Ah mais... si j'ai une image VMWare avec disons Suse dedans, en theorie je peux lancer la meme image 200 fois voire plus en meme temps, je peux voter 200 fois ? :)
Contradiction, pour qu'un virus se propage, il faut bien que cela se fasse de façon facile et automatique.
Une fois qu'un codeur l'a fait, c'est automatique et facile. L'ecrire la premiere fois prend de l'effort, le lancer et le voir se propager ca prend rien du tout.
Exact, sous windows on n'a pas vraiment besoin d'exploits, il suffit de profiter des erreurs de programmation liées à la complexité du système (exemples de l'exécution de programmes par la librairie wmf, des problèmes de mozilla avec le shell win32, et d'outlook express qui execute du code automatiquement).
Je te l'ai montre plus haut, Linux souffre des memes maux, quand a mettre la faute du probleme de Mozilla sur l'OS, je trouves ca assez rigolo, c'est si dur que ca d'accepter qu'un soft libre a fait une erreur ? Tes histoires de complexite du systeme sont du vent, plutot que lancer des grandes phrases, pourquoi est-ce que tu ne donnes pas des exemples precis ou le systeme est trop complexe ? (a differencier d'une erreur de codage, ce qui arrive chez tout le monde, comme dans le cas du WMF ou ils ont oublie de faire une verification et dans le cas de Mozilla ou ils lancent n'importe quel handler sans verifier ce qu'il est)
Les exploits c'est pour les vers, pas les virus, l'argument est donc de toute façon un peu hors sujet à la base.
Pas vraiment, ou est la limite entre un ver et un virus ? Si un virus passe par une faille de ton systeme et s'incruste dans tes fichiers, tu appelles ca comment ? ver ou virus ?
Encore une affirmation gratuite (sans fondement technique), qui rappelle le message sur l'absence de diversité des distributions Linux.
Non c'est une realite, plus il y a de portes, plus il y a de possiblites d'entrer, ca coule sous le sens.
Par exemple, le programme openssh est divisé en deux parties, dont une qui surveille l'autre. En cas d'exploit, la partie sensible est immédiatement stoppée. Autre exemple, la compilation des programmes C avec protection de pile (noexec) , ou les pages non exécutables.
Super, noexec et les pages non executables ca s'evite mon cher, pas facile mais faisable. (en notant que ces 2 elements sont presents sous Windows, ca n'arrete pas les exploits).
Le code source des logiciels libres étant public, n'importe qui peut l'auditer. De nombreux bugs mineurs et inexploitables sont corrigés de cette manière. Au contraire, quand Microsoft publie un bulletin de sécurité, seuls les failles critiques et exploitables sont notifiées. J'ai bien l'impression que de très nombreux bugs (failles inexploitables) sont marqués comme « faille de sécurité ». Je le sais car je suis à l'auteur de quelques bulletins de sécurité.
Tu regardes le graphe des vuln. et tu verras que simplement en gardant les vulnerabilites severes, Linux en a plus.
Quand a marquer des bugs simples comme failles, autant je peux imaginer que certains auteurs de softs le fassent, autant j'ai enormement de mal a imaginer Redhat faire ca, notamment car ils ne vont certainement pas forcer leurs utilisateurs a upgrader leurs softs(et tous les tests que cela signifie) pour un simple bug.
Si Redhat/Suse/... sortent un patch de securite, c'est qu'il y a un reel risque, tout comme chez MS.
Si elles ne sont pas connues on ne les patche pas evidemment, mais fort est ce constater que des failles non connues il y en a ou peut y en avoir dans les 2 systemes, bref ca s'equilibre.
Ben si il avait lu la methodologie employee il aurait vu qu'il y a 2 graphes : un avec tous les elements de la distrib, et un autre avec uniquement les elements qui ont un equivalent dans Windows.
A) Idem sous Windows, c'est pas vraiment un probleme d'habitude
B) Parce que Linux c'est toujours une part infinitesimale du marche
C) Une fois la consolidation faite, ca sera le meme compilo, a peu pres les memes versions, ... et noexec il est sympa mais sur un systeme desktop grand public j'ai hate de voir
Ces problèmes de conception sont absents des programmes et des bibliothèques open-source, excepté pour le cas d'OpenOffice.org (macros). Il y a bien une protection intrinsèque à utiliser Linux et autres systèmes libres.
