Journal Coût de piratage des serveurs Linux

Posté par  . Licence CC By‑SA.
14
8
déc.
2021

Pour l'instant, le coût de piratage des postes et serveurs Linux est trop élevé pour que les délinquants à la petite semaine s'y intéressent. Ils se contentent d'utiliser plus ou moins industriellement des logiciels malveillants diffusés pour infiltrer les systèmes Windows. La sécurité de Linux est loin d'être parfaite mais elle va bien au-delà de celle de Windows.
Région Grand Est : « Les ordinateurs sous exploitation Linux, la majorité des postes, n’ont pas été impactés, contrairement à ceux fonctionnant sous Windows ».
https://www.vosgesmatin.fr/politique/2020/03/08/region-grand-est-apres-la-cyberattaque-la-riposte
Groupe Manutan : « Sur nos 1 200 serveurs, seuls les 400 serveurs Linux et Unix étaient intacts ! »
https://www.lemagit.fr/etude/Recit-comment-Manutan-sest-sorti-de-la-cyberattaque-du-21-fevrier

Auriez-vous d'autres articles sur ce sujet ?

  • # Nuance...

    Posté par  . Évalué à 10.

    Je serais plutôt dubitatif sur le "Pour l'instant"…

    Je n'ai pas de statistiques fiables sous la main, mais il me semble que depuis quelques décennies, c'est tout de même GNU/Linux qui domine le monde des SE installés sur les serveurs en bordure d'Internet. Le piratage d'un seul de ces serveurs peut permettre de compromettre des millions de machines connectées.

    Donc si c'était seulement un question de "coût", c'est bien plus rentable de compromettre un serveur GNU/Linux que des stations Windows "une par une" (bon OK il y a des bots, mais…)

    À mon avis le "plus tard" qui arrive après le "pour l'instant"… n'arrivera pas, la sécurité progresse au fur et à mesure que les failles sont découvertes. C'est à rapprocher de certaines failles découvertes sous Windows (dont des 0-day) qui n'ont pas été corrigées pendant deux ans… La plupart des 0-day sous GNU/Linux sont corrigées dans la journée de leur révélation.

    Celui qui pose une question est bête cinq minutes, celui qui n'en pose pas le reste toute sa vie.

    • [^] # Re: Nuance...

      Posté par  . Évalué à 9.

      Tous les arguments sont sans doutes un peu vrais.

      • Par défaut, un serveur Linux sous une distribution classique est mieux sécurisé
      • Les serveurs Linux sont enrichis en logiciels libres, qui sont probablement mieux audités et mieux mis à jour que certains logiciels propriétaires, et les failles de sécurité sont gérées de manière plus transparente (à commencer par l'OS)
      • Les admins des serveurs Linux sont probablement plus compétents et expérimentés que ceux des serveurs Windows
      • Les décideurs qui choisissent des solutions Linux sont plus compétents (ils écoutent mieux les "gars de la technique") que ceux qui choisissent des solutions Windows
      • La diversité des distributions et des logiciels fait que la plupart des serveurs Linux ont une configuration unique, donc l'attaque se fait au cas par cas

      Chaque argument offre un peu de sécurité supplémentaire, mais tous ensemble, ça commence à faire une sacrée différence.

      En tout cas, ça fait 30 ans que l'argument de la minorité traine pour expliquer le faible taux d'attaque sur les postes Linux, mais c'est largement le contraire dans le monde des serveurs. Ça ne peut donc pas être l'unique raison.

      • [^] # Commentaire supprimé

        Posté par  . Évalué à 10.

        Ce commentaire a été supprimé par l’équipe de modération.

        • [^] # Re: Nuance...

          Posté par  . Évalué à 10.

          Exchange est une très bonne solution d'entreprise.

          Non.

          SQL Server est une très bonne base de données.

          Non.

          Je réponds avac les mêmes arguments que toi … ;)

          Faire le choix de les utiliser ne veut pas dire qu'on est moins compétente que cela qui va monter son propre serveur postfix + ldap + tous les outils nécessaires.

          Bien souvent si : on veut un truc qui marche sans avoir a comprendre ce qu'il y a sous le capot, parce qu'on ne veut pas savoir. Mais au final ce choix a un coût, bien souvent indirect, caché durant les négociations commerciales.

          • [^] # Commentaire supprimé

            Posté par  . Évalué à 4.

            Ce commentaire a été supprimé par l’équipe de modération.

            • [^] # Re: Nuance...

              Posté par  . Évalué à 10.

              (à chaque fois, c'est moi qui leur ait dit que leur système était en carafe)

              Ah ben voilà, il y a du monitoring.

              « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

            • [^] # Re: Nuance...

              Posté par  . Évalué à 10.

              Je ne connais qu'une seule entreprise qui utilise du postfix. C'est un prestataire de mail dans le domaine de la santé. On n'a que des tuiles avec (mais là, c'est pas le logiciel qui est a remettre en cause, mais bien les compétences du presta, avec pas moins 5 pannes pour l'année 2021 (et elle n'est pas finie !) dont une ayant durée plus de 2 semaines, avec 0 monitoring (à chaque fois, c'est moi qui leur ait dit que leur système était en carafe). C'est tellement la merde qu'on a eu l'accord de changer de presta, alors que le presta est un presta imposé pour des raisons politiques… (c'est pour dire !)

              On a les mêmes problèmes lorsqu'on sous traite à un presta incompétent une solution exchange …

              En fait je pense qu'on est pas forcément si éloigné que ça dans nos points de vue : dans la discussion ce n'est pas tant libre vs proprio le problème : c'est juste une question de délégation. Quelle que soit la solution, libre ou proprio, ce n'est pas forcément le problème. La question de base est de savoir si tu gardes les compétences en interne pour gérer la solution (ce qui a un coût) ou si tu délègues à un presta ou une solution clé en main (ce qui a un coût aussi). Il faut en être conscient et ne pas se laisser berner par les discours idéologiques et/ou commerciaux qui bien souvent cachent la réalité, et choisir sa stratégie en connaissance de cause …

              • [^] # Commentaire supprimé

                Posté par  . Évalué à 4.

                Ce commentaire a été supprimé par l’équipe de modération.

              • [^] # Re: Nuance...

                Posté par  (site web personnel) . Évalué à 3.

                c'est surtout parce que vous entremêlez 4 possibilités

                • libre vs non-libre
                • produit vs auditabilité

                tant le libre que le non-libre sont auditables (pas avec les mêmes moyens, ni le même niveau de correctif obtensible ou pas)

                l'important c'est le produit et sa disponibilité pour l'utilisateur final, ainsi que les correctifs.

                la délégation n'est qu'un 5ème ajout à la difficulté du sujet :/

                • [^] # Re: Nuance...

                  Posté par  (Mastodon) . Évalué à 5.

                  tant le libre que le non-libre sont auditables

                  pardon ?

                  En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

            • [^] # Re: Nuance...

              Posté par  . Évalué à 7.

              Certes. Mais ce n'est pas du tout comme ça que je comprends le commentaire. Il est d'ailleurs très orienté et dit clairement qu'un admin linux est "probablement plus compétents et expérimentés que ceux des serveurs Windows"

              Il faut quand même reconnaître que Windows étant facile d'accès (et vendu comme tel, ça a été un argument de vente), il y a eu des "admins réseaux" qui ne comprenaient pas du tout ce qu'ils faisaient. Au premier problème un peu sérieux c'est la catastrophe.

              Évidemment il y a aussi des admins réseaux Windows très compétents, personne ne dit le contraire, enfin j'espère.

              Linux étant plus élitiste, le cas du type vaguement à l'aise avec l'outil informatique promu 'Admin réseau linux' a dû être beaucoup plus rare, en tout cas c'est ce qu'il me semble, je ne crois pas en avoir croisé.

              • [^] # Re: Nuance...

                Posté par  (site web personnel) . Évalué à 10.

                Linux étant plus élitiste, le cas du type vaguement à l'aise avec l'outil informatique promu 'Admin réseau linux' a dû être beaucoup plus rare, en tout cas c'est ce qu'il me semble, je ne crois pas en avoir croisé.

                Rare, j'ai un doute. Faisant illusion, possible.

