Journal Trois fois plus de vulnérabilités chez Linux que Windows

Posté par .
0
6
jan.
2006
"Trois fois plus de vulnérabilités chez Linux que Windows" tel est le titre d'un article de VNUnet.fr [1]

Cet article fait echo du rapport du US-CERT sur les vulnérabilités de l'année 2005 [2]

En gros, 812 alertes pour windows et 2328 du coté de linux. Bon, s'ils le disent, le mieux est quand même de vérifier pour voir pourquoi un telle différence.

Je regarde donc le rapport, et le truc qui me saute aux yeux rapidement est le nombre de rapport updated pour linux. J'ai l'impression que les rapports updated sont des rapports de mises à jours d'informations de vulnérabilités d'un rapport déjà émis (je me trompe?), donc dans ce cas je vois mal pourquoi on compterait 10 vulnérabilités (1 rapport et 9 mises à jour) pour 1 faille.

Alors, je prend ma souris magique. Je sélectionne toutes les failles windows et les mets dans un fichier : windows.txt
Avec la même souris magique (elle est super car elle garde sa magie), je sélectionne les failles linux : linux.txt
(PS: les failles linux correspondent aux failles linux + unix + macOsX)

$ wc -l windows.txt
814 windows.txt
Donc je trouve 814 failles pour windows

$ wc -l linux.txt
2330 linux.txt
Et 2330 pour linux/unix/macosX

Maintenant je vires les updated
$ grep -v -i updated linux.txt | wc -l
Soit plutôt 888 pour linux/unix/macosx

tiens c'est marrant, vu sous cet angle, le titre de l'article de VNUnet.fr ressemble à de la désinformation !


[1] Article VNUnet.fr : http://www.vnunet.fr/actualite/securite/bogues_et_correctifs(...)
[2] Rapport US-CERT : http://www.us-cert.gov/cas/bulletins/SB2005.html
  • # Conclusion ...

    Posté par (page perso) . Évalué à 10.

    ... on devrait apprendre à se servir de grep et wc même quand on est un journaliste[*] ;o)

    Et on ne parlera même pas de l'opportunité de cumuler les failles de systèmes différents...


    [*] oui je sais, le fait d'écrire des articles sur VNUnet.fr ne fait pas d'un individu lambda un journaliste... Le recoupement des infos et le regard critique sur les chiffres et leur signification sont bien rares de nos jours.
  • # Pour comparer des choses comparable

    Posté par (page perso) . Évalué à 10.

    Si tu ne comptes pas les updated pour les Unx/Linux, tu fais la même chose pour windows

    $ grep -v -i updated windows.txt | wc -l
    673

    N'en reste pas moins, que 3 fois plus de failles reste encore faux dans ce cas :)
  • # N'importe quoi

    Posté par (page perso) . Évalué à 10.

    Déjà contrairement à ce qu'ils disent, c'est pas linux/windows, c'est linux+unix(SCO, solaris,...)+mac / windows. Déjà comme comparaison ça me paraît douteux.
    Ensuite c'est pas les systèmes d'exploitation qu'on compare, c'est "l'ensemble" des logiciels tournant sur une plateforme contre l'ensemble tournant sur l'autre. Et c'est là que c'est vraiment n'importe quoi. Sur quelle base le CERT sélectionne-t-il les logiciels qu'il étudie? Sans parler du fait que certains logiciels "linux" tournent et sont utilisés sous windows.

    Enfin bref, j'ai rien contre les études comparatives, même si elles sont défavorables à linux; mais là c'est pas une étude, c'est un torchon, une honte!
    • [^] # Re: N'importe quoi

      Posté par (page perso) . Évalué à 10.

