir à ses fins.
On a eu le cas récemment avec des ordinateurs d'hôpitaux, et encore une fois, ce sont les postes sous windows qui ont été touchés, non pas parce qu'ils sont plus vulnérables, mais que la standardisation des outils/implémentations/configurations fait que n'importe quel faille devient massivement exploitable au niveau d'un parc entier.
Personne ne cherche à avoir de l'hétérogénéité dans son parc parce que c'est compliqué à maintenir, elle est juste présente "by design" quand on mets en place un parc sous linux, parce que se sont surtout les choix du sysadmin qui créé cette hétérogénéité par rapport aux parcs Windows qui se ressemblent beaucoup plus, et dont les conséquences en cas de défaut de maintenance ont plus de probabilités d'être catastrophiques.
La diversité devient faisable à partir d'une certaine taille d'enterprise. L'assurance maladie en France a par exemple basé son système serveurs dans les années 90 sur un tandem de 2 systèmes, Bull et Ibm pour diminuer les risques de panne générale.
Dans la vraie vie, cela n'est possible que si deux équipes indépendantes gèrent chacune 50% du parc, avec leurs propres outils. Donc cela ajoute un coût, et personne ne le fait.
Ceci étant, la résistance de Linux dans ce cas est plus dans sa sécurisation par défaut :
- pas de protocole SaMBa pour partager des fichiers, on peut tout faire par sshfs;
- pas d'applications lançables par mégarde par l'utilisateur
Quand je vois la centaine d'ordis Linux installés aux connaissances, et l'absence totale de virus dans un usage hyper fragile - à la maison sans politique de sécurité- depuis 20 ans, je me dis que la rareté de Linux et sa diversité en font un maillon solide dans la vraie vie!
pas de protocole SaMBa pour partager des fichiers, on peut tout faire par sshfs;
Personne n’utilise SSHFS pour faire des « lecteurs réseaux » comme sous Windows.
L’implémentation de SMB/CIFS dans Windows peut avoir des failles qui ne concerne pas Samba et inversement.
pas d'applications lançables par mégarde par l'utilisateur
Ah bon ? Il n’y a pas si longtemps, pour installer NodeJS en suivant la documentation officiel, il fallait faire un curl | bash.
Cette « méthode d’installation » est très répandu.
Quand je vois la centaine d'ordis Linux installés aux connaissances, et l'absence totale de virus dans un usage hyper fragile - à la maison sans politique de sécurité- depuis 20 ans, je me dis que la rareté de Linux et sa diversité en font un maillon solide dans la vraie vie!
La rareté oui, sa solidité, c’est bien relatif : sous Linux, tu peux pas facilement installer un rootkit dans /, mais tu peux supprimer toutes les données de l’utilisateur.
Dans ce cas, on parle d'une région. Rien de bien régalien à part peut-être le social.
Si ma gosse n'a pas son titre de transport ou que mon aide pour l'isolation prennent trois mois pour être traité. C'est chiant mais c'est pas la fin du monde.
Un bon système de backup et un bon plan de reprise d'activités devrait suffire.
Après, si les régions veulent s'unir pour créer un SI double système avec client sans contrainte d'OS, cela réduira les coûts et augmentera la sécurité.
Je suis pas tout à fait d'accord. On fait potentiellement des choses similaire quand on a un parc important (clients ou servers) à gérer Windows ou Linux.
On va travailler en équipe et on va avoir besoin d'authentification centralisé, de gestion de configuration et pour partager les competences d'un parc plutot homogène.
Par conre, je ne suis pas en desaccord avec ton argument. Si on change de distribution et meme d'os une machine sur trois sans utiliser aucun des moyens centraliséu, ton systeme d'information sera plus resistant si tu arrive à le maintenir.
Si on change de distribution et meme d'os une machine sur trois sans utiliser aucun des moyens centralisé, ton systeme d'information sera plus resistant si tu arrive à le maintenir.
Pas plus non. Et ça peut même être pire.
La diversité offre également une diversité de portes d'entrée. Un parc homogène à l'avantage d'être plus facile à maintenir et n'est pas nécessairement moins sécurisé. Oui, s'il y a une faille, il y a la faille partout. Mais quand elle est corrigée, elle est aussi corrigée partout.
Tandis qu'un parc hétérogène est plus compliqué à maintenir et laisse traîner des failles différentes dans chacun des systèmes, parfois les mêmes et qui ne seront pas corrigées simultanément. Laissant une plus grande variété d'attaque.
Je ne pense pas que la variété des systèmes d'exploitation dans un parc de serveurs soit un débat pertinent en terme de sécurité.
La majeure partie des morts l'était déjà de son vivant et le jour venu, ils n'ont pas senti la différence.
À chaque fois, il aurait déposé un autre logiciel cryptoverrouilleur, qui chiffre non seulement tout le contenu de Windows, mais aussi des applications. C’est pourquoi l’ensemble du service informatique de la région, des adresses emails aux machines pour badger, a été hors service.
