Les virus sous Linux

Posté par  (site Web personnel) . Modéré par Nÿco.
Étiquettes :
0
21
août
2007
Linux
Vous trouverez dans les kiosques le Hors Série N°32 de Linux Magazine consacré aux virus sous Linux. Ce journal est rédigé par Eric Filiol et ses collègues. Eric Filiol est un éminent expert en virologie et en cryptologie dans l'armée française et chercheur à l'INRIA.

On y trouvera de la théorie, un sujet sur les virus et la loi, les virus en langage interprété, les mutations et le polymorphisme. On y parle aussi des virus sous Mac OS X.

Une excellente revue qui complète les livres du même auteur. Beaucoup d'entre nous pensent être à l'abri sous Linux. Ce système étant sûr, c'est relativement vrai et nous étions encore protégés par sa faible diffusion jusque là. Cependant, ce n'est plus le cas et il faut savoir que le premier virus officiel a été écrit sous Unix par Fred Cohen en 1983. Ce qui signifiait déjà que les virus sous Unix/Linux c'est possible.
Il reste que, sauf à exploiter une faille logicielle, ils sont difficiles à propager. Et ces failles justement sont surveillées de près dans les logiciels libres. Malgré tout, un virus peut venir par un autre moyen : une pièce jointe à un courrier par exemple.

Personnellement, je n'en ai pas encore rencontré et je fais comme vous : je n'ai pas installé d'anti-virus. Mais Eric Filiol nous dit : attention, nous sommes trop confiants, restons vigilant et utilisons les anti-virus (tel que ClamAV dont il est fait une description détaillée dans ce Hors Série).

Ce n'est qu'à ce prix que Linux restera un Eden épargné.

Aller plus loin

  • # Réponse rhétorique impertinente

    Posté par  . Évalué à 10.

    Beaucoup d'entre nous pensent être à l'abri sous Linux. Ce système étant sûr, c'est relativement vrai et nous étions encore protégés par sa faible diffusion jusque là.

    Si le système est sûr, on a raison de penser être à l'abri.
  • # Faille dans l'ICC...

    Posté par  . Évalué à 9.

    "Malgré tout, un virus peut venir par un autre moyen : une pièce jointe à un courrier par exemple."
    Ceci est uniquement dû à la célèbre faille de l'ICC[1], qui n'est pas facilement patchable.
    Le temps, l'apprentissage... peuvent résoudre ce problème.

    À noter aussi que cette faille est multi-plateforme: on la retrouve aussi sous Windows, Mac, whatever...




    1 ICC: Interface Chaise-Clavier
    • [^] # Re: Faille dans l'ICC...

      Posté par  (site Web personnel) . Évalué à 4.

      Enfin un client mail "bien" fait permet de limiter énormément la casse !

      Pour ça Outlook Express est/était une calamité, avec sa manie d'ouvrir automatiquement les pièces jointes, la présence d'un serveur SMTP "allumé" sur Windows, ...

      De plus, en général les gens sous Linux (et sur Mac dans une moindre mesure) sont globalement "plus" éduqués à l'informatique que les utilisateurs sous Windows, ce qui limite également les failles ICC ;)

      Il faudrait distribuer (par les FAI ?) des guides pratiques sur l'utilisation d'un ordinateur, de la messagerie, leur dire qu'un antivirus ça se met à jour, de même que l'OS en lui même (quelque soit l'OS)...
      • [^] # Re: Faille dans l'ICC...

        Posté par  . Évalué à 5.

        Il faudrait distribuer (par les FAI ?) des guides ...

        et naturellement aucune boîte proprio ne serait intéressé par aider à son financement... Ça deviendrait direct juste une brochure publicitaire de plus avec des « ouh ! les méchants virus ! ils faut à tout prix acheter toutes les mises à jours de AntiVirux+ »...
      • [^] # Re: Faille dans l'ICC...

        Posté par  . Évalué à 8.

        Il faudrait distribuer (par les FAI ?) des guides pratiques sur l'utilisation d'un ordinateur, de la messagerie, leur dire qu'un antivirus ça se met à jour, de même que l'OS en lui même (quelque soit l'OS)...

        Ah bon, faut mettre ses logiciels à jour ?! Moi qui pensais que mon PC ne fonctionnerait plus au bout de quelques mois si je faisais ces conneries... cf. http://www.vivienjancenelle.com/?p=184

        Voila, je tenais à partager avec vous ce moment de bonheur. :) (et pour approfondir, il y a TC : http://totalementcretin.apinc.org/blog/2007/08/20/423-devene(...) )
        • [^] # Re: Faille dans l'ICC...

          Posté par  . Évalué à 4.

          Je crois que Vivien Jancenelle mélange un peu tout même si il n'a pas totalement tort !

          1. Il n'évoque pas du tout les problèmes de sécurité. Une version obsolète signifie pleins de trous de sécurité.
          2. Il confond allègrement mise à jour majeures et correctifs de trous de sécurité. Un correctif ne demande pas une configuration plus puissante.
          C'est vrai que parfois elles sont confondues, ex : le SP2 de Windows qui effectivement, rassemble ces deux types de mises à jour. Et parfois, les anciennes releases d'un projet ne sont plus supportées ce qui oblige effectivement à changer de version majeure (ex : win 98)
          3. C'est complètement exagéré ! Une mise à jour ne demande pas un nouveau PC tous les 2 ans. Au pire, tu as une consommation de RAM plus importante. Cela me parait bien faible par rapport aux risques encourus...
          • [^] # Re: Faille dans l'ICC...

            Posté par  . Évalué à 5.

            Je crois que Vivien Jancenelle mélange un peu tout même si il n'a pas totalement tort !


            Regarde un peu le reste du blog de ce type, et son site devenez millionaire, et tu auras quelques idées sur ce type... Jamais rien vu d'aussi accablant. En gros: des rumeurs, avis persos, pas de fond, pas de sources...

            Encore une raison pour détester les blogs, c'est que n'importe quel abruti peut y étaler sa science en arrivant à convaincre les autres que ces absurdités totales sont la vérité, une et unique.
            • [^] # Re: Faille dans l'ICC...

              Posté par  (site Web personnel) . Évalué à 10.

              J'ai surtout l'impression qu'il a appris par coeur le billet de ploum :
              http://ploum.frimouvy.org/?162-toi-aussi-deviens-un-veritabl(...)

              Bon maintenant faudrait peut être lui dire que ploum a écris ça pour rire !
              • [^] # Re: Faille dans l'ICC...

                Posté par  . Évalué à 2.

                <défouloir>
                Bon, en même temps faut pas s'étonner ... le gars se dit passionné de finances... et en gros, un expert financier c'est à peu près aussi pire qu'un expert météo :-)
                Sauf que l'expert météo, lui, il sait qu'il peut se tromper ...

                Bref, reste à espérer qu'il est meilleur financier qu'informaticien ... :D
                </défouloir>
            • [^] # Re: Faille dans l'ICC...

              Posté par  . Évalué à 10.

              "Encore une raison pour détester les blogs, c'est que n'importe quel abruti peut y étaler sa science en arrivant à convaincre les autres que ces absurdités totales sont la vérité, une et unique."
              J'ai peur de lire un amalgame dans propos...
              Certes, certains blogs sont vraiment à chier (à commencer par les skyblogs)!
              Mais personnellement, je trouve le principe du blog très intéressant: un mec qui met ainsi en avant son travail, ses réflexions, ses idées, ses conseils... Je ne vois pas ce qu'il y a là de détestable.

              Il faut juste faire le tri. Personnellement, je lis une bonne vingtaine-trentaine de blogs, dont la plupart de Linux et/ou de logiciels libres (avec en plus ces temps-ci, beaucoup de blogs de développeurs de KDE4).




              PS: à noter tout de même que la plate-forme Skyblog a un avantage indéniable: en regroupant au même endroit les pires blogs de la création, elle effectue pour moi un premier tri xD
            • [^] # Re: Faille dans l'ICC...

              Posté par  (site Web personnel) . Évalué à 10.

              « Encore une raison pour détester les blogs, c'est que n'importe quel abruti peut y étaler sa science en arrivant à convaincre les autres que ces absurdités totales sont la vérité, une et unique. »

              Bah c'est plutôt une bonne chose que n'importe qui puisse étaler ce qu'il veut.

              Si ça passe pour des vérités absolues, pour moi le problème est du côté des lecteurs.
            • [^] # Re: Faille dans l'ICC...

              Posté par  (site Web personnel) . Évalué à 2.

              Regarde un peu le reste du blog de ce type, et son site devenez millionaire, et tu auras quelques idées sur ce type... Jamais rien vu d'aussi accablant. En gros: des rumeurs, avis persos, pas de fond, pas de sources...


              Ce qui me fait mal moi, c'est le "Passioné de finance" en gros sur sa bannière d'entrée.
        • [^] # Re: Faille dans l'ICC...

          Posté par  . Évalué à 3.

          Il doit sans doute confondre mise à jour et installation de la nouvelle version. Il pense peut-être que Windows Update lui installera Vista.

          Sinon, je suis tombé sur ce blog juste avant d'en voir le lien ici, et en effet c'est assez comique (ou navrant, ou scandaleux). Son prochain site sera Quitterlafrance.com. Suivra t-il ses propres conseils ? On peut espérer...
      • [^] # Re: Faille dans l'ICC...

        Posté par  . Évalué à 4.

        De plus, en général les gens sous Linux (et sur Mac dans une moindre mesure) sont globalement "plus" éduqués à l'informatique que les utilisateurs sous Windows, ce qui limite également les failles ICC ;)


        et bien je te rassure sur mac, ils sont généralement plus âgés mais pas tellement plus au fait de la sécurité . mais le système étant ce qu'il est je n'ai et pas mal d'autres personnes , au aucun problème de virus depuis... 5ans sur mac.

        Sur linux n'en parlons pas .. 10 ans ?
    • [^] # Re: Faille dans l'ICC...

      Posté par  . Évalué à 3.

      >>"Malgré tout, un virus peut venir par un autre moyen : une pièce jointe à
      >> un courrier par exemple."
      >Ceci est uniquement dû à la célèbre faille de l'ICC[1], qui n'est pas
      > facilement patchable.

      Eh non, pas toujours. Un exemple? Outlook express a souffert pendant un temps d'un buffer overflow sur son parseur de date dans les entetes d'email.
      Tu envoies a toto@pasdbol.com un email mal forme, il n'a meme pas besoin d'etre devant sa machine pour se faire pourrir, il suffit qu'OE aille chercher ses mails.

      Mais sans vouloir tirer sur l'ambulance, on peut faire une recherche google avec mutt+buffer+overflow...

      Et la, l'interface chaise clavier n'y peut pas grand chose...
  • # Faible diffusion... et alors ?

    Posté par  . Évalué à 10.

    L'argument de la faible diffusion est souvent cité pour expliquer le peu de virus sous linux et même mac.

    Pourtant, quand on sait que les serveurs de fichiers dans les entreprises ne tournent pas sur windows dans pas mal de cas, le gain serait profitable...

    De plus, cela permettrait à microsoft de prouver que ses concurrents souffrent des mêmes problemes que windows.

    Il me semble évident qu'il y a convergence d'interêt d'un certain nombre d'entreprises ayant les moyens de développer des virus. Je ne pense que la domination de windows sur les ordis personnels et familiaux explique sa capacité à subir des virus.
    • [^] # Re: Faible diffusion... et alors ?

      Posté par  . Évalué à 2.

      Lire "Je ne pense PAS que..." (dsl pour le double post)
    • [^] # Re: Faible diffusion... et alors ?

      Posté par  . Évalué à 8.

      Pourtant, quand on sait que les serveurs de fichiers dans les entreprises ne tournent pas sur windows dans pas mal de cas, le gain serait profitable...

      Je me trompe certainement dans la terminologie, mais un virus n'a pas forcément besoin de faille système pour exister et se propager, le plus souvent l'utilisateur s'en charge tout seul (en utilisant IE/Outlook/MSN) ! C'est très différent sur une machine de type serveur : il y a beaucoup moins de programmes, et ces derniers étant plus sensibles, ils sont censés etre plus fiables.
      Ce n'est donc évidemment pas impossible, mais socialement plus compliqué.
      Qui plus est, la plupart des virus n'ont pas pour but la récupération de données, mais la transformation du PC en machine relai (pour du spam ou une éventuelle attaque de type DDOS) ou le vol des mots de passe pour les accès internet aux banques. Autant de choses que l'on ne retrouve pas vraiment sur des servuers de fichiers. C'est donc plus facile et plus profitable de s'attaquer aux PC persos.
      • [^] # Re: Faible diffusion... et alors ?

        Posté par  . Évalué à 2.

        Je suis d'accord avec toi _et_ avec lui.

        Avoir piraté un serveur permet de pirater plus facilement les postes perso qui s'y connecte. En général on fait confiance aux serveurs.
        Il faut voir les attaques sur les serveurs comme une première étape vers les postes clients.

