Plus de sécurité informatique avec Linux ?

Posté par  . Modéré par Benoît Sibaud.
Étiquettes :
0
12
sept.
2002
Sécurité
Confidentialité et sécurité dans les professions sensibles.

Les personnes qui passent de Windows à Linux sont souvent motivées par les problèmes de sécurité et de confidentialité , qui sont rarement pris en compte dans les petites entreprises et les professions libérales.

Combien de chefs d'entreprises sont conscients des risques qu'ils prennent lorsqu'ils généralisent l'utilisation de Windows sur leurs machines ?

- Gestion des licences : les organismes en charge de la lutte anti-piratage (APPA, BSA, ADAPI) annoncent périodiquement leur intention d'intensifier leurs contrôles. Si les textes sont respectés à la lettre, plus de 80 % des dirigeants seraient condamnés.

- Confidentialité : les professions sensibles (avocats, experts comptables, notaires, détectives) sont en majorité équipés de Windows, et en particulier du couple Internet explorer + Outlook .Combien d'informations sensibles ont-elles déjà été divulguées à cause des multiples failles de sécurité ?

- Secret professionnel : imaginez que votre médecin dévoile à tous ses correspondants votre maladie à cause d'un document Word indiscret, que votre avocat dévoile à la partie adverse son plan de défense, ....

- Guerre de l'information : les structures qui ne disposent pas de service informatique sont des cibles privilégiées pour des attaquants (voir à ce sujet l'article de la revue MISC N°3.)

Bref, les petites entreprises sont-elles condamnées à ignorer Linux ?

Note du modérateur : comme l'a signalé Niconux, même MS déclare que ses produits ne sont pas conçus pour la sécurité (voir le 3ème lien)

Aller plus loin

  • # Ca n'est pas un pb uniquement technique helas.

    Posté par  . Évalué à 10.

    La petite boite, ils n'en sont pas a choisir si ils vont mettre Linux ou Zin.

    La plupart du temps ils n'y comprennent rien... Pour eux l'info c'est une contrainte... Et commme ils n'y comprennent rien ils ont l'impression d'en etre completement dependent et quelque part ca les ennuie.

    Mais comme on trouve pas un informaticien forme pour moins de 180 Kf l'annee (+ charges), elles preferent rester dans leur dependence. (Ce qui acroit leur pbs financiers et donc leur dependence).

    Donc apres, faut pas s'etonner :
    - L'intermediaire facture son windows et ses logiciels proprios avec une marge.
    - La maintenance est bonne pour l'intermediaire car ca lui fait des revenus.
    - La boite utilisatrice est maintenue dans l'ignorance et ne veut limite plus entendre parler de rien. Le chef d'entreprise est en confiance vu qu'il a soustraite a une boite "serieuse".

    C'est ce schema la qu'il faut inverser...
    • [^] # Re: Ca n'est pas un pb uniquement technique helas.

      Posté par  . Évalué à 10.

      Je ne vois pas pourquoi la boîte ne pourrait pas se faire une forte marge en filant du Linux si le client n'y bitte rien. Ca pourrait donner un dialogue du genre :

      Décideur : Bonjour, je voudrais une solution sécurisée pour mon parc de 3 machines.
      Commercial : Je vous conseille du GNU/Linux. Nous avons justement une Debian Woody pour 200 Euros.
      D : Mais Linux c'est pas compliqué à utiliser ?
      C : Si vous préférez la tranquilité, pour 400 Euros par poste, vous pouvez avoir une installation/configuration complète réalisée par nos soins. Ainsi vous aurez, sans vous préoccuper de rien, un système opérationnel avec 10 comptes utilisateurs pré-créés (nous conservons le mot de passe root pour des raisons de sécurité).
      D : Et pour la sécurité ? Y'a quoi comme anti-virus ?
      C : Avec notre forfait maintenance à 500 Euros par mois, nous effectuons gratuitement pour vous les mises à jour de sécurité, ce qui vous protègera des failles et d'éventuels pirates.
      D : Mais est-ce qu'il y a les softs utilisés tous les jours comme Office ?
      C : Le pack logiciel comporte une suite bureautique compatible Microsoft Office. Si vous voulez, nous vous proposons une formation d'une journée à raison de 800 Euros par salarié. Etre capable de s'adapter à toutes les situations sera un plus pour votre entreprise. Pour signer c'est ici.
      D : D'accord. Marché conclu.

      C'est pas crédible ? Bon, -1 alors
      • [^] # Re: Ca n'est pas un pb uniquement technique helas.

        Posté par  . Évalué à 10.

        En général dans les petites boites il prennent plutôt les solutions qui sont déjà utilisées par leur confrère d'à coté. Celui-ci se gardant bien d'ailleurs de lui dire qu'il à un truc qui fonctionne pas comme il veut que c'est toujours en panne, mais comme il avait demandé à son confrère d'à coté et qu'il s'est fait avoir il va ^pas s'en vanter. (c'est du vécu)
    • [^] # Re: Ca n'est pas un pb uniquement technique helas.

      Posté par  . Évalué à 10.

      La plupart du temps ils n'y comprennent rien... Pour eux l'info c'est une contrainte... Et commme ils n'y comprennent rien ils ont l'impression d'en etre completement dependent et quelque part ca les ennuie.

      Pas forcément: ils prennent ce qu'on leur propose et souvent ça leur convient. Je crois que le problème est là: on ne leur propose pas assez de solutions Linux, voire ils n'arrivent pas à trouver d'entreprise capable d'effectuer des prestations Linux. Il y a malheureusement souvent un monde entre les bonnes volontés des LUG et la traduction dans le monde professionnel.

      Mais comme on trouve pas un informaticien forme pour moins de 180 Kf l'annee (+ charges), elles preferent rester dans leur dependence. (Ce qui acroit leur pbs financiers et donc leur dependence).

      Faux: cette dépendance peut être choisie. Il n'est en effet, pas forcément rentable d'avoir un informaticien à plein temps. Qui plus est, la dépendance à cet informaticien n'est pas forcément préférable à celle d'une entreprise (elles ne sont pas toutes malhonnêtes).

      L'intermediaire facture son windows et ses logiciels proprios avec une marge.

      Ce n'est que rarement ce qui le fait vivre.

      La maintenance est bonne pour l'intermediaire car ca lui fait des revenus.

      Heureusement car c'est un peu le principe des entreprises de logiciel libre: les services, soit le conseil, l'ingénierie, la formation ET la maintenance.

      La boite utilisatrice est maintenue dans l'ignorance et ne veut limite plus entendre parler de rien. Le chef d'entreprise est en confiance vu qu'il a soustraite a une boite "serieuse".

      2 remarques:
      -le transfert de compétences a un prix et beaucoup d'entreprises veulent une prestation, non des compétences (je ne parle pas de la prise en main d'un poste client mais de compétences en administration ou en sécurité).
      -souvent les petites boites n'ayant pas d'informaticien n'ont même pas besoin de savoir comment tourne leur système. Finalement, quelques centaines d'euros de maintenance sont un prix de tranquillité appréciable (sous Linux comme sous Windows).
      • [^] # Re: Ca n'est pas un pb uniquement technique helas.

        Posté par  . Évalué à 6.

        ils prennent ce qui leur convient

        Oui prenons le cas, parmi les petites boites, des medecins (et autres dentistes). Evidemment ces derniers sont sollicités par les entreprises spécialisées (d'autres PME, qui coulent souvent bien plus^H^H^H^Htrop vite) qui leur proposent une solution propriétaire fermée, pour laquelle il faut se former, mais qui marche, au moins dans un cas précis. Parce que dans ce cas là, ce n'est pas Office qui compte le plus, c'est surtout d'avoir un logiciel spécialisé.

        L'évolutivité des produits (que j'ai pu constater ces dernières années) et nulle. Et les boites cessent leurs activité ou le développement de leurs logiciel, privant les utilisateurs (qui ont payé le prix fort).. des mise à jours attendues.

        D'où un ras-le-bol croissant... mais là où c'est un cercle vicieux, c'est qu'on utilise en général plusieurs logiciels.. et un sous windows entraîne irrémédiablement les autres sous windows. (et sauf si on peut avoir du libre sous windows... *sic*)

        Il y aurait eu un bon créneau a prendre lors du début de l'informatisation des médecins (au lancement de la carte vitale)... y'a t-il des boites qui on eu le courage de se lancer dans des solutions libres/Linux ? (aucune idée)

        Maintenant c'est un peu tard, mais tout est possible.. ca existe, ce genre de soft specialisés... parfois même très pointus (e.g. radiologie/scanner)... voir le howto medical http://www.tldp.org/HOWTO/Medicine-HOWTO/(...)

        Bon après y'a aussi le problème de la télétransmission sur le réseau santé social...

        bon allez . fin des divagations.
        • [^] # Re: Ca n'est pas un pb uniquement technique helas.

          Posté par  . Évalué à 7.

          Pas si délire: j'ai eu l'occasion de suivre de très près le dossier télétrans/Sesam Vitale à ses débuts et c'est symptomatique. Les validations de produits ont été demandée majoritairement pour des softs Windows, quelques Mac et aucun Unix/Linux. Il y avait pourtant une carte très intéressante à jouer à cette époque: je pense que le développement du seul module Sesam aurait permis d'attirer des toubibs ou des boites. Maintenant, c'est trop tard... et c'est facile et inutile de dire ça après. Yaka focon!
  • # A propos...

    Posté par  . Évalué à 10.

    Essayons d'enfoncer un peu le clou que l'auteur de l'article nous tends gentillement ;-) :

    MS Exec: 'Our products just aren't engineered for security' :
    http://slashdot.org/article.pl?sid=02/09/06/1252211&mode=thread(...)

    Et le plus beau pour la fin:
    http://www.computerworld.com/securitytopics/security/holes/story/0,(...)

    Ainsi que:
    http://slashdot.org/article.pl?sid=02/08/06/1828256&mode=thread(...)

    Oui, le dernier article décrit un bug de "conception" de Windows. Il permet notamment à n'importe quel utilisateur de faire ce qu'il veut sur le système (avoir les droits root, quoi). Le meilleurs, c'est que comme la fonctionalité sur laquelle est basée le bug est utilisée par la plupart des applications de Windows, il est hors de question de la modifier.

    Oh, un dernier point, les OS touchés sont Win2k et WinXP. Pas de jlaoux. :-)
    • [^] # Re: A propos...

      Posté par  . Évalué à 10.

      C'est surtout que tu n'as rien compris au probleme.

      Ce n'est pas un bug de conception de Windows mais un probleme pour les developpeurs de services(=daemons) qui ne respectent pas les recommandations de Microsoft, a savoir: pas de fenetre sur le desktop d'un user pour un service tournant avec des droits autres que celui de l'user. C'est specifie depuis tres longtemps dans les recommandations, et les idiots qui ne respectent pas cela mettent en danger le systeme, de la meme maniere que sous Unix tu mets en danger le systeme si tu as un daemon qui tourne en root et qui accepte les commandes de n'importe quel utilisateur.
      Le bug dans l'exemple du gars sur Slashdot, c'est dans l'anti-virus qui affiche une fenetre sur le desktop de l'user alors qu'il tourne comme service avec acces root ce qui est contraire aux recommandations de MS, le bug n'est pas dans l'OS.

      Bref, va relire la chose.
      • [^] # Re: A propos...

        Posté par  . Évalué à 10.

        pour comprendre mon énervement, il faut lire (en totalité) http://security.tombom.co.uk/shatter.html(...)

        >>Ce n'est pas un bug de conception de Windows mais un probleme pour les developpeurs de services(=daemons) qui ne respectent pas les recommandations de Microsoft

        Mais putain de bordel de bon dieu de merde, pourquoi "on" ne le fait pas pour que ce soit impossible, hein ?
        Si c'est un bug dans le système, qu'on le corrige. Si ça ne l'est pas, qu'on m'explique comme tout ça est possible.

        >>de la meme maniere que sous Unix tu mets en danger le systeme si tu as un daemon qui tourne en root et qui accepte les commandes de n'importe quel utilisateur.

        Parceque un callback (WM_TIMER par exemple) qui accept un pointeur sur un bout de code exécutable (et qui le fait en plus) tu en vois beaucoup, à part les backdoors ?
        • [^] # Re: A propos...

          Posté par  . Évalué à 10.