Quedalle, la 1ere est dans Mozilla, la derniere a des equivalents dans OpenOffice, reste celle de WMF qui est un format d'image, et dieu sait combien de failles ont ete trouvees dans libjpg, zlib, ... qui sont utilisees par les differents viewers sous Linux
Plus il y a de vulnirabilités qui ont été corrigé, plus la sécurité dudit système d'exploitation est considéré comme faible Oo.
Autant dire qu'il y a un sérieux, très sérieux problème de logique.
Non c'est tout a fait logique. Plus il y a de vulnerabilites, plus ton systeme a eu de failles.
En plus, ils oublient par magie que le système de corrections des distributions est universel a tout les logiciel, quand Microsoft ne corrige que Microsoft.
Gni ? Il compte les patchs que Redhat distribue pour Redhat, qu'Ubuntu distribue pour Ubuntu, il ne les additionne pas tous ensemble.
UPDATE 03/29/2007] Ubuntu 6.60 LTS. Stats for Ubuntu will include the default client installation software (not the server CD), excluding packages that do not have equivalents on Windows, such as bittorrent, evolution, gimp, openoffice and thunderbird.
[UPDATE 03/29/2007] Novell SLED10. Stats for SLED 10 will include the default set of packages, excluding packages that do not have equivalents on Windows, such as gimp, ImageMagick, mono and openoffice.
Red Hat Enterprise Linux 4 AS (rhel4as). Stats for rhel4ws will include only the minimum required installation group packages, plus the package groups necessary to build basic server configurations: file server, print server, network server, and basic web server. X-Graphics, Gnome, Firefox, OpenOffice, Sound-n-Video and other optional packages are explicitly excluded from analysis in order to grant Red Hat the benefit of the doubt for its modularity. MySQL is also excluded since Windows Server does not ship with SQL Server included.
Cette étude ne parle pas d'attaques, elle dit que IIS sert deux fois plus de malware qu'Apache. Pour qu'un serveur Web serve des malware, il faut qu'il (ou le serveur) ait été compromis ou que l'admin les ait mis sciemment sur son site...
Tout a fait
Et puis d'un côté tu dis que plus on a de parts de marchés, plus on est attaqué, de l'autre tu dis que l'étude montre qu'Apache est moins attaqué. Faudrait savoir...
Apache est probablement plus attaque qu'IIS, le truc c'est qu'IIS il tourne sous Windows. Comme montre plus haut, il n'y a pas vraiment de failles (connue du moins) utilisable dans IIS pour entrer, il est donc probable que l'intrusion soit faite d'une autre maniere.
Si c'est le serveur (pas Web) qui a été compromis, ça veut dire que MS Windows/IIS est plus vulnérable que {Linux/xBSD/MS Windows/etc.}/Apache. Le dénominateur commun c'est MS Windows, pas très glorieux non plus...
Si tu regardes le graphe de Google au bas de la page, tu verras que la part des IIS infectes dans les pays de l'ouest est plus petite que la part de marche d'IIS proportionellement. Par contre en Chine/Coree du Sud c'est l'inverse, quasiment tous les serveurs infectes sont sous IIS.
Google donne une partie de l'explication.
We suspect that the causes for IIS featuring more prominently in these countries could be due to a combination of factors: first, automatic updates have not been enabled due to software piracy (piracy statistics from NationMaster, and BSA), and second, some security patches are not available for pirated copies of Microsoft operating systems. For instance the patch for a commonly seen ADODB.Stream exploit is not available to pirated copies of Windows operating systems.
C'est loin d'être évident ce que tu dis si on considère les visites sur les sites respectifs des distributions¹ :
Au jour d'aujourd'hui oui c'est normal, car le monde Linux c'est principalement des geeks qui essaient differentes distribs, ...
Mais le truc dans le monde du soft, c'est qu'il y a consolidation, et c'est d'ailleurs une condition sine qua non pour que Linux se repande sur le desktop, car les editeurs ne vont pas s'amuser a supporter 10 distribs differentes.
Ça voudrait dire que Ubuntu tient entre 50% et 75% du marché desktop Linux, c'est complètement irréaliste vu les chiffres actuels. Enfin, Mark Shuttleworth sera heureux de l'apprendre en tout cas :)
C'est probablement ce qui va se passer, ce sera peut-etre pas Ubuntu qui sait, mais il va y avoir consolidation et un gros acteur va emerger. Sans consolidation, le resultat sera une fragmentation, et on sait ce que cela a donne pour les Unix.