                On m'a déjà proposé de bosser dans des boites où il y a du pognon en jeu. Je n'ai pas de diplôme dans le domaine, je me contente de jouer avec des sites persos et d'associations, sans grand enjeux. Je me débrouille mais ça reste de la bidouille. Pour moi ça aurait été criminel d'accepter parce que je suis consciente de mon niveau. Me dire sysadmin du dimanche, ok, mais gérer les aspects réseaux un peu pointus, c'est au delà de mes compétences actuelles, même si je comprends les grandes lignes. Mais j'en connais qui ont eu moins de scrupules. Je ne sais pas où en est le marché du travail sur le domaine actuellement, mais avant la pandémie, se dire "sysadmin" était un bon moyen d'avoir un job, en ayant des connaissances très basiques sur linux, et de se retrouver à gérer des infra quand même complexes.

                Et parce que le sysadmin c'est un de mes hobby, je me retrouve à papoter avec plein de pro de divers métiers autour d'internet, ce qui n'améliore pas forcément ma perception de la sécurité informatique. Dans le lot, y'a des grands cadors, mais y'a aussi des tanches qui ont à gérer des trucs importants. Le pire ? C'est ceux qui sont compétents sur un morceau mais par sur tout, et font donc des trucs immondes à côté de chefs d'œuvre, tout en ne supporteront pas la moindre remise en question. Monter une infra superbe, et avoir ses mots de passes sans aucune complexité dans un petit carnet, et en plus montrer ça à des gens dont on ne sais pas grand chose, je l'ai vu. Et ce n'est pas des cas isolés, loin de là.

                Ce que je retiens du monde pro des sysadmins linux ? Ils sont pour beaucoup convaincus de leur supériorité et là dessus l'élitisme est réel. Ils sont pour beaucoup motivés par leur job et ça aide à progresser en compétence. Mais ils ne sont pas nombreux à savoir où sont leurs points faibles et à être capable d'entendre les critiques. Résultat, il y a un nombre de crasses assez horribles, et que ce soit Linux n'y change rien. Ce n'est pas mon envie de me lancer dans l'exploitation des failles, mais si c'était le cas, je saurais où creuser dans des domaines aussi peu critiques que le secteur bancaire ou les services de l'état… Les maillons faibles humains sont horriblement faciles d'accès.

                Le monde de l'entreprise recrute ceux qui baratinent bien, ce qui n'a aucun rapport avec les compétences. En même temps, les recruteurs sont rarement les plus à même de vérifier le niveau technique des gens, il n'y a que les très grosses boites qui font passer des tests techniques et encore : souvent ça teste moins que ce qui sera réellement mis en jeu au travail, donc on passe à côté de zones blanches. Linux ou Windows, même combat j'imagine… J'adore Linux mais je ne crois pas une seconde que ça limite le nombre d'incompétents à des postes clés.

                Plus le temps passe et plus je me méfie des gens trop sûrs d'eux. Parfois ils ont raisons mais parfois aussi, en montant en compétence, je me rends compte qu'ils disaient n'importe quoi et que leurs mauvaises pratiques s'auto-alimentaient de leur suffisance. J'ai infiniment plus confiance en quelqu'un qui m'explique un truc en soulignant les limites de son savoir et en pointant la doc. On améliorera la qualité des techs le jour où tout le monde apprendra l'humilité. Et oui, ça me concerne aussi : j'ai de la marge de progression :P

                • [^] # Re: Nuance...

                  Posté par  . Évalué à 6.

                  J'ai quand même l'impression aussi que le job d'un vrai sysadmin, c'est juste hyper-complexe et hyper-technique. S'il faut monter complètement un réseau, gérer la sécurité, la centralisation et le stockage des données, un serveur mail, un serveur d'impression, tout un tas de services propres à l'activité de la boîte, y compris via des logiciels pas forcément bien ficelés, un parc hétérogène, des accès extérieurs (VPN, sites publics…), il faut des décennies d'expérience, et ne jamais ne rien avoir lâché sur la veille technologique et sur la formation continue, vu que tout ça bouge tout le temps.

                  Parfois, j'ai l'impression que les boîtes voudraient systématiquement recruter des moutons à 5 pattes. Il me semble assez évident qu'il est impossible d'avoir quelqu'un qui a toutes ces compétences en sortie de ses études; quand une PME recrute un sysadmin sans y mettre le salaire du patron, elle devrait s'attendre à devoir externaliser un certain nombre de services, et/ou partir du principe que certaines choses ne seront pas faites dans les règles de l'art.

                • [^] # Re: Nuance...

                  Posté par  (site web personnel) . Évalué à 3.

                  Si tu connais un domaine précis pour chercher des failles, tu peux te mettre aux bug bounty, cela peut rapporter un peu d'argent.

                  "La première sécurité est la liberté"

                  • [^] # Re: Nuance...

                    Posté par  . Évalué à 1.

                    Si tu étais fort en maths à l'école, tu peux te mettre aux Millenium problems, cela peut rapporter un peu d'argent. :-)

                    • [^] # Re: Nuance...

                      Posté par  . Évalué à 3.

                      Oui, alors là pour le coup, vu le niveau de la sécurité dans l’internet grand public, y’a moyen de bien s’arrondir les fins de mois.
                      Je doute que ça soit facile pour n’importe qui, mais pour quelqu’un qui bosse, ou veut bosser, dans la sécu, avec des concepts de base, c’est pas bien compliqué de se faire 1000 à 2000 dol’ par mois en plus. Et ça donne de l’entraînement dans le domaine, de qui aide donc à enrichir son cv et ses compétences.
                      C’est en tout cas ce que je vois dans notre programme hackerone, IDOR par ci, persisted xss par la, PII leak la bas. Et le pire, c’est les mêmes problèmes qui reviennent tout le temps.

                      Je serais très, très, très surpris qu’on soit les seuls. Boites d’internet grand public qui sont là depuis le début des années 2000 (tech debt, produits legacy et autres features obscures que tout le monde a oublié), à priori service gratuit qui demande un gros volume pour être rentable et qui met à jour très souvent.
                      Filtre par salaire moyen pour un ingé front end un peu plus bas, combines ca avec une recherche sur LinkedIn qui bosse la bas. J’imagine qu’une recherche github doit aider à identifier les clampins et autres pallaissons qui disent jamais non un peu mieux.
                      Bonus si t’arrives a trouver des talks/blogs publiques qui montrent qu’ils sont un chtouille derrière la courbe de veille technique, mais pas trop. Ça veut dire qu’ils essayent de se tenir à jour, mais savent pas vraiment comment faire, et donc ils vont avoir des trous dans leurs implémentations.

                      Ça te donne une bonne idée de quelles boites ont des bras cassés qui comprennent pas vraiment ce qu’ils font. Une fois que t’as ta liste de suspects, tu passes un jour ou deux sur chaque site. Commence par le login, registration, le genre de trucs qui a des PII et qui sont des points de frictions dans le produit: les product managers détestent ça, et ont tendance à vouloir bâcler les choses la desssus. Une fois que tu trouves un fil, tu tires dessus jusqu’à ce que ça paye.

                      En optimisant un peu pour les sous, ca doit même pouvoir se tourner en boulot à plein temps. Payé pas forcément beaucoup, mais avec plein de temps libre, et pas de patron sur le dos.

                      Linuxfr, le portail francais du logiciel libre et du neo nazisme.

                      • [^] # Re: Nuance...

                        Posté par  (site web personnel) . Évalué à 3.

                        Tu peux définir : IDOR, persisted xss, PII leak ?

                        "La première sécurité est la liberté"

                        • [^] # Re: Nuance...

                          Posté par  . Évalué à 5.

                          Insecure direct object reference. En gros quand l’appli vérifies que t’es authentifié, mais pas que t’es authorisé à accéder aux données que tu demandes. En gros, t’es connecté sur Amazon sous le compte A, et crée une requête pour accéder aux détails de la commande 1234, qui appartient au compte B. C’est assez courant comme problème, surtout dans des systemes SOA, ou la propagation de l’identité/authorization est pas si simple.

                          persistent xss: une faille xss, mais persistee côté serveur. Typiquement, si je poste un message sur linuxfr avec des balises html/JavaScript, et que le backend ne sanitize pas le message. Toutes les personnes lisant le message exécuteront le code js, sans que j’ai besoin de leur faire cliquer sur un lien. De la, je peux me débrouiller pour leur faire poster leur cookie de session, et me faire passer pour eux.