        Cela dit, l'aspect sociale est aussi important.
        En même temps, quand on pense qu'un certain logiciel de gestion de conf (proprio) oblige à avoir un répertoire en partage total, on se dis qu'il est si simple d'attaquer les clients que... :(
        • [^] # Re: Faible diffusion... et alors ?

          Posté par  . Évalué à 5.

          Et la on touche au mystère ...
          Comment des entreprises, pourtant soucieuses de sécurité et d'économie dans tous les coins, continuent-elle à faire tourner des serveurs de-ce-logiciel-de-gestion-de-conf-proprio sur des serveurs Win$ ?
          Je fus auparavant ds un environnement Unix/Ce-logiciel-gconf ...
          Je suis aujourd'hui ds un environnement Win$/Ce-logiciel,...
          Dans les deux cas, ce sont de grandes entreprises multinationales.

          Eh bien je suis effaré par la quantité de pb que les admins rencontrent, le nombre de fois où il faut arrêter/redémarrer les serveurs, sans parler de la pauvreté des outils d'admin à disposition.
          Souvent à la question "pourquoi on peut pas faire ça ... la réponse est "ben là, on es sous Win$, pas sous Unix/Linux.

          Et il faut ajouter à ça l'armada d'outils qu'il faut ajouter (antivirus, défrag ...), avec en plus tous les pb d'incompatibilité entre les versions des uns et des autres.
          Par ex. Il suffit d'installer la dernière version d'un antivirus proprio bien connu pour avoir (aléatoirement, sinon c'est pas drôle) un écran bleu sur les postes clients avec certaines version de l'appli de g conf.

          Bref, tout ça a un coût non négligeable. Et pas seulement en logiciels !
          Aucun OS n'est exempt de problème, il n'y a rien de paradisiaque, mais là franchement, le choix de Win$ comme serveur applicatif ou serveur de fichiers paraît totalement irrationnel (les experts en gconf comprendront le jeu de mot caché ;-) !
  • # c' est l' été

    Posté par  . Évalué à 2.

    c' est l' été aussi chez diamond edition
    ;)

    dites si /etc est no writable, voir / ro et les home noexe, ils se passent quoi ?
    • [^] # Re: c' est l' été

      Posté par  (site Web personnel) . Évalué à 6.

      ... et si les daemons dans leurs chroot et le noyaux sans faille connue ...

      (OpenBsd quoi ... :P )
    • [^] # Re: c' est l' été

      Posté par  . Évalué à 4.

      Parce que la suppression de l'ensemble du HOME de l'utilisateur ça n'est pas un problème suffisant ? Le lancement d'un démon pour servir à un botnet non plus ?

      Il faut arréter de juste penser O.S, les virus ne sont plus de "simples" destructeurs de système depuis bien longtemps, et on peut faire des dégâts même sur un port non privilégié, y compris aux machines voisines sur un réseau local.

      Dormez braves gens ...
    • [^] # Re: c' est l' été

      Posté par  . Évalué à 4.

      À mon avis, la meilleure protection, c'est imposer que pour l'utilisateur les permissions éxecutable et writable soient mutuellement exclusives (sauf pour les dossiers, bien sur :p)
      Ya moyen de faire ça avec SELinux ?
      Après, il faut que les interpréteurs (python...) jouent le jeu...
  • # mouais

    Posté par  . Évalué à 6.

    Cette dépêche ne nous dit pas grand-chose, à part "les virus peuvent vous faire du mal, ayez peur"

    Pour qu'un virus se réplique, il faut tout d'abord un milieu favorable (des applications permettant d'exécuter du code utilisateur au lieu de traiter des données. Pour cela la seule façon est de profiter d'un bug d'un programme (un crash par exemple), ou d'une erreur d'interprétation de scripts (très mauvais code en général).

    Les librairies de base les plus communes dans la majorité des distributions Linux sont le plus souvent exemptes de ces types de bugs (libc ..), même dans le cas de programmes utilisant des languages facilement exploitables (utilisation de la Glib). Et la diversité des versions (évolution rapide du développement libre) limite fortement l'éventuelle utilisation des ces bugs.

    Une exception est le cas d'OpenOffice.org, dont le code est beaucoup trop touffu pour être revu correctement, et dont le système de macros laisse un espace évident pour les crash et autres bugs.

    L'évolution des applications open-source se dirige aussi vers l'emploi de nouveaux languages qui permettent de limiter tant les problèmes classiques (buffer overflow) que de réduire la quantité de code (exemples de vala, de qt jambi ou de gtk sharp).

    En somme, la diversité des applications ainsi que la qualité des programmes et des librairies sous Linux limitent non seulement la propagation d'éventuels virus mais aussi l'apparition de ceux-ci (la popularité du système a donc peu à voir).
    • [^] # Re: mouais

      Posté par  . Évalué à 10.

      Elle dit pas du tout ça cette dépêche, elle dit "il y a un Hors Série Linux mag sur les virus."
      • [^] # Re: mouais

        Posté par  . Évalué à 3.

        C'est bien ce que je lui reproche: une publicité propageant une affirmation sans fondement (quantité de virus liés à la popularité du système d'exploitation).
        • [^] # Re: mouais

          Posté par  . Évalué à 2.

          la corellation statistique est peut être un peu rapide, mais elle existe.
    • [^] # Re: mouais

      Posté par  . Évalué à 3.

      Les librairies de base les plus communes dans la majorité des distributions Linux sont le plus souvent exemptes de ces types de bugs (libc ..), même dans le cas de programmes utilisant des languages facilement exploitables (utilisation de la Glib). Et la diversité des versions (évolution rapide du développement libre) limite fortement l'éventuelle utilisation des ces bugs.

      Oh mais je te rassures c'est la meme chose sur a peu pres toutes les plateformes, principalement parce que ces libs de base donnent uniquement des fonctionnalites de base assez faciles a implementer (strcpy, memcmp, ...)

      Les failles elles sont le plus souvent dans le soft lui-meme ou dans des libs au code assez complexe (zlib par exemple).

      La diversite des versions c'est de moins en moins le cas, Ubuntu sur le desktop, Redhat sur le serveur sont les gros elephants, et plus Linux se repand sur le desktop plus ce sera pousse, car on sait tous que les gens installent ce que leurs voisins/copains leur recommande(comme Windows).

      L'évolution des applications open-source se dirige aussi vers l'emploi de nouveaux languages qui permettent de limiter tant les problèmes classiques (buffer overflow) que de réduire la quantité de code (exemples de vala, de qt jambi ou de gtk sharp).

      Tout comme Windows, mais on est encore tres tres tres tres tres loin d'avoir des systemes ou le code est en majorite protege contre ces problemes.

      En somme, la diversité des applications ainsi que la qualité des programmes et des librairies sous Linux limitent non seulement la propagation d'éventuels virus mais aussi l'apparition de ceux-ci (la popularité du système a donc peu à voir).

      Oh que non, suffit de passer sur securityfocus.com chaque jour pour se rendre compte que Linux n'est pas plus protege que les autres.
      • [^] # Re: mouais

        Posté par  . Évalué à 2.

        Oh que non, suffit de passer sur securityfocus.com chaque jour pour se rendre compte que Linux n'est pas plus protege que les autres.

        Pas plus protégé en termes de failles, mais certainement plus protégé en termes d'exploits. Il suffit de connaître des utilisateurs MS Windows et Linux pour s'en rendre compte.

        C'est clair que vu la diversité des systèmes et des applications, l'utilisation massive des librairies partagées et la rapidité des corrections ainsi que l'utilisation généralisée de comptes sans privilèges pour les tâches courantes, je vois vraiment pas par où je pourrais commencer si je voulais écrire du code malveillant ciblant des desktops Linux.
        • [^] # Re: mouais

          Posté par  . Évalué à 3.

          Pas plus protégé en termes de failles, mais certainement plus protégé en termes d'exploits. Il suffit de connaître des utilisateurs MS Windows et Linux pour s'en rendre compte.

          En terme d'exploits non, en terme d'exploitation de masse il est ignore parce qu'il n'est pas repandu du tout, il est pas protege pour autant intrinsequement.

          C'est clair que vu la diversité des systèmes et des applications, l'utilisation massive des librairies partagées et la rapidité des corrections ainsi que l'utilisation généralisée de comptes sans privilèges pour les tâches courantes, je vois vraiment pas par où je pourrais commencer si je voulais écrire du code malveillant ciblant des desktops Linux.

          A) Les comptes proteges ne changent rien du tout, si tu es sous Evolution dans ton compte sans privilege et qu'un virus passe a travers, t'as beau etre sans privileges, le virus s'installera dans ton compte et se mailera lui-meme grace a ton address book.
          B) La diversite n'est en plus vraiment une, Ubuntu fait un malheur, Redhat de meme sur les serveurs, Mandriva tend a disparaitre gentiment, Debian c'est pour les geeks qui aiment uniquement.
          C) Les libs partagees c'est idem partout, ca n'y change rien.

          Si tu voulais ecrire du code malveillant pour desktops Linux aujourd'hui c'est simple, tu le ferais pas parce que la cible est trop petite et trop elitiste pour etre interessante(nbre de neuneus sans patchs qui lancent des trucs qu'il faut pas est tres faible).
          Si demain Linux a 20% de parts de marche desktop, ca deviendra tout de suite bcp bcp plus interessant par contre, parce que ca voudra probablement dire que 10-15% du marche au moins est Ubuntu, ca te fera 1 cible, tout comme avec Windows.
          • [^] # Re: mouais

            Posté par  . Évalué à 1.

            Pour le point A: encore faut-il avoir un exploit

            Pour le point B: justement, si la diversité se réduit, pourquoi ne voit-on pas apparaître plus de virus ?

            Pour le point C: en fait, non, les librairies partagées ce n'est pas idem partout, rien que pour l'incompatibilité entre les versions, les compilateurs, et l'utilisation de protections automatiques à la compilation telles que noexec


            La plupart des problèmes viennent en fait de problèmes de conception qui permettent l'exécution automatique de code:

            http://www.mozilla.org/security/shell.html
            http://en.wikipedia.org/wiki/Windows_Metafile_vulnerability
            http://www.f-secure.com/weblog/archives/archive-012006.html#(...)
            http://www.windowsitpro.com/Articles/ArticleID/40090/40090.h(...)

            Ces problèmes de conception sont absents des programmes et des bibliothèques open-source, excepté pour le cas d'OpenOffice.org (macros). Il y a bien une protection intrinsèque à utiliser Linux et autres systèmes libres.
            • [^] # Re: mouais

              Posté par  . Évalué à 3.

              A) Idem sous Windows, c'est pas vraiment un probleme d'habitude
              B) Parce que Linux c'est toujours une part infinitesimale du marche
              C) Une fois la consolidation faite, ca sera le meme compilo, a peu pres les memes versions, ... et noexec il est sympa mais sur un systeme desktop grand public j'ai hate de voir

              http://www.mozilla.org/security/shell.html

              Ca c'est un bug dans Mozilla mon cher, ce sont eux qui ont corrige leur code, le probleme n'est pas dans Windows.

              http://en.wikipedia.org/wiki/Windows_Metafile_vulnerability
              http://www.f-secure.com/weblog/archives/archive-012006.html#(...)


              C'est un bug comme un autre dans du code, j'ai du mal a voir en quoi ca remet en cause le design du systeme

              http://www.windowsitpro.com/Articles/ArticleID/40090/40090.h(...)

              Super, et OpenOffice a la meme chose : http://www.securityfocus.com/bid/18738

              Ces problèmes de conception sont absents des programmes et des bibliothèques open-source, excepté pour le cas d'OpenOffice.org (macros). Il y a bien une protection intrinsèque à utiliser Linux et autres systèmes libres.

              Quedalle, la 1ere est dans Mozilla, la derniere a des equivalents dans OpenOffice, reste celle de WMF qui est un format d'image, et dieu sait combien de failles ont ete trouvees dans libjpg, zlib, ... qui sont utilisees par les differents viewers sous Linux
              • [^] # Re: mouais

                Posté par  . Évalué à 2.

                Pour la B), faudrait savoir : tu dis que Red Hat fait un malheur sur les serveurs, et maintenant que Linux a une part infinitésimale ?

                Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur

                • [^] # Re: mouais

                  Posté par  . Évalué à 2.

                  Les serveurs ce n'est pas vraiment une bonne cible pour des virus:

                  - d'habitude patchees et a jour
                  - rarement des problemes d'interface chaise clavier
                  - pas de softs inutiles venant d'on ne sait ou installes
                  • [^] # Re: mouais

                    Posté par  (site Web personnel) . Évalué à 7.