Sans compter qu'il faut aussi choisir la version d'Ubuntu à laquelle s'attaquer, avec une sortie tous les six mois, ça réduit encore la marge.
Ca c'est un detail, Windows il y a 2000, XP, 2003, Vista et les differents niveaux de patch/service pack, ca semble pas les gener.
Après il faut trouver l'appli la plus utilisée, sachant qu'il n'y a pas là non plus de monoculture, ça devient extrêmement compliqué.
La aussi il va y avoir consolidation, les gens utilisent ce que leurs voisins utilisent le plus souvent.
Des browsers bases sur le moteur d'IE il y en a des dizaines, qui proposaient souvent des trucs genre pop-up blocker, tabs, ... avant IE, quasiment tout le monde utilise uniquement IE pourtant, il se passera la meme chose avec Ubuntu ou la distrib qui prendra le marche.
ça on n'en sait rien. Il y'a eu beaucoup moins de failles publiées oui peut-être. ça ne veut pas dire que le produit est plus robuste et moins vulnérable aux attaques.
En 3 ans, une seule faille publiee qui permette un acces au systeme, et encore, dans des conditions tres particulieres(faut que l'utilisateur puisse uploader des pages ASP sur le serveur).
Alors tu me diras, quid des failles non publiees ? Ben effectivement, peut-etre qu'il y en a, mais il peut y en avoir pour Apache aussi, et force est de reconnaitre qu'en 3 ans personne n'en a publie alors qu'elles etaient publiees pour IIS <6, qu'elles sont publiees pour Apache et tous les chercheurs qui d'habitude les publient (et il y en a un tas) n'ont rien trouve pour l'instant. Partant de la, ca donne une indication assez claire quand a la robustesse du jouet.
Pas plus protégé en termes de failles, mais certainement plus protégé en termes d'exploits. Il suffit de connaître des utilisateurs MS Windows et Linux pour s'en rendre compte.
En terme d'exploits non, en terme d'exploitation de masse il est ignore parce qu'il n'est pas repandu du tout, il est pas protege pour autant intrinsequement.
C'est clair que vu la diversité des systèmes et des applications, l'utilisation massive des librairies partagées et la rapidité des corrections ainsi que l'utilisation généralisée de comptes sans privilèges pour les tâches courantes, je vois vraiment pas par où je pourrais commencer si je voulais écrire du code malveillant ciblant des desktops Linux.
A) Les comptes proteges ne changent rien du tout, si tu es sous Evolution dans ton compte sans privilege et qu'un virus passe a travers, t'as beau etre sans privileges, le virus s'installera dans ton compte et se mailera lui-meme grace a ton address book.
B) La diversite n'est en plus vraiment une, Ubuntu fait un malheur, Redhat de meme sur les serveurs, Mandriva tend a disparaitre gentiment, Debian c'est pour les geeks qui aiment uniquement.
C) Les libs partagees c'est idem partout, ca n'y change rien.
Si tu voulais ecrire du code malveillant pour desktops Linux aujourd'hui c'est simple, tu le ferais pas parce que la cible est trop petite et trop elitiste pour etre interessante(nbre de neuneus sans patchs qui lancent des trucs qu'il faut pas est tres faible).
Si demain Linux a 20% de parts de marche desktop, ca deviendra tout de suite bcp bcp plus interessant par contre, parce que ca voudra probablement dire que 10-15% du marche au moins est Ubuntu, ca te fera 1 cible, tout comme avec Windows.
Ce en quoi tu as parfaitement raison, mais il n'a jamais dit qu'Apache avait moins de failles que IIS. Il a seulement dit que IIS était plus vulnérable et que le taux de réussite d'attaque sur IIS était tellement plus élevé que sur Apache qu'il compensait sa plus faible utilisation. Faille != exploit...
L'un vient avec l'autre, plus t'as de failles plus tu es vulnerable. Si tu n'as pas de failles ca va etre dur de te passer a travers. 80% des sites sous IIS sont sous IIS6, IIS6 a eu _une_ vulnerabilite permettant l'acces au systeme : http://secunia.com/advisories/21006/ et c'etait uniquement accessible a ceux qui peuvent uploader de l'ASP sur le site.