      Enfin bref, j'ai rien contre les études comparatives, même si elles sont défavorables à linux; mais là c'est pas une étude, c'est un torchon, une honte!
      Ce n'est pas une études comparative, juste la liste des "failles" trouvé et/ou corrigés, classé par OS.
      L'erreur de Vunet est de considérer comme un rapport une simple liste de liens permettant de retrouver la date de failles découvertes/corrigées en 2005.
      vnunet est un torchon qui fait un article en partant d'une liste de lien, mais l'erreur n'est pas, ici, le fait du cert.
      • [^] # Re: N'importe quoi

        Posté par (page perso) . Évalué à 3.

        vnunet est un torchon qui fait un article en partant d'une liste de lien, mais l'erreur n'est pas, ici, le fait du cert.

        Bien sûr que non! Mais j'ai jamais dit ça... Ce que je voulais dire, c'est que parler de faille "linux" pour une vulnérabilité sur un quelconque programme qui par hasard tourne sous linux ou de faille "windows" pour un problème sur un freeware quelconque dont personne a jamais entendu parler, c'est n'importe quoi. Et comme il est impossible de tester la sécurité des millons de logiciels existants, le cert fait forcément une sélection. Supposer que cette sélection est un échantillon représentatif de linux et windows, c'est quand même un peu n'importe quoi, non?

        Et de mon point de vue, même si le CERT n'a pas dit "trois fois plus de vulnérabilités dans linux", ils sont quand même un peu coupables, vu que c'est eux qui ont mis apple, et tous les unix ensemble, et que c'est eux qui ont classifié les logiciels par système d'exploitation. De là ils concluent "There were 5198 reported vulnerabilities: 812 Windows operating system vulnerabilities; 2328 Unix/Linux operating system vulnerabilities". N'importe quoi!
        • [^] # Re: N'importe quoi

          Posté par (page perso) . Évalué à 3.

          Bien, mettre dans le même panier Linux et BSD n'est pas forcément une bonne idées, mais si suis les liens, tu trouve, par exemple:

          http://www.us-cert.gov/cas/bulletins/SB05-355.html

          avec le détails des failles, les systémes touchés... Où l'on constate que beaucoup (tout est relatifs) de failles touchent à la fois les Unix classiques et les Linux
          un exemple: GNU gzip 1.2.4 a, 1.2.4, 1.3.3-1.3.5 :le bug touche Linux, Unixware...

          Cela permet de garder la page relativement peu chargé (imagine si pour chaque failles du Kernel Linux, il devait y avoir une entrée dans le tableau de chaque distribs touchées, un tableau par distrib sur chaque page)?

          Cette page est un rapide résumé, se baser dessus pour déterminer si leur boulot est correct est une erreur, et le rendre au pied de la lettre comme la fait vnunet, une connerie.
          • [^] # Re: N'importe quoi

            Posté par (page perso) . Évalué à 7.

            Reprenons ton exemple:

            un exemple: GNU gzip 1.2.4 a, 1.2.4, 1.3.3-1.3.5 :le bug touche Linux, Unixware...

            Un windows qui utilise gzip sous cygwin sera aussi touché. Doit-on en conclure que c'est une faille de windows? Non, ce n'est ni une faille linux, ni unix, ni windows, mais une faille de gzip, point. Et si gzip te plait pas, tu as qu'à utiliser une alternative, il en existe, même sous linux! exemple: http://www.info-zip.org/pub/infozip/UnZip.html
            Une comparaison qui aurait du sens, ce serait de comparer les logiciels de compression. Mais évidemment, c'est tout de suite moins porteur comme titre à la une: "GNU GZip a 3 fois moins de vulnérabilités que WinSoft TOTOZip!"
            • [^] # Re: N'importe quoi

              Posté par (page perso) . Évalué à 2.

              Un windows qui utilise gzip sous cygwin
              Non (enfin, je n'espére pas), pas plus qu'une faille de warcraft3 dans wine.
              Ce que je voulais dire, c'est que, puisque de nombreuses failles se retrouve à la fois sous Unix et Linux, les regrouper n'est pas toujours stupides. De la même manière, ils regroupent tout les windows, alors que certaines failles ne touchent qu'XP, ils mettent dans cette même catégorie les failles de logiciels ne tournant que sous windows...
              Ils traitent des failles découvertes sur les systèmes Unix, que celles ci soit le fait d'un soft ou du système même. Le nom "Unix/Linux operating vulnerabilities" est mal choisi, certes, mais je ne trouve pas leurs classement si inepte que ça.
              • [^] # Re: N'importe quoi

                Posté par (page perso) . Évalué à 3.