                    Alors comment expliques-tu que Slapper[1] (W32/SQLSlam-A)ait fait autant de dégâts en 2003 ?
                    - Les serveurs n'étaient pas patchés, ni à jour (malgré la disponibilité du patch par Microsoft) ;
                    - Les administrateurs n'ont pas réalisés ces mises à jour pour des raisons qui leur appartiennent ;
                    - Aucun logiciel venant d'on ne sait où, juste MS-SQL Server.

                    Et pourtant, ce n'était pas faute d'avoir eu un précédent avec Spida[2]...
                    Une première explication peut sans doute venir du fait qu'il faille installer tout un Service Pack, le SP3 pour corriger la faille.

                    [1]: http://www.oreillynet.com/onlamp/blog/2003/01/ms_sql_worm_ma(...)
                    http://www.certa.ssi.gouv.fr/site/CERTA-2002-AVI-157/index.h(...)
                    [2]: http://www.certa.ssi.gouv.fr/site/CERTA-2002-ALE-006/
                    • [^] # Re: mouais

                      Posté par  . Évalué à 3.

                      Alors comment expliques-tu que Slapper[1] (W32/SQLSlam-A)ait fait autant de dégâts en 2003 ?

                      J'imagines que tu parles de Slammer, Slapper c'est le ver pour OpenSSL.

                      Il n'y avait pas d'auto-update pour SQL Server a l'epoque, auto-update fut un des enseignements : les gens ne s'interessent pas a la securite et ne se renseignent pas, il faut leur amener l'information et rendre l'installation la plus simple possible, c'est maintenant fait.

                      Une première explication peut sans doute venir du fait qu'il faille installer tout un Service Pack, le SP3 pour corriger la faille.


                      Meme pas, le patch etait la : http://www.microsoft.com/technet/security/bulletin/MS02-039.(...) , pas besoin de service pack.
              • [^] # Re: mouais

                Posté par  . Évalué à 4.

                A) Idem sous Windows, c'est pas vraiment un probleme d'habitude

                Et bien non, justement, le bogue de Mozilla montre justemement qu'un programme écrit de façon portable présente plus de problèmes de sécurité (shell windows) sous Windows que sur les autres systèmes.

                B) Parce que Linux c'est toujours une part infinitesimale du marche

                Tu peux quantifier peut-être ?

                C) Une fois la consolidation faite, ca sera le meme compilo, a peu pres les memes versions, ... et noexec il est sympa mais sur un systeme desktop grand public j'ai hate de voir

                Genre AppArmor ? Ensuite le fait d'avoir à peu près le même compilateur ne garantit pas d'avoir le même code machine et d'obtenir des exploits portables.

                Pour en revenir aux exemples que j'ai donné, le problème de sécurité de Mozilla démontre de façon claire qu'un programme ayant pour but la portabilité présentera des problèmes plus importants sur Windows que sur Linux (et autres systèmes de type Unix).

                L'exploit des wmf provient de fonctionnalités antiques de windows permettant entre autre d'installer des programmes. En pratique, les programmes sont fait pour éviter l'exécution de code arbitraire, et le vieux code sous Linux disparaît très rapidement, par exemple les librairies Qt3-compat ont pratiquement disparu de la version beta de Kde4.

                Enfin, le cas d'OpenOffice.org est un petit peu spécial, car il s'agit d'un programme proprio conçu pour windows qui a été porté puis libéré, et qui évolue relativement lentement - une exception vis à vis des programmes et librairies du monde open-source.

                Je pense donc qu'il convient de s'intéresser de plus près aux arguments techniques avant de se prononcer de façon aussi catégorique. Sans cela, l'argumentaire est très similaire à "il y a plein de gens de couleur en prison, les gens de couleurs sont donc des criminels" ou bien "l'ulcère y'a plein de gens stressés qui en ont, donc ça vient du stress"
                • [^] # Re: mouais

                  Posté par  . Évalué à 1.

                  Et bien non, justement, le bogue de Mozilla montre justemement qu'un programme écrit de façon portable présente plus de problèmes de sécurité (shell windows) sous Windows que sur les autres systèmes.

                  http://secunia.com/advisories/16846/

                  "This vulnerability can only be exploited on Unix / Linux based environments."

                  Ah ben faut croire qu'il y a un probleme de design dans Unix mon cher... Et pourtant non, mais plutot qu'analyser le probleme tu preferes ne rien en savoir et faire des jugements a l'emporte piece.

                  Tu peux quantifier peut-être ?

                  Certainement moins de 5% du marche desktop

                  Genre AppArmor ? Ensuite le fait d'avoir à peu près le même compilateur ne garantit pas d'avoir le même code machine et d'obtenir des exploits portables.

                  Windows 2000, XP, 2003 et Vista n'utilisent pas la meme version de compilo et il y a qqe differences dans les options, mais le code genere est tellement proche de toute facon que ca n'interfere que peu. C'est vraiment pas un probleme.

                  Quand a AppArmor, j'attends toujours de le voir sur un systeme desktop sans hurlements de la part des utilisateurs.

                  Pour en revenir aux exemples que j'ai donné, le problème de sécurité de Mozilla démontre de façon claire qu'un programme ayant pour but la portabilité présentera des problèmes plus importants sur Windows que sur Linux (et autres systèmes de type Unix).

                  Non tu n'as rien montre du tout, tu as pris un exemple, sans comprendre le probleme, affirme que le probleme etait du a Windows et tu essaies de faire croire que tu as demontre qqe chose.
                  Je t'ai donne plus haut un exemple qui montre _exactement l'inverse_, un bug dans Mozilla qui ne se produit que sur des Unix et qui met ta soi-disant demonstration au placard.

                  L'exploit des wmf provient de fonctionnalités antiques de windows permettant entre autre d'installer des programmes. En pratique, les programmes sont fait pour éviter l'exécution de code arbitraire, et le vieux code sous Linux disparaît très rapidement, par exemple les librairies Qt3-compat ont pratiquement disparu de la version beta de Kde4.

                  Ca aussi c'est des conneries, du code antique dans Linux il y en a a la pelle comme dans les autres OS, personne ne s'amuse a reecrire le code just pour s'amuser. Prendre un exemple et extrapoler au systeme entier c'est pas une demonstration.

                  Enfin, le cas d'OpenOffice.org est un petit peu spécial, car il s'agit d'un programme proprio conçu pour windows qui a été porté puis libéré, et qui évolue relativement lentement - une exception vis à vis des programmes et librairies du monde open-source.

                  Bah oui hein, le fait qu'il ait existe sous Windows explique tout n'est ce pas ? C'est si difficile que ca de te rendre a l'evidence ?
                  OO c'est un des softs phares du LL, qui evolue bien plus vite que le reste car il y a bcp plus de ressources injectees que la plupart des autres softs du monde libre(tout comme Firefox), dire le contraire c'est se voiler la face.
                  • [^] # Re: mouais

                    Posté par  . Évalué à 2.

                    faut croire qu'il y a un probleme de design dans Unix mon cher

                    L'exemple parlait du shell win32 qui a affecté à la fois IE et Firefox. On retrouve une tonne d'exemples liés uniquement aux librairies de windows tels que les curseurs .ani, les fichiers .wmf, le problème de shell win32, les macros office, qui dénotent un problème de design, c'est à dire l'exécution de code arbitraire beaucoup trop facile. Heureusement, cela commence à changer avec Vista.

                    - moins de 5% du marche desktop

                    On devrait donc s'attendre à voir 5% du nombre de virus de la plateforme la plus populaire ?

                    - Windows 2000, XP, 2003 et Vista n'utilisent pas la meme version de compilo et il y a qqe differences dans les options

                    On parlait de gcc et des distributions Linux là. Windows utilise un compilateur et des technologies de protections analogues, mais bien différentes.

                    - Quand a AppArmor, j'attends toujours de le voir sur un systeme desktop sans hurlements de la part des utilisateurs.

                    Tu as quoi à lui reprocher exactement ? Tu voulais un exemple, le voilà.

                    - du code antique dans Linux il y en a a la pelle comme dans les autres OS

                    Pas vraiment, car Linux n'a pas les mêmes impératifs de compatibilité que windows (16 bit, etc). Les apis changent et les appels systèmes aussi. C'est bien ce que l'exemple de la librairie wmf a montré.

                    - le fait qu'il ait existe sous Windows explique tout n'est ce pas ?

                    En grande partie oui, lorsque l'on voit à quel point OpenOffice.org s'est inspiré du design de ms-office (macros, etc). OpenOffice.org est aussi un des logiciels qui exporte sa propre librairie plutôt que d'utiliser les standards sous Linux (gtk, Qt, motif), il suffit de voir la taille du fichier d'installation pour Windows et pour Linux (~ 70 vs 100Mb)
                    • [^] # Re: mouais

                      Posté par  . Évalué à 1.

                      L'exemple parlait du shell win32 qui a affecté à la fois IE et Firefox. On retrouve une tonne d'exemples liés uniquement aux librairies de windows tels que les curseurs .ani, les fichiers .wmf, le problème de shell win32, les macros office, qui dénotent un problème de design

                      Et tu fais quoi des exemples qui sont Unix only ? Tu les oublies ?

                      On devrait donc s'attendre à voir 5% du nombre de virus de la plateforme la plus populaire ?

                      Justement non, car personne ne va faire l'effort pour 5% quand il peut faire le meme effort et atteindre 90% du marche

                      On parlait de gcc et des distributions Linux là. Windows utilise un compilateur et des technologies de protections analogues, mais bien différentes.

                      Ah ben tu vas pouvoir m'expliquer la difference alors...

                      Tu as quoi à lui reprocher exactement ? Tu voulais un exemple, le voilà.

                      Il rend l'utilisation d'un desktop assez lourde car il doit etre configure pour chaque soft et creer la bonne config pour chaque soft sans qu'il soit trop limitatif c'est hyper lourd.

                      Pas vraiment, car Linux n'a pas les mêmes impératifs de compatibilité que windows (16 bit, etc). Les apis changent et les appels systèmes aussi. C'est bien ce que l'exemple de la librairie wmf a montré.

                      Ben dis moi donc quand est-ce que zlib a ete completement recodee pour la derniere fois ? Parce qu'il y en a eu plusieurs des failles dans cette lib.
                      Ah oui, jamais.
                      libpng ? Idem

                      Non vraiment, tu ne sais pas de quoi tu parles, tu prends de rares exemples et tu en fais des generalites.

                      En grande partie oui, lorsque l'on voit à quel point OpenOffice.org s'est inspiré du design de ms-office (macros, etc). OpenOffice.org est aussi un des logiciels qui exporte sa propre librairie plutôt que d'utiliser les standards sous Linux (gtk, Qt, motif), il suffit de voir la taille du fichier d'installation pour Windows et pour Linux (~ 70 vs 100Mb)

                      Ben oui c'est connu, suffit d'ecrire un soft SOUS windows pour qu'il soit automatiquement mauvais, c'est inne a la plateforme.

                      Serieusement, t'as deja entendu parler des failles qu'il y avait dans bind, wu_ftpd et sendmail ? Parce que c'etait des softs Unix uniquement la, et ils etaient troues comme pas possible.

                      Faudrait penser a t'informer sur le sujet mon cher, visiblement tu extrapoles beaucoup, et dans la mauvaise direction.
                      • [^] # Re: mouais

                        Posté par  . Évalué à 3.

                        - Justement non, car personne ne va faire l'effort pour 5% quand il peut faire le meme effort et atteindre 90% du marche

                        C'est une affirmation gratuite, et voici exactement l' exemple du contraire:
                        http://linuxfr.org/comments/861012.html#861012

                        - suffit d'ecrire un soft SOUS windows pour qu'il soit automatiquement mauvais, c'est inne a la plateforme

                        Il suffit de copier un mauvais design pour effectivement hériter des mêmes problèmes. Dans ce cas il s'agit de la facilité à lancer du code venant de sources inconnues, et sans suffisamment de validation.

                        - t'as deja entendu parler des failles qu'il y avait dans bind, wu_ftpd et sendmail

                        On parlait des applications du desktop, pas des serveurs.
                        • [^] # Re: mouais

                          Posté par  . Évalué à 1.

                          C'est une affirmation gratuite, et voici exactement l' exemple du contraire:
                          http://linuxfr.org/comments/861012.html#861012


                          Hahaha

                          Tu compares une situation 90-5 a une situation 50-30, tu te moques de qui la ?

                          Il suffit de copier un mauvais design pour effectivement hériter des mêmes problèmes. Dans ce cas il s'agit de la facilité à lancer du code venant de sources inconnues, et sans suffisamment de validation.

                          Le gros probleme c'est que tu n'as encore rien montre du tout vis-a-vis du soi-disant mauvais design, tous tes exemples ont des equivalents sous Unix comme je l'ai montre.

                          On parlait des applications du desktop, pas des serveurs.

                          Non, tu parlais du fait que les app sous Windows sont d'habitudes moins bien foutues que sous Unix, et ces softs sont un exemple clair et net que les softs mal foutus il y en a partout.
          • [^] # Re: mouais

            Posté par  . Évalué à 2.