Partant de la, IIS6 est dans un certain sens pratiquement invulnerable niveau failles connues, les machines sous IIS qui lancent du spam ont probablement ete compromises par d'autres sources.
L'etude Google dit que les serveurs IIS distribuent plus de malware, oui, je ne vois pas ce que ca montre d'autre. Si les serveurs Apache sont moins attaques, ils serviront moins de malware, cette etude Google ne dit en rien qu'ils sont plus ou moins vulnerables, simplement plus attaques.
sans dire à quoi tu le comparais (Oracle, DB2, MySQL, PostGreSQL, FireBird, etc. ?)
Il parlait d'Oracle, donc evidemment je parlais d'Oracle.
Les librairies de base les plus communes dans la majorité des distributions Linux sont le plus souvent exemptes de ces types de bugs (libc ..), même dans le cas de programmes utilisant des languages facilement exploitables (utilisation de la Glib). Et la diversité des versions (évolution rapide du développement libre) limite fortement l'éventuelle utilisation des ces bugs.
Oh mais je te rassures c'est la meme chose sur a peu pres toutes les plateformes, principalement parce que ces libs de base donnent uniquement des fonctionnalites de base assez faciles a implementer (strcpy, memcmp, ...)
Les failles elles sont le plus souvent dans le soft lui-meme ou dans des libs au code assez complexe (zlib par exemple).
La diversite des versions c'est de moins en moins le cas, Ubuntu sur le desktop, Redhat sur le serveur sont les gros elephants, et plus Linux se repand sur le desktop plus ce sera pousse, car on sait tous que les gens installent ce que leurs voisins/copains leur recommande(comme Windows).
L'évolution des applications open-source se dirige aussi vers l'emploi de nouveaux languages qui permettent de limiter tant les problèmes classiques (buffer overflow) que de réduire la quantité de code (exemples de vala, de qt jambi ou de gtk sharp).
Tout comme Windows, mais on est encore tres tres tres tres tres loin d'avoir des systemes ou le code est en majorite protege contre ces problemes.
En somme, la diversité des applications ainsi que la qualité des programmes et des librairies sous Linux limitent non seulement la propagation d'éventuels virus mais aussi l'apparition de ceux-ci (la popularité du système a donc peu à voir).
Oh que non, suffit de passer sur securityfocus.com chaque jour pour se rendre compte que Linux n'est pas plus protege que les autres.
Pretendre que c'est totalement decrit et dire juste en dessous que certains elements n'existent dans aucune documentation c'est assez fort mais visiblement tu n'es plus a une contradiction, ni une betise!
Histoire de demontrer clairement que tu detournes les mots et est d'une mauvaise foi crasse je vais citer mes propres mots :
Il est tout autant decrit qu'ODF
Ce qui veut dire qu'il l'est tout autant qu'ODF, pas forcement plus, et nulle part il n'est dit qu'ODF est totalement decrit.
Je me demandes, t'arrives encore a te regarder dans un miroir ? Parce qu'une mauvaise foi pareille ca doit pas etre facile de vivre avec au jour le jour.
[^] # Re: Données importantes...
Posté par pasBill pasGates . En réponse au journal Résultat du sondage DesktopLinux sur l'utilisation de Linux à la maison. Évalué à 2.
[^] # Re: Idée reçue à combattre
Posté par pasBill pasGates . En réponse à la dépêche Les virus sous Linux. Évalué à 1.
Une fois qu'un codeur l'a fait, c'est automatique et facile. L'ecrire la premiere fois prend de l'effort, le lancer et le voir se propager ca prend rien du tout.
Exact, sous windows on n'a pas vraiment besoin d'exploits, il suffit de profiter des erreurs de programmation liées à la complexité du système (exemples de l'exécution de programmes par la librairie wmf, des problèmes de mozilla avec le shell win32, et d'outlook express qui execute du code automatiquement).
Je te l'ai montre plus haut, Linux souffre des memes maux, quand a mettre la faute du probleme de Mozilla sur l'OS, je trouves ca assez rigolo, c'est si dur que ca d'accepter qu'un soft libre a fait une erreur ? Tes histoires de complexite du systeme sont du vent, plutot que lancer des grandes phrases, pourquoi est-ce que tu ne donnes pas des exemples precis ou le systeme est trop complexe ? (a differencier d'une erreur de codage, ce qui arrive chez tout le monde, comme dans le cas du WMF ou ils ont oublie de faire une verification et dans le cas de Mozilla ou ils lancent n'importe quel handler sans verifier ce qu'il est)
Les exploits c'est pour les vers, pas les virus, l'argument est donc de toute façon un peu hors sujet à la base.