          L'OS n'est pas là pour te proteger toi meme. Si demain tu exécutes un binaire en root sur ta machine qui te formate tes disques, c'est contre Linux que tu vas te plaindre ? Non j'espére. Ben là, c'est idem. Le développeur du soft fait n'importe quoi, conclusion : eviter ce developpeur qui visiblement devrait apprendre à programmer.
          • [^] # Re: A propos...

            Posté par  . Évalué à 4.

            toi tu n'as pas lu le lien que j'ai donné, qui parle de "privilege escalation".
            • [^] # Re: A propos...

              Posté par  . Évalué à 10.

              Mais si, mais si :)
              C'est quelque chose de connu, mais encore une fois, c'est une erreur de design du programme, pas de Windows en lui meme (en tout cas pour moi). Les programmeurs qui lisent les guidelines (doit pas y en avoir beaucoup, m'enfin bon..) ne devraient pas faire ça comme ça.
              Dans son exemple, l'anti virus, le démon tourne en "root". Trés bien. Mais pourquoi le soft de config se lance aussi en mode privilége haut, alors que n'importe qui sait parfaitement qu'avec un Softice on peut faire à peu prés n'importe quoi dés qu'on a une GUI ? Ca n'est pas logique d'avoir designé ce soft comme ça. Le soft de config ne devrait pouvoir etre lancé que quand la personne est loggé en admin, avoir des droits differenciés du démon.
              • [^] # Re: A propos...

                Posté par  . Évalué à 10.

                puisque tu connais le subjet, alors explique moi pourquoi, (tu as largement le temps vu que c'est l'heure de dodo pour moi) pourquoi il n'exsite pas de protection dans ce beau merdier des queues de messages entre applications, qui est à la base du problème que nous évoquons ?

                Ah oui, il y a "desktop" & "winstation" ...
                Mais alors vu que personne ne s'en sert, on peut supposer que :

                * c'était fait comme MS a certifié C2 ou B2 NT4, çàd BULLSHIT en clair

                * l'implémentation est tellement bugé que même MS n'a pas osé le mettre en pratique (même pas TSE dit donc)

                * ceux qui développe des appli sous windows sont des imbéciles, il est temps qu'ils changent de métiers, ou d'outil de travail.
                • [^] # ceux qui développent sous windows sont des imbéciles ...

                  Posté par  (site Web personnel) . Évalué à 10.

                  un mauvais programmeur, qui par dessus le marché n'en a rien à foutre de la programmation est mauvais quelque soit la plate-forme.
                  Dis toi que le jour où il y aura ces même éditeurs avec les même programmeurs qui travailleront sous linux, ils feront des logiciels également aussi pourri. Socialement ça reste quand même mieux toléré que de voler, tuer ou violer.

                  Je ne comprend pas que l'on puisse désirer devenir la plate-forme que tout le monde utilise, et ne pas accepter quelle soit utilisée par tous (les plus mauvais inclus). C'est assez inhumain de refuser au gens le droit d'être mauvais dans leur métier.

                  Bref, la démocatisation de linux est un voeu que certain vont regretter d'avoir fait.
                • [^] # Re: A propos...

                  Posté par  . Évalué à 4.

                  desktop et winstation sont tellement bugges qu'ils sont a la base de Terminal Services et que le fast-user switching de XP n'existerait pas sans eux.

                  Sinon, il n'existe pas de protection sur les queues de message car l'architecture de la GUI le veut ainsi.

                  Un choix a ete fait qui est que toutes les fenetres sur le desktop peuvent agir entre elles, ca implique en contre-partie qu'il n'y ait pas de fenetre "root" sur le desktop de l'utilisateur, c'est un choix qui facilite bcp de choses, et qui en contre-partie demande un petit effort pour ceux qui creent des services.
                • [^] # Re: A propos...

                  Posté par  . Évalué à 5.

                  Rien de plus à dire que pbpg.. C'est une orientation qui a été choisie, aprés on peut la critiquer ou lui préférer d'autres choses mais elle rend bien des services aux développeurs.
                  Evidemment, on pourrait imaginer un systéme totalement verrouilé de partout mais tu ne pourrais plus rien y faire. Ce serait secure, certes, mais tu te heurterais à tout un tas de bloquages dés que tu voudrais coder la moindre appli.
                  • [^] # Re: A propos...

                    Posté par  . Évalué à 7.

                    Tu as tout à fait raison de dire que c'est une politique choisie par Microsoft. Mais cela nous donne le droit de discuter ces choix.

                    Pour ma part, je ne le trouve très bon.

                    Par contre, là où je ne suis plus d'accord, c'est lorsque tu dis qu'un système qui saurais se protéger contre les programmeurs devrait être lourd et ingérable.

                    C'est une légende ! La plupart des Unices sont programmé dans cet esprit.

                    Il est vrai qu'ils sont un peu plus complexes, et un peu plus lourds que Windows (et cela te donne en partie raison), mais le prix à payer n'est pas aussi excessif que tu sembles le dire (du moins si j'ai bien compris ton argumentation).
                    • [^] # Re: A propos...

                      Posté par  . Évalué à 8.

                      Quand tu fais du développement système, le premier commandement est : en l'utilisateur, tu ne feras pas confiance.
                    • [^] # Re: A propos...

                      Posté par  . Évalué à 10.

                      Il te faudrait un systéme à la fois protegé contre les programmeurs et contre les utilisateurs, les utilisateurs étant par définition la catégorie la plus dangereuse :)
                      Si tu arrives à faire tout ça, alors adieu le C, adieu l'ASM, adieu tous les langages bas niveau. Vive Visual Basic à grande échelle. Mais dés que tu offres aux développeurs la possibilité de développer des drivers, des softs à très bas niveau hardware, c'est fini : ton systéme est aux mains des développeurs.

                      L'avantage qu'à Unix de part sa "confidentialité" dans le milieu du end user, c'est qu'il évite beaucoup de programmeurs pingouins qui lancent leur IDE sans réfléchir, écrivent n'importe quoi sans lire aucune recommandations et produisent un code bourré de trous de sécurité et bugs...

                      Pour terminer sur l'exemple donné au début, c'est de toutes façons quasiment impossible à réaliser. Pour arriver à faire exécuter du code via les controles windows comme il le fait, il faut un debuggeur mémoire, un soft qui intercepte les calls aux API internes et permet de modifier le source asm en live dans la mémoire. Ce soft s'apelle Softice sous Win32 et il fonctionne comme un driver, il utilise ses propres API pour gérer le clavier, la souris et compagnie. Je doute fort qu'un user normal puisse installer ce soft sans l'accord de l'admin, et je doute fort également que l'admin accepte d'installer ce genre de soft hyper pointu et dangereux pour un utilisateur en lequel il n'a pas *TOTALEMENT* confiance. Donc on en revient au cas de base : admin pingouin quelque soit le sytéme = machine en danger.

                      Ce que je veux dire dans tout ça c'est qu'il y a beaucoup de hype autour de l'insecurité ou non de Windows. Bien sur, il n'est certainement pas un modéle de sécurité, ça n'est pas son but. Mais si les utilisateurs étaient un tantinet plus "sérieux" en appliquant les hotfixes (sous XP, y a meme pu besoin de rien faire, une option permet de les auto downloader et installer...) et en ne codant pas comme des pieds, la sécurité sertait nettement plus accru. Imagine que la distrib linux Lindows qui lance tout en root soit demain utilisé par 90% de le planéte. Crois tu que linux conserverait sa belle image de securité ?
                    • [^] # Re: A propos...

                      Posté par  . Évalué à 4.

                      Il est vrai qu'ils sont un peu plus complexes, et un peu plus lourds que Windows

                      non justement les UNIX sont plus petits. Même Solaris qui a pris de l'embonpoint ces derniers temps est beaucoup plus peitt que XP.

                      Et c'est en partie parce qu'ils sont plus petits qu'ils sont plus sûrs.
                      • [^] # Re: A propos...

                        Posté par  . Évalué à 5.

                        TOUT à fait d'accord, mais je ne parlais pas de taille. Je parlais de complexité. Ce n'est pas forcément la même chose.

                        La programmation système sous Unix requiert, à mon avis, pluls de connaissance que sous Windows.

                        Mais je peux me tromper, car je n'ai jamais programmé sous Windows. J'ai juste une idée théorique des algorithmes qu'ils utilisent dans les parties 'critiques' du systèmes (gestion des processus, système de fichiers, etc).

                        Pour la lourdeur, je voulais parler de la gestion des droits. La philosophie d'Unix est de créer des systèmes multi-utilisateurs. Tout est basé autour de cette assomption. La gestion des droits s'insère jusque dans les processus.

                        Windows, lui a initialement été conçus comme un système mono-utilisateur. Et je ne serais pas surpris qu'une part de cette 'culture' subsiste encore dans les choix de certains programmeurs Windows...
                        • [^] # Re: A propos...

                          Posté par  . Évalué à 10.

                          à mon humble avis tu te trompes.
                          NT c'est essentiellement du rempompage de UNIX et de VMS. Les algorithmes sont quasiment les mêmes.
                          Les différences flagrantes de qualité entre les deux sont dues essentiellement à des problèmes en aval de la conception :
                          1) à une ambition en termes de complexité démesurée par rapport aux moyens intellectuels,
                          2) à une conception initiale moins soignée,
                          3) à un développement trop rapide et mal géré.

                          Un exemple, tu regardes le contrôle d'accès sous NT, il est vraiment plus complexe que celui des UNIX sans ACL. Et en même temps, il est vraiment plus souple et plus complexe qu esous UNIX et pourtant les problèmes sous NT sont :
                          1) les droits par défauts sont à mourir de rire (utilsateurs qui écrivent et suppriment à peu près n'importe quel fichier)
                          2) des IHM de gestion mal fichues et des commandes en lignes idem.
                          3) un manque de compatibilité UNIX+ACL<->NT malgré une compatibilité affichée POSIX.

                          A mes yeux, le plus gros reproche que l'on puisse faire à NT ce n'est pas d'être bogué jusqu'à la moële, c'est, que quitte à dévelloper un nouveau SE, ne pas avoir crée quelque chose de novateur.
                • [^] # Re: A propos...

                  Posté par  . Évalué à 5.

                  pbpg> .. pas de fenêtres sous root en meme temps que des fenêtres user ...

                  Et après il y en a qui critiquent X11 !!
          • [^] # Re: A propos...

            Posté par  . Évalué à 10.

            Je citerai simplement Linus à ce propos:

            You have to understand what the primary objective of an OS is:
            To create a virtual environment that is simple and sane to program
            against....

            Have you learned nothing at all from DOS and Windows?
            -- Linus Torvalds
            • [^] # Re: A propos...

              Posté par  . Évalué à -10.

              Super ta poesie, mais dans le cas present il n'y a aucune difference entre Unix et Windows, dans les 2 cas si tu suis pas les recommendations pour les services tournant en root, tu finis avec une autoroute.
        • [^] # Re: A propos...

          Posté par  . Évalué à -4.

          Parce que si le systeme devait empecher les developpeurs de faire toutes les conneries possibles, ca ferait un systeme qui tient sur 4 DVD, qui a besoin de 16 P4 2Ghz en parrallelle et 4Go de RAM pour tourner.

          Donc il y a des choix qui se font.

          Quand une app root ouvre un socket, aucun mecanisme dans l'OS ne verifie qu'elle n'accepte pas des commandes de n'importe qui, aucun OS ne verifie que l'app n'a pas de buffer overflow, que ce soit Unix ou Windows. L'OS assume que si tu fais tourner un soft en root, tu sais ce que tu fais. Ce probleme est identique ici.

          Si tu es root et tu installes un daemon pourri qui est ouvert a tout le monde, t'as beau etre sur Windows ou Unix, tu te retrouves dans la merde.

          Le "probleme" ici present c'est exactement ca, car pour pouvoir entrer dans le systeme par une de ces portes, il faut que l'administrateur ait installe ce soft pourrave, un user simple ne peut pas installer de service, la seule chose qui change est le type de vulnerabilite dans l'application.
          • [^] # Re: A propos...

            Posté par  . Évalué à -8.

            C'est vraiment n'importe quoi ce que tu dis !!!!

            Toutes les applications n'ont pas besoin d'être root sous un système Unix. Je dirais même que c'est assez rare.