                > Un windows qui utilise gzip sous cygwin
                > Non (enfin, je n'espére pas), pas plus qu'une faille de warcraft3 dans wine.

                En tout cas il semble bien que Wine soit vulnérable à la faille WMF qui panique les windowsiens en ce moment...
            • [^] # Re: N'importe quoi

              Posté par (page perso) . Évalué à 2.

              Oui, par contre un BSD qui n'utilise pas GNU gzip (le man d'openBSD indique qu'il faut ici prendre le g de gzip pour "gratis" ;-) ne sera pas touché...

              Donc effectivement il ne faut pas tout mélanger!
    • [^] # Re: N'importe quoi

      Posté par (page perso) . Évalué à 3.

      Je suis d'accord sur le fond avec toi. Mais ce n'est pas le CERT qu'il faut mettre en cause mais l'article de VUnet !
      Le CERT n'a fait que reporter par type de plates-forme les problèmes rencontrés. Il n'en font aucune conclusion ensuite.
      Le problème de VUnet c'est que ce ne sont apparemment pas des mathématiciens et qu'ils additionnent allégremment des choux et des carottes (leurs institut-rices ou -eurs doivent être content !).
      Bref, pour "Linux", ils additionnent les failles de sécurité de FreeBSD, Mac OS X, AIX, HP/UX, etc. Mais aussi plein de logiciels dédiés à ces plates-formes. Mais qui les utilise tous en même temps ? Par exemple utilisez-vous (la plus part) le logiciel Carnegie Mellon Cyrus IMAP Server ? Surtout sur votre PC Linux "desktop" ! ;)

      Si l'on veut comparer Linux et Windows, il vaut mieux comparer juste les failles de sécurité du système d'exploitation (exit les failles sur Acrobat ou Winzip ou Bzip2, ou encore Mac OS X, etc.)

      Mais bon je vais arrêter la discussion ici car à chaque nouvelle analyse sur la sécurité dans la presse, j'ai ensuite l'impression de me répéter. :(

      Ciao,
      Jean-Christophe
    • [^] # Tour du monde

      Posté par . Évalué à 4.

      Evidemment l'info (la désinfo plutôt) fait le tout du monde.
      J'ai l'impression que l'article de ZDNet.co.uk prend un peu plus de recul quand même :
      http://news.zdnet.co.uk/internet/security/0,39020375,3924587(...)
      Et bien sûr, sur NewsForge, on monte au créneau :
      http://trends.newsforge.com/article.pl?sid=06/01/05/1627242&(...)

      Malgrés tout, je sens que mes collègues windowsiens fanatiques n'ont pas fini de m'en parler.
      [mode age=8ans]
      VNUnet rime avec papier toilette.
      [/mode]
  • # bon...

    Posté par . Évalué à 3.

    pour être honnete, il aurait aussi fallu faire de même avec windows.txt...

    mais ce qui est etonnant, c'est un tel différentiel...
    car c'est tout linux-unix-freebsd-os-x; Or, il aurait fallu faire diffrents groupes, quitte a faire des doublons.

    et toutes les failles n'ont pas le même niveau de dangerosité... le mieux aurait été un tableau avec différente colonne ( une par type de faille ), et plusieurs lignes : windows, linux ( sans proprio ), linux ( avec ), freebsd (sans proprio), feebsd(avec ), macOS-X

    et une colonne total...

    Bon c'est beaucoup de travail; mais ils sont pas payé pour ça?
    Car mettre toutes les distribs linux + macOs + freebsd dans un même sac ça fait fort le café.

    Il ne faut pas décorner les boeufs avant d'avoir semé le vent

  • # RMS avait prévenu !