Pas vraiment, ou est la limite entre un ver et un virus ? Si un virus passe par une faille de ton systeme et s'incruste dans tes fichiers, tu appelles ca comment ? ver ou virus ?
[^] # Re: Idée reçue à combattre
Posté par pasBill pasGates . En réponse à la dépêche Les virus sous Linux. Évalué à 1.
Non c'est une realite, plus il y a de portes, plus il y a de possiblites d'entrer, ca coule sous le sens.
Par exemple, le programme openssh est divisé en deux parties, dont une qui surveille l'autre. En cas d'exploit, la partie sensible est immédiatement stoppée. Autre exemple, la compilation des programmes C avec protection de pile (noexec) , ou les pages non exécutables.
Super, noexec et les pages non executables ca s'evite mon cher, pas facile mais faisable. (en notant que ces 2 elements sont presents sous Windows, ca n'arrete pas les exploits).
cf. http://www.auto.tuwien.ac.at/~chris/teaching/papers/buffer_n(...) par exemple
[^] # Re: mouais
Posté par pasBill pasGates . En réponse à la dépêche Les virus sous Linux. Évalué à 2.
- d'habitude patchees et a jour
- rarement des problemes d'interface chaise clavier
- pas de softs inutiles venant d'on ne sait ou installes
[^] # Re: Infos sur heise security
Posté par pasBill pasGates . En réponse au journal Bench de la sécurité des différents systèmes d'exploitation en Juillet 2007. Évalué à 1.
[^] # Re: raisonnement bancal de stallman
Posté par pasBill pasGates . En réponse au journal Richard Stallman et la croyance en Dieu. Évalué à 10.
[^] # Re: Explication
Posté par pasBill pasGates . En réponse au journal Bench de la sécurité des différents systèmes d'exploitation en Juillet 2007. Évalué à 1.
Tu regardes le graphe des vuln. et tu verras que simplement en gardant les vulnerabilites severes, Linux en a plus.
Quand a marquer des bugs simples comme failles, autant je peux imaginer que certains auteurs de softs le fassent, autant j'ai enormement de mal a imaginer Redhat faire ca, notamment car ils ne vont certainement pas forcer leurs utilisateurs a upgrader leurs softs(et tous les tests que cela signifie) pour un simple bug.
Si Redhat/Suse/... sortent un patch de securite, c'est qu'il y a un reel risque, tout comme chez MS.
[^] # Re: Explication
Posté par pasBill pasGates . En réponse au journal Bench de la sécurité des différents systèmes d'exploitation en Juillet 2007. Évalué à -1.
[^] # Re: Explication
Posté par pasBill pasGates . En réponse au journal Bench de la sécurité des différents systèmes d'exploitation en Juillet 2007. Évalué à 1.
[^] # Re: Explication
Posté par pasBill pasGates . En réponse au journal Bench de la sécurité des différents systèmes d'exploitation en Juillet 2007. Évalué à 1.
[^] # Re: Explication
Posté par pasBill pasGates . En réponse au journal Bench de la sécurité des différents systèmes d'exploitation en Juillet 2007. Évalué à 1.
Alors oui on peut chipoter et dire qu'en absolu c'est pas la meme chose, mais dans le cas present, oui c'est la meme chose.
[^] # Re: mouais
Posté par pasBill pasGates . En réponse à la dépêche Les virus sous Linux. Évalué à 3.
B) Parce que Linux c'est toujours une part infinitesimale du marche
C) Une fois la consolidation faite, ca sera le meme compilo, a peu pres les memes versions, ... et noexec il est sympa mais sur un systeme desktop grand public j'ai hate de voir
http://www.mozilla.org/security/shell.html
Ca c'est un bug dans Mozilla mon cher, ce sont eux qui ont corrige leur code, le probleme n'est pas dans Windows.
http://en.wikipedia.org/wiki/Windows_Metafile_vulnerability
http://www.f-secure.com/weblog/archives/archive-012006.html#(...)
C'est un bug comme un autre dans du code, j'ai du mal a voir en quoi ca remet en cause le design du systeme
http://www.windowsitpro.com/Articles/ArticleID/40090/40090.h(...)