            Et qui plus est, ce genre d'applis seraient vite mises hors-la-loi sur un système Unix car il existe une certaine culture de la sécurité chez les utilisateurs de ce genre de système.

            Quand au bug de Windows, il n'est absolument pas nécéssaire que le root intervienne, va relire l'article.
            • [^] # Re: A propos...

              Posté par  . Évalué à -7.

              Mais je n'ai jamais dit que toutes les applis avaient besoin d'etre root...

              Quelque unes en ont besoin, et si un jour tu en installes une qui en a besoin, et qu'elle a un trou de securite, ben tu te retrouves dans la meme situation qu'un service tournant en root sous Windows qui affiche une fenetre sur le desktop d'un user.

              Dans les 2 cas c'est la faute du service/daemon, pas de l'OS.

              Quand au fait qu'il serait vite "mis hors-la-loi", ca c'est ton imagination qui te le fait dire. wu_ftpd, sendmail et bind sont hyper repandus depuis des annees.

              Finalement, je le repetes encore une fois... Il faut que root intervienne pour que cette attaque puisse avoir lieu, car par defaut dans l'OS, aucun service n'affiche de fenetre sur le desktop d'un user.
              La seule possibilite est que l'administrateur installe un service qui est troue, donc oui il faut intervention de l'administrateur.
              Si tu ne me crois pas, va installer un Win2000 et essaye, tu verras par toi-meme.
              • [^] # Re: A propos...

                Posté par  . Évalué à 2.

                > Si tu ne me crois pas, va installer un Win2000 et essaye, tu verras par toi-meme.

                Mh moi je veux bien essayer. C'est où que je peux me procurer Win2000 ? Tu pourrais m'en envoyer une copie ?

                [-1]
              • [^] # Re: A propos... [Troll]

                Posté par  . Évalué à -8.

                Ok, je laisse tomber.

                Excuse-moi, je n'avais pas vu le gros Troll qui se cachait derrière toi.

                Bye.

                -1 -> parceque bon.
              • [^] # Re: A propos...

                Posté par  . Évalué à 3.

                un service sous linux n'affiche pas de fenetre a un user et sinon la plus part des services se chrootent
                donc si ils ont une faille ca reste un peu plus "etanche" ...
              • [^] # Re: A propos...

                Posté par  (site Web personnel) . Évalué à 1.

                Quand au fait qu'il serait vite "mis hors-la-loi", ca c'est ton imagination qui te le fait dire. wu_ftpd, sendmail et bind sont hyper repandus depuis des annees.

                C'est bien connu, wu_ftpd, sendmail et bind ouvrent tous des sockets en root en balançant un shell root aux connexions entrantes (car oui, c'est exactement ce que font les services pour Windows dont on parle).

                Décidément, ta mauvaise foi est toujours aussi inébranlable.
                • [^] # Re: A propos...

                  Posté par  (site Web personnel) . Évalué à 7.

                  putain ce que vous etes de mauvaise fois .....

                  Non, wu_ftpd et sendmail n'offrent pas gentiment des shells à tout le monde, mais la question est : si wu_ftpd le faisait est ce qu'on pourrait l'imputer à Linux (ou même qu systeme GNU/Linux dans son ensemble) ?

                  Non, car c'est juste un service, au root d'utiliser un service ftp plus intelligent.

                  Là si j'ai bien compris c'est pareil, il ne s'agit pas des services par défaut de win mais d'appli que tu rajoutes. Si l'appli en question tourne en root et veut acepter des commandes d'un user n'importe comment ca fait un trou.
                  Je ne vois pas où est la faute de l'OS là pour une fois. que je sache si jamais wu_ftpd voulais donner un shell root à tous les utilisateurs locaux il le pourrait et mon OS basé sur Linux ne l'empecherait certainement pas.
                  • [^] # Re: A propos...

                    Posté par  (site Web personnel) . Évalué à 3.

                    Non, wu_ftpd et sendmail n'offrent pas gentiment des shells à tout le monde, mais la question est : si wu_ftpd le faisait est ce qu'on pourrait l'imputer à Linux (ou même qu systeme GNU/Linux dans son ensemble) ?

                    La différence, c'est que s'ils le faisaient, ce serait considéré comme une faille critique, corrigée en quelques jours grand maximum (et je suis généreux).
                    Mais un anti-virus (logiciel de « sécurité » s'il en est, mouarf) qui fait ça sous Windows continue à être utilisé, comme si ce n'était pas grave, sans qu'il y ait de correctif.

                    Ce n'est pas tant la faute de Windows (qui est quand même bigrement mal conçu de ce côté) que de la culture de la médiocrité qui règne dans le domaine de la programmation dans cet environnement.
                    Bref, il n'y a aucune comparaison possible entre une faille grave, répandue et à laquelle on accorde autant d'importance qu'un poil de chameau au fond d'une chaussette, et les failles de wu_ftpd, qui sont corrigées dans la journée.
                    • [^] # Re: A propos...

                      Posté par  (site Web personnel) . Évalué à 8.

                      Oui, sauf qu'il ne me viendrait jamais à l'esprit de reprocher à windows la passivité / non formation des utilisateurs/administrateurs qui n'imposent pas la sécurité ou la méconnaissance / idiotie des boites de logiciels qui font n'importe quoi.
                      Et là j'ai l'impression que c'est ce que beaucoup font.

                      Windows est loin d'etre parfait (Linux non plus) et je ne pense pas qu'il soit un gage de crédibilité de critiquer windows pour tout et n'importe quoi.
                      Je suis loin d'aprécier la philosophie et politique windows mais j'en ai plus que ras le bol de voir du cassage de sucre sur windows là où ca n'est pas justifié, de voir pbg se prendre 50 [-] là ou il apporte une précision technique vrai et pertinente (je ne parle pas des posts de prises de position). (ca n'est pas destiné à toi personnellement mais j'en profite)
          • [^] # Re: A propos...

            Posté par  . Évalué à 8.

            Quand une app root ouvre un socket, aucun mecanisme dans l'OS ne verifie qu'elle n'accepte pas des commandes de n'importe qui

            iptables -A OUTPUT -m owner --uid-owner 0 -d ! <IP autorisés> -j DROP
            et hop, mon OS il vérifie que root n'envoie pas de paquets à n'importe qui.
            Et si, il peut le faire.

            Le problème là, est qu'une application non-root puisse donner des ordres à une application root. Le work-around, la grosse rustine, c'est d'empêcher toute communication (donc pas de GUI). La solution élégante, puissante, et qui est une vrai solution, aurait été dés le début de contrôller ces messages, d'avoir un méchanisme d'IPC intelligent, flexible et sécurisé.
            • [^] # Re: A propos...

              Posté par  . Évalué à 0.

              ben il est où pBpG ? c'est pourtant un bon argument là non ?
            • [^] # Re: A propos...

              Posté par  . Évalué à -4.

              iptable ne te sert a rien.

              limiter les IP autorisees est extremement limitatif, tu ne peux rien faire depuis un compte dial-up(IP dynamique), ca ne tient pas compte du protocole utilise qui peut tout a fait permettre certaines actions par tout le monde, et quelques actions pour certains users privilegies, etc...

              Quand au deuxieme point, c'est une question de design, sous Windows la regle est qu'il n'y a PAS de fenetre qui tourne en root, tout comme sous Unix la regle est qu'il n'y a pas de daemon root qui offre un remote shell a tout le monde.

              Tu peux faire les 2, mais c'est a l'encontre des recommendations.
              • [^] # Re: A propos...

                Posté par  . Évalué à -2.

                Tu avouera tout de même que Windows, pour un système d'exploitation qui est 'tout graphique', ça la fout mal de faire ce genre recommandation.

                Alors que les pingouins, eux, ils peuvent le faire et ils ne sont même pas en environnement graphique tout le temps...

                C"est un peu comme si on choisissait un algorithme pourri pour le système de fichier et que l'on demandais à l'utilisateur de faire marcher un programme de défragmentation de temps à autre...

                Ooops. :-)

                Allez --> -1
        • [^] # Re: A propos...

          Posté par  (site Web personnel) . Évalué à -1.

          Mais putain de bordel de bon dieu de merde, pourquoi "on" ne le fait pas pour que ce soit impossible, hein ?

          Parce que sous Gnu/Linux c'est impossible peut etre ?
          Un peu de bonne fois, sous Gnu/linux aussi je peux installer un démon programmé avec les pied et qui va accepter les commandes de n'importe quel utilisateur ... Mon OS ne va pas l'en empecher et en rien ca ne sera un probleme de mon OS : c'est un probleme du démon (et accessoirement de l'imbécile qui a installé ce démon).
      • [^] # Re: A propos...

        Posté par  . Évalué à 10.

        Je crois que c'est toi qui a mal compris ce problème !

        On ne programme pas un système d'exploitation comme un éditeur de texte. Il existe certaines regles à suivre et cette "feature" de Windows montre exactement que la sécurité n'est certainement pas le but de ce système.

        Le problème des gens de Microsoft et ce que tu n'as visiblement pas compris non plus, c'est que n'importe quel utilisateur est un programmeur potentiel. À partir de là, si le système ne peut se défendre contre des programmeurs, ce n'est certainement pas un bon OS.

        Attention, je ne parle pas de programmeur+root. Je parles d'utilisateur+droits restreints.

        Le vrai problème est là.

        Toute la sécurité de Microsoft repose sur le fait qu'ils assument qu'a partir du moment ou tu as des connaissances en programmation, ben le système ne te résistera pas... Évidemment, ceci est totalement FAUX sous Linux. Linux a été conçu dans l'optique de résister à ses utilisateurs, qu'ils aient des connaissance en programmation ou pas !

        Et cela accroit considérablement la sécurité de l'OS.

        Si, si.
        • [^] # Re: A propos...

          Posté par  . Évalué à -10.

          Je te le repetes encore une fois, tu n'as rien compris au probleme.

          Un utilisateur avec des droits restreints ne peut devenir root QUE SI L'ADMIN A FAIT UNE BOURDE.

          Cette bourde etant d'installer un service tournant avec les droits admins qui fait apparaitre lui-meme(donc en tant que root) une fenetre sur le desktop de l'utilisateur plutot qu'utiliser une GUI qui a des droits restreints.

          La SEULE possibilite pour etre vulnerable a cela est donc que l'admin a fait une bourde en installant un daemon avec permissions root qui est troue, comme sur Unix.

          Prends un Windows 2000 de base avec les services livres avec l'OS, essaye cette attaque, elle ne marchera pas, car les services livres avec l'OS sont codes selon les recommendations et n'affichent pas de fenetre directement sur le desktop de l'utilisateur.

          Si tu veux utiliser cette attaque il faut que l'admin ait fait une connerie avant(installer un service troue).

          Tout comme sous Unix, si l'admin installe un daemon tournant en root et qui accepte des commandes de n'importe qui ca revient au meme, c'est pas la faute de l'OS, mais du programmeur du daemon et de l'admin qui a installe le daemon.
          • [^] # Re: A propos...

            Posté par  . Évalué à -6.

            http://security.tombom.co.uk/shatter.html(...)

            C'est tout. Lis, on en reparle après.
            • [^] # Re: A propos...

              Posté par  . Évalué à -5.

              Mais moi non seulement je l'ai lu, mais je l'ai compris.

              C'est quelque chose de connu depuis DES ANNEES, ce gars n'a rien invente, il n'a fait que mettre en pratique.

              Mais si tu y tiens vraiment, expliques moi en quoi c'est une faille de l'OS, tu arriveras peut-etre a eclairer ma lanterne.
              • [^] # Re: A propos...

                Posté par  . Évalué à 2.

                Je cite:

                Applications within Windows are entirely controlled through the use of messages. When a key is pressed, a message is sent to the current active window which states that a key was pressed. When Windows decides that an application needs to redraw its client area, it send a message to the application. In fact, when any event takes place that an application needs to know about, it is sent a message. These messages are placed into a queue, and are processed in order by the application.

                This is a very reliable mechanism for controlling applications. However, on Win32 the mechanism for controlling these messages is flawed. Any application on a given desktop can send a message to any window on the same desktop, regardless of whether or not that window is owned by the sending application, and regardless of whether the target application wants to receive those messages. There is no mechanism for authenticating the source of a message; a message sent from a malicious application is indistinguishable from a message sent by the Windows kernel. It is this lack of authentication that we will be exploiting, taking into consideration that these messages can be used to manipulate windows and the processes that own them.