                          PII leak: personally identifiable information. Fuite de données personnelles, genre nom/prénom, numéro de téléphone. Ça va pas mal dépendre du service, mais typiquement, sur un site genre la fourchette, tu peux faire des réservations sans être connecté. Ils t’envoient derrière un e-mail avec un lien « magique » pour gérer la réservation. Souvent, ces liens sont facile à casser, et pour peu que l’ID de la réservation soit une séquence/facile à deviner, tu peux scanner le site et aspirer des données persos.

                          Linuxfr, le portail francais du logiciel libre et du neo nazisme.

                          • [^] # Re: Nuance...

                            Posté par  (site web personnel) . Évalué à 3.

                            Pour l'idor, utiliser l'userid comme filtre suffit non ? (Dans un modele simple ou chaque chose a un proprietaire unique)

                            Pour le xss c'est complexe de tout filtrer, a moins qu'il existe un moyen de transformer le tout en simple string html a coup sûr.

                            Pour le PII, c'est simple d'utiliser des uuid random comme id, non ?

                            "La première sécurité est la liberté"

                            • [^] # Re: Nuance...

                              Posté par  . Évalué à 3.

                              Pour l’idor, c’est l’idée générale, mais c’est soit lourd, soit pas forcément trivial à implémenter.
                              Tu peux le faire dans le front end, mais c’est lourd et c’est facile de rater quelques endroits.
                              Tu peux le faire dans le backend, mais la propagation d’identité et d’autorisations dans une monde soa c’est pas trivial, surtout quand t’as des cas d’utilisations qui sont pas initiés par l’utilisateur (genre un e-mail déclenché par un événement sur un bus).
                              Pour repartir sur le fourchette, si t’invite des potes à ta réservation, maintenant eux aussi y ont accès. Sauf que c’est potentiellement un autre service qui gère les invit’. Maintenant ton service réservation doit comprendre ce genre de chose pour pourvoir te donner accès aux données.

                              Pour les PII, je suis pas sur de comprendre la question. Le problème c’est pas tant les id, qu’exposer trop de PII au monde.
                              Si je commande un Uber et que l’api d’uber me retourne le nom de famille et numéro de téléphone perso du chauffeur, c’est une PII leak, même si l’appli ne les montre pas.
                              Et ça peut arriver relativement facilement en fonction de comment ton backend marche, la vitesse à laquelle ça a été développé et l’attention portée aux problématiques de vie privée. L’ID du chauffeur peut être un uuid, ça aide pas si les dev ne font pas gaffe à ce qu’ils font.

                              Linuxfr, le portail francais du logiciel libre et du neo nazisme.

        • [^] # Re: Nuance...

          Posté par  (site web personnel) . Évalué à 10. Dernière modification le 08 décembre 2021 à 13:46.

          Moi je suis d'accord avec toi, le commentaire auquel tu réponds sous-entends que par défaut, un administrateur Windows est moins compétent qu'un administrateur Linux/UNIX, et c'est très clairement un argument inacceptable.

          Il y a des gens extrêmement compétents dans le domaine du libre comme dans le domaine du propriétaire, ce sont des choix ou des opportunités professionnelles différentes qui ont mené ces gens sur des spécialisations différentes, mais on ne peut pas juger de la compétence générale des gens selon leur métier comme ça de but en blanc.

          C'est extrêmement dangereux d'oser ostraciser tout une frange de gens de la sorte, juste parce qu'ils "n'utilisent pas Linux", c'est tout simplement une insulte. Les populistes et les fascistes utilisent ce genre d'affirmation pour créer du communautarisme.

          Je t'ai plussé, que tu aies raison ou pas, tu as eu raison de lui répondre.

          PS: Fonctionnellement, SQL server est très avancée, cette base de donnée n'a pas grand chose à envier à PostgreSQL. Et des sites comme Stack Overflow ont pu prouver que c'est une base de donnée qui sait tenir des charges absolument indécentes. C'est un excellent logiciel.

          • [^] # Commentaire supprimé

            Posté par  . Évalué à 5.

            Ce commentaire a été supprimé par l’équipe de modération.

          • [^] # Re: Nuance...

            Posté par  . Évalué à 10.

            Moi je suis d'accord avec toi, le commentaire auquel tu réponds sous-entends que par défaut, un administrateur Windows est moins compétent qu'un administrateur Linux/UNIX, et c'est très clairement un argument inacceptable.

            Je pense que ce n'est pas tout a fait la signification du commentaire. Personnellement ce que j'ai constaté, c'est que beaucoup de monde pense qu'administrer windows c'est facile, plus facile que Linux. De mon point de vue c'est absolument faux. Peut etre que mon point de vue est biaisé parce que je connais mieux les sytèmes type unix, mais je suis convaincu qu'une administration de solution basée sur une stack windows est bien plus difficile qu'une administration basée sur une stack linux. Or, l'argument de vente de Microsoft a été pendant des années "windows c facile parce que ça se gère au clickodrome". De ce fait pendant une époque on a confié des serveurs windows a des gens qui n'étaient pas en mesure de les gérer et on en a payé le prix (et on le paye encore).

            Je remarque ces derniers temps que côté Linux c pas mieux : on prend des débutants pas cher payés et mal formés pour gérer des systèmes linux (en considérant que vu qu'ils ont vu ça a l'université ça fait l'affaire). Du coup on retrouve les mêmes problématiques sous Linux …

            • [^] # Re: Nuance...

              Posté par  . Évalué à 2.

              En tant que prestataire, j'ai du installé un serveur window, c'était la première fois que je voyais windows server. A part faire suivant, je n'ai pas fait grand chose de plus.
              Un de mes collègues a installé un serveur linux dans les mêmes condition. J'ai pu lui apporter un peu d'aide, mais à l'époque je ne me sentais pas assez compétent pour gérer mon propre serveur.
              Bref, l'incompétence est assez fréquente dans les 2 univers.

              • [^] # Re: Nuance...

                Posté par  . Évalué à 4.

                Oui mais c'est justement là le problème. Tu n'as pas fait grand chose de plus.
                Pour faire simple sous Windows tu vas faire suivant suivant et hop ça juste marche.
                Sous Linux tu vas peut-être mettre les mains un peu plus dans le cambouis et encore que… et ça va juste marcher aussi.

                Mais dans un cas comme dans l'autre, derrière il y a d'autres tâches à exécuter pour sécuriser, optimiser… C'est pas parce que ça marche que le travail est terminé. Et c'est là le gros problème qui se pose de nos jours. Vu qu'il faut tout faire vite car le temps c'est de l'argent, il y a tout un pan de l'informatique qui passe à la trappe. Et au final la perte de temps au début qui se serait peut-être chiffré à 20% supplémentaires du temps dédié à la mise en production, et bien tu te retrouves à y passer le double (et encore je suis gentil) quand y a tout qui pète pour x ou y raisons.

          • [^] # Re: Nuance...

            Posté par  . Évalué à 10.

            Moi je suis d'accord avec toi, le commentaire auquel tu réponds sous-entends que par défaut, un administrateur Windows est moins compétent qu'un administrateur Linux/UNIX, et c'est très clairement un argument inacceptable.

            Pourquoi? Par principe, ou par manque de source?

            Par exemple, le salaire médian d'un admin Linux, c'est 99,500$ sur ce site https://www.salary.com/research/salary/benchmark/linux-administrator-salary. Pour un admin Windows, c'est 71,000$. https://www.salary.com/research/salary/posting/windows-administrator-salary. Bien sûr, rien n'est réellement comparable, bla bla bla, et le salaire c'est pas les compétences, bla bla bla. On est d'accord là dessus, mais maintenant, est-ce que vous avez une explication crédible pour laquelle on paye les admins Windows 30% moins aux US?

            Notez que je n'ai jamais prétendu que tous les admins Linux étaient compétents, ou qu'il n'existait pas d'admin Windows compétent. Ni d'ailleurs qu'un admin Linux serait compétent sous Windows.

            Mais du coup, à part être outrés, vous avez des billes qui suggérerait qu'en moyenne, un admin Windows a des bases techniques aussi solides qu'un admin Linux?

            Il y a un moment, il faut quand même avancer des explications. Si c'est identique au niveau software, si c'est identique au niveau compétences, si c'est identique au niveau du prix, alors pourquoi la plupart des serveurs sont sous Linux, pourquoi les admins Windows sont moins bien payés, et pourquoi un serveur Windows est plus attaqué?