Super, et OpenOffice a la meme chose : http://www.securityfocus.com/bid/18738
Ces problèmes de conception sont absents des programmes et des bibliothèques open-source, excepté pour le cas d'OpenOffice.org (macros). Il y a bien une protection intrinsèque à utiliser Linux et autres systèmes libres.
Quedalle, la 1ere est dans Mozilla, la derniere a des equivalents dans OpenOffice, reste celle de WMF qui est un format d'image, et dieu sait combien de failles ont ete trouvees dans libjpg, zlib, ... qui sont utilisees par les differents viewers sous Linux
[^] # Re: Explication
Posté par pasBill pasGates . En réponse au journal Bench de la sécurité des différents systèmes d'exploitation en Juillet 2007. Évalué à 0.
[^] # Re: Infos sur heise security
Posté par pasBill pasGates . En réponse au journal Bench de la sécurité des différents systèmes d'exploitation en Juillet 2007. Évalué à 4.
Le rejeter totalement sans le lire c'est un peu trop facile par contre.
[^] # Re: Explication
Posté par pasBill pasGates . En réponse au journal Bench de la sécurité des différents systèmes d'exploitation en Juillet 2007. Évalué à -1.
Autant dire qu'il y a un sérieux, très sérieux problème de logique.
Non c'est tout a fait logique. Plus il y a de vulnerabilites, plus ton systeme a eu de failles.
En plus, ils oublient par magie que le système de corrections des distributions est universel a tout les logiciel, quand Microsoft ne corrige que Microsoft.
Gni ? Il compte les patchs que Redhat distribue pour Redhat, qu'Ubuntu distribue pour Ubuntu, il ne les additionne pas tous ensemble.
[^] # Re: Explication
Posté par pasBill pasGates . En réponse au journal Bench de la sécurité des différents systèmes d'exploitation en Juillet 2007. Évalué à 1.
UPDATE 03/29/2007] Ubuntu 6.60 LTS. Stats for Ubuntu will include the default client installation software (not the server CD), excluding packages that do not have equivalents on Windows, such as bittorrent, evolution, gimp, openoffice and thunderbird.
[UPDATE 03/29/2007] Novell SLED10. Stats for SLED 10 will include the default set of packages, excluding packages that do not have equivalents on Windows, such as gimp, ImageMagick, mono and openoffice.
Red Hat Enterprise Linux 4 AS (rhel4as). Stats for rhel4ws will include only the minimum required installation group packages, plus the package groups necessary to build basic server configurations: file server, print server, network server, and basic web server. X-Graphics, Gnome, Firefox, OpenOffice, Sound-n-Video and other optional packages are explicitly excluded from analysis in order to grant Red Hat the benefit of the doubt for its modularity. MySQL is also excluded since Windows Server does not ship with SQL Server included.
[^] # Re: Idée reçue à combattre
Posté par pasBill pasGates . En réponse à la dépêche Les virus sous Linux. Évalué à 3.
Tout a fait
Et puis d'un côté tu dis que plus on a de parts de marchés, plus on est attaqué, de l'autre tu dis que l'étude montre qu'Apache est moins attaqué. Faudrait savoir...
Apache est probablement plus attaque qu'IIS, le truc c'est qu'IIS il tourne sous Windows. Comme montre plus haut, il n'y a pas vraiment de failles (connue du moins) utilisable dans IIS pour entrer, il est donc probable que l'intrusion soit faite d'une autre maniere.
Si c'est le serveur (pas Web) qui a été compromis, ça veut dire que MS Windows/IIS est plus vulnérable que {Linux/xBSD/MS Windows/etc.}/Apache. Le dénominateur commun c'est MS Windows, pas très glorieux non plus...
Si tu regardes le graphe de Google au bas de la page, tu verras que la part des IIS infectes dans les pays de l'ouest est plus petite que la part de marche d'IIS proportionellement. Par contre en Chine/Coree du Sud c'est l'inverse, quasiment tous les serveurs infectes sont sous IIS.
Google donne une partie de l'explication.
We suspect that the causes for IIS featuring more prominently in these countries could be due to a combination of factors: first, automatic updates have not been enabled due to software piracy (piracy statistics from NationMaster, and BSA), and second, some security patches are not available for pirated copies of Microsoft operating systems. For instance the patch for a commonly seen ADODB.Stream exploit is not available to pirated copies of Windows operating systems.