    Posté par . Évalué à 5.

    Faut pas confondre Linux et GNU/Linux. ;-)

    Bon, là, ils ont fait encore plus fort, puisqu'ils ont appelé Linux tout ce qui n'est pas Microsoft si je comprend bien (OS et applicatifs compris)
    • [^] # Re: RMS avait prévenu !

      Posté par (page perso) . Évalué à 8.

      Ben ils parlent de "failles reconnus par Microsoft", j'en déduis que c'est les failles de windows + les logiciels MS, et non de windows + tout les logiciels que l'on peut installer dessus...

      Faisons la même chose avec, disons, Debian :
      http://lists.debian.org/debian-security-announce/debian-secu(...)

      The last update was on 08:00 GMT Thu Dec 29. There are 332 messages. Page 1 of 1.

      Donc 332 failles pour une distrib GNU/Linux contre 673 pour une "distrib" MS Windows... Sans considérer le nombre de logiciel livré par Debian face a l'offre commerciale de Microsoft sans doute beaucoup plus limité en nombre, si quelqu'un a le courage de faire le simple calcul...

      Bref, encore du bidon, venant de VNUnet ça ne surprends pas, le pire c'est que ça risque d'être repris par plein de journaux en ligne. Et vraiment pas le courage d'écrire pur la dixieme fois a VNU pour leur mettre le nez dans leur caca...
      • [^] # Re: RMS avait prévenu !

        Posté par . Évalué à 1.

        > Ben ils parlent de "failles reconnus par Microsoft", j'en déduis que c'est les failles de windows + les logiciels MS, et non de windows + tout les logiciels que l'on peut installer dessus...

        Oui, oui, c'est ce que je voulais dire. Je sais pas si on est dans le vrai, mais on est d'accord ;-)

        Sinon, oui, on va en etendre parler pendant un moment... J'attends d'ailleurs que quelques collègues viennent me charier avec cet article ;-)

        Sinon, on notera aussi la très belle :
        > Notons également que, parmi les failles Unix/Linux, l'US-CERT intègre celles de Mac OS X. En toute logique puisqu'il s'agit bien d'une déclinaison propriétaire d'un noyau Unix.
      • [^] # Re: RMS avait prévenu !

        Posté par . Évalué à 1.


        Bref, encore du bidon, venant de VNUnet ça ne surprends pas, le pire c'est que ça risque d'être repris par plein de journaux en ligne. Et vraiment pas le courage d'écrire pur la dixieme fois a VNU pour leur mettre le nez dans leur caca...

        T'as qu'as juste leur envoyer un lien vers ce journal.....
    • [^] # Re: RMS avait prévenu !

      Posté par (page perso) . Évalué à 2.

      c'est clair que par exemple, considérer une faille d'Acrobat dans le comparatif, c'est un peu abuser
      http://www.us-cert.gov/cas/bulletins/SB05-188.html#adobeunix(...)
  • # tant que ca ?

    Posté par (page perso) . Évalué à 7.

    Dans l'administration de mon parc de 50 machine windows (98 à XP) j'ais pas vu des centaines de vulnérabilités, mais j'en ai vu au moins 3 qui m'ont fait perdre des journées entieres, ont saturées le réseau, rendant le travail des machines non infectés difficile etc...
    et c'est ca que je retient.

    en vous remerciant
    • [^] # Re: tant que ca ?

      Posté par . Évalué à 5.

      t'es sûr d'avoir tout vu ? parce qu'on peut très bien vivre avec un serveur infecté d'un rootkit ou backdoor pour quelqu'un qui chercher à faire le plus de bond possible (phrase qui fonctionne pour tous les OS).
    • [^] # Re: tant que ca ?

      Posté par . Évalué à 3.

      T'as pas encore migré le tout sous Linux depuis le temps que tu traînes ici ?

      ;-)
      • [^] # Re: tant que ca ?