            • [^] # Re: Nuance...

              Posté par  (Mastodon) . Évalué à 8.

              Je dirais que le salaire est plus une condition directe de la rareté que du niveau de compétence.

              Jami: beabb2b063da0a2f0a2acaddcd9cc1421245d5de

              • [^] # Re: Nuance...

                Posté par  . Évalué à 4.

                C'est beaucoup plus compliqué que ça (voir par exemple https://measuringu.com/salary-survey2014/ pour les US). Si on met de côté la variation résiduelle (dans laquelle la "rareté" peut peut-être entrer), les variables principales sont le niveau de responsabilité, la région, l'expérience, la taille de la boîte, et le diplôme. Je soupçonne que la région est un facteur confondant (dans la mesure où la qualification des jobs est très différente en fonction des régions).

                Et dans les faits, la rareté, ça ne joue pas tant que ça pour de nombreux secteurs. Il y a souvent un seuil supérieur de rentabilité, au-delà duquel les entreprises ne veulent pas aller. Par exemple, un restau à qui il manque un serveur ne va pas proposer 3k€ net, il préfère tourner avec un serveur de moins.

                Sans compter qu'il ne me semble pas si clair que le marché regorge d'admins Windows et cherche les admins Linux. À moins de considérer qu'on estime que n'importe quel quidam qui sait faire deux ou trois choses avec un ordi peut devenir admin Windows, ce qui revient au même que ma remarque initiale sur le niveau de compétences.

                • [^] # Re: Nuance...

                  Posté par  (Mastodon) . Évalué à 4.

                  De ce que j'en sais quand j'ai commencé il y a 20-25 ans il n'y avait aucue formation ou diplôme spécifique qui correspondait à un admin sys.

                  À l'époque pour démontrer ses compétences il fallait donc un expérience concrète ou une certification. Les formations et certifications windows étaient déjà très populaires alors que chez Linux RHEL et Ubuntu n'existaient pas encore et la linux foundation et LPI étaient naissants ou confidentiels. Un admin linux c'était souvent aussi ou précédemment un admin unix Solaris, HPUX, AIX.

                  J'ai travaillé au début pour une administration gouvernementale et ils faisaient un peu dans le social, employant des chômeurs en fin de droits pour qu'ils aient une expérience concrète à mettre sur leur CV. À l'époque c'était tous des newbies sans expérience et certains étaient des branques total, mais j'en ai vu qui avaient du potentiel, généralement parce que leur difficulté d'emploi venait du racisme ambiant et pas vraiment d'eux. Bref le dénominateur commun n'était pas leur niveau mais le fait que l'assurance chômage leur avait payé tout le cursus Microsoft et qu'ils arrivaient tous certifiés. J'imagine que les touristes n'ont pas fait long feu dans l'industrie mais pas de raison que ceux qui étaient sérieux ne l'ont pas été.

                  Bref tout ça pour dire que l'accès à des formations d'administration de systèmes Microsoft était il n'y a pas si longtemps bien plus facile et accessible que pour Linux. Donc j'en conclut qu'il y a plus de sysadmins Microsoft expérimenté sur le marché.

                  Note: je parle de formations démontrées, pas de l'accès aux connaissances elles-même car ce qui n'est pas une expérience prouvée ou une certification ne compte pas
                  sur le marché de l'emploi.

                  Jami: beabb2b063da0a2f0a2acaddcd9cc1421245d5de

            • [^] # Re: Nuance...

              Posté par  . Évalué à 2.

              D’une part, comme dit au dessus, le salaire représente beaucoup la difficulté à embaucher.

              D’autre part, un salaire median sur un pays à l’échelle des us est pas super pertinent, surtout avec un titre aussi vague. Tu peux facilement avoir plus de 50% d’écarts entre SF et des villes, disons, moins attrayantes, et encore plus si un gros employeur se met à décider d’embaucher tout ce qui bouge. Et j’imagine que ça inclue pas le stock/bonus courants dans les boites high tech, et qui rajoute bien encore 20-50% du salaire.

              Y’a des chances pour que les “Windows administrator” incluent beaucoup de postes bas niveau, genre “maintenir le contrôleur de domaine pour la pizzeria du coin et ses 2 employés”, qui demande beaucoup moins de compétences. Et qui vont donc être sur-représenté par rapport aux postes style “gérer l’infrastructure de stackoverflow”.
              Et inversement, les postes “Linux admin” vont être sur-représentés dans les catégories “gérer toute l’infrastructure de Facebook”.

              Dit autrement, ces postes mélangent allègrement “IT old school pour toute petites boites”, “IT plutôt sérieuse” et “admin d’un gros environment de production avec un gros traffic”.

              Bref, faudrait commencer par définir ce qu’on veut dire par “admin sys” en premier lieu, parce que sinon ça va être la fête au cueillage de cerises.

              Linuxfr, le portail francais du logiciel libre et du neo nazisme.

        • [^] # Re: Nuance...

          Posté par  . Évalué à 8.

          Un décideur n'en a rien à foutre de la technique.

          Il a tort, c'est toujours la technique et plus généralement le monde réel qui décide à la fin. On peut utiliser la pensée magique, mais ça marchait ça se saurait je pense.

          • [^] # Commentaire supprimé

            Posté par  . Évalué à 2.

            Ce commentaire a été supprimé par l’équipe de modération.

            • [^] # Re: Nuance...

              Posté par  . Évalué à 2.

              Mark et Steve ne sont peut-être pas les meilleurs modèles de direction.

              Et même s'ils n'entrent pas dans les détails informatiques, Steve descendait de façon détaillée sur d'autres éléments techniques ou de design : temps de boot, etc.

              Bill pouvait descendre dans des détails pointu du fonctionnement d'Office.

              Ce que disaient d'autres plus haut, c'est que ça déconne quand un dirigeant prend une décision sur laquelle il n'est pas compétent. Quand ça fonctionne bien, il y a un décideur compétent sur les différents domaine, mais pas forcément le PDG (d'où la large responsabilité de Ballmer pour la partie Business chez MS)

              Pour des exemples de décisions importantes, un choix Oracle quand on travaille dans un business en multi-instance va faire exploser les coûts et bouffer les revenus (ce n'est pas arrivé chez Technip?), un choix Postgress aurait été plus pertinent.

              Du PHP 5.6 va exposer le décideur et l'entreprise à une responsabilité juridique sur la protection des données, car ce n'est pas à l'état de l'art.

              • [^] # Commentaire supprimé

                Posté par  . Évalué à 3. Dernière modification le 09 décembre 2021 à 09:03.

                Ce commentaire a été supprimé par l’équipe de modération.

            • [^] # Re: Nuance...

              Posté par  (site web personnel) . Évalué à 3.

              "Il disait qu'il ne fallait pas embaucher des talents pour leur dire ensuite quoi faire."

              En effet, et c'est exactement l'inverse de ce que tu dis : Les choix techniques sont laissés au techniciens.

              "La première sécurité est la liberté"

              • [^] # Commentaire supprimé

                Posté par  . Évalué à 3.

                Ce commentaire a été supprimé par l’équipe de modération.

                • [^] # Re: Nuance...

                  Posté par  (site web personnel) . Évalué à 8.

                  Souvent, il est simplement plus sensible à la voiture rouge.

                  "La première sécurité est la liberté"

                • [^] # Re: Nuance...

                  Posté par  . Évalué à 3.

                  Le décideur ne fait pas de choix technique. Il essaie de trouver le meilleur compris dans les solutions qui lui sont présentées.

                  Tu ne vois pas d'incohérence dans ton propos ? Trouver le meilleur compromis entre des solutions techniques, c'est synonyme de faire un choix technique.

                  • [^] # Commentaire supprimé

                    Posté par  . Évalué à 1.

                    Ce commentaire a été supprimé par l’équipe de modération.

      • [^] # Re: Nuance...

        Posté par  . Évalué à 8.

        Par défaut, un serveur Linux sous une distribution classique est mieux sécurisé

        Ton admin Linux-qui-est-plus-competent-que-la-moyenne, il va te laisser la config par défaut? Ou il va la changer? C’est un peu un argument à la con “la config qu’on est pas censé utilisé est mieux”. Ok, cool.