                Il suffit donc d'avoir UNE application graphique qui tourne en root (sous Windows la plupart des applis ont une interface graphique) et qui soit épisodiquement dans cette file pour pouvoir passer root.

                La méthode que décrit l'article s'appuie sur un anti-virus, mais on peut imaginer des tas d'autres applis.
                • [^] # Re: A propos...

                  Posté par  . Évalué à -1.

                  Il suffit donc d'avoir UNE application graphique qui tourne en root (sous Windows la plupart des applis ont une interface graphique) et qui soit épisodiquement dans cette file pour pouvoir passer root.

                  La méthode que décrit l'article s'appuie sur un anti-virus, mais on peut imaginer des tas d'autres applis.


                  C'est bien, t'as compris le principe.

                  Maintenant comprend la suite: de base dans l'OS, AUCUN process root n'a de GUI sur le desktop de l'user, et les recommendations de MS precisent tres clairement qu'il ne faut pas le faire pour des raisons de securite.

                  Sous Windows, les services(ceux de base) qui tournent en root n'affichent pas eux meme une GUI, elle est separee du service, la GUI tourne avec les droits de l'user et communique a travers COM avec le service, c'est ce que recommende MS et quand tu fais les choses correctement tout se passe bien.

                  Alors oui, tu peux imaginer plein d'applis, ca ne change rien au fait que la faille serait dans l'appli, pas dans l'OS.

                  De meme, je peux imaginer plein de daemons qui acceptent des commandes depuis le reseau et qui tournent en root, ce sont aussi des failles enormes, c'est pas la faute de l'OS pour autant.
                  • [^] # Re: A propos...

                    Posté par  . Évalué à 3.

                    Ok, je vois mieux ce que tu veux dire.

                    Je ne connaissais pas les "recommandations" de Microsoft.

                    Cependant, je trouve tout de même, cette 'feature' quelque peu effarante ! Il est tout à fait possible sous Linux d'avoir un processus graphique root et de ne pas avoir de problème !

                    D'autre part, la 'culture' Microsoft semble plutôt favoriser les applications graphiques (souvent considérées comme plus 'simples' à utiliser). Donc, je vois une contradiction claire entre le fait qu'il faille à la fois des applications graphiques ET qu'ils fournissent un environnement graphique qui a un mauvais design... :-/

                    Mais, je suppose qu'il ne s'agit là que de mes vues personnelles sur le sujet. ;-)
                    • [^] # Re: A propos...

                      Posté par  . Évalué à 0.

                      Le truc est que 99% des gens ne font pas d'applications graphiques qui ont besoin de tourner en tant que root, donc ils n'ont meme pas a se poser la question, ils n'ont pas ce probleme.

                      Les seuls cas sont les processus du type service/daemon car ceux-ci ont quelque fois besoin de tourner en root, et quand tu ecris ce genre de soft tu es sense avoir un minimum de connaissance sur l'OS, et tu es sense savoir que le service lui-meme ne doit pas afficher la GUI, mais ce doit etre une appli separee qui tourne dans le contexte de l'utilisateur, et qui communique avec le service a travers COM ou autre.

                      Bref, ce truc touche 1% des programmeurs, la gigantesque majorite des programmeurs font des softs qui ne tournent pas en root.

                      Toi tu trouves ca effarant car tu es habitue a une autre approche, mais il faut voir que Windows et Linux(enfin X Window) ne fonctionnent pas du tout de la meme maniere au niveau GUI, ce sont 2 architectures differentes et non comparables.
                    • [^] # Re: A propos...

                      Posté par  . Évalué à 2.

                      Oui sous linux tu peux avoir un processus graphique root et ne pas avoir de problémes (enfin c'est pas très recommandé d'une maniére générale..) mais ça n'a rien à voir avec la conception de Linux. C'est simplement du au fait que X n'utilise pas du tout le meme systéme de message queue et de messages entre applis (l'auteur de la page l'explique d'ailleurs tres bien). Là encore, c'est un choix différent que les developpeurs de X ont pris, ils ont tous les deux des avantages et des inconvénients. Aprés on peut disserter des heures sur lequel est le meilleur mais je ne crois pas que tu arriveras à une conclusion, ce sont de simples choix de design général. Il y a des avantages dans l'un, des avantages dans l'autre, dans le cas de Win32, Microsoft a pris le parti de faire ça comme ça mais précise dans ses guidelines que ce choix entraine qu'il ne faut pas lancer de process graphique en root. Aux dév de respecter ça maintenant...

                      Pour la culture Ms, sans doute qu'elle est orientée GUI mais un process root à priori est un process "sérieux", qui n'a rien a voir avec le end user mais avec l'admin, donc qui à priori n'a pas à etre graphique...
                      • [^] # Re: A propos...

                        Posté par  . Évalué à 4.

                        Je suis tout à fait d'accord, mais je voudrais juste ajouter un truc.

                        Bien sûr que le fait de d'avoir un process graphique root sûr dépend de X (et pas du kernel), mais comme on fait ici une comparaison avec Windows, je pense que l'on peut considérer que la config de base dont on parle inclus X.

                        En gros, cela ne change rien. X a aussi été conçus dans un esprit où, le fait d'avoir des connaissances en système et programmation empêche de gagner des privilèges non autorisés...

                        De plus, le fait de séparer X du kernel est, à mon humble avis, une sécurité supplémentaire.

                        En tout cas, merci pour les éclaircissements, j'avoue que je n'avais pas bien compris la portée du bug sous Windows, vu que pour moi tous les programmes windows étaient graphiques (je sais c'est stupide quand j'y reprense ! ;-)).
                        • [^] # Re: A propos...

                          Posté par  (site Web personnel) . Évalué à 0.

                          ouais, au départ X était monolithique et attaquait directement la carte video (il tournait chmod +s). C'était quand même un beau trou de sécu. Avec XF 4.0 ils ont introduit les modules apparemment ils ont un peu corrigé le défaut , néanmois je trouve qu'un système graphique kernel space (à la framebuffer) + API user space aurait quand même permis de résoudre le problème plus proprement.

                          La couche graphique accélérée dans le noyau (kgi+ggi) a été envoyée bouler méchamment par linus qui considérait ça comme une hérésie. Et pourtant à l'époque X était autant un trou de sécu que windows (l'interface graphique).
                          • [^] # Re: A propos...

                            Posté par  . Évalué à 3.

                            Heu, honnètement, remplacer du "suidé root" par du "dans le noyau" c'est loin d'être génial niveau sécurité, bien au contraire; sans compter les coûts des appels systèmes...
                            • [^] # Re: A propos...

                              Posté par  (site Web personnel) . Évalué à 3.

                              On reconnaît le Hurdiste :)

                              Mon prof d'assembleur m'a toujours dit que le secret était dans le blindage de l'appel système. Et une architecture simple avec une API propre kernel/user space est une solution. Un des secrets de la sécurité des applis réside dans la conception à mon avis.

                              Pour les perfs c'est un mythe : avec les cartes graphiques modernes, on peut minimiser les appels systèmes en envoyant les données par rafales par exemple.

                              Et contrôler les cartes graphiques user space sans interface kernel sur le PC nécessite des privilèges assez concésquent fort (accès aux mmios, aux zones mémoires). C'est certain qu'il y a un coût en terme de perfs. Mais il y a aussi un gain en sécurité.
          • [^] # Dans la vraie vie (et pas dans le monde idyllique de la propagande)

            Posté par  . Évalué à 8.

            Si j'ai bien compris, un certain anti-virus ayant une GUI avec certains droits permettant une privilege escalation est en cause du fait d'une architecture laxiste (c'est pas un OS sécurisé à la base, ok).

            Donc installer ce truc est considérer comme une bourde. ok.

            Bon alors comment on fait en environnement corporate où on a tous un anti-virus installé par défaut pour se protéger ? On enlève l'anti-virus et on se choppe toutes les saloperies qui passent ? Déjà que dans un tel environnement "professionnel" j'ai jamais vu un admin apliquer sur son parc les patchs (trop nombreux ? 4/5 gars pour 500 PC, ça le fait pas ? Ok il y a des solutions, mais si elles étaient si faciles, pourquoi ne sont elles pas utilisées ?).

            En conclusion, la bourde c'est d'installer un Windows, et c'est pour éviter cette conclusion logique que tu déblatères à fond. Moi à qui, comme beaucoup d'autres, on impose l'usage de Windows à coup de clients ou d'outils proprios uniquement dispos sous Windows (par paresse intellectuelle et économies, un fournisseur à qui je demandai si il avait des versions autres que Windows m'a demandé quel OS j'utilisai, je lui répond Windows actuellement, il me dit "vous voyez", je lui répond "c'est parceque vous ne fournissez que des binaires Windows qu'on en est arrivé là", il a fermé son clapet d'autant plus qu'on avait évoqué la necessité pour nous de s'appuyer sur des outils comme cygwin afin de combler les lacunes de Windows en tant que plateforme de developement et que finalement sous Unix/Linux ça serait tellement mieux ;)(pis il était si fier d'avoir SlickEdit dans son IDE, présenté comme un State-of-Art éditeur, qu'il s'est mangé un troll Emacs/Vi dans la gueule (avec des vrais dinos ;), ah c'était bon) ça me laisse un gout amer.

            pBpG, t'es bien gentil de défendre ta boite, mais ton expérience de debugger au sein de cette même boite t'empeche même de comprendre les problèmes que nous users lambda on peut éprouver sur le terrain.
            • [^] # Re: Dans la vraie vie (et pas dans le monde idyllique de la propagande)

              Posté par  . Évalué à -1.

              C'est simple, tu installes un anti-virus qui est concu de maniere correcte, c'est a dire le service tourne en root, et la GUI est separee du service, tourne avec les droits de l'users et communique a travers COM ou autres, et il y en a des anti-virus concus correctement.
              • [^] # Re: Dans la vraie vie (et pas dans le monde idyllique de la propagande)

                Posté par  . Évalué à -3.

                Il n'y a décidément pas plus sourd que celui qui ne veut pas entendre...

                Dans un environnement corporate l'utilisateur n'a pas de droits sur sa machine, on lui donne une conf et si il a besoin d'un soft il appele le support qui lui installe. Maintenant si j'appelle pour dire qu'il faut changer l'anti-virus installé actuellement parcequ'il ouvre une faille, le support va me rire au nez. Donc ta réponse ne tient pas (et si tu avais lu correctement le post auquel tu réponds tu ne l'aurais pas faite), de plus j'ignore quel anti-virus a été correctement programmé ou pas (même toi tu ne précises pas ;)(peut-être qu'il n'en existe pas aussi ;) et de toute façon c'est une décision qui sera prise par les acheteurs et donc sur arguments financiers et non plus techniques, d'ou l'usage du FUD qui consiste à réfuter tout argument technique puisque de toute façon les gens compétents techniquement sur ces points ne sont pas aux services achats mais dans les lignes R&D :(

                Suite à ta suggestion constructive, j'imagine bien :

                - Bonjour Monsieur le revendeur de la FNAC, je voudrais un anti-virus qui est concu de maniere correcte, c'est a dire le service tourne en root, et la GUI est separee du service, tourne avec les droits de l'users et communique a travers COM ou autres.
                - Oooops !

                Faut ête réaliste quand même !

                Donc je te corrige :

                C'est simple, tu installes un OS qui est conçu de manière correcte.
                • [^] # Re: Dans la vraie vie (et pas dans le monde idyllique de la propagande)

                  Posté par  . Évalué à -10.

                  Bien, va faire la meme chose avec une distrib Linux:

                  Bonjour monsieur, j'aimerais une distribution Linux avec un serveur de mail qui ne contient pas de buffer overflow, pas de memory leaks, et qui ne leak pas de donnees confidentielles.

                  Le vendeur de la FNAC va tomber dans les pommes aussi, et si tu gueules au support que sendmail c'est de la merde, ils te riront au nez aussi(ou ils le changeront si ils sont un minimum intelligents).

                  C'est le meme probleme.

                  Et si tu veux un anti-virus correct, essayes eTrust de Computer Associates
                  • [^] # Re: Dans la vraie vie (et pas dans le monde idyllique de la propagande)

                    Posté par  . Évalué à -6.