        Posté par (page perso) . Évalué à 3.

        figure toi que c'est pour cette année si tout va bien ;-)
        j'espere migrer les machines enqueteurs la moitié des serveurs.... (cherchez pas à comprendre)
  • # À propos du titre

    Posté par . Évalué à 1.

    Tu dis que « le titre de l'article de VNUnet.fr ressemble à de la désinformation ». Quelle est la différence entre l'article de VUNet et ton journal sachant que vous avez utilisé le même titre raccoleur ?

    « Je vous présente les moines Shaolin : ils recherchent la Tranquillité de l'Esprit et la Paix de l'Âme à travers le Meurtre à Main Nue »

    • [^] # Re: À propos du titre

      Posté par . Évalué à 3.

      Tiens d'ailleurs tu devrais faire part de ton analyse à VUnet sur leur forum. Ça peut toujours être utile.

      « Je vous présente les moines Shaolin : ils recherchent la Tranquillité de l'Esprit et la Paix de l'Âme à travers le Meurtre à Main Nue »

  • # Petites stats spécifiques à OpenBSD

    Posté par . Évalué à 5.

    $ lynx -dump http://openbsd.org/security.html| grep o |grep "2005:" | wc -l

    Donne 17 vulnérabilités dans l'année 2005 (toutes version confondues).

    C'est très loin quand même des 331 vulnérabilités dans Debian GNU/Linux et des 672 vulnérabilités dans Microsoft Windows.

    Enfin... OpenBSD n'a ni les mêmes objectifs que Windows (ou encore Debian), ni le même nombre d'applications.
    • [^] # Re: Petites stats spécifiques à OpenBSD

      Posté par . Évalué à 2.

      si je prends mon fichier windows.txt et que je ne prends que les vulnérabilités Microsoft:

      $ grep "* Microsoft" windows.txt | grep -v Update | wc -l
      120


      Idem pour Linux :

      $ grep -i linux linux.txt | grep -v Updated | wc -l
      114
    • [^] # Re: Petites stats spécifiques à OpenBSD

      Posté par . Évalué à 2.

      Hummmm... étant moi même un très grand fan d'OpenBSD, je serais presque d'accord avec toi. Cependant, les failles mentionnées ici ne concerne que la "distribution de base" et pas les différents packages que tu aurais pu installer en plus.
      Donc pour etre un chouia plus honnête, il faudrait comptabiliser les corrections des packages.
      • [^] # Re: Petites stats spécifiques à OpenBSD

        Posté par . Évalué à 1.

        Merci pour la précision!

        En ajoutant les OPSA disponibles sur "ports-security mailing list
        archives" on tombe sur ceci:
        En 2005: 53 vulnérabilités dans OpenBSD
        En 2004: 69 vulnérabilités OpenBSD

        Pour 2004, je ne suis pas certain car il semble que l'archive de la ml ne soit pas complète.
      • [^] # Re: Petites stats spécifiques à OpenBSD

        Posté par . Évalué à 10.

        Ta remarque me fait penser à (encore) une autre limite du comparatif.

        La plupart des failles indiquées sur cette page sont des buffers overflows. Or on sait qu'ils sont quasiment inexploitables sur OpenBSD (W^X, propolice, stackghost, toussa).

        Ce type de "failles" est aussi devenu très dur à exploiter sur certaines distribution de GNU/Linux (type trustix, debian hardened, ou gentoo dans certaines configurations...). D'autres protections, éventuellement actives par défault, peuvent aussi mitiger les risques (par ex. SELinux).

        Ces problemes logiciels ont pourtant fait l'objet d'annonces et de corrections par les distributeur. À l'inverse les failles des produits MS sont généralement reconnues publiquement lorsque quelqu'un aprouvé leur criticité (d'ailleur il serait dur d'assertir qu'on a affaire à un buffer overflow dans une partie potentiellement sensible d'un programme lorsqu'on ne dispose pas du source pour le prouver).

        Il y a donc un sérieux très différent dans la façon d'annoncer et corriger les erreurs: dans certains cas on considère des problèmes très hypothétiques comme des "failles de sécurité", dans l'autre on se montre beaucoup plus discret.