            B) La diversité, c'est aussi celle des logiciels utilisés.
            Il n'y a pas sous Linux un seul client mail que tout le monde ou presque utilise (outlook) : kontact, evolution, thunderbird, ...
            Si tu veux toucher beaucoup de monde, il faut faire un virus qui marche au moins pour ces trois applis. Et quand bien même Linux aurait un jour 30% de PdM, ça fera toujours bcp plus de boulot que faire un virus Outlook.
            • [^] # Re: mouais

              Posté par  . Évalué à 4.

              Si le virus est dans une pièce jointe, peu importe le client mail...

              Par contre, il me semble (à confirmer, svp) que les pièces jointes sont sauvegardés sur le disque (lors de l'enregistrement) sans droit d'exécution. Du coup, ça limite fortement...

              Mais bon, il reste toujours le problème récurrent de l'Interface Chaise-Clavier
            • [^] # Re: mouais

              Posté par  (site Web personnel) . Évalué à 2.

              Si tu veux toucher beaucoup de monde, il faut faire un virus qui marche au moins pour ces trois applis.

              Ou faire un virus pour une librairie commune à ces trois applis (e.g.: zlib, ...).
          • [^] # Re: mouais

            Posté par  . Évalué à 5.

            B) La diversite n'est en plus vraiment une, Ubuntu fait un malheur, Redhat de meme sur les serveurs, Mandriva tend a disparaitre gentiment, Debian c'est pour les geeks qui aiment uniquement.

            C'est loin d'être évident ce que tu dis si on considère les visites sur les sites respectifs des distributions¹ :
            ubuntu.com 29,12%
            redhat.com 28,13%
            debian.org 25,63%
            fedoraproject.org 11,87%
            opensuse.org 5,26%
            Debian s'en sort plutôt bien sinon, les geeks te remercient :)

            ¹ http://siteanalytics.compete.com/ubuntu.com%2Bredhat.com%2Bd(...)
            NB : faut être enregistré pour voir les cinq courbes, sinon on ne voit que les trois premières.
            NB2 : si t'as mieux pour évaluer les parts de marchés respectives des distribs Linux, je suis preneur.

            Si demain Linux a 20% de parts de marche desktop, ca deviendra tout de suite bcp bcp plus interessant par contre, parce que ca voudra probablement dire que 10-15% du marche au moins est Ubuntu, ca te fera 1 cible, tout comme avec Windows.

            Ça voudrait dire que Ubuntu tient entre 50% et 75% du marché desktop Linux, c'est complètement irréaliste vu les chiffres actuels. Enfin, Mark Shuttleworth sera heureux de l'apprendre en tout cas :)

            Sans compter qu'il faut aussi choisir la version d'Ubuntu à laquelle s'attaquer, avec une sortie tous les six mois, ça réduit encore la marge.

            Après il faut trouver l'appli la plus utilisée, sachant qu'il n'y a pas là non plus de monoculture, ça devient extrêmement compliqué.
            • [^] # Re: mouais

              Posté par  . Évalué à 2.

              C'est loin d'être évident ce que tu dis si on considère les visites sur les sites respectifs des distributions¹ :

              Au jour d'aujourd'hui oui c'est normal, car le monde Linux c'est principalement des geeks qui essaient differentes distribs, ...

              Mais le truc dans le monde du soft, c'est qu'il y a consolidation, et c'est d'ailleurs une condition sine qua non pour que Linux se repande sur le desktop, car les editeurs ne vont pas s'amuser a supporter 10 distribs differentes.

              Ça voudrait dire que Ubuntu tient entre 50% et 75% du marché desktop Linux, c'est complètement irréaliste vu les chiffres actuels. Enfin, Mark Shuttleworth sera heureux de l'apprendre en tout cas :)

              C'est probablement ce qui va se passer, ce sera peut-etre pas Ubuntu qui sait, mais il va y avoir consolidation et un gros acteur va emerger. Sans consolidation, le resultat sera une fragmentation, et on sait ce que cela a donne pour les Unix.

              Sans compter qu'il faut aussi choisir la version d'Ubuntu à laquelle s'attaquer, avec une sortie tous les six mois, ça réduit encore la marge.

              Ca c'est un detail, Windows il y a 2000, XP, 2003, Vista et les differents niveaux de patch/service pack, ca semble pas les gener.

              Après il faut trouver l'appli la plus utilisée, sachant qu'il n'y a pas là non plus de monoculture, ça devient extrêmement compliqué.

              La aussi il va y avoir consolidation, les gens utilisent ce que leurs voisins utilisent le plus souvent.

              Des browsers bases sur le moteur d'IE il y en a des dizaines, qui proposaient souvent des trucs genre pop-up blocker, tabs, ... avant IE, quasiment tout le monde utilise uniquement IE pourtant, il se passera la meme chose avec Ubuntu ou la distrib qui prendra le marche.
  • # Idée reçue à combattre

    Posté par  (site Web personnel) . Évalué à 10.

    Salut,

    On dit souvent "Linux n'a pas ou peu de virus car il n'est pas très répandu. Dès qu'il sera plus utilisé, il y aura plein de virus pour lui aussi".
    C'est une idée fausse, qu'il faut combattre.
    Que le système soit répandu est une condition nécessaire, mais pas suffisante. Il faut aussi qu'il soit suffisamment vulnérable.

    Il suffit de prendre quelques contre-exemples pour démonter cette idée reçue, et j'en ai 2 :
    1. les serveurs web : bien qu'Apache soit beaucoup plus utilisé qu'IIS, c'est ce dernier qui est attaqué, car il est plus vulnérable. Autrement dit, le taux de réussite d'attaque sur IIS est tellement plus élevé que sur Apache qu'il compense sa plus faible utilisation.
    2. les serveurs de bases de données : ms-sql-server est moins utilisé que Oracle, et pourtant c'est lui qui a le plus souffert des virus vers. Là encore parce qu'il est beaucoup plus vulnérable qu'Oracle.

    Etre répandu n'est donc pas une garantie d'être attaqué, il faut aussi être vulnérable.

    Quelques chiffres, faux mais illustratifs :
    Supposons que nous ayions 10% de serveurs ms-sql-server, et 50% de serveurs Oracle. Notre idée reçue dit donc qu'il y aura plus de virus pour Oracle que pour ms-sql-server. Mais si ms-sql-server est 100 fois plus vulnérable que Oracle, alors il est plus rentable de concevoir des virus pour lui, car le nombre total de serveurs vulnérables sera plus élevé.

    La conception et l'utilisation des virus sont un business clair, avec des impératifs de performance et de rentabilité. Même si concevoir un virus pour Linux est possible, mais que ça ne permet de prendre le contrôle que d'une poignée de machine, ce n'est pas rentable.

    Yann
    • [^] # Re: Idée reçue à combattre

      Posté par  . Évalué à 6.

      Et c'est pour ça qu'on peut clairement avancer comme argument pro-logiciels libres, et GNU/Linux (ou mieux *BSD) en particulier, que ces problèmes de virus et d'anti-spyware, de firewalls, et autres bousins qui plombent ta machine en te donnant l'impression que tu te protèges du monde extérieur hostile, n'existent pas dans les systèmes libres.

      Et c'est, mine de rien, un argument qui a un impact non négligeable !
      Par honnêteté intellectuelle il convient de tempérer en disant que rien n'est jamais sûr à 100%.

      Mais franchement, en 8 ans, un paquet de machines, j'ai eu un problème une seule fois : j'avais laissé un compte www/www sur le routeur, avec le ssh grand ouvert sur le port par défaut, au bout d'un an un script kiddie est passé par là.
      Ya pas eu de mal, la machine étant un 486, 16Mo de RAM, elle s'est trouvée à genoux dès que le débile a lancé ses bidules, qui pompaient trop de ressources, mais ça c'est un coup de bol...


      Yth.
      • [^] # Re: Idée reçue à combattre

        Posté par  (site Web personnel) . Évalué à 10.

        la machine étant un 486, 16Mo de RAM, elle s'est trouvée à genoux dès que le débile a lancé ses bidules

        pas mal comme méthode de lutte: utiliser un vieux bousin qui va forcément planter... simple, bon détecteur d'ados en mal de puissance, peu couteux, tout pour plaire...

        "La liberté est à l'homme ce que les ailes sont à l'oiseau" Jean-Pierre Rosnay

        • [^] # Re: Idée reçue à combattre

          Posté par  . Évalué à 3.

          Actuellement j'ai dû virer le 486, je l'ai remplacé par un ARM : plus puissant, largement plus petit, complètement silencieux, consomme *beaucoup* moins (même si déjà le 486 c'était peu de choses à côté d'une machine récente, faudrait que je mesure, je l'ai encore).

          Et ça a d'autres effets de bords amusants, comme : les binaires pour passer root ne marchent pas, forcément ils sont pour x86. Par contre il doit être assez puissant pour faire tourner des saloperies. Et si le script kiddie compile sur place ses merdouilles, ça va passer... Mais j'ai arrangé la sécurité de ssh : j'ai omis d'ouvrir la porte avec néon « Free cracking here ! » du www/www :p


          Ah, si j'ai viré le 486, c'est parce que les cartes réseau ISA ne suffisent plus pour gérer une connexion ADSL2 dégroupée totalement... Enfin, si, ça suffit quand on est à 4km du DSLAM...


          Yth.
          • [^] # Re: Idée reçue à combattre

            Posté par  . Évalué à 2.

            tu laisses un compilo sur ton serveur ?!

            "La première sécurité est la liberté"

            • [^] # Re: Idée reçue à combattre

              Posté par  . Évalué à 2.

              Sur l'ARM ouaip, par flemme de faire une chaîne de compilation ARM sur ma machine.
              C'est plus simple de compiler sur la machine cible ce qui tournera dessus...

              Mais bon, l'ARM je débute aussi, ça fait pas six mois que je l'utilise, et j'ai pas eu assez de temps pour bien m'amuser avec !

              En fait, je devrais faire les paquets, et autres compilations, dans un ARM virtuel via qemu. Je sais...


              Yth.
          • [^] # Re: Idée reçue à combattre

            Posté par  . Évalué à -4.

            tu laisses un compilo sur ton serveur ?!

            "La première sécurité est la liberté"

    • [^] # Re: Idée reçue à combattre

      Posté par  . Évalué à 2.

      Il faut voir aussi ce qui a été dit plus haut : sur les serveur web et serveurs de BD on ne peut pas exploiter les failles de l'ICC, puisque celle-ci n'est quasiment jamais active.

      Pour les stations de travail, le problème sera donc très différent, et il n'est pas évident que si Linux devenait aussi répandu que Windows sur le desktop, celui-ci resterait tout aussi protégé, puisqu'il fonctionnerait du coup avec des ICC de moins bonne qualité en moyenne.
      Ensuite, il est possible que Linux favorise de bons comportements de l'ICC, mais il me semble dangereux de vouloir généraliser, étant donné le grand choix de logiciels de qualité variable et de distribs sur cette plateforme (même si justement la diversité rend les failles moins intéressantes à exploiter).
    • [^] # Re: Idée reçue à combattre

      Posté par  (site Web personnel) . Évalué à 1.

      À travers les serveurs web, on attaque souvent les sites web eux-mêmes et on compte de nombreux sites défacés (dans le meilleur des cas) alors qu'ils tournent sous LAMP.
      Que ce soit un serveur avec des logiciels libres, c'est bien mais ça ne veut pas dire que l'administrateur en herbe n'aura pas créer par ignorance ou inconscience des failles avec son application.
      Quant aux serveurs de bases de données, les serveurs Oracle sont largement moins en avant que les serveurs MS-SQL. Il faudrait sans doute comparer avec MySQL pour le même type d'applications cibles.
      Maintenant, si la question revient, c'est davantage pour cause de pénétration de Linux dans le marché des desktop que pour dans les serveurs.
    • [^] # Re: Idée reçue à combattre

      Posté par  . Évalué à -4.

      Ta demonstration serait belle si elle n'etait pas completement fausse.

      Ces dernieres annees IIS a eu _beaucoup moins_ de failles qu'Apache.

      Idem pour SQL Server.
      • [^] # Re: Idée reçue à combattre

        Posté par  . Évalué à -4.

        C'est marrant ca.

        a) Est ce que ce post est hors-sujet ? Non, il demontre clairement que la demonstration du dessus est fausse

        b) Est ce que ce post est injurieux/... ? Non

        c) Est ce que le contenu du post est faux ? Non plus

        J'ai du mal comprendre l'utilite du bouton "pertinent" sur les commentaires...

        Enfin bon, les mauvaises langues pourraient dire que certains ici essaient de cacher une verite qu'ils n'aiment pas.
        • [^] # Re: Idée reçue à combattre

          Posté par  . Évalué à 9.

          Enfin bon, les mauvaises langues pourraient dire que certains ici essaient de cacher une verite qu'ils n'aiment pas.