Ce qui explique la part disproportionnee d'IIS.
[^] # Re: mouais
Posté par pasBill pasGates . En réponse à la dépêche Les virus sous Linux. Évalué à 2.
Au jour d'aujourd'hui oui c'est normal, car le monde Linux c'est principalement des geeks qui essaient differentes distribs, ...
Mais le truc dans le monde du soft, c'est qu'il y a consolidation, et c'est d'ailleurs une condition sine qua non pour que Linux se repande sur le desktop, car les editeurs ne vont pas s'amuser a supporter 10 distribs differentes.
Ça voudrait dire que Ubuntu tient entre 50% et 75% du marché desktop Linux, c'est complètement irréaliste vu les chiffres actuels. Enfin, Mark Shuttleworth sera heureux de l'apprendre en tout cas :)
C'est probablement ce qui va se passer, ce sera peut-etre pas Ubuntu qui sait, mais il va y avoir consolidation et un gros acteur va emerger. Sans consolidation, le resultat sera une fragmentation, et on sait ce que cela a donne pour les Unix.
Sans compter qu'il faut aussi choisir la version d'Ubuntu à laquelle s'attaquer, avec une sortie tous les six mois, ça réduit encore la marge.
Ca c'est un detail, Windows il y a 2000, XP, 2003, Vista et les differents niveaux de patch/service pack, ca semble pas les gener.
Après il faut trouver l'appli la plus utilisée, sachant qu'il n'y a pas là non plus de monoculture, ça devient extrêmement compliqué.
La aussi il va y avoir consolidation, les gens utilisent ce que leurs voisins utilisent le plus souvent.
Des browsers bases sur le moteur d'IE il y en a des dizaines, qui proposaient souvent des trucs genre pop-up blocker, tabs, ... avant IE, quasiment tout le monde utilise uniquement IE pourtant, il se passera la meme chose avec Ubuntu ou la distrib qui prendra le marche.
[^] # Re: Idée reçue à combattre
Posté par pasBill pasGates . En réponse à la dépêche Les virus sous Linux. Évalué à 1.
En 3 ans, une seule faille publiee qui permette un acces au systeme, et encore, dans des conditions tres particulieres(faut que l'utilisateur puisse uploader des pages ASP sur le serveur).
Alors tu me diras, quid des failles non publiees ? Ben effectivement, peut-etre qu'il y en a, mais il peut y en avoir pour Apache aussi, et force est de reconnaitre qu'en 3 ans personne n'en a publie alors qu'elles etaient publiees pour IIS <6, qu'elles sont publiees pour Apache et tous les chercheurs qui d'habitude les publient (et il y en a un tas) n'ont rien trouve pour l'instant. Partant de la, ca donne une indication assez claire quand a la robustesse du jouet.
[^] # Re: mouais
Posté par pasBill pasGates . En réponse à la dépêche Les virus sous Linux. Évalué à 3.
En terme d'exploits non, en terme d'exploitation de masse il est ignore parce qu'il n'est pas repandu du tout, il est pas protege pour autant intrinsequement.
C'est clair que vu la diversité des systèmes et des applications, l'utilisation massive des librairies partagées et la rapidité des corrections ainsi que l'utilisation généralisée de comptes sans privilèges pour les tâches courantes, je vois vraiment pas par où je pourrais commencer si je voulais écrire du code malveillant ciblant des desktops Linux.
A) Les comptes proteges ne changent rien du tout, si tu es sous Evolution dans ton compte sans privilege et qu'un virus passe a travers, t'as beau etre sans privileges, le virus s'installera dans ton compte et se mailera lui-meme grace a ton address book.
B) La diversite n'est en plus vraiment une, Ubuntu fait un malheur, Redhat de meme sur les serveurs, Mandriva tend a disparaitre gentiment, Debian c'est pour les geeks qui aiment uniquement.
C) Les libs partagees c'est idem partout, ca n'y change rien.
Si tu voulais ecrire du code malveillant pour desktops Linux aujourd'hui c'est simple, tu le ferais pas parce que la cible est trop petite et trop elitiste pour etre interessante(nbre de neuneus sans patchs qui lancent des trucs qu'il faut pas est tres faible).
Si demain Linux a 20% de parts de marche desktop, ca deviendra tout de suite bcp bcp plus interessant par contre, parce que ca voudra probablement dire que 10-15% du marche au moins est Ubuntu, ca te fera 1 cible, tout comme avec Windows.