                    C'est ta réponse que je parodiais, tu la trouves nulle et je suis completement d'accord avec toi. Vu le manque de cohérence dont tu fais part, et ton aptitude à dévier le fil sur des détails périphériques en évitant soigneusement les arguments qui te genent, j'en déduis que tu n'es qu'un troll. Tampis, c'est domage.
                    • [^] # Re: Dans la vraie vie (et pas dans le monde idyllique de la propagande)

                      Posté par  . Évalué à -6.

                      C'est vrai que ma reponse est idiote, dire qu'il ne faut pas installer des applications qui ont des failles est vraiment stupide.

                      Promis je ne recommencerais plus.
                      • [^] # Dernière

                        Posté par  . Évalué à -3.

                        Relis le début, en particuliers Bon alors comment on fait en environnement corporate, tu relis jusqu'à ce que tu aies compris que je parlais d'un cadre professionnel en grandes entreprises, et relis l'ensemble du thread, lentement. Mais je crainds que tu ne sois que de mauvaise foi.
                        • [^] # Re: Dernière

                          Posté par  . Évalué à -2.

                          Tu fais la meme chose que pour un daemon qui tourne sur des desktops Linux et qui a une faille.

                          Si il y a un patch, le departement IT l'appliques, si il n'y en a pas, ils changent de soft.
                  • [^] # Re: Dans la vraie vie (et pas dans le monde idyllique de la propagande)

                    Posté par  . Évalué à -1.

                    > Bonjour monsieur, j'aimerais une distribution Linux avec un serveur de mail qui ne contient pas de buffer overflow, pas de memory leaks, et qui ne leak pas de donnees confidentielles.

                    mais pas de problème, je vous conseille cette excellente Debian.
      • [^] # Re: A propos...

        Posté par  . Évalué à 3.

        C'est quand même une faille au niveau de l'OS, et devoir élminier les GUIs des applications privilégiées c'est plus un "work-around" autour du bug qu'une vrai solution (même si de manière générale il est déconseillé d'avoir des GUIs pour des applications privilégiées, le pb n'est pas là).

        Laisser un trou béhant et dire: faites gaffe, faites pas ça, sinon patatara au lieu d'assurer une vrai sécurité, je trouve ça très moyen...
        • [^] # Re: A propos...

          Posté par  . Évalué à 1.

          Ca n'a rien a voir avec une faille de l'OS.

          Il y a des choix de design qui sont fait, et qui imposent des contraintes aux programmeurs.

          Sous Unix comme sous Windows, si le programmeur fait le con avec un programme qui tourne en root, ca finit en trou de securite.

          Ici c'est exactement un cas de cela.

          Le trou beant il est la si le programmeur ne respecte pas les usages sur Windows, tout comme un programmeur qui ferait le con avec un daemon sous Unix.

          Unix et Windows sont dans le meme bateau, simplement le type d'attaque possible est different selon l'OS.
          • [^] # Re: A propos...

            Posté par  . Évalué à 2.

            Mais c'est justement cette erreur de conception que l'on critique. Et oui, c'est bien une erreur. Certes, il existe un moyen de la contourner, mais à la base il s'agit bien d'une erreur de conception qui aurait pu être évitée sans trop de coût, et qui aurait permis plus de choses (comme on peut le faire sous X, avec des programmes de différents utilisateurs sur le même serveur X).
          • [^] # Re: A propos...

            Posté par  . Évalué à 3.

            Ok, mais, au fait, il apporte quoi ce choix de 'design' ? Je ne suis pas programmeur Windows, donc forcémment, j'ai du mal à comprendre... Pour moi, cela doit, euuuuh, faciliter la communication entre éléments graphiques.

            Ah bah, non je dis une connerie parceque sous Unix on a les évènements X-Windows qui sont sécurisés et qui font pareil...

            Non, là, vraiment je vois pas! :)

            -1, parceque je suis vraiment mesquin. :)
  • # Organismes reconnus?

    Posté par  . Évalué à 10.

    les organismes en charge de la lutte anti-piratage (APPA, BSA, ADAPI) annoncent périodiquement leur intention d'intensifier leurs contrôles
    Est-ce que ces organismes ont un quelconque droit de faire des contrôles? Certains s'appelle "Doc Gynéco", c'est pas pour ça qu'ils ont le droit de pratiquer. Il me semblait que le BSA avait été interdit ou un truc dans le genre en Belgique.
    • [^] # Re: Organismes reconnus?

      Posté par  . Évalué à 10.

      si je me souviens, ils avaient été inerdits parce qu'ils s'étaient déclarés comme assoc à but non lucratif, ce qui n'est pas exactement le cas.

      (ou alors on m'aurai menti)
    • [^] # Re: Organismes reconnus?

      Posté par  (site Web personnel) . Évalué à 10.

      Pour la BSA ils n'ont aucun droit (les autres je ne connais pas mais si ce n'est pas gouvernemental ca m'étonnerai)
      D'ailleurs si je ne me trompe pas ils se sont fait déjà tpé sur les doigts, dans le temps le truc était de rentrer dans l'entrprise en se posant avec un "montrer moi vos licence" et passaient comme ayant une autorité judiciaire au pres des pauvres chefs d'entreprise (ils ne le disaient pas explicitement mais jouaient sur la chose)

      Bref, la BSA peut vous ecrire tous les recommandé qu'elle veut, vous sommer de tout ce que vous pouvez imaginer (enfin peut etre pas tout quand meme :)) : elle n'a aucun droit sur vous et vous pouvez l'ignorer et laisser "l'inspecteur" sous la pluie devant la porte tant qu'il n'amene pas un représentant de la loi officiel.
      Enfin ca n'est PAS une raison pour faire quelque chose que la BSA puisse vous reprocher (piratage)
      • [^] # Re: Organismes reconnus?

        Posté par  . Évalué à 3.

        Il faudrait une réponse de juriste.

        www.adapi.asso.fr

        En tous cas, si un PV est rédigé après intimidation, c'est trop tard.
        • [^] # Re: Organismes reconnus?

          Posté par  (site Web personnel) . Évalué à 2.

          Pris sur le site (les mises en gras sont de moi):

          La loi ne donne aux contrôleurs aucun pouvoir de coercition ou d’investigation. Ils sont seulement habilités à constater la matérialité des infractions aux droits d’auteurs en dressant des procès-verbaux qui font foi. Les contrôleurs ne disposent pas des prérogatives d’un officier de police judiciaire. Leurs opérations de contrôle doivent donc se limiter au strict minimum et recueillir l’assentiment préalable de l’entreprise contrôlée.


          Bref, si j'ai bien compris :

          Ils sont habilité à établir des proes verbaux et en gros sont reconnues commes pouvant certifier de choses si ils les voient mais en aucun cas ils ne peuvent rentrer ou faire quoique ce soit si on ne les a pas expressement invité (qui a parlé d'intimidation ? :)
  • # Nid à troll

    Posté par  (site Web personnel) . Évalué à 10.

    En biaisant bien, en tirant fort, on arrive toujours à tout, surtout à avoir du plaisir.
    Séguéla

    Le truc est mal posé. C'est un peu réducteur de confondre sécurité et technique.

    Biais 1 Windows ou linux le faux choix

    Linux ou n'importe quel implémentation d'un OS bien conçu peut faire l'affaire. Il n'y a pas que windows et linux sur la planète.
    Darwin (peut être même mac os X) apporte sur le plan de la sécurité un niveau équivalent à linux sur le plan de la conception (ce sont des unix).

    Linux a beacoup d'avantages pour lui, c'est p^te't pas la peine d'en rajouter.


    Biais 2 sécurité = technique.
    Rambo VS bobbies qui gagne?

    OK windows a des défauts structurels de conception, mais les organisations sont encore plus boguées puisqu'elles l'utilisent. Si tu as une connexion sécurisée qui utilise un super algo avec un certificat de 16K mais que ta passphrase c'est toto, écrit sur un postit sur ton écran cela ne sert pas à grand chose.

    Par exemple, si tu installe un linux avec la conf par défaut, et sans jamais le mettre à jour, au bout de deux ans ils diront plus probablement quoi ?
    • Linux ça pue on m'avait dit que c'était sécure, et maintenant je suis attaqué
    • Oh! je ne comprend pas quelque soit l'équipement informatique j'ai des problèmes. Si cela ne viens pas des machines, cela viendrait de moi?


    Corollaire 1
    Si les entreprises comprenaient l'informatique/la sécurité, cela ferait des lustres qu'elles n'utiliseraient plus windows. Et, si les linuxiens comprenaient les entreprises ça ferait depuis qu'ils arrêteraient de vouloir évangéliser les entreprises avec des arguments rationels.
    =>exemple

    Corollaire 2 ! comment vendre linux
    Linux c'est bien parce que c'est pas à la portée de tout le monde (le luxe ça fait toujours rêver). Si vous l'installez aujourd'hui vous serez à la mode et vous pourrez vous gaussez des suivants. (Le lamer effect, la touche qui tue).


    Moi je dis ça, c'est comme si je disais rien.
    • [^] # Re: Nid à quoi ?

      Posté par  (site Web personnel) . Évalué à 3.

      « Linux ou n'importe quel implémentation d'un OS bien conçu peut faire l'affaire. Il n'y a pas que windows et linux sur la planète.
      Darwin (peut être même mac os X) apporte sur le plan de la sécurité un niveau équivalent à linux sur le plan de la conception (ce sont des unix).

      Linux a beacoup d'avantages pour lui, c'est p^te't pas la peine d'en rajouter. »

      GNU/Linux est completement libre. C'est effectivement un avantage pour lui.
      Ceci dit, je ne vois pas pourquoi il faudrait s'abstenir (ne pas en rajouter).


      « Par exemple, si tu installe un linux avec la conf par défaut, et sans jamais le mettre à jour, au bout de deux ans ils diront plus probablement quoi ?

      * Linux ça pue on m'avait dit que c'était sécure, et maintenant je suis attaqué
      * Oh! je ne comprend pas quelque soit l'équipement informatique j'ai des problèmes. Si cela ne viens pas des machines, cela viendrait de moi? »

      Si tu as une conf par défaut avec une distrib actuelle tu n'as probablement aucun démon sensible qui tourne, et un parefeu entre toi et internet. Tu n'es pas sensible aux virus conçus pour MS Outlook.
      Concretement, on ne peut pas dire que tu sois pas en sécurité.

      Que veux-dire ta dernière assertion ?





      Sinon, pour les 2 corollaire, y'a sans doute du vrai là-dedans.
      • [^] # Re: Nid à quoi ?

        Posté par  . Évalué à 8.

        Sans vouloir te vexer, le fait que Linux soit libre, les petites entreprises n'en ont pour la plupart rien à battre. Les petites entreprises, elles veulent que l'informatique leur rende service, point final. Aprés que tu aies des binaires, du source, que tu puisses le redistribuer ou non, c'est le dernier de leurs soucis.

        Quand à la conf par défaut d'une distrib, il suffit de regarder quelques semaines en arriére et les problémes d'OpenSSL ou d'apache par exemple pour arriver très vite à la conclusion qu'un systéme quelconque dont la conf n'est pas maintenue par un "connaisseur" devient une passoire au bout de quelques mois, Linux, Windows ou quoi que tu veuilles. Or si ces petites entreprises se préoccupaient de la maintenance de la securité, elles n'auraient certainement pas été si touchées par Nimda et autres I Love U parce que les patchs/hotfixes existaient quelques heures/jours max aprés l'apparition du probléme. Windows n'est certainement pas aussi sécure qu'un Unix peut l'etre, -ça n'est d'ailleurs pas son but- mais si les utilisateurs appliquaient les patchs de sécurité, toutes les failles si répandues seraient bien moindres.
        • [^] # Re: Nid à quoi ?

          Posté par  (site Web personnel) . Évalué à 0.

          « Sans vouloir te vexer, le fait que Linux soit libre, les petites entreprises n'en ont pour la plupart rien à battre. Les petites entreprises, elles veulent que l'informatique leur rende service, point final. Aprés que tu aies des binaires, du source, que tu puisses le redistribuer ou non, c'est le dernier de leurs soucis. »

          Le fait d'être libre, ça rend service. Les petites entreprises peuvent, avec des logiciels libres, faire appel à n'importe qui pour modifier un logiciel qu'elles utilisent pour l'adapter à leur cas particulier.
          C'est un exemple des avantages que cela peut représenter.

          L'idée de logiciel libre, c'est pas seulement un truc pour faire bien aux réceptions chez Robert Hue.