          Arrête de faire ton caliméro, ta réponse était à côté de la plaque, ça mérite bien les quelques clics sur inutile que tu as pris.

          Tu as dit :
          Ces dernieres annees IIS a eu _beaucoup moins_ de failles qu'Apache.

          Ce en quoi tu as parfaitement raison, mais il n'a jamais dit qu'Apache avait moins de failles que IIS. Il a seulement dit que IIS était plus vulnérable et que le taux de réussite d'attaque sur IIS était tellement plus élevé que sur Apache qu'il compensait sa plus faible utilisation. Faille != exploit...

          C'est marrant, c'est d'ailleurs exactement ce que confirme un article récent de l'équipe de sécurité de Google (juin 2007), qui constate que les serveurs IIS distribuent deux fois plus de malwares que les serveurs Apache (49% contre 23%) :
          http://googleonlinesecurity.blogspot.com/2007/06/web-server-(...)

          D'autre part, tu as aussi dit :
          idem pour SQL Server

          sans dire à quoi tu le comparais (Oracle, DB2, MySQL, PostGreSQL, FireBird, etc. ?) ni ce que tu voulais comparer. Ça fait un peu light comme argumentation, non ?
          • [^] # Re: Idée reçue à combattre

            Posté par  . Évalué à 0.

            Ce en quoi tu as parfaitement raison, mais il n'a jamais dit qu'Apache avait moins de failles que IIS. Il a seulement dit que IIS était plus vulnérable et que le taux de réussite d'attaque sur IIS était tellement plus élevé que sur Apache qu'il compensait sa plus faible utilisation. Faille != exploit...

            L'un vient avec l'autre, plus t'as de failles plus tu es vulnerable. Si tu n'as pas de failles ca va etre dur de te passer a travers. 80% des sites sous IIS sont sous IIS6, IIS6 a eu _une_ vulnerabilite permettant l'acces au systeme : http://secunia.com/advisories/21006/ et c'etait uniquement accessible a ceux qui peuvent uploader de l'ASP sur le site.
            Partant de la, IIS6 est dans un certain sens pratiquement invulnerable niveau failles connues, les machines sous IIS qui lancent du spam ont probablement ete compromises par d'autres sources.

            L'etude Google dit que les serveurs IIS distribuent plus de malware, oui, je ne vois pas ce que ca montre d'autre. Si les serveurs Apache sont moins attaques, ils serviront moins de malware, cette etude Google ne dit en rien qu'ils sont plus ou moins vulnerables, simplement plus attaques.

            sans dire à quoi tu le comparais (Oracle, DB2, MySQL, PostGreSQL, FireBird, etc. ?)

            Il parlait d'Oracle, donc evidemment je parlais d'Oracle.
            • [^] # Re: Idée reçue à combattre

              Posté par  . Évalué à 4.

              Si les serveurs Apache sont moins attaques, ils serviront moins de malware, cette etude Google ne dit en rien qu'ils sont plus ou moins vulnerables, simplement plus attaques.

              Cette étude ne parle pas d'attaques, elle dit que IIS sert deux fois plus de malware qu'Apache. Pour qu'un serveur Web serve des malware, il faut qu'il (ou le serveur) ait été compromis ou que l'admin les ait mis sciemment sur son site...

              Et puis d'un côté tu dis que plus on a de parts de marchés, plus on est attaqué, de l'autre tu dis que l'étude montre qu'Apache est moins attaqué. Faudrait savoir...

              les machines sous IIS qui lancent du spam ont probablement ete compromises par d'autres sources.

              Si c'est le serveur (pas Web) qui a été compromis, ça veut dire que MS Windows/IIS est plus vulnérable que {Linux/xBSD/MS Windows/etc.}/Apache. Le dénominateur commun c'est MS Windows, pas très glorieux non plus...

              Il parlait d'Oracle, donc evidemment je parlais d'Oracle.

              Ça va mieux en le disant, le parent était sept posts plus haut, ça aide à la lecture de rappeler ce à quoi on répond.

              Mais tu ne dis toujours pas ce que tu comparais. Lui n'a pas parlé de nombre de failles, il a seulement dit que MS SQL Server avait le plus souffert des virus vers.
              • [^] # Re: Idée reçue à combattre

                Posté par  . Évalué à 3.

                Cette étude ne parle pas d'attaques, elle dit que IIS sert deux fois plus de malware qu'Apache. Pour qu'un serveur Web serve des malware, il faut qu'il (ou le serveur) ait été compromis ou que l'admin les ait mis sciemment sur son site...

                Tout a fait

                Et puis d'un côté tu dis que plus on a de parts de marchés, plus on est attaqué, de l'autre tu dis que l'étude montre qu'Apache est moins attaqué. Faudrait savoir...

                Apache est probablement plus attaque qu'IIS, le truc c'est qu'IIS il tourne sous Windows. Comme montre plus haut, il n'y a pas vraiment de failles (connue du moins) utilisable dans IIS pour entrer, il est donc probable que l'intrusion soit faite d'une autre maniere.

                Si c'est le serveur (pas Web) qui a été compromis, ça veut dire que MS Windows/IIS est plus vulnérable que {Linux/xBSD/MS Windows/etc.}/Apache. Le dénominateur commun c'est MS Windows, pas très glorieux non plus...


                Si tu regardes le graphe de Google au bas de la page, tu verras que la part des IIS infectes dans les pays de l'ouest est plus petite que la part de marche d'IIS proportionellement. Par contre en Chine/Coree du Sud c'est l'inverse, quasiment tous les serveurs infectes sont sous IIS.

                Google donne une partie de l'explication.

                We suspect that the causes for IIS featuring more prominently in these countries could be due to a combination of factors: first, automatic updates have not been enabled due to software piracy (piracy statistics from NationMaster, and BSA), and second, some security patches are not available for pirated copies of Microsoft operating systems. For instance the patch for a commonly seen ADODB.Stream exploit is not available to pirated copies of Windows operating systems.

                Ce qui explique la part disproportionnee d'IIS.
            • [^] # Re: Idée reçue à combattre

              Posté par  . Évalué à 3.

              L'un vient avec l'autre, plus t'as de failles plus tu es vulnerable

              Encore une affirmation gratuite (sans fondement technique), qui rappelle le message sur l'absence de diversité des distributions Linux.

              Par exemple, le programme openssh est divisé en deux parties, dont une qui surveille l'autre. En cas d'exploit, la partie sensible est immédiatement stoppée. Autre exemple, la compilation des programmes C avec protection de pile (noexec) , ou les pages non exécutables.
              • [^] # Re: Idée reçue à combattre

                Posté par  . Évalué à 1.

                Encore une affirmation gratuite (sans fondement technique), qui rappelle le message sur l'absence de diversité des distributions Linux.

                Non c'est une realite, plus il y a de portes, plus il y a de possiblites d'entrer, ca coule sous le sens.

                Par exemple, le programme openssh est divisé en deux parties, dont une qui surveille l'autre. En cas d'exploit, la partie sensible est immédiatement stoppée. Autre exemple, la compilation des programmes C avec protection de pile (noexec) , ou les pages non exécutables.

                Super, noexec et les pages non executables ca s'evite mon cher, pas facile mais faisable. (en notant que ces 2 elements sont presents sous Windows, ca n'arrete pas les exploits).

                cf. http://www.auto.tuwien.ac.at/~chris/teaching/papers/buffer_n(...) par exemple
                • [^] # Re: Idée reçue à combattre

                  Posté par  . Évalué à 1.

                  - Non c'est une realite, plus il y a de portes, plus il y a de possiblites d'entrer, ca coule sous le sens.
                  - pas facile mais faisable

                  Contradiction, pour qu'un virus se propage, il faut bien que cela se fasse de façon facile et automatique.

                  en notant que ces 2 elements sont presents sous Windows, ca n'arrete pas les exploits

                  Exact, sous windows on n'a pas vraiment besoin d'exploits, il suffit de profiter des erreurs de programmation liées à la complexité du système (exemples de l'exécution de programmes par la librairie wmf, des problèmes de mozilla avec le shell win32, et d'outlook express qui execute du code automatiquement).

                  Les exploits c'est pour les vers, pas les virus, l'argument est donc de toute façon un peu hors sujet à la base.
                  • [^] # Re: Idée reçue à combattre

                    Posté par  . Évalué à 1.

                    Contradiction, pour qu'un virus se propage, il faut bien que cela se fasse de façon facile et automatique.

                    Une fois qu'un codeur l'a fait, c'est automatique et facile. L'ecrire la premiere fois prend de l'effort, le lancer et le voir se propager ca prend rien du tout.

                    Exact, sous windows on n'a pas vraiment besoin d'exploits, il suffit de profiter des erreurs de programmation liées à la complexité du système (exemples de l'exécution de programmes par la librairie wmf, des problèmes de mozilla avec le shell win32, et d'outlook express qui execute du code automatiquement).

                    Je te l'ai montre plus haut, Linux souffre des memes maux, quand a mettre la faute du probleme de Mozilla sur l'OS, je trouves ca assez rigolo, c'est si dur que ca d'accepter qu'un soft libre a fait une erreur ? Tes histoires de complexite du systeme sont du vent, plutot que lancer des grandes phrases, pourquoi est-ce que tu ne donnes pas des exemples precis ou le systeme est trop complexe ? (a differencier d'une erreur de codage, ce qui arrive chez tout le monde, comme dans le cas du WMF ou ils ont oublie de faire une verification et dans le cas de Mozilla ou ils lancent n'importe quel handler sans verifier ce qu'il est)

                    Les exploits c'est pour les vers, pas les virus, l'argument est donc de toute façon un peu hors sujet à la base.

                    Pas vraiment, ou est la limite entre un ver et un virus ? Si un virus passe par une faille de ton systeme et s'incruste dans tes fichiers, tu appelles ca comment ? ver ou virus ?
                    • [^] # Re: Idée reçue à combattre

                      Posté par  . Évalué à 1.

                      - je trouves ca assez rigolo, c'est si dur que ca d'accepter qu'un soft libre a fait une erreur

                      Je trouve assez amusant que le type d'erreur en question n'existe que sur ladite plateforme. Note: l'exploit a d'abord été découvert pour IE, puis on s'est aperçu que Firefox avait copié - il s'agit bien d'un problème de fonctionnalités.

                      - Tes histoires de complexite du systeme sont du vent

                      Preuve que non, dès lors que la librairie en question fait parti du système d'exploitation et qu'il s'agit d'une fonctionalité du système:
                      http://slashdot.org/it/04/07/08/2159244.shtml
                      http://www.microsoft.com/technet/security/bulletin/ms06-057.(...)

                      - Pas vraiment, ou est la limite entre un ver et un virus ?

                      On va dire qu'un ver affecte plutôt les serveurs alors qu'un virus affecte les stations de travail.

                      - plutot que lancer des grandes phrases

                      Plutôt que de lancer des grandes phrases, tu peux m'infecter avec un virus stp ? Mon poste est sous Linux avec Suse 10.2, et j'utilise Kmail :-)
                      • [^] # Re: Idée reçue à combattre

                        Posté par  . Évalué à 2.

                        Je trouve assez amusant que le type d'erreur en question n'existe que sur ladite plateforme. Note: l'exploit a d'abord été découvert pour IE, puis on s'est aperçu que Firefox avait copié - il s'agit bien d'un problème de fonctionnalités.

                        Vu que la fonctionnalite n'existe que sur cette plateforme c'est tout a fait normal, il y a de nombreux bugs qui ne se retrouvent que sur des Unix, ca ne signifie en rien que le probleme est du a l'OS. Le correctif est dans le browser, preuve que le probleme est dans le browser.

                        Preuve que non, dès lors que la librairie en question fait parti du système d'exploitation et qu'il s'agit d'une fonctionalité du système:

                        Vois pas le rapport, un bug dans la libc ca veut dire qu'il y a un probleme dans le design du systeme ? Bien sur que non.

                        Plutôt que de lancer des grandes phrases, tu peux m'infecter avec un virus stp ? Mon poste est sous Linux avec Suse 10.2, et j'utilise Kmail :-)

                        Super, et le mien sous Windows, tu peux essayer, personne n'y est encore arrive.
                        • [^] # Re: Idée reçue à combattre

                          Posté par  . Évalué à 1.

                          - Vois pas le rapport

                          Regarde ici:
                          http://www.mccanless.us/mozilla/mozilla_bugs.htm

                          Le bug est présent dans IE qui fait parti des librairies du système, et le correctif de Mozilla fut justement d'éviter la librairie du système.

                          De plus, le fait que Microsoft ait corrigé le bug dans un service pack montre bien qu'il s'agit d'un problème avec le système d'exploitation.

                          - Super, et le mien sous Windows

                          J'oubliais de préciser que j'ai l'installation par défaut - c'est le cas pour toi aussi je suppose ? c'est quoi ton email ? :-)
                          • [^] # Re: Idée reçue à combattre

                            Posté par  . Évalué à 1.