# Microsoft France, partenaire stratégique numérique de la région Grand Est
Posté par Yann LD . Évalué à 7.
https://news.microsoft.com/fr-fr/2017/01/11/microsoft-france-signe-un-partenariat-avec-la-region-grand-est-dans-education/
[^] # Re: Microsoft France, partenaire stratégique numérique de la région Grand Est
Posté par Renault (site web personnel) . Évalué à 0.
Et ?
Non pas que Windows et MS soient sans reproches, mais je ne vois pas le lien.
Rien ne dit qu'une telle attaque serait impossible sous Linux. Et il n'est pas improbable que la maintenance n'ait pas été optimale ce qui est problématique quelque soit le système derrière.
[^] # Re: Microsoft France, partenaire stratégique numérique de la région Grand Est
Posté par Anonyme . Évalué à 2.
Ce genre d'attaque n'est possible qu'à cause justement de l'uniformité d'un parc informatique qui exploite probablement la même faille sur tout les postes pour se répandre ainsi.
C'est un peu comme une forêt dans laquelle on aurait qu'une seule essence d'arbre, si un parasite arrive il décimera tout les individus, alors que si vous avez une diversité d'essence, votre parasite aura plus de mal à propager.
C'est exactement le même schéma ici. Donc si on peut sans trop de difficulté considérer que l'utilisation de tout Microsoft dans un parc informatique est aussi con que de planter une forêt de châtaigner sans y mettre autre chose.
[^] # Re: Microsoft France, partenaire stratégique numérique de la région Grand Est
Posté par Renault (site web personnel) . Évalué à 5.
Le problème serait donc le même quelque soit le système retenu. Je doute que si Linux avait été choisi cela serait pourtant pointé du doigt ainsi.
[^] # Re: Microsoft France, partenaire stratégique numérique de la région Grand Est
Posté par Yann LD . Évalué à 4.
Les ransomwares qui infectent les réseaux Windows, il y en a quasiment toutes les semaines maintenant.
En théorie, oui, l'homogénéité d'un réseau en fait sa faiblesse.
Mais en pratique, les S.I. bâtis autour de Linux sont plus robustes. C'est mon point de vue.
[^] # Re: Microsoft France, partenaire stratégique numérique de la région Grand Est
Posté par Anonyme . Évalué à 8.
Ton reflex anti-anti-microsoft me semble encore plus pavlovien que ceux qui sont prompts à critiquer Microsoft à la moindre faille de sécurité impliquant l'écosystème Windows.
Il est évident qu'un écosystème Linux embarque une diversité sans commune mesure avec celui de Microsoft, et que la probabilité qu'une même faille aussi critique impliquant l'ensemble d'un parc informatique devient très faible. Sinon ça ferait longtemps qu'on aurait des datacenter entier victime de ransomware…
[^] # Re: Microsoft France, partenaire stratégique numérique de la région Grand Est
Posté par Ysabeau 🧶 🧦 (site web personnel, Mastodon) . Évalué à 6.
Même quand c'est la même version d'OS installée partout ? Ou deux distributions différentes, une pour le serveur, une pour les postes utilisateurs finaux ?
C'est une vraie question. Il ne me semble pas qu'on ait là une telle diversité.
« Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.
[^] # Re: Microsoft France, partenaire stratégique numérique de la région Grand Est
Posté par Anonyme . Évalué à 4. Dernière modification le 21 février 2020 à 15:01.
Si parce que au sein d'une même distribution tu as souvent l'embarras du choix pour les outils que tu choisis d'utiliser pour tel ou tel service, la façon dont ils seront configurer aussi pourra jouer, on a souvent des cas de faille qui sont ou non exploitables en fonction de la façon dont est configurer le service dernière, ce qui encore une fois limite beaucoup la probabilité d'avoir une action en chaîne sur un parc entier, et rendra l'attaque beaucoup moins automatisable, et nécessitera une étude bien plus poussé de l'attaquant pour parvenir à ses fins.
On a eu le cas récemment avec des ordinateurs d'hôpitaux, et encore une fois, ce sont les postes sous windows qui ont été touchés, non pas parce qu'ils sont plus vulnérables, mais que la standardisation des outils/implémentations/configurations fait que n'importe quel faille devient massivement exploitable au niveau d'un parc entier.
[^] # Re: Microsoft France, partenaire stratégique numérique de la région Grand Est
Posté par Ysabeau 🧶 🧦 (site web personnel, Mastodon) . Évalué à 5.
Ça ne complique pas un peu beaucoup le travail de l'adminsys (en même temps c'est son boulot, je sais) ? Dans ce cas est-ce que c'est :
« Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.
[^] # Re: Microsoft France, partenaire stratégique numérique de la région Grand Est
Posté par Anonyme . Évalué à -1.
Personne ne cherche à avoir de l'hétérogénéité dans son parc parce que c'est compliqué à maintenir, elle est juste présente "by design" quand on mets en place un parc sous linux, parce que se sont surtout les choix du sysadmin qui créé cette hétérogénéité par rapport aux parcs Windows qui se ressemblent beaucoup plus, et dont les conséquences en cas de défaut de maintenance ont plus de probabilités d'être catastrophiques.