          « Quand à la conf par défaut d'une distrib, il suffit de regarder quelques semaines en arriére et les problémes d'OpenSSL ou d'apache par exemple pour arriver très vite à la conclusion qu'un systéme quelconque dont la conf n'est pas maintenue par un "connaisseur" devient une passoire au bout de quelques mois, Linux, Windows ou quoi que tu veuilles »

          C'est faux.
          Aucune distrib ne lance un démon SSH ou Apache par défaut.

          « Or si ces petites entreprises se préoccupaient de la maintenance de la securité, elles n'auraient certainement pas été si touchées par Nimda et autres I Love U parce que les patchs/hotfixes existaient quelques heures/jours max aprés l'apparition du probléme. »

          Si elles utilisaient pas un SE aussi insécurisé pour leurs serveurs, elles n'auraient pas de problème.

          De plus il est possible d'avoir un système de mise-à-jour automatisé avec la plupart des distribs gnu/linux.

          « Windows n'est certainement pas aussi sécure qu'un Unix peut l'etre, -ça n'est d'ailleurs pas son but- »

          Ca c'est une blague. Le but d'un SE est d'être fiable.


          Je te rappelle que l'objet de ta réponse était de démontrer que distrib par défaut = aussi insécurisé que windows. Pas convaincant.
          • [^] # Re: Nid à quoi ?

            Posté par  . Évalué à 10.

            [i]Le fait d'être libre, ça rend service. Les petites entreprises peuvent, avec des logiciels libres, faire appel à n'importe qui pour modifier un logiciel qu'elles utilisent pour l'adapter à leur cas particulier.
            C'est un exemple des avantages que cela peut représenter.[/i]

            Ca c'est un fantasme. Des petites entreprises, j'en cotoie tous les jours. Elles se battent déjà avec les factures et les charges, elles n'ont certainement pas les moyens de payer un développeur pour faire des modifs à un soft. Elles attendent un soft pret à fonctionner, qui colle au plus pret à leurs besoins, et point final. Le seul point qui pourrait etre motivant pour eux dans le libre, c'est la gratuité.

            [i]C'est faux.
            Aucune distrib ne lance un démon SSH ou Apache par défaut.[/i]

            Effectivement, si l'OS tourne à vide, il est secure pas de doutes. Alors reformulons : je suis un petit chef d'entreprise, je m'installe un linux. Bon, très bien, je me dis que je vais le brancher sur Internet et y mettre un SSH pour pouvoir m'y connecter de chez moi ou du bureau à coté en toute tranquillité. Et puis j'y mets un petit serveur web pour la boite, ça peut toujours servir. Evidemment j'y connais pas grand chose donc tout ça fonctionne sans restrictions en entrée, les ipchains et iptables c'est pas ma tasse de thé. Puis je laisse ça tourner comme ça vu que j'ai déjà eu beaucoup de mal à l'installer, avec les apt-get et autres machins (il est où mon setup.exe qu'était déjà vachement compliqué ?). Il se passe quoi au bout d'1 an ?

            [i]Si elles utilisaient pas un SE aussi insécurisé pour leurs serveurs, elles n'auraient pas de problème.[/i]

            Sois sérieux 2 secondes, si demain 90% des boites utilisent linux et ne s'occupent pas plus de la sécurité qu'elles le font sous win, il se reproduira la meme chose.

            [i]De plus il est possible d'avoir un système de mise-à-jour automatisé avec la plupart des distribs gnu/linux.[/i]

            Sous windows aussi, et tu sais quoi ? La majorité des gens ne l'utilisent pas. Pourquoi ? J'en sais rien. On dirait que c'est une maladie du end user du 21éme siécle, il aime pas appliquer des patchs, meme quand c'est fait automatiquement.

            [i]Ca c'est une blague. Le but d'un SE est d'être fiable.[/i]

            Pas du tout. Ca n'est certainement pas le but de Windows. Bon peut etre un peu plus maintenant, mais les Win9X n'ont jamais été conçus dans une optique de fiabilité. Ils ont été conçus dans le but de fournir des OS agréables à utiliser, simples d'accés, intuitifs.
            • [^] # Re: Nid à quoi ?

              Posté par  . Évalué à 0.

              Bonjour,

              Je ne suis pas d'accord avec toi,en effet windows & cie fait penser a monsieur tout le monde que l informatique est parfaitement accessible a toute personne formee ou non.Je pense qu il y a 2 aspects de l informatique : l exploitation et l administration.L'exploitatation doit etre accessible a tous.Mais l administration demande un professionel qui connait son metier, et sait configurer apache ;).
              Il est vrai que faire appel a une societe de maintenance revient un peu cher.Toutefois les economies realisee en utilisant des solutions libres les rendent nettement plus abordables.
      • [^] # Linux qualité top, c'est pas la peine d'en mettre un max.

        Posté par  (site Web personnel) . Évalué à 10.

        Ben je pensais au ramen worm qui attaquaient les Red Hats.

        Un logiciel c'est sécure si c'est bien configuré et seulement pour un temps. Puis après il y a des idées, des gens, des bugs, des lois qui viennent à bout des sécurités informatiques.

        En faisant l'hypothèse qu'il y a des personnes pour ignorer le concept trivial mais nécessaire de la mise à jour des logiciels pour raisons de sécurité et adepte des configurations par défaut, si tu attends 2 ans (histoire que les exploits soient bien connues), et en essayant au hasard tu tomberas toujours sur une machine pas sécurisée.

        Si nunux se généralise et que les services informatiques n'appliquent pas de règles de sécurité, ton nunux il vaut rien. Et toi tu es dangereux si tu donne un sentiment de confiance éxagéré à ces personnes (car ils ne se protégeront pas et pourront être une menace pour d'autres).

        Linux c'est un bon outil pour la sécurité parmi tant d'autre, mais l'outil ne fait pas le travail tout seul. Il faut arrêter d'entretenir le mythe sécurité = installer linux, car la sécurité est aussi un gros problème de politique de l'entreprise et de confiance dans les "experts". Dire installer linux = sécurité équivaut à dire avocat de nunux = pipoteurs. Et si tu pipotes, t'es pas crédible pour parler de sécurité. Et même sans connaître linux, les bons ingénieurs savent qu'un outil informatique est une condition presque nécessaire, mais non suffisante pour être en sécurité (une excellente serrure montée du mauvais côté d'une porte n'est pas très efficace). De même Unix n'est pas meilleur que W9K parce qu'il a été fait avec les compilos élevé au meilleur grain (outils) mais parce qu'il est bien conçu.


        A noter qu'au niveau sécurité wintel sont les plus forts, pour t'obliger à mettre à jour ton OS (pour raison de sécurité une fois par an) le hardware change lui tout les 6 mois.

        Perso, j'aime trop linux pour laisser des personnes le défendre avec des arguments d'une mauvaise foi aussi pitoyable. De la mauvaise foi si vous voulez, mais avec brio, s'il vous plaît.


        PS
        Allez comme exercice tu me copieras 100 x
        Défendre une cause avec de mauvais arguments c'est lui nuire de façon certaine.
        • [^] # Re: Linux qualité top, c'est pas la peine d'en mettre un max.

          Posté par  . Évalué à -6.

          [+][+][+][+]

          bon ok -1 pour moi
        • [^] # Re: Linux qualité top, c'est pas la peine d'en mettre un max.

          Posté par  (site Web personnel) . Évalué à -2.

          Ton discours viserait à justifier les multiples failles des plateformes Microsoft : s'il y'a des failles, c'est parce que le temps passe et parce les services informations n'appliquent pas les règles de sécurité.

          Reprennons cette facile analogie avec l'automobile : si tu roule avec une voiture dès le départ connue pour ses limites en terme de sécurité, que tu oublies de faire des révisions, tu as plus de chance que ça t'explose à la gueule que si tu roulais avec une bagnole dès le départ connue pour sa sécurité de haute-volée.
          Pire, avec ton épave, tu peux avoir un enchainement de mouise en un temps record : pneu qui éclate, dans le décor ; pas de coussin gonflable ni de renforts latéraux, direct au Père Lachaise.



          Finalement, pour discuter pleinement il faudrait faire la liste des différences entre une mise-à-jour Microsoft et une mise-à-jour GNU/Linux (apt-get, up2date - Il est déjà possible d'automatiser les mises-à-jour...).
          • [^] # Re: Linux qualité top, c'est pas la peine d'en mettre un max.

            Posté par  . Évalué à 2.

            Finalement, pour discuter pleinement il faudrait faire la liste des différences entre une mise-à-jour Microsoft et une mise-à-jour GNU/Linux (apt-get, up2date - Il est déjà possible d'automatiser les mises-à-jour...).

            Sous Win32 jusqu'a win2k, c'est www.windowsupdate.com. Aprés il te séléctionne tout ce qu'il te faut, tu cliques sur installer si tu en veux et reboot. Sous WinXP ça peut meme se faire en background, possible que tu puisses backporter le soft qui fait ça sous Win2K mais j'en sais rien.
            De ce point de vue c'est à mon avis aussi simple sous linux que sous win32, et pourtant il reste des millions de personnes qui ne le font pas. Sans doute beaucoup plus sous Windows que sous Linux du fait de sa population mais si demain linux est utilisé par lucette et henri, tu crois qu'ils vont faire des dist-upgrade ? Arriver à convaincre un end user qu'il FAUT faire les updates de sécurité, c'est le grand défi du siécle.
            • [^] # Re: Linux qualité top, c'est pas la peine d'en mettre un max.

              Posté par  (site Web personnel) . Évalué à 1.

              Le end user n'a pas à s'occuper de la sécurité de son outil. C'est comme si tu transférais la responsabilité du bon fonctionnement d'une machine outil potentiellement dangereuse de son propriétaire à l'ouvrier. Par contre, c'est la repsonsabilité de l'utilisateur d'avoir un comportement qui ne soit pas dangereux.


              Je reprend => l'entreprise fait la maintenance préventive et corrective (c'est son outil sur lequel elle se doit d'avoir une expertise pour ne pas être dépendante du travailleur)
              et le travailleur doit respecter les règles de sécurité pour ne pas se mettre en danger.

              Pourquoi? Une maintenance mal faite peut donner une sécurité illusoire et entraîner un sur-accident, et un remède mal appliqué peut être pire que le mal.

              Dans ton monde les passagers d'un avion vont dans le cockpit faire la checklist à la place du pilote avant de décoller.

              Dans mon monde, chacun son métier, et les vaches en sont mieux gardées.
          • [^] # Re: Linux qualité top, c'est pas la peine d'en mettre un max.

            Posté par  . Évalué à -1.

            c'est un problème de culture, pour la voiture c'est passé "dans les normes", pour l'informatique il faudra du temps. Regardez en France le temps qu'il a fallu pour que vous ayez une contrôle "obligatoire" des "vielles" (4ans+) voitures alors qu'en Belgique ca existe depuis des années!
      • [^] # Linux qualité filtre, C pas la peine d'en remettre un max

        Posté par  (site Web personnel) . Évalué à -5.

        Ben je pensais au ramen worm qui attaquaient les Red Hats.

        Un logiciel c'est sécure si c'est bien configuré et seulement pour un temps. En faisant l'hypothèse qu'il y a des personnes pour ignorer le concept trivial mais nécessaire de la mise à jour des logiciels pour raisons de sécurité et adepte des configurations par défaut, si tu attends 2 ans (histoire que les exploits soient bien connues), et en essayant au hasard tu tomberas toujours sur une machine pas sécurisée.

        Si nunux se généralise et que les services informatiques n'appliquent pas de règles de sécurité, ton nunux il vaut rien. Et toi tu es dangereux si tu donne un sentiment de confiance éxagéré à ces personnes (car ils ne se protégeront pas et pourront être une menace pour d'autres).