                            Le bug est présent dans IE qui fait parti des librairies du système, et le correctif de Mozilla fut justement d'éviter la librairie du système.

                            IE c'est un browser web modulaire, j'ai du mal a voir en quoi il fait partie de l'OS lui-meme, d'autre part Mozilla n'utilise aucune des libs d'IE, visiblement tu n'as aucune idee de ce qu'est le probleme, tu fabules.

                            De plus, le fait que Microsoft ait corrigé le bug dans un service pack montre bien qu'il s'agit d'un problème avec le système d'exploitation.

                            Le probleme est corrige dans le service pack d'IE, pas de Windows. C'est pourtant ecrit sur la page que tu as donnee !

                            J'oubliais de préciser que j'ai l'installation par défaut - c'est le cas pour toi aussi je suppose ? c'est quoi ton email ? :-)

                            Niveau securite oui c'est l'install par defaut.
                            Mais tu devrais faire encore mieux, pourquoi est-ce que tu ne donnes pas ici les etapes a suivre pour prendre le controle d'un systeme Windows, disons Vista pour prendre le dernier, ou XP SP2 a jour en tirant parti d'une faille du systeme ?

                            J'ai hate de lire ta methode, mais qqe chose me dit que je vais attendre tres longtemps.
                            • [^] # Re: Idée reçue à combattre

                              Posté par  . Évalué à 0.

                              tu n'as aucune idee de ce qu'est le probleme

                              ie et firefox ont tous deux utilisé une api du système permettant d'executer n'importe quoi. Les deux programmes ont du être patchés ainsi que le système d'exploitation. C'est pourtant clair, non ?

                              J'ai hate de lire ta methode

                              On peut t'envoyer un powerpoint spécialement écrit pour l'occasion par exemple ? Si le FBI peut le faire avec Carnivore et autres, c'est bien qu'il y a des facilités dans ce système.
                              • [^] # Re: Idée reçue à combattre

                                Posté par  . Évalué à 1.

                                ie et firefox ont tous deux utilisé une api du système permettant d'executer n'importe quoi. Les deux programmes ont du être patchés ainsi que le système d'exploitation. C'est pourtant clair, non ?

                                IE et Firefox ont du etre patche, pas l'OS, c'est pas par hasard que je te dis que tu ne comprend rien au probleme.

                                On peut t'envoyer un powerpoint spécialement écrit pour l'occasion par exemple ? Si le FBI peut le faire avec Carnivore et autres, c'est bien qu'il y a des facilités dans ce système.

                                Fais seulement, montre moi donc ce powerpoint qui permettrait de prendre le controle de ma machine ans que je fasse quoi que ce soit de stupide (genre permettre les macros de s'executer dans un fichier venant d'un inconnu)
                                • [^] # Re: Idée reçue à combattre

                                  Posté par  . Évalué à 2.

                                  - IE et Firefox ont du etre patche, pas l'OS, c'est pas par hasard que je te dis que tu ne comprend rien au probleme.

                                  Premièrement, IE fait bien parti de l'OS (excepté pour Vista).

                                  Ensuite le bug avait bien été corrigé dans l'OS lui-même (SP2) parce qu'il permettait d'exécuter des programmes directement par le système (un peu comme si sous linux firefox permettait l'accès en root).
                                  http://www.microsoft.com/technet/security/bulletin/ms02-072.(...)
                                  http://www.ciac.org/ciac/bulletins/n-029.shtml

                                  Il s'agit bien d'un problème de fonctionnalités, windows permet d'exécuter du code trop facilement et les programmes font copier-coller des erreurs.

                                  - ce powerpoint qui permettrait de prendre le controle de ma machine ans que je fasse quoi que ce soit de stupide

                                  Ici par exemple ?
                                  http://news.bbc.co.uk/2/hi/technology/5195838.stm
                                  • [^] # Re: Idée reçue à combattre

                                    Posté par  . Évalué à 1.

                                    Ensuite le bug avait bien été corrigé dans l'OS lui-même (SP2) parce qu'il permettait d'exécuter des programmes directement par le système (un peu comme si sous linux firefox permettait l'accès en root).

                                    Hahaha tu racontes n'importe quoi mon cher.
                                    Le bug de Firefox en question, il se produit sur une machine patchee et a jour et il a ete decouvert il y a genre un mois ou 2, le patch que tu as donne, il date de 2002 lui.
                                    Merci de confimer que tu ne sais absolument pas ce que cette vulnerabilite est.

                                    Ici par exemple ?
                                    http://news.bbc.co.uk/2/hi/technology/5195838.stm


                                    Donnes moi donc un fichier PowerPoint qui au jour d'aujourd'hui avec une machine a jour, et sans que je fasse quoi que ce soit de stupide, prenne le controle de ma machine.

                                    Je ne veux plus voir de liens sur telle ou telle news qui date d'un an, je veux un fichier powerpoint(ou un lien sur le site ou il se trouve).
                                    Sans ca tes affirmations sont purent gratuites et sans valeur.
      • [^] # Re: Idée reçue à combattre

        Posté par  . Évalué à 9.


        Ces dernieres annees IIS a eu _beaucoup moins_ de failles qu'Apache.


        ça on n'en sait rien. Il y'a eu beaucoup moins de failles publiées oui peut-être. ça ne veut pas dire que le produit est plus robuste et moins vulnérable aux attaques.

        On pourrait aussi tourner la phrase dans le sens : plus de failles ont été corrigées dans apache que dans IIS ces dernières années.

        Bref les phrases de ce genre...
        • [^] # Re: Idée reçue à combattre

          Posté par  . Évalué à 1.

          ça on n'en sait rien. Il y'a eu beaucoup moins de failles publiées oui peut-être. ça ne veut pas dire que le produit est plus robuste et moins vulnérable aux attaques.

          En 3 ans, une seule faille publiee qui permette un acces au systeme, et encore, dans des conditions tres particulieres(faut que l'utilisateur puisse uploader des pages ASP sur le serveur).

          Alors tu me diras, quid des failles non publiees ? Ben effectivement, peut-etre qu'il y en a, mais il peut y en avoir pour Apache aussi, et force est de reconnaitre qu'en 3 ans personne n'en a publie alors qu'elles etaient publiees pour IIS <6, qu'elles sont publiees pour Apache et tous les chercheurs qui d'habitude les publient (et il y en a un tas) n'ont rien trouve pour l'instant. Partant de la, ca donne une indication assez claire quand a la robustesse du jouet.
    • [^] # Re: Idée reçue à combattre

      Posté par  (site Web personnel) . Évalué à 4.

      On dit souvent "Linux n'a pas ou peu de virus car il n'est pas très répandu. Dès qu'il sera plus utilisé, il y aura plein de virus pour lui aussi".
      C'est une idée fausse, qu'il faut combattre.
      Que le système soit répandu est une condition nécessaire, mais pas suffisante. Il faut aussi qu'il soit suffisamment vulnérable.

      Il suffit de prendre quelques contre-exemples pour démonter cette idée reçue, et j'en ai 2 :


      Et j'en propose un 3eme.

      Il y'a quelques années, j'ai dévirussé pas mal de MacOS 8 et 9. Et pourtant, à cette periode Apple était vraiment en perte de vitesse. Il y avait moins de Mac en circulation que maintenant, et internet était beaucoup moins répandu. Mais pourtant, les virus étaient présent tout de même dans ce mini éco système, vu que MacOS "classique" avait peu de protections et de gestion des droits.

      Depuis MacOS X, je n'ai jamais entendu parler d'un virus sur ce système.
      • [^] # Re: Idée reçue à combattre

        Posté par  . Évalué à 1.

        Ah, en fait j'ai l'impression que c'est plus une question d'implémentation (je n'y connais rien) .

        Si les virus sont conçus avec comme cible un système bien particulier, il est certain que ce système doit être connu, donc répandu.

        Les systèmes MacOS et Windows sont des systèmes grand public, donc à priori ils sont connus. Il en va de même pour Linux, s'il est utilisé, des virus peuvent l'infecter. Normal, c'est le postulat de base, un système est la cible potentielle des virus.

        Maintenant, la corrélation entre le taux d'utilisation des systèmes Linux et la proportion de virus conçus pour Linux sur le nombre total de virus est certainement quelque chose de plus difficile à mettre en lumière.

        Ça a plus quelque chose à voir avec les motivations qui sous-tendent la conception des virus, lesquelles doivent certainement être assez intéressantes à recenser :-)
  • # Responsabilite ?

    Posté par  (site Web personnel) . Évalué à 2.

    Il y a un autre concept qui me derange dans les differents commentaires. Je n'ai personellement pas d'antivirus sur ma station car c'est mon serveur qui fait le filtrage (restrictions smtpd, r/s/xbl, clam, spamassassin, razor, etc ...) donc une fois qu'un email arrive, il est en theorie propre (d'ailleurs je ne vois aucun virus passer dans mon inbox sur mon compte perso).

    Par contre, pour ceux ne filtrant pas, cela veux dire qu'il existe une probabilite qu'ils fassent transiter des virus vers des machines qui sont vulnerables (je parle bien sur plus ici de machines windows ou mac). J'ai eu ce cas plusieurs fois d'utilisateurs mac utilisant office me disant : "je ne suis pas vulnerable, pas besoin d'antivirus", resultat, ils contaminaient les utilisateurs windows avec des documents infectes.

    Il existe donc une certaine responsabilite et cela ne changera pas tant qu'on aura des OS sales sur la planete.
    • [^] # Re: Responsabilite ?

      Posté par  (site Web personnel) . Évalué à 10.

      "ils contaminaient les utilisateurs windows avec des documents infectes."

      Quand on voit tous les spams que l'on reçoit parce qu'une de nos connaissances sous Windows utilise un Outlook vérolé comme carnet d'adresses, c'est de bonne guerre.

      -> []

      L'association LinuxFr ne saurait être tenue responsable des propos légalement repréhensibles ou faisant allusion à l'évêque de Rome, au chef de l'Église catholique romaine ou au chef temporel de l'État du Vatican et se trouvant dans ce commentaire

    • [^] # Re: Responsabilite ?

      Posté par  . Évalué à 6.

      Et la sélection naturelle ?

      Les os sales posent plus de problèmes et finissent donc par disparaitre. Essayer de les protéger avec anti-virus et autres, c'est soigner l'ulcère à coup d'antidépresseur.
    • [^] # Re: Responsabilite ?

      Posté par  . Évalué à 4.

      Il existe donc une certaine responsabilite et cela ne changera pas tant qu'on aura des OS sales sur la planete.

      il relève de la responsabilité de leurs fournisseurs d'accès de leur couper les couilles^W^Wleur acccès tant qu'ils ne nettoient pas leurs machines.

      malheureusement en pourcentage on doit avoir encore plus de fournisseurs d'accès irresponsables que d'utilisateurs d'OS sales.
      • [^] # Re: Responsabilite ?

        Posté par  (site Web personnel) . Évalué à 6.

        Le problème dans cette histoire c'est que tout le monde est responsable, sciemment ou non, c'est un peu comme le réchauffement de la planète...

        Il faut bien voir que côté fournisseurs il ne faut surtout pas effrayer le client. Ainsi de manière un peu abrupte :

        * Les revendeurs d'informatique se gardent bien de signaler les *vraies* précautions à prendre pour conserver un système sain le plus longtemps possible (l'antivirus seul ne suffit pas voire ne sert à rien), après tout ils ne font que vendre du matériel et des logiciels (dont les antivirus).

        * Les fournisseurs d'accès font pareil parce qu'ils ne sont là que pour vendre de l'accès à Internet.

        * Les éditeurs de logiciels aussi parce que la sécurité de ta machine incombe d'abord à son administrateur, au moins jusqu'à un certain point (il n'y a qu'à lire les contrats de licence : pas responsable en cas de perte de données).

        Bref personne n'est responsable et l'utilisateur reste généralement ignorant sur ce sujet. Pire encore, quand on lui explique tous les problèmes d'Internet et tout ce qu'il faudrait faire pour les éviter le plus possible, la réponse ne se fait pas attendre : au pire « moi j'ai aucun problème », au mieux « j'ai rien d'intéressant sur ma machine donc je me fiche qu'elle soit piratée ! ». Le problème est qu'elle sert aussi à attaquer ou polluer les autres...

        Et ce n'est pas seulement une histoire d'OS sale : les serveurs d'Ubuntu ont récemment été piratés ! Curieusement j'avais remarqué fin juin que le serveur http://archive.ubuntustudio.org/ubuntustudio/ semblait avoir été piraté mais le mail que j'ai envoyé à deux développeurs d'UbuntuStudio est resté sans réponse. Le syndrome du « mais non pas moi c'est impossible » ?