        Celà doit bien affecter les statistiques.
        Combien de failles prouvées par des exploits pour la plateforme windows ? pour une plateforme GNU/Linux "hardened" ? pour OpenBSD ?

        Et bien sûr il faudrait une comparaison à fonctionalités equivalentes. Par exemple pour un serveur web + sql + dns + mail "typique".
        Les annonces de sécurité Debian ou Mandriva concernent un système contenant plusieurs milliers de logiciels. Combien de logiciels on étés pris en compte pour la comptabilisation des failles Windows ?
  • # J'ai halluciné

    Posté par . Évalué à 3.

    ...quand j'ai vu ton journal car j'aivais eu la même idée que toi (wc powa!).
    Sauf que je me suis dis que ce n'était qu'un Troll (Vu les commentaires intéressants j'avais tord) et je n'ai rien posté.

    Je me permet de rajouter quelques tests supplémentaires :
    ~$ cat windows.txt|grep [fF][tT][pP] |wc
    47
    ~$ cat linux.txt|grep [fF][tT][pP] |wc
    40
    ~$ cat linux.txt|grep [wW][eE][Bb] |wc
    48
    ~$ cat windows.txt|grep [wW][eE][Bb] |wc
    61
    Ou l'on voit que en temps que serveur web Linux est mieux mais qu'il vaut mieux ne pas avoir besoin de SSH ou de RPC.
    Et les derniers :
    ~$ cat windows.txt|grep pdf|wc
    0
    ~$ cat linux.txt|grep pdf|wc
    29
    Wow ! Windows est plus sèciûre pour lire des PDF !!!
    J'ai bon ?

    Sinon le rapport
    Bug trouvés / Bug MAJ
    Aurait du mettre la puce à l'oreille de Nuvet.
    J'ai faillit les déRSSisés mais finalement je crois que je vais continuer à les surveiller.


    N.B. : Je sais que mes tests sont nuls mais c'est eux qui ont commencés.
    • [^] # Re: J'ai halluciné

      Posté par . Évalué à 5.

      Mais dis moi, tu pourrais entrer au palmarès des UUOC :)

      http://www.ruhr.de/home/smallo/award.html
      • [^] # Re: J'ai halluciné

        Posté par . Évalué à 5.

        En même temps j'écris en ligne de commande comme je pense.
        Dans un script je réfléchis à la méthode mais en ligne de commande le but c'est d'être le plus rapide à taper le bouzin.

        Je pense :
        Il faut que je prenne dans le fichier linux.txt les lignes avec "FTP" pour les compter
        alors j'écris
        cat linux...
        J'aurais pu penser autre chose.
        Et j'aurais écris autre chose.
        Mais je ne l'ai pas fait.
        Malgré que je sois célibataire, je ne souhaite pas être _poétique_ en Bash.

        Sinon merci pour le lien je le lirai quand même, ça peut pas faire de mal®.
        Ça m'aidera; pour mes scripts.
        • [^] # Re: J'ai halluciné

          Posté par (page perso) . Évalué à 6.

          Et aussi, pour "grep [fF][tT][pP]" :

          grep -i ftp
          • [^] # Re: J'ai halluciné

            Posté par . Évalué à 5.

            Et pour compter, un grep -c suffit, pas besoin de piper vers un wc -l
          • [^] # Re: J'ai halluciné

            Posté par . Évalué à 3.

            certe mais avec la premiere version [fF] tous le monde comprend de quoi il s'agit.

            avec l'option -i j'aurais du lire le man pour savoir de quoi il s'agit
            • [^] # Essayons la poésie :

              Posté par . Évalué à 4.

              Un grand Merci dark_star
              Tu me sauves et illumines mon soir !
              Et comme il est minuit et demi
              Je m'en vais au lit.
              :)
  • # preum's !

    Posté par . Évalué à 2.