[^] # Re: Idée reçue à combattre
Posté par pasBill pasGates . En réponse à la dépêche Les virus sous Linux. Évalué à 0.
L'un vient avec l'autre, plus t'as de failles plus tu es vulnerable. Si tu n'as pas de failles ca va etre dur de te passer a travers. 80% des sites sous IIS sont sous IIS6, IIS6 a eu _une_ vulnerabilite permettant l'acces au systeme : http://secunia.com/advisories/21006/ et c'etait uniquement accessible a ceux qui peuvent uploader de l'ASP sur le site.
Partant de la, IIS6 est dans un certain sens pratiquement invulnerable niveau failles connues, les machines sous IIS qui lancent du spam ont probablement ete compromises par d'autres sources.
L'etude Google dit que les serveurs IIS distribuent plus de malware, oui, je ne vois pas ce que ca montre d'autre. Si les serveurs Apache sont moins attaques, ils serviront moins de malware, cette etude Google ne dit en rien qu'ils sont plus ou moins vulnerables, simplement plus attaques.
sans dire à quoi tu le comparais (Oracle, DB2, MySQL, PostGreSQL, FireBird, etc. ?)
Il parlait d'Oracle, donc evidemment je parlais d'Oracle.
[^] # Re: mouais
Posté par pasBill pasGates . En réponse à la dépêche Les virus sous Linux. Évalué à 3.
Oh mais je te rassures c'est la meme chose sur a peu pres toutes les plateformes, principalement parce que ces libs de base donnent uniquement des fonctionnalites de base assez faciles a implementer (strcpy, memcmp, ...)
Les failles elles sont le plus souvent dans le soft lui-meme ou dans des libs au code assez complexe (zlib par exemple).
La diversite des versions c'est de moins en moins le cas, Ubuntu sur le desktop, Redhat sur le serveur sont les gros elephants, et plus Linux se repand sur le desktop plus ce sera pousse, car on sait tous que les gens installent ce que leurs voisins/copains leur recommande(comme Windows).
L'évolution des applications open-source se dirige aussi vers l'emploi de nouveaux languages qui permettent de limiter tant les problèmes classiques (buffer overflow) que de réduire la quantité de code (exemples de vala, de qt jambi ou de gtk sharp).
Tout comme Windows, mais on est encore tres tres tres tres tres loin d'avoir des systemes ou le code est en majorite protege contre ces problemes.
En somme, la diversité des applications ainsi que la qualité des programmes et des librairies sous Linux limitent non seulement la propagation d'éventuels virus mais aussi l'apparition de ceux-ci (la popularité du système a donc peu à voir).
Oh que non, suffit de passer sur securityfocus.com chaque jour pour se rendre compte que Linux n'est pas plus protege que les autres.
[^] # Re: Idée reçue à combattre
Posté par pasBill pasGates . En réponse à la dépêche Les virus sous Linux. Évalué à -4.
a) Est ce que ce post est hors-sujet ? Non, il demontre clairement que la demonstration du dessus est fausse
b) Est ce que ce post est injurieux/... ? Non
c) Est ce que le contenu du post est faux ? Non plus
J'ai du mal comprendre l'utilite du bouton "pertinent" sur les commentaires...
Enfin bon, les mauvaises langues pourraient dire que certains ici essaient de cacher une verite qu'ils n'aiment pas.
[^] # Re: Idée reçue à combattre
Posté par pasBill pasGates . En réponse à la dépêche Les virus sous Linux. Évalué à -4.
Ces dernieres annees IIS a eu _beaucoup moins_ de failles qu'Apache.
Idem pour SQL Server.
[^] # Re: quelques explications s'il vous plait
Posté par pasBill pasGates . En réponse à la dépêche Et la guerre des formats bureautique continue. Évalué à -1.
Histoire de demontrer clairement que tu detournes les mots et est d'une mauvaise foi crasse je vais citer mes propres mots :
Il est tout autant decrit qu'ODF
Ce qui veut dire qu'il l'est tout autant qu'ODF, pas forcement plus, et nulle part il n'est dit qu'ODF est totalement decrit.
Je me demandes, t'arrives encore a te regarder dans un miroir ? Parce qu'une mauvaise foi pareille ca doit pas etre facile de vivre avec au jour le jour.