        Donc pour moi la seule façon d'avoir un Internet propre est que tous les acteurs y mettent du leur (et non pas du leurre ;-) ). Y'a du boulot !
  • # Parc linux non homogéne

    Posté par  . Évalué à 2.

    Une autre chose qui ne doit pas aider les pirates, c'est que le parc des linux/bsd/autres est tout sauf homogène ( version de lib et des progs disparate ).

    Mais la future domination totale d'Ubuntu va pe changer cela :-D
    • [^] # Re: Parc linux non homogéne

      Posté par  . Évalué à -4.

      ... et ses sudo graphiques à tout bout de champ ! :-) (je suis pourtant et malgré cela un utilisateur d'Ubuntu ...).
      • [^] # Re: Parc linux non homogéne

        Posté par  (site Web personnel) . Évalué à 4.

        Tu préfères que l'utilisateur se connecte tout le temps en root ou dispose d'un terminal root en permanence ? L'utilisation de sudo est imposée à l'installation d'Ubuntu, mais, comme pour le reste d'ailleurs, t'es libre de changer : on n'est pas sous Windows non plus. Sous le capot, c'est le même moteur qu'ailleurs.
        Et puis si ça ne te convient pas, comme d'autres n'aiment pas YaST ou les outils de Mandriva, etc., etc., tu es libre de prendre une autre distribution.
        • [^] # Re: Parc linux non homogéne

          Posté par  . Évalué à 4.

          Tu préfères que l'utilisateur se connecte tout le temps en root ou dispose d'un terminal root en permanence ?


          Honnêtement, c'est quand même une drôle d'idée ...

          Ce qui est inquiétant, c'est que le fait même que tu considères cette option comme seule solution de substitution, ça laisse quand même songeur. Il n'y pas que root sous Unix ... C'est de cette manière que l'on arrive à des horreurs de ce style :

          https://linuxfr.org/forums/15/22562.html

          Concernant sudo, on a déjà eu l'occasion d'en discuter ici :

          https://linuxfr.org/comments/801182.html#801182
          https://linuxfr.org/comments/839682.html#839682

          En l'occurence, que Ubuntu s'appuie sur sudo plutôt que sur un truc à eux pour gagner des privilèges, c'est plutôt une bonne chose. Par contre, avoir à switcher systématiquement vers root chaque fois que l'on ouvre quelque chose dans le menu d'administration sous X-Window, ça me pose problème pour trois raisons :

          1) L'utilisateur prend l'habitude de saisir son mot de passe pour un oui ou pour un non, et ça devient dangereux.
          2) Il suffit de mettre un client graphique à l'écoute des événements pour intercepter ce mot de passe !
          3) Au contraire de la majorité des outils en ligne de commande qui effectuent immédiatement l'opération demandée et ressortent, une application X (et GNOME à plus forte raison encore), est persistante dans l'environnement, et accapare et influe sur de nombreuses ressources connexes.
          • [^] # Re: Parc linux non homogéne

            Posté par  (site Web personnel) . Évalué à 2.

            Honnêtement, c'est quand même une drôle d'idée ...

            Ce qui est inquiétant, c'est que le fait même que tu considères cette option comme seule solution de substitution, ça laisse quand même songeur. Il n'y pas que root sous Unix ... C'est de cette manière que l'on arrive à des horreurs de ce style :

            https://linuxfr.org/forums/15/22562.html
            Cette horreur vient aussi du fait du constructeur qui a pondu un script d'installation qui ne connait que root et suid. En fait, il aurait fallu que les distributions puissent avoir un outil gérant ce type de pilotes (comme le gestionnaire de pilotes propriétaires qu'on trouve sous Ubuntu et qui reste un moindre mal vu les dégâts de ton exemple). Par ailleurs, il est intéressant de constater que le constructeur a fait appel à suid que tu pléblicistes pourtant ailleurs mais uniquement sous la forme de groupes bien identifiés, certes.

            Concernant sudo, on a déjà eu l'occasion d'en discuter ici :

            https://linuxfr.org/comments/801182.html#801182
            https://linuxfr.org/comments/839682.html#839682

            En l'occurence, que Ubuntu s'appuie sur sudo plutôt que sur un truc à eux pour gagner des privilèges, c'est plutôt une bonne chose. Par contre, avoir à switcher systématiquement vers root chaque fois que l'on ouvre quelque chose dans le menu d'administration sous X-Window, ça me pose problème pour trois raisons :

            1) L'utilisateur prend l'habitude de saisir son mot de passe pour un oui ou pour un non, et ça devient dangereux.
            Quelle différence avec, par exemple, gksu, qui lui demaderait son mot de passe root ? L'utilisateur est bien obligé, pour certaines opérations, de disposer des privilèges de root (lancer des services à l'écoute de ports inférieurs à 1024, accéder à des fichiers appartenant uniquement à root, etc., etc.)

            2) Il suffit de mettre un client graphique à l'écoute des événements pour intercepter ce mot de passe !
            Donc, ce même client graphique sera capable d'intercepter le mot de passe quand il le tapera à l'invite de su dans son terminal X. Quoi de neuf ? Tu veux qu'il switche en console pour passer root ?

            3) Au contraire de la majorité des outils en ligne de commande qui effectuent immédiatement l'opération demandée et ressortent, une application X (et GNOME à plus forte raison encore), est persistante dans l'environnement, et accapare et influe sur de nombreuses ressources connexes.
            Pour obtenir un outil équivalent à synaptic en console, il faut lancer aptitude avec son interface ncurses, donc tant que tu n'as pas fini, l'application aura les privilèges de root.

            Donc, tu n'aimes pas simplement gksudo (plutôt que sudo) mais carrément l'idée qu'on puisse offrir des outils d'administration via des clients X11. Que proposes-tu à la place ? A te lire, il faudrait pratiquement implémenter les droits UNIX aux clients X11 (afin d'éviter qu'une application puisse lire les entrées clavier dont elle n'a pas le focus, par exemple). On peut également penser à donner des droits via suid mais si l'attaquant peut modifier l'architecture d'apt-get, il pourra installer ce qu'il a envie d'installer, dont un rootkit en .deb. Tu ne pourras jamais complètement pallier les défauts de l'ICC dans le cadre d'un ordinateur personnel. Il faut que l'utilisateur principal prenne conscience des dangers lié à la sécurité informatique.
            Créer des groupes à partir des périphériques dans /dev est une idée qui est déjà utilisé comme en atteste les différents groupes audio, cdrom, etc. Seulement, il n'y a rien de tel pour le réseau car le réseau sous Unix est l'exception qui confirme la règle : tout est fichier sauf le réseau.
            Cependant, toute solution est à l'initiative du distributeur, du moins dans le cadre du public visé notamment par Ubuntu, car je vois mal des débutants chercher à créer des groupes pour satisfaire à leurs besoins. Ils ont plutôt tendance à faire d'horribles chmod 777.
            Ubuntu n'est certainement pas encore parfaite mais, par rapport aux autres distributions, c'est la seule qui propose l'usage de sudo (et gksudo) par défaut ce qui permet d'utiliser des interfaces graphiques sans nécessiter de taper un mot de passe root que les débutants auraient tôt fait d'y mettre la même chose que pour leur utilisateur. On touche là finalement un problème humain plutôt que technique. La réponse ne peut donc être simplement technique.
            • [^] # Re: Parc linux non homogéne

              Posté par  . Évalué à 5.

              Je ne pense pas que tu aies réellement pris le soin de lire ce qu'il a derrière les liens que j'ai posté mais bon. Cela n'a pas beaucoup d'importance. Je crois surtout que la majorité des applications n'ont pas forcément besoin d'être lancées sous root plutôt que sous un pseudo-utilisateur lambda. Le meilleur exemple, même en setuid, est celui de la commande passwd : Elle est historiquement setuidée root et ce depuis l'aube de l'histoire d'UNIX, alors qu'elle se contente de modifier un fichier texte (/etc/password). Même avec l'apparition de PAM, un setgid suffirait, avec un groupe dédié qui n'a pas besoin d'être celui de root.

              Pour obtenir un outil équivalent à synaptic en console, il faut lancer aptitude avec son interface ncurses, donc tant que tu n'as pas fini, l'application aura les privilèges de root. Donc, tu n'aimes pas simplement gksudo (plutôt que sudo) mais carrément l'idée qu'on puisse offrir des outils d'administration via des clients X11. Que proposes-tu à la place ?


              Une application X ne devrait jamais avoir besoin d'être exécutée sous le compte root ! Pas plus qu'aptitude d'ailleurs. La promotion au compte n°0 ne devrait avoir lieu qu'au moment d'appliquer les modifications réclamées. Apache, par exemple, fait cela proprement en gardant un seul processus root initial et en gardant ses threads sous sa propre identité.

              Mieux : dans le cas de proftpd cité en exemple, le gars voulait carrément virer le mot de passe du superchef, comme il dit, alors qu'en creusant un peu, on s'aperçoit qu'aucun composant (depuis le serveur jusqu'à l'interface de configuration) n'a réellement besoin d'être root ou de lui appartenir.

              Ubuntu n'est certainement pas encore parfaite mais, par rapport aux autres distributions, c'est la seule qui propose l'usage de sudo (et gksudo) par défaut ce qui permet d'utiliser des interfaces graphiques sans nécessiter de taper un mot de passe root que les débutants auraient tôt fait d'y mettre la même chose que pour leur utilisateur. On touche là finalement un problème humain plutôt que technique. La réponse ne peut donc être simplement technique.


              Soit, grosso-modo, ce que j'expliquais dans mon précédent post.


              L'une des choses qui me dérangent le plus actuellement, c'est la conservation du délai de grâce par gksudo. Sudo gère déjà cela mais au moins, l'utilisateur doit taper explicitement la commande, ce qui implique à priori qu'il sait de quoi il s'agit, mais surtout, cette période est accordée uniquement à la console de travail. Depuis X, le lock est créé en tant que unknown, ce qui signifie que gksudo peut ensuite être lancé de façon transparente et silencieuse non seulement depuis l'environnement X, mais également depuis n'importe quel processus qui aurait daemonisé et se serait détaché de sa console.
              • [^] # Re: Parc linux non homogéne

                Posté par  (site Web personnel) . Évalué à 2.

                J'ai bien lu ce que tu as écrit dans les différents liens, ainsi que ce que tes interlocuteurs ont également écrits.
                J'ai surtout l'impression que tu te poses en architecte idéaliste de ce que devrait être Linux, en tant qu'héritier d'Unix.
                Aucun système Unix et aucun système Linux qu'il m'a été donné de voir, n'ont osé touché à passwd.
                Je veux bien admettre que la défiance envers les suid est largement responsable au fait que les administrateurs limitaient volontairement les suid au strict nécessaire, ne cherchant pas à exploiter l'outil (comme avec les sgid).
                Je ne pense pas qu'on puisse simplement comparer des démons comme apache ou proftpd avec des commandes de base comme passwd ou des outils comme aptitude.
                Les serveurs sont naturellement exposés aux attaques et leurs concepteurs ont essayé de pallier au problème de sécurité, car, effectivement, il n'y a que pour l'écoute du port privilégié que les privilèges de root sont réellement nécessaires. La plupart des serveurs sont capables de faire ce changement de privilèges une fois le port à l'écoute (apache mais aussi bind, postfix, openldap ou encore net-snmp).
                Pour accéder aux fichiers en fonction des groupes unix, c'est un peu plus compliqué dans la mesure où il faut faire attention à ne pas trop en faire non plus sous peine d'inventer une nouvelle usine à gaz. En outre, l'utilisateur principal d'une Ubuntu, même dans ce cas précis, appartiendrait certainement à tous les groupes nécessaires pour l'administration de l'ordinateur. Le problème n'est donc toujours pas résolu car un « virus » aurait sans doute tôt fait de tirer parti de l'infrastructure sudo que tu décries tant.
                Là où j'attends un peu plus que des « on-devrait-faire-comme-ça », c'est par rapport à X.org, sujet technique que je maîtrise mal en profondeur. Démonstration de ce que tu avances (c'est sans doute vrai), et que préconises-tu pour y pallier ?
                • [^] # Re: Parc linux non homogéne

                  Posté par  . Évalué à 3.

                  Là où j'attends un peu plus que des « on-devrait-faire-comme-ça », c'est par rapport à X.org, sujet technique que je maîtrise mal en profondeur. Démonstration de ce que tu avances (c'est sans doute vrai)


                  Si tu parles du délai de grâce, c'est facile à vérifier. sudo flanque ses timestamps dans /var/run/sudo/loginduuser (problablement avec un touch ou assimilé). Il y crée une entrée qui porte le nom du tty depuis lequel la commande a été lancée, pour que ce délai n'affecte que la console de travail de l'utilisateur et pas une autre. Si tu lances l'affaire depuis X-Window (mais pas depuis un Xterm, rattaché, lui, à un /dev/pts/*), il n'y a pas de console et le timestamp s'applique sur unknown. Moralité : tous les processus qui ne sont pas ou plus rattachés à une console peuvent en profiter.