    Je tiens à signaler (ah si, quand même, pour une fois j'ai quelque chose à dire) que j'avais déja remarqué la chose, et que j'en avais fait profiter les gens du site infos-du-net, qui avaient eux aussi publié une news à ce sujet.

    Évidemment, ce commentaire s'adresse à un public tout à fait différent, et le style n'est donc pas comparable (surtout qu'en vulgarisant on a souvent tendance à dire des bêtises), mais le contenu est là : http://www.infos-du-net.com/actualite/commentaires-6026.html

    Si je poste ce commentaire, ce n'est pas pour me mettre en valeur (mais non...), mais surtout parce qu'à l'époque je m'étais posé la question de parler de ça sur linuxfr, et je m'étais dit que tout le monde aurait probablement remarqué.

    Visiblement ce n'est pas le cas, et je me pose maintenant la question de "qui a vu ca ?". Étant donné que la différence est tout à fait notable (maintenant je ne suis même pas sur que ce CERT soit conscient de la formidable imprécision que constitue son paragraphe explicatif), peut-être qu'il faudrait en parler un peu plus.
    • [^] # Re: preum's !

      Posté par . Évalué à 1.

      la désinformation continue :
      http://www.pcentraide.com/index.php?showtopic=9542
  • # Définition de vulnérabilités...

    Posté par (page perso) . Évalué à 10.

    salut,

    tout le monde ici compare les failles listés dans ces fichiers en enlevant des lignes, en ne comptant que le noyau linux, ou que les progs d'une distrib donnée, etc.

    Mais y a un autre point aussi qu'on ne met pas en avant. C'est la stratégie de détection des failles Microsoft vs Logiciels Libres.
    En effet, deux choses:

    - d'une part, peu de gens dans la communauté windows peut relever une faille, car ils ne la verront pas, ou le programme plantera simplement. Au mieux, ils iront en discuter dans des forums, ou essaieront de contacter Microsoft, qui sait? Mais personne ne pourra vraiment détecter la cause précise de la faille dans beaucoup de cas, voire même ses conséquences exactes, et même les programmeurs ne pourront pas "enquêter" dessus, puisqu'y a pas de code source.
    Par conséquent les failles qui se font vraiment connaître dans le monde proprio sont les failles très claires (notamment aux causes et conséquences explicites même sans le code source), ou très dangereuses (donc dont on parlera beaucoup dès qu'on les découvre).
    Donc bon, bien moins de personnes sont susceptibles de rapporter des failles avec un code fermé, et même on peut se demander si bcp de vulnérabilités ne sont pas zappées, ou bien réparées l'air de rien sans prévenir le public.

    - En outre, faut voir aussi ce que l'un et l'autre appellent des failles critiques, mineures, etc. Bon en l'occurence, là l'article cherchait pas à faire la diff. Mais bon faut qd même voir qu'un logiciel Libre n'a pas peur des grands mots, car il veut de la qualité avant tout. Un programmeur Libre trouve une faille très importante, il l'appellera critique, pour dire qu'il veut ça réparé vite. Maintenant une boîte proprio va éviter de trop alerter les foules, donc à moins que la faille soit clairement très dangereuse, ils vont pas hésiter à minimiser la chose.
    Même si la faille peut être chiante, tant qu'elle est pas TRÈS chiante ou dangereuse, c'est mineur.