[^] # Re: Microsoft France, partenaire stratégique numérique de la région Grand Est
Posté par ʭ ☯ . Évalué à 4.
La diversité devient faisable à partir d'une certaine taille d'enterprise. L'assurance maladie en France a par exemple basé son système serveurs dans les années 90 sur un tandem de 2 systèmes, Bull et Ibm pour diminuer les risques de panne générale.
Dans la vraie vie, cela n'est possible que si deux équipes indépendantes gèrent chacune 50% du parc, avec leurs propres outils. Donc cela ajoute un coût, et personne ne le fait.
Ceci étant, la résistance de Linux dans ce cas est plus dans sa sécurisation par défaut :
- pas de protocole SaMBa pour partager des fichiers, on peut tout faire par sshfs;
- pas d'applications lançables par mégarde par l'utilisateur
Quand je vois la centaine d'ordis Linux installés aux connaissances, et l'absence totale de virus dans un usage hyper fragile - à la maison sans politique de sécurité- depuis 20 ans, je me dis que la rareté de Linux et sa diversité en font un maillon solide dans la vraie vie!
⚓ À g'Auch TOUTE! http://afdgauch.online.fr
[^] # Re: Microsoft France, partenaire stratégique numérique de la région Grand Est
Posté par Anonyme . Évalué à 6.
Ah bon ? Il n’y a pas si longtemps, pour installer NodeJS en suivant la documentation officiel, il fallait faire un
curl | bash.Cette « méthode d’installation » est très répandu.
La rareté oui, sa solidité, c’est bien relatif : sous Linux, tu peux pas facilement installer un rootkit dans /, mais tu peux supprimer toutes les données de l’utilisateur.
[^] # Re: Microsoft France, partenaire stratégique numérique de la région Grand Est
Posté par KiKouN . Évalué à 3.
Dans ce cas, on parle d'une région. Rien de bien régalien à part peut-être le social.
Si ma gosse n'a pas son titre de transport ou que mon aide pour l'isolation prennent trois mois pour être traité. C'est chiant mais c'est pas la fin du monde.
Un bon système de backup et un bon plan de reprise d'activités devrait suffire.
Après, si les régions veulent s'unir pour créer un SI double système avec client sans contrainte d'OS, cela réduira les coûts et augmentera la sécurité.
[^] # Re: Microsoft France, partenaire stratégique numérique de la région Grand Est
Posté par Tonton Th (site web personnel, Mastodon) . Évalué à 3.
Peut-être chez toi, mais certainement pas dans la vraie vie.
[^] # Re: Microsoft France, partenaire stratégique numérique de la région Grand Est
Posté par Anonyme . Évalué à 5.
Aucune différence avec Windows.
[^] # Re: Microsoft France, partenaire stratégique numérique de la région Grand Est
Posté par mathgl . Évalué à 6.
Je suis pas tout à fait d'accord. On fait potentiellement des choses similaire quand on a un parc important (clients ou servers) à gérer Windows ou Linux.
On va travailler en équipe et on va avoir besoin d'authentification centralisé, de gestion de configuration et pour partager les competences d'un parc plutot homogène.
Par conre, je ne suis pas en desaccord avec ton argument. Si on change de distribution et meme d'os une machine sur trois sans utiliser aucun des moyens centraliséu, ton systeme d'information sera plus resistant si tu arrive à le maintenir.
[^] # Re: Microsoft France, partenaire stratégique numérique de la région Grand Est
Posté par Nibel . Évalué à 3.
Pas plus non. Et ça peut même être pire.
La diversité offre également une diversité de portes d'entrée. Un parc homogène à l'avantage d'être plus facile à maintenir et n'est pas nécessairement moins sécurisé. Oui, s'il y a une faille, il y a la faille partout. Mais quand elle est corrigée, elle est aussi corrigée partout.
Tandis qu'un parc hétérogène est plus compliqué à maintenir et laisse traîner des failles différentes dans chacun des systèmes, parfois les mêmes et qui ne seront pas corrigées simultanément. Laissant une plus grande variété d'attaque.
Je ne pense pas que la variété des systèmes d'exploitation dans un parc de serveurs soit un débat pertinent en terme de sécurité.
La majeure partie des morts l'était déjà de son vivant et le jour venu, ils n'ont pas senti la différence.
[^] # Re: Microsoft France, partenaire stratégique numérique de la région Grand Est
Posté par mathgl . Évalué à 0.
Donc, on est d'accord ;)
[^] # Re: Microsoft France, partenaire stratégique numérique de la région Grand Est
Posté par Yann LD . Évalué à 6.
https://cyberguerre.numerama.com/3307-comment-la-region-grand-est-se-bat-contre-lattaque-rancongiciel-qui-a-paralyse-son-reseau-informatique.html
CQFD
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.