                  Si tu veux faire le test, colle l'applet de lancement d'applis en ligne de commande dans ton tableau de bord Gnome, ouvre une des applications du menu Administration d'Ubuntu avec ton mot de passe habituel, puis lance gksudo depuis l'applet avec la commande de ton choix.

                  et que préconises-tu pour y pallier ?


                  Configurer gksudo via le fichier /etc/sudoers pour qu'il n'accorde pas de délai de grâce aux processus sans tty. Autant ça se justifie parfaitement en ligne de commande quand on fait de l'administration, autant le recours aux applis du menu d'administration est occasionnel et ne justifie pas une telle facilité, surtout si c'est à l'insu de l'utilisateur.

                  Ce que je préconise surtout, c'est une vraie réflexion sur le sujet, et c'est ce que l'on a commencé à faire dans les discussions indiquées :

                  - Ouvrir une session root pour tout faire = Mauvais;
                  - Taper son mot de passe à tout bout de champ = Mauvais.

                  Je pense qu'il faut donc recourir le moins souvent à root et faire en sorte que la plupart des opérations soient réversibles.
                  • [^] # Re: Parc linux non homogéne

                    Posté par  (site Web personnel) . Évalué à 1.

                    Si tu parles du délai de grâce, c'est facile à vérifier. sudo flanque ses timestamps dans /var/run/sudo/loginduuser (problablement avec un touch ou assimilé). Il y crée une entrée qui porte le nom du tty depuis lequel la commande a été lancée, pour que ce délai n'affecte que la console de travail de l'utilisateur et pas une autre. Si tu lances l'affaire depuis X-Window (mais pas depuis un Xterm, rattaché, lui, à un /dev/pts/*), il n'y a pas de console et le timestamp s'applique sur unknown. Moralité : tous les processus qui ne sont pas ou plus rattachés à une console peuvent en profiter.

                    Si tu veux faire le test, colle l'applet de lancement d'applis en ligne de commande dans ton tableau de bord Gnome, ouvre une des applications du menu Administration d'Ubuntu avec ton mot de passe habituel, puis lance gksudo depuis l'applet avec la commande de ton choix.

                    Cet exemple n'est pas probant. Je ne trouve pas inconcevable que le fait d'ouvrir un outil qui requiert les droits "root" et donc, te demande une première fois ton mot de passe via gksudo, permette ensuite, dans le délai imparti par sudo, d'en ouvrir une autre qui les requiert également, sans te demander à nouveau le mot de passe. La session X11 est vue comme un seul et même tty. Dans une console, ce comportement est strictement le même. Le délai de grâce de sudo permet justement de taper systématiquement le mot de passe quand on tape plusieurs commandes. S'il fallait que je saisisse mon mot de passe à chaque fois que j'utilise un outil graphique lié à l'administration dans un délai inférieur à 5 minutes, ce serait très lourd et on tomberait dans le second cas que tu décries comme "Mauvais".
                    Il faut donc que :
                    - le processus ne soit pas rattaché à une console ;
                    - l'uid du processus fasse partie du groupe admin ;
                    - que le mot de passe d'un utilisateur du groupe ait été tapé il y a moins de 5 minutes auparavant.
                    Cela fait quand même pas mal de conditions à retenir.

                    En outre, revenons à aptitude : il y aura bien un moment où il va avoir besoin des privilèges de root, ne serait-ce que pour installer durablement les fichiers d'un paquet debian ou exécuter des scripts de post-installation créant un nouvel utilisateur ou appliquant des droits particuliers. Comment veux-tu éviter de demander le mot de passe de (root ou l'utilisateur via sudo) ? En créant plaçant un sgid sur l'ensemble du système de fichier ? sur l'exécutable d'aptitude ? Mais dans ce cas, si le compte de l'utilisateur est compromis, plus besoin de se farcir les failles locales pour escalader les privilèges...
                    Réduire le champ d'action obligatoire de root ne fera pas disparaître la menace d'intégrité du système pour autant.
                    • [^] # Re: Parc linux non homogéne

                      Posté par  . Évalué à 2.

                      Cet exemple n'est pas probant. Je ne trouve pas inconcevable que le fait d'ouvrir un outil qui requiert les droits "root" et donc, te demande une première fois ton mot de passe via gksudo, permette ensuite, dans le délai imparti par sudo, d'en ouvrir une autre qui les requiert également, sans te demander à nouveau le mot de passe. La session X11 est vue comme un seul et même tty. Dans une console, ce comportement est strictement le même. Le délai de grâce de sudo permet justement de taper systématiquement le mot de passe quand on tape plusieurs commandes.


                      Justement, cette facilité se justifie en ligne de commande car l'utilisateur précise explicitement sudo à chaque fois mais surtout parce que l'administration en ligne de commande consiste généralement en une floppée de commandes successives, toutes éphémères.

                      S'il fallait que je saisisse mon mot de passe à chaque fois que j'utilise un outil graphique lié à l'administration dans un délai inférieur à 5 minutes, ce serait très lourd et on tomberait dans le second cas que tu décries comme "Mauvais".


                      C'est là que nos opinions diffèrent. Toutes ces applications sont persistantes, elles effectuent en général toutes les opérations demandées en une fois à la validation, et peuvent être beaucoup facilement lancées en parallèle par l'utilisateur de base. Étant donné qu'en outre, cela ne concerne qu'au plus une quinzaine d'applications, un délai de grâce ne se justifie absolument pas dans ce genre d'environnement.

                      D'autre part - et c'est son intérêt principal - un clicodrôme propose des options à l'utilisateur à l'inverse d'une ligne de commande à laquelle on doit les passer explicitement (et sans se tromper dans l'orthographe). Si l'on tient compte en plus de fait que bon nombre de foyers (auxquels Ubuntu se destine) utilisent un compte familial, il devient très simple de lancer une application censée être privilégiée comme n'importe quelle autre application du menu.

                      Il faut donc que :
                      - le processus ne soit pas rattaché à une console ;


                      C'est automatiquement le cas de toutes les applications lancées à partir du bureau graphique et non d'une ligne de commande. Et sans cela, il suffit à un processus de faire un setsid() ou un ioctl() avec TIOCNOTTY pour se détacher de sa console.

                      - l'uid du processus fasse partie du groupe admin ;


                      C'est forcément le cas aussi puisque tous les programmes sont lancés sous ton identité.

                      - que le mot de passe d'un utilisateur du groupe ait été tapé il y a moins de 5 minutes auparavant.
                      Cela fait quand même pas mal de conditions à retenir.


                      Non, il suffit de se mettre en attente et de surveiller l'exécution de gksudo, puis de voir si le même PID sous la même identité (root) correspond à un autre exécutable (suite d'un execve) pour savoir qu'un sudo a réussi et donc que le timestamp est valide pour 5 minutes. Si tu balances la commande à ce moment-là, elle sera toujours associée dans le log avec la précédente. Si tant est, bien sûr, que l'utilisateur lamdba lise le log.

                      En créant plaçant un sgid sur l'ensemble du système de fichier ?


                      Encore une drôle d'idée ...

                      sur l'exécutable d'aptitude ? Mais dans ce cas, si le compte de l'utilisateur est compromis, plus besoin de se farcir les failles locales pour escalader les privilèges...


                      Non, car au moins, seule cette commande pourra être exécutée ! Ça fait quand même toute la différence !

                      Un sudo même sans délai de grâce permet par défaut de lancer n'importe quelle commande !

                      Réduire le champ d'action obligatoire de root ne fera pas disparaître la menace d'intégrité du système pour autant.


                      Encore une fois, il ne faut pas confondre l'utilisation de sudo et le passage vers root. Dans le cas du serveur FTP, tout l'administration peut être faite sous l'identité d'un pseudo-user, et c'est l'identité de celui-ci qu'il faut prendre, pas celle de root.

                      Il est important de remarquer que, d'une part, le fichier /etc/sudoers permet de spécifier une liste de commande explicitement autorisées, et également de choisir une identité autre que root.

                      Il est de fait qu'Ubuntu n'exploite pas du tout ces possibilités, pas plus que la plupart des distributions. Le premier utilisateur fraîchement déclaré a donc la possibilité de passer root et de faire n'importe quoi, même lorsqu'il débute sur le système. Et c'est pour moi une grave faille de sécurité.
            • [^] # Re: Parc linux non homogéne

              Posté par  . Évalué à 2.

              Pour obtenir un outil équivalent à synaptic en console, il faut lancer aptitude avec son interface ncurses, donc tant que tu n'as pas fini, l'application aura les privilèges de root.
              Ca par contre c'est totalement faux.

              Tu peux tres bien faire mumuse avec aptitude, puis de devoir rentrer ton mdp root seulement quand tu dl et installe tout.
              A ce moment synaptic te demande de passer en root (suffit de rentrer ton mdp et c'est bon)
  • # Étrange

    Posté par  . Évalué à -2.

    Mais Eric Filiol nous dit : attention, nous sommes trop confiants, restons vigilant et utilisons les anti-virus (tel que ClamAV dont il est fait une description détaillée dans ce Hors Série).


    Je ne sais pas si le texte entre parenthèse est de lui ou du rédacteur, mais dire d'utiliser clamav parce qu'on risque des virus sur Linux me semble pas très crédible, vu que c'est conçu pour détecter les virus de Windows...
    • [^] # Re: Étrange

      Posté par  (site Web personnel) . Évalué à 1.

      Tu devrais lire ce qu'il a écrit dans les différents articles de ce Hors-Série.
      Il explique précisément que ce n'est pas parce que ClamAV a longtemps été cantonné (et écrit) pour l'utilisation des passerelles de messagerie qu'il ne peut pas s'adresser à des postes de travail sous Linux tout comme sous MacOS X et Windows.
      Je ne connais pas le contenu des bases de « virus » (on devrait dire « code malveillant ») connus pour savoir s'ils sont davantage spécifiques à Windows mais je ne vois aucune raison (et il l'explique très bien dans les deux premiers articles) technique qui empêche non seulement d'avoir des virus (et autres) sous Linux mais d'en avoir une empreinte[1] à même de permettre leur identification par un AV quelconque, notamment ClamAV.

      [1]: sous réserve que le « virus » ne soit pas polymorphe, auquel il faudra sans doute autant d'empreintes que de mutations connues.
      • [^] # Re: Étrange

        Posté par  . Évalué à 2.

        [1]: sous réserve que le « virus » ne soit pas polymorphe, auquel il faudra sans doute autant d'empreintes que de mutations connues.


        Hum ça a pas l'air gagné ton histoire, intuitivement ça doit pas être bien difficile de faire sortir une petite exponentielle des familles dans un virus polymorphe, genre "je met telle instruction avant telle autre, j'insère deux trois trucs qui servent à rien aléatoirement" ...

        De quoi faire exploser la taille de la bd de signature rien qu'avec un seul virus ... faudrait passer à un système de signature un peu plus complexe, algorithmique sans doute ?
        • [^] # Re: Étrange

          Posté par  (site Web personnel) . Évalué à 1.

          Je ne prétend pas être un spécialiste mais le but premier des virus polymorphes (outre la recherche de vie artificielle) est d'éviter de se faire repérer par les antivirus à cause d'une signature qui serait unique.
          • [^] # Re: Étrange

            Posté par  (site Web personnel) . Évalué à 1.

            Lire à ce sujet, "du virus à l'anti-virus", de Mark Ludwig.

            Explications des virus asm basics (je bousille le code en me mettant au début de chaque .exe) jusqu'aux virus génétiques, et les parades anti-virales trouvées à chaque étape.
          • [^] # Re: Étrange

            Posté par  . Évalué à 1.

            Oui, si j'ai bien compris aussi, clamAV échouerait à détecter de tels virus polymorphes (puisque la signature change potentiellement à chaque infection).
            Pour ce genre de bestioles, il semblerait que les anti-virus "récents" (depuis Kaspersky, qui a inventé le concept) utilisent l'émulation de code et fassent un "profilage" sur l'utilisation mémoire, les JMP, la détection de déchiffrage de code, etc. : tout cela est très coûteux en cpu.

            Mon avis sur le magazine ; si vous avez déjà une petite culture sur les virus, cela ne vaut peut-être pas l'achat. Je suis personnellement un peu resté sur ma faim. Seul l'article sur le polymorphisme vaut le détour (description du virus MetaPHOR). Après sa lecture on est tenté de penser que les virus ont encore une belle carrière devant eux... Je cite même :
            "En somme, si les créateurs de virus étaient moins pressés et peaufinaient leurs techniques, la communauté antivirale pourrait être vite dépassée. Une utilisation avancée des techniques de polymorphisme (...) peut théoriquement rendre le problème de la détection d'une complexité rédhibitoire, voire indécidable."
            Brrr...

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n’en sommes pas responsables.