        Les serveurs Linux sont enrichis en logiciels libres, qui sont probablement mieux audités et mieux mis à jour que certains logiciels propriétaires, et les failles de sécurité sont gérées de manière plus transparente (à commencer par l'OS)

        Ouais, alors là, pour le coup, on a un certain nombre d’exemples cette derniere décennie qui prouvent que non, pas du tout. Genre Shell shock, genre heart bleed, genre Debian OpenSSL.

        Les admins des serveurs Linux sont probablement plus compétents et expérimentés que ceux des serveurs Windows

        “Comme j’aime pas Windows, je vais sortir un truc à la con du chapeau sans aucune source”

        Les décideurs qui choisissent des solutions Linux sont plus compétents (ils écoutent mieux les "gars de la technique") que ceux qui choisissent des solutions Windows

        c’est les décideurs qui s’occupent d’administrer l’infrastructure chez toi? Et dans le genre argument récursif “Linux est mieux parce que les décideurs qui choisissent Linux sont plus compétents parce que Linux est mieux”

        La diversité des distributions et des logiciels fait que la plupart des serveurs Linux ont une configuration unique, donc l'attaque se fait au cas par cas
        Chaque argument offre un peu de sécurité supplémentaire, mais tous ensemble, ça commence à faire une sacrée différence.

        Enfin un argument qui tient vaguement la route. Sauf qu’en fait, pas tant que ça au final. Y’a pas tant de distro qui sont viables en production, et si tu te limites aux lts, t’as quoi, 6 à 10 candidats pour 95% des installs. C’est plus que Windows, mais c’est pas non plus le bout du monde.

        Linuxfr, le portail francais du logiciel libre et du neo nazisme.

        • [^] # Re: Nuance...

          Posté par  (site web personnel, Mastodon) . Évalué à -1.

          Les serveurs Linux sont enrichis en logiciels libres, qui sont probablement mieux audités et mieux mis à jour que certains logiciels propriétaires, et les failles de sécurité sont gérées de manière plus transparente (à commencer par l'OS)

          Ouais, alors là, pour le coup, on a un certain nombre d’exemples cette derniere décennie qui prouvent que non, pas du tout. Genre Shell shock, genre heart bleed, genre Debian OpenSSL.

          Ces exemples prouvent qu'il ne s'agit pas de logiciels libres ? Ou prouvent que ce n'est pas audités ? Ou la preuve que les failles de sécurité ne sont pas gérées de manière transparente ? Je n'ai pas du tout compris.

          “It is seldom that liberty of any kind is lost all at once.” ― David Hume

          • [^] # Re: Nuance...

            Posté par  . Évalué à 10.

            Ca prouve qu’ils ne sont pas audités. Ou en tout cas, pas plus que les logiciels propriétaires.

            Shell Shock a duré 25 ans, donc les “with enough eyes all bugs are shallow”, on repassera. Surtout sur des outils critiques écrits en c.
            Et avec ses 2 patches coup sur coup, ça montre que la résolution a été bâclée, donc les “mieux mis à jour”, on repassera aussi.

            J’oubliais, y’a sudo aussi qui était troué pendant 10 ans.

            Après, je cherche pas à dire que le proprio est vachement mieux la dessus. Mais préjuger de la sécurité d’un soft à partir de sa licence est ridicule. C’est du même tonneau que de préjuger de la compétence d’une personne sur son costard.

            Linuxfr, le portail francais du logiciel libre et du neo nazisme.

            • [^] # Re: Nuance...

              Posté par  (site web personnel, Mastodon) . Évalué à 2.

              Tu prends justement un exemple qui dit tout le contraire de ce que tu cherches à lui faire dire. Shell Shock bah la correction était disponible depuis des lustres …justement parce-que des yeux avisés se sont rendu compte que la portion de code ne devait pas s'écrire ainsi et cela a été corrigé. Cette correction n'a pas été appliquée par les distributions parce-que personne n'a vu de différence pendant plus de vingt ans. Dès que quelqu'un a su exploiter la chose, ça s'est rapidement su, puis on a compris l'utilité des lignes de codes rajoutées depuis belle lurette. Toutes les distributions actives ont proposé le binaire corrigé en moins de quarante-huit heures. La transparence n'a pas fait défaut mais visiblement tu as préféré fermer les yeux et faire comme si c'était comparable à du Wana Cry…

              “It is seldom that liberty of any kind is lost all at once.” ― David Hume

              • [^] # Re: Nuance...

                Posté par  . Évalué à 4.

                Ah oui, ça a été corrigé. Ca été tellement corrigé qu’ils ont du corrigé la correction:

                I appreciate the effort made in patch bash43-026, but this patch doesn't even BEGIN to solve the underlying shellshock problem. This patch just continues the "whack-a-mole" job of fixing parsing errors that began with the first patch. Bash's parser is certain have many many many other vulnerabilities; it was never designed to be security-relevant…

                Sinon:

                Toutes les distributions actives ont proposé le binaire corrigé en moins de quarante-huit heures. La transparence n'a pas fait défaut mais visiblement tu as préféré fermer les yeux et faire comme si c'était comparable à du Wana Cry…

                La question c’est pas la transparence ou pas.

                L’assertion initiale était, je le rappelle, « vu que le code est dispo, il est audite par tout le monde sur internet, donc c’est plus sûr » (aka « with enough eyes, all bugs are shallow »).
                Ce que je dit c’est que cette méthodologie est une connerie monstrueuse, et shellshock en est la preuve. Ça fait pas de mal d’avoir le code dispo, mais de la à en conclure que c’est audite parce que le code est dispo, c’est du grand n’importe quoi.

                On a un bug qui a existé pendant 25 ans, dans un outil fondamental et critique. C’est pas une question d’avoir assez d’yeux à ce niveau. La question c’est surtout d’avoir les bons yeux dessus: a savoir des gens qui savent ce qu’ils font et comment auditer, et surtout, les payer pour qu’ils fassent ça. Une fois qu’ils sont payés, leur donner le source me parait pas être un problème insurmontable.

                D’autre part, ce bug a été affreusement géré. Il était là depuis 25 ans, disclosé de façon responsable. Il s’est écoulé 12 jours entre la notification et la release. Une fois disclosé, la communauté (celle qui sait ce qu’elle fait) a trouvé 4 autres problèmes en 24 heures. Ce qui renforce le point précédent, et jette de l’ombre sur le « les mises à jours de sécu sont mieux gérées ». Et aussi me fait questionner la compétence sécurité du projet.
                Dit autrement, ils pouvaient pas prendre quelques jours de plus pour s’assurer qu’il n’y avait pas autre chose? Visiblement y’avait beaucoup de doutes sur la qualité du patch de la part de la communauté sécurité.

                Savoir que les distros ont distribué le patch en 2 jours, qu’est ce qu’on s’en cogne. C’est arrivé en 2014, recompiler un soft et le distribuer en 2 jours, c’est meme pas la base de la base, surtout quand c’est pas eux qui ont écrit le patch.

                Linuxfr, le portail francais du logiciel libre et du neo nazisme.

                • [^] # Re: Nuance...

                  Posté par  (site web personnel, Mastodon) . Évalué à 4.

                  Nous disons donc la même chose sans tirer les mêmes conclusions :-)

                  La question c’est surtout d’avoir les bons yeux dessus: a savoir des gens qui savent ce qu’ils font et comment auditer […] Une fois disclosé, la communauté (celle qui sait ce qu’elle fait) a trouvé 4 autres problèmes en 24 heures.

                  Je ne me tiens pas au jus de toutes les failles et leurs résolutions, donc peux me tromper ; mais je n'ai pas encore rencontré de logiciel propriétaire où une vulnérabilité signalée est traitée en moins de deux semaines avec en prime la correction de quatre autres problèmes.
                  Que le souci ait été présent un quart de siècle est effectivement que les gens capables ne sont pas penchés dessus jusqu'au coup de projecteur. Encore que, rien ne nous dit que cela aurait pu être fait à cette époque (l'état de l'art et surtout les connaissances évoluant, du code devrait être audité tous les trois à cinq ans : on trouvera toujours façon à protection/durcissement…)
                  C'est pour ces raisons que je n'ai pas trouvé ces exemples pertinents (en plus d'avoir l'impression que tu retournes la transparence du libre contre elle, comme les personnes qui défendent les sources fermées pour ne justement pas donner le bâton pour se faire battre) …même si je suis aussi contre le raccourci « librement auditable & vérifiable par tous » = « audité » (et en l'occurrence bon nombre de codes, dont bash, ne sont pas audités.) C'est plus sûr de pouvoir voir si ça cloche (au lieu d'avoir la poussière sous le tapis), mais ça ne veut pas dire que tout Internet l'audite /o\

                  Et aussi me fait questionner la compétence sécurité du projet.