        Linux c'est un bon outil pour la sécurité parmi tant d'autre, mais l'outil ne fait pas le travail tout seul. Il faut arrêter d'entretenir le mythe sécurité = installer linux, car la sécurité est aussi un gros problème de politique de l'entreprise et de confiance dans les "experts". Dire installer linux = sécurité équivaut à dire avocat de nunux = pipoteurs. Et si tu pipotes, t'es pas crédible pour parler de sécurité. Et même sans connaître linux, les bons ingénieurs savent qu'un outil informatique est une condition presque nécessaire, mais non suffisante pour être en sécurité (une excellente serrure montée du mauvais côté d'une porte n'est pas très efficace). De même Unix n'est pas meilleur que W9K parce qu'il a été fait avec les compilos élevé au meilleur grain (outils) mais parce qu'il a été conçu par des génis avec une vie saine, et non par un surdoué aigri qui voulait devenir l'homme le plus riche du monde parce que les filles du secrétariat se moquaient de son appareil dentaire. (Et maintenant les secrétaires, elles pleurent
        1) de pas lui avoir mis le grapin dessus
        2) de devoir utiliser son OS
        )


        A noter qu'au niveau sécurité wintel sont les plus forts, pour t'obliger à mettre à jour ton OS (pour raison de sécurité) le hardware change lui tout les 6 mois.

        Perso, j'aime trop linux pour laisser des personnes le défendre avec des arguments d'une mauvaise foi aussi pitoyable. De la mauvaise foi si vous voulez, mais avec brio, s'il vous plaît.


        PS
        Allez comme exercice tu me copieras 100 x
        Défendre une cause avec de mauvais arguments c'est lui nuire de façon certaine.
      • [^] # Re: Nid à quoi ?

        Posté par  . Évalué à 4.

        Si tu as une conf par défaut avec une distrib actuelle tu n'as probablement aucun démon sensible qui tourne, et un parefeu entre toi et internet.

        Pas de démon sensible, faut voir quand même. Sur redhat il me semble que par défaut il te metttent sendmail ;-) Ils doivent même de mettre des merdes genre démon rpc :-))
        Chez mandrake pendant un moment, le fichier de conf apache était tous vérolé!
        Sinon t'as pas entendu parlé de problèmes de sécu récent dans openssl??
        Va faire un tour sur le site du cert si tu veux des exemples, tu verras que c pas spécialement joyeux.

        Faut arrêter de délirer maintenant. L'utilisateur lambda qui fait une install de base et qui ne met jamais rien à jour, dans 2 ans sa machine c une passoir.

        Quand à l'argument du firewall, c sur que c un bon début, m'enfin si un firewall s'était la solution miracle ça se saurait je pense :-)
        • [^] # Re: Nid à quoi ?

          Posté par  (site Web personnel) . Évalué à -2.

          « Quand à l'argument du firewall, c sur que c un bon début, m'enfin si un firewall s'était la solution miracle ça se saurait je pense :-) »

          Tu m'expliqueras comment une personne hostile peut créer des troubles sur l'ordinateur de popol (hé, c'est pas google.fr !) si le firewall filtre tout les INPUT d'internet et n'accepte que les connections initiées par l'ordinateur de popol.
          • [^] # Re: Nid à quoi ?

            Posté par  . Évalué à 6.

            La personne hostile met une page web avec un contenu qui profite d'une faille dans le browser de popol pour creer un remote shell depuis la machine de popol qui se connecte a l'exterieur.

            Resultat, c'est une connection sortante, le firewall laisse passer, et la personne hostile a acces total a la machine de popol.
            • [^] # Re: Nid à quoi ?

              Posté par  . Évalué à 1.

              Encore faut-il que popol ait un IE.

              [-1 pour mauvais esprit]
            • [^] # Re: Nid à quoi ?

              Posté par  . Évalué à 6.

              Une faille du client, un troyen, une backdoor, bref tout ce qui demandé ou exécuté par le poste client, initiera une connexion du LAN vers Internet.

              La solution a ce type d'attaque est très complexe et doit faire appel à une vraie politique de sécurité: antivirus, controle des programmes exécutés, filtrage de ports connus, mandataire (proxy), paramétrage (et suivi) serré du poste et pour finir une petite sensibilisation des neuneus utilisateurs.

              Bref, le firewall ne peut pas grand'chose face à ces attaques si on veut laisser un minimum d'ouverture aux utilisateurs (je ne te parle pas des firewalls à 2 balles qui font juste du NAT et qui offrent quand même une protection minimale, mais totalement inefficace contre ce genre de failles).
              • [^] # Re: Nid à quoi ?

                Posté par  (site Web personnel) . Évalué à 4.

                J'ai connu un sys admin rigide. Genre Je bloque tout avec un firewall, et je m'emferme dans mon bureau.

                Une partie des communications et des services était tellement contraignants pour les utilisateurs, que des modems ont commencer à émerger dans les bureaux connectés en 24/7 pour que les gens puissent accéder à leur données. Le réseau était hyper protégé ... en façade. Un réseau qui ne permet plus de communiquer ne sert plus à rien. Et la sécurité n'est finalement qu'un équilibrage entre coût de la restriction des fonctionalités (données perdus en enlevant les attachements de mail par exemple) VS gain liés à la prévention de risque (risque de recevoir un trojan).

                Le coût n'est ni déterminable par des ordinateurs, ni par des financiers avec une calculette, mais par des personnes à l'écoute des risques émergents, et des besoins de ces utilisateurs réels. C'est pour ça que je trouve ridicule l'idée de réduire des problématiques sécurités à des problématiques techniques.

                Tant qu'il y aura des hommes il y a aura des problèmes de sécurité. Supprimes les, et tu as la solution ultime.
                • [^] # tunnels

                  Posté par  (site Web personnel) . Évalué à 5.

                  Bah, le firewall offre une sécurité précise, mais encore faut-il en connaître les limites.

                  Comme le signale pBpG, les failles clients sont un problème que le firewall ne peut résoudre seul (enfin, il commence à y avoir des FW qui agissent aussi au niveau applicatif, mais bon ...)

                  Autre problème, les tunnels. Même si tous les INPUTs sont fermés, si tu as un seul port sur lequel tu peux te connecter en sortie, tu peux alors construire un tunnel et passer au travers du FW.

                  Le tunnel le plus classique :
                  http://www.nocrew.org/software/httptunnel.html(...)

                  Et plus drôle encore, tu peux parfois utiliser l'équipement même qui est chrgé de filtrer. Voir ce qu'on peut faire avec la méthode POST sur les proxies ...
          • [^] # Re: Nid à quoi ?

            Posté par  . Évalué à -1.

            oui c'est sur, pis si tu débranche le cable réseau qui va sur le réseau extérieur ben ta plus besoin de firewall du tout ;-)

            Le coup du je bloque tous ce qui rentre c bon pour le particulier qui surf sur le net (appelle le popol si ça te fais plaisir).

            Bloquer toute les connexions entrantes c pas réalisable pour de nombreuses entreprises. Si tu as des clients en général, il faut bien qu'ils puissent accèder aux services que tu leur propose sans que ce soit toi qui initie la connection.
          • [^] # Re: Nid à quoi ?

            Posté par  . Évalué à -1.

            explication alors :

            Messenger d'ouvert ?
            Irc ouvert ?
            ICQ ?
            un envoi de mail avec fichier attaché ?
            ...

            :)
    • [^] # Re: Nid à troll

      Posté par  . Évalué à 3.

      L'argument dans la pratique consiste moins à présenter un «effet de mode» dont le monde de l'entreprise n'a que faire qu'à proposer une solution réellement adaptée à ses besoins. A l'usage , pour une PME/PMI ou TPE, Linux permet de faire du sur-mesure que ne permet que très difficilement la gamme M$. L'entreprise (PME/PMI, TPE) comprend assez rapidement son intérêt à choisir du sur-mesure par rapport au prêt-à-porter M$. Plus une entreprise est petite, plus elle se doit d'être réactive et plus son informatique se doit d'être souple, modulable, fonctionnelle, opérationnelle et extensible. Quel système répond le mieux à ces critères ? ;) Ici, même si la problématique de la sécurité est capitale, la PME ne l'apprécie que très faiblement dans le choix de son équipement (hormis pour les liaisons VPN où là, il devient le premier critère de choix).
      • [^] # Re: Nid à troll

        Posté par  (site Web personnel) . Évalué à 5.

        C'est très amusant, quand on essaie de modéliser les comportements d'adoption on utilise souvent deux termes:
        - la valeur d'adéquation (ce produit me va)
        - la valeur d'usage (soit j'imite mon voisin pour être sûr que je ne vais pas faire pire, soit je fais le contraire car c'est un des rares paramètre sur lequel je peux me différencier et casser la baraque) (XOR)

        Mon expérience m'amène à penser que la valeur fantasmée du produit est en fait déterminante : la valeur affichée de l'entreprise est celle que je pense avoir donc j'achète ses produits.

        Je prend du IBM car je pense moi aussi être un poids lourd pérenne et rassurant
        Je prend du M$ parce que moi aussi mon Dieu c'est le flouze...

        Les entreprises se construisent un mythe de leur valeur, en l'achetant aussi auprès des autres.

        Ainsi, linux avec son image d'innovation à attirer IBM qui voulait se rajeunir.

        Le logiciel libre attire aussi les rigoristes qui pensent que le respect des normes est plus importants que le discours marketing ...

        Trouver la valeur du logiciel libre, parlez en, et miraculeusement il se vendra tout seul.

        Le côté tétra-capilectomie-longitudinale et droso-sodomitique, si on le pousse bien devrait nous faire adopter par les grosses administrations par exemple. :P
  • # Bah, tout le monde sait que...

    Posté par  . Évalué à 10.

    La solution miracle en matière de sécurité, c'est :

    http://users.skynet.be/bk240090/index.htm(...)

    [-1jesorsencourant]
  • # "Un pays, deux systèmes"

    Posté par  . Évalué à -10.

    "Un pays, deux systèmes"



    Pour pouvoir s'approprie la technologie des barbares
    blancs, moderniser son armée, et donc redevenir le
    centre du monde qu'ils ont toujours pensé être, les
    chinois du Parti communiste chinois ont lancé le
    socialisme de marché, qui combine une majorité
    d'économie dirigée, donc une dictature politique, et
    un peu d'économie libérale.

    Economie libérale surveillé de très prés pour que "la
    pourriture des valeurs occidental" ne la contamine
    pas.

    Ainsi le 17 juin dernier, le Parti a décrété la
    fermeture de tous les cybercafés de Pékin et des
    principales grandes villes du pays, suite à l'incendie
    d'un établissement clandestin.
    Des mesures prisent officiellement pour protéger la
    sensibilité des jeunes publics, notamment vis-à-vis de
    la pornographie. Mais pas de panique. Car si le Parti
    pensait que cette industrie devait disparaître, alors
    tous les cafés internet seraient fermés pour de bon et
    leur propriétaire au Goulag depuis longtemps. Ou une
    balle dans la nuque ?
    http://news.zdnet.fr/story/0,,t118-s2111979,00.html(...)


    Depuis le Parti exigent que tous les cafés internet
    installent des filtres logiciels sur leurs machines
    pour identifier, à coup sûr, chaque utilisateur. Il
    s'agit d'un logiciel intitulé "Filter King" ( Il n'a
    pas l'air d'être sous GPL), programmé pour détecter et
    signaler à la police le nombre d'internautes tentant
    tous les jours de se connecter sur des pages
    «illicites». En Chine, en effet, toutes les
    informations n'ayant pas reçu le visa de la censure
    d'Etat sont considérées comme subversives et y accéder
    est un crime. Aller voir ailleurs que dans le paradis
    communiste, quelle idée ! Le meilleur système au monde
    que tout le monde leur envi ! Parce que d'accord, ils
    sont pauvres en majorité, mais en Europe c'est pire.
    Puis sont égaux, et ça c'est vachement important de le
    répéter, dés fois qu'il y ai des doutes...
    http://news.zdnet.fr/story/0,,t118-s2118158,00.html(...)


    Mais il y a plus simple pour protéger les enfants et
    les travailleurs de la pornographie occidental.
    Verrouiller les moteurs de recherche. Ainsi trois cent
    portails internet opérant à partir de la République
    populaire de Chine (RPC) ont déjà "prêté serment" au
    gouvernement communiste de Pékin, en acceptant la
    censure politique sur tout contenu jugé subversif par
    les autorités. Yahoo compris.
    Non, la décadence occidental ne passera pas par la,
    Vive le Parti !
    http://news.zdnet.fr/story/0,,t118-s2119285,00.html(...)