    Il faut bien voir que les 2 modèles ne sont définitivement pas le même modèle de développement, de gestion et réparation des bugs. Dans le modèle Libre, les utilisateurs et contributeurs sont appelés à rapporter honnêtement et clairement la moindre faille trouvée dans le programme immédiatement, et les développeurs tentent de les réparer dès que possible. Dans un modèle proprio, le culte du secret est qd même bien plus courant comme principe de sécurité (si personne connaît la faille, on s'en fout), et en plus les vulnérabilités considérés comme non-critiques peuvent se traîner des mois sans que les dévs s'en préoccupent).
    Il faut bien se rendre compte que des failles st régulièrement découvertes encore ds des logiciels proprios des années après leur sortie, soit d'autant plus de temps pour les gars qui veulent exploiter malicieusement ces failles (lesquels pourraient en avoir découvert sans le dire). Il suffit de prendre un produit comme IE, dont la dernière version publique date de 2001, ben wé, ils avaient arrêté le dév, et pourtant 5 ans après, y a tjrs très régulièrement des patchs de sécurité, dt certains critiques! J'ai essayé de retrouver sans succès un article qui parlait d'une faille qui avait traîné des mois car Microsoft la considérait comme mineur, jusqu'à ce que des gens trouvent le moyen de s'en servir dangereusement sur des sites web, et c'est devenu une faille critique qu'ils ont été forcé de réparer dans l'urgence... Forcément ils ont laissé le truc traîner car ils s'en foutaient!
    Franchement, ce sont tous ces détails qu'ils faut voir, et qui font que je fais bien plus confiance à qqch comme des logiciels Libres, où le but est réellement de réparer les failles, et d'avoir un développement le plus transparent possible, plutôt qu'un culte du secret ou de la minimisation commerciale pour rassurer les gens, mais en réalité laisser d'autant plus de marge aux gens qui savent exploiter ce secret.

    Et c'est aussi pourquoi pour moi, tous ces chiffres (en plus des diverses choses qui ont été dites ici, et pr lesquelles je suis d'accord) ne signifie pas grand chose à mon sens.

    Allez, à bientôt.

    Film d'animation libre en CC by-sa/Art Libre, fait avec GIMP et autre logiciels libres: ZeMarmot [ http://film.zemarmot.net ]

  • # N importe quoi les failles

    Posté par . Évalué à 6.

    Je ne suis pas un grand expert en securité informatique, mais j' ai vu 6 "failles" sur pwmconfig (avec les updates).

    Je vous explique: pwmconfig fait partie de lm_sensors, c' est un script perl qui permet de configurer fancontrol pour gérer le refroidissement de la machine (en créant /etc/fancontrol.conf). Ce script ne peut être utilisé QUE par l' admin .
    Je n' ai utilisé ce script qu' une fois sur un sony vaio desktop (trés utile soit dit en passant), et pourtant j' en vois du matériel .

    Résultat donc : 6 "failles" (low risk heureusement). J' aimerais bien voir un admin pirater sa propre machine avec cette faille , juste pour rigoler.....
  • # la désimformation ca marche à fond

    Posté par (page perso) . Évalué à 3.

    Ici on prêche des convertis, mais il y a pleins de neu² qui vont prendre ca pour argent comptant.

    En plus ce genre d'article est repris par une foule de sites d'informatique.
    Et on peut toujours aller sur les forums windowsiens resortir les meilleurs arguments possibles certains feront toujours plus confiance à Vunet qu'a ceux qu'ils considère comme des "intaigristes de mauvaise foi".

    Lorsque symantec qui édite des anti-spyware compatible uniquement avec ie, raconte que ce dernier est plus sûr que firefox, il y a des milliers de neu² qui y croient.
    • [^] # Re: la désimformation ca marche à fond

      Posté par . Évalué à 3.

      d'un autre cote, c'est pas en les traitant de neuneus qu'ils vont t'ecouter, hein.

      Si tu commencais par respecter les gens qui ne sont pas experts en Systeme, peut etre qu'eux aussi te respecteraient et t'ecouteraient par la meme occasion.
  • # Etrange

    Posté par . Évalué à 3.

    Si je regarde un peu plus précisément, en prenant l'exemple de toutes les applications PHP comportant des failles sont comptabilisées pour Linux/Unix/Consorts

    Or, les applications PHP tournent aussi sous Windows, pourquoi les créditer à un seul OS ?

    On peut suivre le même raisonnement pour d'autres applicatifs multi plates-formes.

    Ce qui confirme bien que 30% des statistiques sont fausses.

    Si vous n'aimez pas ce commentaire c'est qu'il est ironique.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.