                  Je pense qu'elle vérifie juste des trucs évidents mais ne peut pas faire de travail de fond parce-que, comme tu le cites, il faudrait une réécriture complète avec la sécurité en tête. « Bash's parser is certain have many many many other vulnerabilities; it was never designed to be security-relevant » :-(

                  “It is seldom that liberty of any kind is lost all at once.” ― David Hume

      • [^] # Re: Nuance...

        Posté par  . Évalué à 7. Dernière modification le 12 décembre 2021 à 18:13.

        Moi je vais faire simple : j'ai passé 13 ans dans la sécurité du code de Windows, en user et Kernel.

        J'ai passé les 7 dernières années dans le code de Linux.

        A choisir je prends Windows. Le code est plus clean, Lea pratiques sécurité de MS pour la qualité du code sont plus avancées que ce qu'on trouve sous Linux et ce mythe que le code Linux est revu plus parce que livre est un gros gag.

        Mais bon faut pas prendre mes dires pour vérité. Par contre on peut aller voir ce que Brad Spengler pense : https://slo-tech.com/clanki/10001en/

        Et pour finir, appelez moi quand Linux aura l'équivalent de HVCI, WDAC, Edge Application Guard, Office Application Guard, une protection contre un SMM compromis, sera compilé avec support pour les Shadow stack par défaut, etc… MS inkove dans la sécurité d'OS depuis longtemps et ce qu'ils font avec les capacités de leur hypervisor est à des kilomètres de Linux et ses containers rigolos qui ne protègent pas grand chose.

        La triste réalité est que les gens qui critiquent la sécurité de Windows sont typiquement des gens qui ne comprennent rien à la sécurité et à Windows.

        Ensuite pour les LL audités, ben je vais me contenter de rigoler en pensant a log4j

        • [^] # Re: Nuance...

          Posté par  . Évalué à 5.

          Ensuite pour les LL audités, ben je vais me contenter de rigoler en pensant a log4j

          C'est vraiment con de finir là dessus.

          « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

          • [^] # Re: Nuance...

            Posté par  . Évalué à 3.

            C'est le stress post traumatique après avoir dû se taper tout ce bordel.

            La réalité est que les bugs, ben ils arrivent partout, et log4j est un grand exemple que les bugs stupides arrivent partout, y compris dans le LL, et y restent pendant des années comme partout. Les gens n'auditent pas forcément le LL plus.

        • [^] # Re: Nuance...

          Posté par  (site web personnel, Mastodon) . Évalué à 2. Dernière modification le 13 décembre 2021 à 11:24.

          Moi je vais faire simple : j'ai passé 13 ans dans la sécurité du code de Windows, en user et Kernel. […] A choisir je prends Windows. Le code est plus clean, Lea pratiques sécurité de MS pour la qualité du code sont plus avancées que ce qu'on trouve sous Linux et ce mythe que le code Linux est revu plus parce que livre est un gros gag.

          Je présume que tu as commencé genre avec 3.1 ? En tout cas t'en as de la chance que n'ont pas les autres : peut-être qu'on aurait aussi une vision énamourée de leur système si on pouvait passer aussi du temps dans leurs sources clean.

          La triste réalité est que les gens qui critiquent la sécurité de Windows sont typiquement des gens qui ne comprennent rien à la sécurité et à Windows.

          D'accord que toutes les personnes causant de sécurité n'ont pas d'expertise en sécurité. Mais il y en a quelques unes quand même (même si je ne sais pas si elles sont intervenues sur cette page.)

          “It is seldom that liberty of any kind is lost all at once.” ― David Hume

          • [^] # Re: Nuance...

            Posté par  . Évalué à 2.

            Non, 2000. Et le code n'est pas parfait hein, ils ont aussi des composants qui montrent leur âge et qui mériteraient d'être réecrit, ils font aussi des conneries de temps en temps, mais au total, je trouves la qualité du code plus haute là-bas, le souci du point de vue sécurité plus haut là-bas, et ils ont tout une infrastructure et un processus de sécurité et qualité qu'on ne retrouve pas dans l'ensemble des packages qui font un OS Linux (kernel + libc + …)

            • [^] # Re: Nuance...

              Posté par  (site web personnel) . Évalué à 3.

              ils ont tout une infrastructure et un processus de sécurité et qualité qu'on ne retrouve pas dans l'ensemble des packages qui font un OS Linux (kernel + libc + …)

              ça, c'est peu mythe qui t'a été inculqué…
              forcément, étant fortement attaqué, Microsoft a dû se défendre et rentrer dans le rang pour promouvoir les bonnes pratiques, avec plus ou moins de réussite (difficile d'être sur tous les fronts entre le hardware/faille CPU, résilience disque pas évidente, réseau hors du domaine d'intervention, fournisseurs externes, utilisateurs qui font nawak, applis qui ne respectent pas l'hygiène élémentaire de gestion des droits et demandent des privilèges trop élevés…).

              C'est appréciable que Microsoft contribue à l'organisation des CVE(*), promeuve l'OWASP car c"est souvent l'applicatif qui pêche comme rappelé dans les commentaires ci-dessous (et dans le tien) et autres initiatives (notamment marketing — autant prêcher dans son domaine… — et ça aide à faire passer des messages, même sans être plus propre sur soi que les autres).
              Pour autant, se dédouaner que des pilotes sont « externes » alors que validés pour installation sur un Windows, c'est un peu limite tout de même :/

              Côté Linux pour kernel et autres, tu omets la contribution des distributions (il n'y a pas que l'upstream qui bosse sur le sujet), chaque distribution correcte a son équipe sécurité (même si souvent elle reste un peu réduite :/), il y a aussi les utilisateurs expérimentés (bon l'admin sys pour Linux, c'est plutôt côté serveurs et réseau… pour l'applicatif, c'est applicompliqué :p). Ce qui m'embête le plus c'est que les prétendues versions LTS n'engagent principalement que sur le core (un terme pas bien défini, mais sous-entendu le noyau, la glibc et éventuellement d'autres trucs).


              (*) https://www.cvedetails.com/vulnerability-list.php?vendor_id=26&product_id=0&version_id=0&page=1&hasexp=0&opdos=0&opec=0&opov=0&opcsrf=0&opgpriv=0&opsqli=0&opxss=0&opdirt=0&opmemc=0&ophttprs=0&opbyp=0&opfileinc=0&opginf=0&cvssscoremin=0&cvssscoremax=0&year=0&cweid=0&order=1&trc=6814&sha=c1f4514ff5abdd83060842fcd9851a988316ae08 spa glorieux pour autant :/

              • [^] # Re: Nuance...

                Posté par  . Évalué à 4.

                Pour autant, se dédouaner que des pilotes sont « externes » alors que validés pour installation sur un Windows, c'est un peu limite tout de même :/

                Ben ils sont externes… MS n'a pas leur code source, pas de droit de modifier leur code, etc… et tu ne peux pas t'attendre à ce que les constructeurs hardware donnent cela à MS. Cf. NVidia et ses pratiques.

                WHQL fait certains tests de sécurité (j'ai écrit le fuzzer pour les drivers SCSI il y a plus de 11 ans, et ils sont toujours là de ce que j'ai vu) et driver verifier est requis pour passer la certification mais MS est limité par ce qui est faisable sans code source, sans code pour exercer les diffèrentes fonctionnalités des drivers.

                • [^] # Re: Nuance...

                  Posté par  . Évalué à 2.

                  Donc une belle justification du code libre, condition nécessaire même si pas forcément suffisante.
                  Deux fois ces derniers temps, Microsoft a intégré des pilotes vérolés, dont un certifié WHQL.
                  Après SolarWinds, champion. Ah mais oui, Orion n'est libre non plus. C'est ballot. La boîte qui équipe plus des trois quarts des ordis du monde n'est pas foutu d'auditer un logiciel de supervision central.
                  Même de leur point de vue, ils n'ont pas été capables de protéger leurs propres sources puisque l'on sait que les pirates ont eu au moins accès aux codes d'Exchange.
                  Last but not least, la faille critique ChaosDB concernant Cosmos DB rendant accessible une clé maître donnant accès à de nombreuses BDD clients…
                  Les tuiles s'accumulent.