    D'ailleurs, consulter internet, dans la société de
    l'information que nous promet le Parti Communiste
    Français, ça peut faire mal. Ainsi , un ancien
    policier avait consulté des informations subversives
    via l'internet : 11 ans de prison. Li Dawei a été
    reconnu coupable de s'être procuré plus de 500
    articles qualifiés de «réactionnaires» par le tribunal
    . Le silence des socialo communistes Français est
    assourdissant... De la à en conclure qu'ils
    approuvent... Comme je dis toujours, les communistes
    sont des gens sympathiques; Mais s'ils avaient le
    pouvoir ils nous extermineraient tous : Tibet.
    http://news.zdnet.fr/story/0,,t118-s2120492,00.html(...)


    Mais reste les moteurs basé à l'étranger.
    C'est en cour : Le Parti interdit l'accès au moteur de
    recherche Google.
    En effet ce moteur est le plus utilisé et de loin en
    chine. Mais il ne suit pas la ligne du Parti, qui
    entend utiliser Internet comme moyen de développement
    économique ainsi que pour la propagande communiste.
    Monumentale erreur ! Adieu Google !
    http://story.news.yahoo.com/news?tmpl=story&u=/ap/20020903/ap_o(...)

    Tiens, Altavista s'insurge contre la censure imposée par le gouvernement communiste.
    http://news.zdnet.fr/story/0,,t118-s2122180,00.html(...)



    En 2020, la Chine sera la nouvelle superpuissance du
    monde devant les USA.
    Apprenez le chinois, bonne après midi."
    • [^] # Re: "Un pays, deux systèmes"

      Posté par  (site Web personnel) . Évalué à -1.

      ta gueule adolphos... essaye au moins de poser tes étrons dans des news qui ont un vague rapport

      --
      i had a friend...
    • [^] # Tiens une vieille connaissance.

      Posté par  . Évalué à 5.

      Salut pwet.

      DEcidement, DaCode a un gros probleme: on peut recreer des comptes tant que l'on veut.

      Tu devrais pourtant avoir compris que ton proselytisme, personne n'en veut.

      Tu n'as donc aucun autre endroit sur internet ou aller?

      Ca devient fatigant, je trouve.
    • [^] # Faut dire que le communisme, ca pudutrouduku

      Posté par  . Évalué à -10.

      10 aout 1918
      "Camarades ! Le soulèvement koukak de vos cinq district doit être écrasé sans pitié.Les interêts de la révolution tout entière l'exigent, car partout la "lutte finale" avec les koulaks est désormais engagée. Il faut faire un exemple. 1)Pendre (et je dis bien pendre de façon que les gens le voient) pas moins de 100 koulaks, richards, buveurs e sang connus. 2)Publier leurs noms. 3)S'emparer de tout leur grain. 4)Identifier des otages comme nous l'avons indiqué dans notre télégramme hier. Faires cela de façon qu'à des centaines de lieues à la ronde les gens voient, tremble, sachent et se disent : ils tuent et continueront à tuer les koulaks assoifés de sang. Télégraphiez que vous avez bien reçu et exécuté ces instructions. Vôtre, Lénine. PS : Trouvez des gens plus durs."

      Editorial du Glaive Rouge, journal de la Tcheka de kiev
      "Nous rejetons les vieux systémes de moralité et d"humanité" inventé par la bourgeoisie dans le but d'opprimer et d'exploiter les "classes inférieur". Notre moralité n'a pas de précédent, notre humanité est absolue car elle repose sur un nouvelle idéal : détruire toute forme d'oppression et de violence. Pour nous, tout est permis car nous sommes les premiers au monde à lever l'épée non pas pour opprimer et réduire en esclavage, mais pour libérer l'humanité de se chaînes..Du sang ? Que le sang coule à flots ! Puisque seul le sang peut colorer à tout jamais le drapeau noir de la bourgeoisie pirate en étendart rouge, drapeau de la Révolution. Puisque seule la mort finale du vieux monde peut nous liberer à tout jamais du retour des chacals !"


      Ordre du jour n 171, en date du 11 juin 1921

      1) Fusiller surplace sans jugement tout citoyen qui refuse de donner son nom
      2)Les commissions politiques de district ou les commission politique d'arrondissement ont le pouvoir de prononcer contre les villages ou sont cachées des armes un verdict sur l'arrestation d'otages et de les fusiller dans le cas ou l'on ne rendrai pas les armes.
      3)Dans le cas où l'on trouverait des armes cachées, fusiller sur place sans jugement l'âiné de la famille.
      4)La famille qui aura caché un bandit dans sa maison est passible d'arrestation et de déportation hors de sa province, ses biens sont confisqués, l'aîné de cette famille fusillé sans jugement.
      5)Considérer comme des bandits les familles qui cachent des membres de la famille ou des biens des bandits et fusiller sur place sans jugement l'aîné de cette famille.
      6)Dans le cas de fuite d'une famille de bandit, répartir ses biens entre paysans fidèles au pouvoir soviétique et bruler ou démolir les maisons abandonnées.
      7)Appliquer le présent ordre du jour rigoureuseument et sans pitié.

      12 juin 1921
      "Les débris des bandes défaites et des bandits isolés continuent à se rassembler dans les forêts. (..) Les forêts ou se cachent les bandits doivent être nettoyés au moyen de gaz asphixiants. Tout doit être calculé pour que la nappe de gaz pénètre dans la forêt et extermine tout ce qui s'y cache. L'inspecteur de l'artillerie doit fournir immédiatement les quantités requises de gaz asphyxiants ainsi que des spécialistes compétents pour ce genre d'opération."

      4 avril 1933, lettre de Cholokhov à Staline.
      "Camarade Staline !
      Le district Vechensky, comme beaucoups d'autres districs du Nord-Caucase, n'a pas rempli le plan de livraison de céréales non pas à cause de quelque "sabotage koulak", mais à cause de la mauvaise direction locale du Parti..
      En décembre dernier, le Comité régional du Parti a envoyé, pour "accélérer" la campagne de collecte, un "plénipotentiaire", le camarade Ovtchinnikov. Ce dernier a pris les mesures suivantes :1)réquisitionner toutes les céréales disponibles, y compris l"avance" donnée par la direction des kolkhoze aux kolkhoziens pour l'ensemencement de la récolte future, 2) répartir pas foyer les livraisons dues par chaque kolkhoze à l'Etat. Quels ont été (..)
      Et voici quelques méthodes employées pour obtenir ces 593 tonnes, dont une partie était enterré...depuis 1918 !
      La méthode du froid...On déshabille le kolkhozien et on le met "au froid", tout nu, dans un hangar. Souvent on mettait "au froid" les kolkhozins par brigades entières.
      La méthode du chaud. On arrose les pieds et les rebords des jupes des kolkhoziennes de kéroséne et on y met le feu. Puis on l'éteint et on recommence.
      Dans le kolkhoze Napolovsky, un certain Plotkine, "Plénipotentiaire" du Comité du district, forcaitles kolkhoziens interrogés à s'allonger sur un poêle chauffer à blanc, puis il les "déchauffait" en les enfermant nus dans un hangars.
      (..)
      Je pourrais multiplier à l'infini ce genre d'exemple. Ce ne sont pas des abus, non, c'est la méthode courrante de collecte du blé...
      (..)
      Vous êtes notre seul espoir."

      Réponse de Staline à Cholokhov, 6 mai 1933
      "Cher camarade Cholokhov,
      J'ai bien reçu vos deux lettres. L'aide que vous avez demandée a été accordée. J'ai envoyé le camarade Chkiriatov pour démêler les affaires dont vous me parlez. Je vous demande de l'aider. Voila. Mais, camarade Cholokhov, ce n'est pas tout ce que je voulais vous dire. En effet, vos lettres donnent un tableau que je qualifierais de non objectif, et , à ce propos, je voudrais vous écrire quelques mots.
      Je vous ai remercié pour vos lettres qui révèlent une petite maladie de notre appareil, qui montrent qu'en voulant bien faire, c'est à dire désarmer nos ennemis, certains de nos fonctionnaires du Parti s'en prennetn à nos amis et peuvent même devenir franchement sadiques. Mais ces remarques ne signifient pas que je sois d'accord EN TOUT avec vous. Vous voyer UN aspect des choses, et vous ne le voyer pas mal. Mais ce n'est qu'UN aspect des choses. Pour ne pas se tromper en politique -et vos lettres, ce n'est pas de la litterature, c'est de la pure politique-, il faut savoir voir l'AUTRE aspect de la réalité. Et l'autre aspect, c'est que les respectés laboureurs de votre district -et pas seulement du votre- faisient grève, faissient du sabotage eet étaient prêtes à laisser les ouvriers et l'Armée rouge sans pain ! Le fait que ce sabotage était silencieux et apparemment pacifique (pas d'effusion de sang)-ce fait ne change rien au fond de l'affaire, à savoir que les respectés laboureurs manaient une guerre de sape contre le pouvoir soviétiques. une guerre à mort, cher camarade Cholokhov !
      Bien sur, ces spécificités ne peuvent justifier les abus qui ont été, selon vous, commis par nos fonctionnaires. Et les coupables devront répondre de leur comportement. Mais il est clair comme le jour que nos respectés laboureur ne sont pas des brebis innocentes, comme on pourrait le penser en lisant vos lettres.
      Allez, portez-vous bien. Je vous serre la main. Votre J. Staline"

      La grande famine de 1932-1933 a fait plus de 6 millions de morts.
      "Notre ouvrier soviétique a aujourd'hui un niveau de vie supérieur à celui de Berlin et de Paris." (Prop)


      Etc...

      Bon, HS -1 et - - - - - - ---->>>[EXIT]
  • # Les PME et professions libérales resteront-elles sous Windows ?

    Posté par  . Évalué à 6.

    Mon article concernait effectivement les PME, TPE et professions libérales, qui n'ont souvent aucune notions de sécurité, même les plus basiques.

    Je ne connais pas le pourcentage exact de ces entreprises par rapport au nombre de sociétés en France, mais si le secteur de l'artisanat est le premier employeur français, elles sont certainement majoritaires (et donc en nombre d'ordinateurs).

    Dès qu'un sujet aborde la sécurité, on en vient vite à aborder des sujets très techniques, et c'est un obstacle majeur à l'introduction de Linux dans les petites entreprises.

    Vous dites d'ailleurs à juste titre que le responsable d'une entreprise a d'autres chats à fouetter que de s'occuper du choix de son système d'exploitation.

    L'utilisation quotidienne d'un PC leur sert essentiellement à rédiger des courriers, établir des factures, consulter Internet : jusque là, tout va bien.

    Mais beaucoup utilisent un logiciel de comptabilité qui doi être identique à celui choisi par leur expert comptable.

    En ce qui concerne les professions libérales, elles utilisent des solutions propriétaires pour la gestion de leur cabinet : dentistes, médecins, avocats, experts comptables ....

    Pourtant, si elle étaient informées du coût réel de leur machine sur plusieurs années, elles devraient changer d'avis : achat de l'OS + maj, suite bureautiques +maj, antivirus +maj, nouvelles versions de logiciels, temps perdu...
    • [^] # Re: Les PME et professions libérales resteront-elles sous Windows ?

      Posté par  . Évalué à -2.

      Mais beaucoup utilisent un logiciel de comptabilité qui doi être identique à celui choisi par leur expert comptable.

      En ce qui concerne les professions libérales, elles utilisent des solutions propriétaires pour la gestion de leur cabinet : dentistes, médecins, avocats, experts comptables ....


      Oui mais tant au niveau des applis de compta que des applis spécialisées, il n'y a presque rien sous Linux. Le problème n'est donc pas "le libre face au propriétaire" mais plutot "je peux disposer d'une appli ou non". Ils sont donc, à moins de jouer avec Wine (ce qui me parait délicat dans un environnement de production), d'avoir du Windows.

      La conclusion est toujours la même: comment trouver une boite qui accepterait de développer un logiciel spécialisé sur Linux et en plus en libre? On atteint une limite: on peut adorer le libre à titre individuel et essayer d'y contribuer, une société de services peut participer à un projet qui lui sert à vendre du service et faire connaitre le libre mais quel intérêt pour une entreprise de développer un programme spécialisé (donc généralement assez lourd) à fonds perdus? Ou alors, pour promouvoir Linux il va falloir accepter une part de propriétaire.

      Cela étant, et j'en sais quelque chose pour l'avoir vu s'imposer dans mon entreprise, on peut vraiment travailler avec le libre: chez nous, 0% de proprio! ... mais certes, nous n'avons pas besoin de logiciels spécialisés (type médecins ou dentistes).

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n’en sommes pas responsables.