                  • [^] # Re: Nuance...

                    Posté par  . Évalué à 3.

                    Mhhh, mhhh, HearBleed, mhh, mhhh, Debian OpenSSL, mhh, mhhh, ShellShock, ….

                    la justification du code libre, bof bof, hein.

                    "Quand certains râlent contre systemd, d'autres s'attaquent aux vrais problèmes." (merci Sinma !)

                    • [^] # Re: Nuance...

                      Posté par  . Évalué à 2.

                      condition nécessaire même si pas forcément suffisante…

                      • [^] # Re: Nuance...

                        Posté par  . Évalué à 2.

                        condition inutile car en plus de 20 ans elle n'a pas montré qu'elle servait à quoi que ce soit sur ce sujet.

                        • [^] # Re: Nuance...

                          Posté par  . Évalué à 2.

                          A ne pas avoir des pilotes vérolés certifiés "haute qualité" (dans la vérole) ?

                          ...**mais pas suffisante**...
                          Malgré les différences de moyens, le libre fait des miracles relativement aux rentiers des licences privatrices.
                          Quels sont les systèmes au palmarès des CVE ? (C'est une vraie question) Je sais que pour deux années consécutives (2015 & 2016 si mes souvenirs sont bons), ce fût OSX. Sinon ? Windows ?

                          • [^] # Re: Nuance...

                            Posté par  . Évalué à 1. Dernière modification le 15 décembre 2021 à 20:02.

                            Edit : "qualité" et non "haute qualité", WHQL signifiant Windows Hardware Quality Labs.

                          • [^] # Re: Nuance...

                            Posté par  . Évalué à 3.

                            a) T'as pas de drivers vérolés dans Linux ? Mais mon cher, tu n'en sais absolument rien, il n'y a rien d'équivalent a WHQL pour les drivers Linux, et on sait tous que quasiment personne audite le code

                            b) comparer le nombre de CVEs est hilarant mais ne montre pas grand chose si ce n'est l'intéret des chercheurs sécurité

                            • [^] # Re: Nuance...

                              Posté par  . Évalué à 1.

                              a) il y a les libres. WHQL qui a montré sa grande utilité… Je n'en sais absolument rien mais "on sait tous", "quasiment" beaucoup de suppositions pour quelqu'un qui m'en reproche.
                              b) ok, monsieur je sais tout

                              • [^] # Re: Nuance...

                                Posté par  . Évalué à 2. Dernière modification le 17 décembre 2021 à 16:17.

                                WHQL est très utile. Que tu ne comprenne pas a quoi il sert c'est autre chose. Personne n'a jamais promis que WHQL trouverait tous les problèmes dans un driver et WHQL est sans équivalent sous Linux

                                Et non être libre ne signifie pas qu'il s ne sont pas vérolés.

                    • [^] # Re: Nuance...

                      Posté par  (Mastodon) . Évalué à 5.

                      Mhhh, mhhh, HearBleed, mhh, mhhh, Debian OpenSSL, mhh, mhhh, ShellShock, ….

                      Tu cites 3 cas qui ont eu certe un gros impact parce que présent longtemps et utilisés un peu partout.

                      Mais si tu regardes bien dans ces cas si la détection n'a pas été réalisée lors d'une review de code, avoir accès aux code source a permis aux experts sécurités de comprendre et d´identifier très rapidement la raison de la faille. Dans le cas de shellshock, le patch a été proposé par celui qui a découvert la faille.

                      De plus dans le cas de shellshock, ça a conduit à l'analyse par d'autre chercheurs pour trouver des failles similaires dans le code. Idem pour Heartbleed suite à son annonce de nombreuses vulnérabilitées ont été découvertes.

                      Donc code libre et ouvert n'est pas une garanti mais est aussi une aide à la découverte des failles même si le nerf de la guerre reste d'avoir:
                      - une politique de sécurité et de revue de code
                      - des ressources (quand heartbleed a été annoncé, openssl c'était géré par 2 devs, log4j 1 mainteneur).
                      - des audits réguliers. Et je dirais que ça c'est de la responsabilité de toute équipe de developpeurs utilisant une librairie. Si tu incorpores du code tiers, la bonne pratique veut que tu le fasses auditer avant, et à intervalles régulières une fois intégré.

                      Jami: beabb2b063da0a2f0a2acaddcd9cc1421245d5de

                      • [^] # Re: Nuance...

                        Posté par  . Évalué à 2.

                        Les autres failles de shellshock ont été trouvées par fuzzing si je me rappelle bien.

                        En règle générale, la majorité des failles sont trouvées comme ça. C’est bien plus simple de laisser une machine explorer les possibilités que de se fader des milliers de lignes de c abscons à la recherche des 3 lignes ou le mec à oublié de vérifier la taille du tableau avant d’assigner.
                        Le code peut ensuite aider à déterminer comment exploiter la faille, mais ça va pas trop dans ton sens.

                        Linuxfr, le portail francais du logiciel libre et du neo nazisme.

        • [^] # Re: Nuance...

          Posté par  (Mastodon) . Évalué à 7.

          De toute manière c'est un peu hors-sujet l'OS dans la plupart des cas quand on parle de serveurs. La plupart des failles viennent des applis elles-même, il n'a a pas besoin d'élever des privilèges pour obtenir un shell, chiffrer ou exfiltrer des données sensibles.

          Tu mentionnes la libraries log4j, la faille fonctionne autant sous linux que sous windows.

          Et c'est pas l'OS qui va nous sauver des risques de library poisoning. de gestions de dépendances des librairies et de leur cycle de vie. On l'a vue avec le mainteneur de corejs qui s'est retrouvé plusieurs mois en prison, et là encore c'était vaguement pas trop mal géré dans le sens où il a prévenu avant que la sentence soit définitive mais malgré avoir délégué l'accès à son dépôt à une tierce personne les commits s'étaient réduits à peau de chagrin:
          https://github.com/zloirock/core-js/graphs/contributors

          Même chose si un mainteneur meurt de manière subite, accepte d'introduire des failles ou ne voit pas que des contributions intègrent petit à petit des morceaux permettant de créer une faille (comme cela a été le cas sur le noyau linux via une équipe de recherche. On se rie souvent de l'ecosystem javascript/nodejs mais go, python, rust ou tout autre langage n'offrent aucune sécurité supplémentaire en rapport avec ces risques.

          On a plein de souçis à se faire niveau sécurité et l'OS le plus sécurisé du monde n'y changera rien.

          Jami: beabb2b063da0a2f0a2acaddcd9cc1421245d5de

    • [^] # Re: Nuance...

      Posté par  . Évalué à 8.

      la sécurité progresse au fur et à mesure que les failles sont découvertes. C'est à rapprocher de certaines failles découvertes sous Windows (dont des 0-day) qui n'ont pas été corrigées pendant deux ans… La plupart des 0-day sous GNU/Linux sont corrigées dans la journée de leur révélation.

      Cela dit il n'y a pas que cet aspect a prendre en question. Aujourd'hui le maillon faible reste à mon avie la capacité ét/ou la volonté des DSI à traiter les problématiques de sécurité comme elles devraient l'être et permettre des déploiements rapides d'infra à jour.

      De la part de certains admins windows avec qui je bosse, il est bien plus simple de faire du déploiement automatisé et de l'infra as code avec linux qu'avec windows. MAis des linux troués dans les SI yen a encore beaucoup trop …

    • [^] # Re: Nuance...

      Posté par  . Évalué à 6.

      L'immense majorité des failles (au doigt mouillé) c'est de l'élévation de privilège; ce qui nécessite d'avoir déjà la main sur la machine (que ce soit linux, windows, bsd, solaris…)

      De ce point de vue là le plus simple est d'inonder les utilisateurs pour qu'un maladroit lance un programme/présentation/image ou se rende sur un site réclamant de changer de mot de passe parce que l'actuel expire dans 2 jours, et qu'on est vendredi à 17h42…

      La toute première faille c'est l'humain; un fois la machine infecté ça va de proche en proche; comme on est déjà autorisé sur le réseau, suffit de faire des élévation de privilèges.

      Il ne faut pas décorner les boeufs avant d'avoir semé le vent

  • # hein?

    Posté par  . Évalué à 10.

    Pour l'instant, le coût de piratage des postes et serveurs Linux est trop élevé pour que les délinquants à la petite semaine s'y intéressent.

    hu? Tu as un lien là dessus? Parce que les délinquants à la petite semaine, ils adorent linux. Tu as toujours un LAMP complètement troué (parceque pas mis à jour depuis 2013), des supers outils d'admin distants (ssh, cli, tout ça), donc tu vas pas te prendre la tête avec un windows si tu es à la petite semaine (envoi de spam, mining, etc..). Ceux qui font du ransomware ne sont pas des attaquants à la petite semaine.

    Ils se contentent d'utiliser plus ou moins industriellement des logiciels malveillants diffusés pour infiltrer les systèmes Windows.

    Lesquels de logiciels? En vrai?

    Les ordinateurs sous exploitation Linux, la majorité des postes, n’ont pas été impactés, contrairement à ceux fonctionnant sous Windows.

    Bah oui, les mecs font du ransomware. Ils tabassent les postes windows en masse, certains que ça va impacter la production, et pousser les DSI à payer.
    Windows (c'est triste) à plein d'outils intégrés pour pousser un outil malveillant qui va cryptolock les postes. Donc un attaquant intelligent va cibler le SI windows, passer admin de domaine, pousser un chiffreur sur les postes et vlam! Max de fric. Il va pas perdre du temps à trouver les postes linux (ou mac d'ailleurs).

    • [^] # Re: hein?

      Posté par  . Évalué à 3. Dernière modification le 08 décembre 2021 à 11:20.

      Comme tu le dis, "Il va pas perdre du temps à trouver les postes linux" et le temps, c'est de l'argent. Donc le coût d'attaque des postes Windows est bien inférieur à celui des postes Linux.

    • [^] # Re: hein?

      Posté par  (site web personnel) . Évalué à 5.

      C'est sur que si le ransomware a le même effet qu'une mise à jour foireuse de ton kernel qui ne monte plus un FS parce que "insert bug à la con", ça va faire peur à personne.

      "ah ah, j'ai supprimé le son sur ton poste de travail sous Debian unstable, tu va devoir payé une rançon" "ah bon, c'est une mise à jour de pipewire ?"

  • # Linux n'est pas uniforme

    Posté par  . Évalué à 9.

    Plus qu'une question de sécurité intrinsèque (Windows a fait d'énormes progrès depuis l'époque où c'était une passoire), c'est surtout une question d'uniformisation je pense. Les OS basés sur Linux sont bien plus variés (distributions différentes, plusieurs versions majeures maintenues en parallèle, mises à jour moins automatisées que Windows, et donc potentiellement encore plus de différences entre machines même si version majeure identique). Je pense que c'est ça qui fait que c'est moins rentable de s'y attaquer : ça demanderait de spécialiser une attaque presque pour chaque machine

    • [^] # Re: Linux n'est pas uniforme

      Posté par  . Évalué à -1.

      Bah, c'est de moins en moins vrai avec Systemd qui veut tout réécrire et s'imposer comme une surcouche indispensable. On perd l'intéret d'une certaine hétérogénéité qui rend les attaques plus difficiles.

      • [^] # Re: Linux n'est pas uniforme

        Posté par  . Évalué à -2.

        Des arguments ?

      • [^] # Re: Linux n'est pas uniforme

        Posté par  . Évalué à 7.

        Il faut vite un noyau alternatif pour être plus hétérogène !

      • [^] # Re: Linux n'est pas uniforme

        Posté par  . Évalué à 2.

        1.C'est pas genre un cheval mort le meme Systemd aujourd'hui ?
        2.Tu confondrais pas Systemd et le kernel ?
        3.Si tu considère que tout le monde a une version du kernel Linux différente (argument de hétérogénéité) pourquoi ça serait pas pareil pour Systemd, qui évolue très vite lui aussi ?
        4.Pourquoi te focaliser sur Systemd ? Il t'a fait mal quelque part ?

        "Quand certains râlent contre systemd, d'autres s'attaquent aux vrais problèmes." (merci Sinma !)

        • [^] # Re: Linux n'est pas uniforme

          Posté par  . Évalué à 2.

          1.C'est pas genre un cheval mort le meme Systemd aujourd'hui ?

          C'est à dire ?

          Tu confondrais pas Systemd et le kernel ?

          Non

          Si tu considère que tout le monde a une version du kernel Linux différente (argument de hétérogénéité) pourquoi ça serait pas pareil pour Systemd, qui évolue très vite lui aussi ?

          Bien sûr, mais c'est pas parce que le noyau est un potentiel vecteur d'attaque commun qu'on doit en poser d'autres …

          4.Pourquoi te focaliser sur Systemd ? Il t'a fait mal quelque part ?

          Oui.

      • [^] # Re: Linux n'est pas uniforme

        Posté par  (site web personnel) . Évalué à 8.

        Pendant longtemps la plupart des distributions ont utilisé le sysvinit de Miquel van Smoorenburg sans que personne ne semble s’inquiéter d’un manque d’hétérogénéité.

        Pendant longtemps la plupart des distributions ont utilisé le sys(k)logd de Greg Wettstein and Stephen Tweedie sans que personne ne semble s’inquiéter…

        Pendant longtemps la plupart des distributions ont utilisé le udev de Greg Kroah-Hartman et Kay Sievers sans que personne…

        Il y a sûrement des choses à critiquer dans systemd (citez-moi un programme qui ne soit pas critiquable), mais à mon avis pas celle-là.

        • [^] # Re: Linux n'est pas uniforme

          Posté par  . Évalué à 2.

          Pendant longtemps la plupart des distributions ont utilisé le sysvinit de Miquel van Smoorenburg sans que personne ne semble s’inquiéter d’un manque d’hétérogénéité.

          Certes mais je pouvais facilement m'en passer et utiliser un autre système d'init …

          Pendant longtemps la plupart des distributions ont utilisé le sys(k)logd de Greg Wettstein and Stephen Tweedie sans que personne ne semble s’inquiéter…

          Oui mais je pouvais facilement utiliser une alternative.

          Il y a sûrement des choses à critiquer dans systemd (citez-moi un programme qui ne soit pas critiquable), mais à mon avis pas celle-là.

          Ca en plus du fait que systemd ne se contente pas d'être un système de démarrage ?

    • [^] # Re: Linux n'est pas uniforme

      Posté par  . Évalué à 4.

      mises à jour moins automatisées que Windows

      Plus ou moins. Chez Microsoft par défaut l'OS se met à jour tout seul (avec probablement des subtilités que je ne connais pas), mais il n'y pas de gestionnaire de paquets (pas encore serait plus exact), donc les applications peuvent rester plus facilement obsolètes. Sur une debian on peut configurer apt pour qu'il applique automatiquement les mise à jour de sécurité (et uniquement celles-ci à heure fixe tous les jours ou plus fréquemment).

      Donc que ce soit chez l'un ou chez l'autre, ça dépend plus de la compétence de l'administrateur réseau et de la configuration qu'il a décidé d'appliquer.

      • [^] # Re: Linux n'est pas uniforme

        Posté par  (site web personnel) . Évalué à 4.

        Les mises a jour Windows sont une VRAIE PLAIE … La petite VM que j'utilise avec W10
        se mets a jour n'importe quand…

        c'est super top quand tu veux arrêter de bosser et "que tu as le message veuillez ne pas éteindre l'ordinateur …"

        En fait, mais ce n'est pas surprenant, il faut apparemment acquérir certains outils comme WSUS sur Windows SERVER pour que tu puisses gérer correctement QUAND tu fais des MAJ.

        Bref Windows évolue soit, mais on prend toujours les utilisateurs pour des c…

        Et ce vieil adage reste d'actualité :

        Windows c'est fait pour être vendu
        Linux c'est fait pour être utilisé

        J'ai choisi mon camp.

        • [^] # Re: Linux n'est pas uniforme

          Posté par  . Évalué à 2.

          La petite VM que j'utilise avec W10 se mets a jour n'importe quand…

          Là j'avoue que je ne comprends pas. Tout est réglable de ce côté là.
          Au pire la machine va peut-être finir par appliquer sa maj car ça fait 10j qu'elle te propose de reboot mais que tu refuses et encore…

          • [^] # Re: Linux n'est pas uniforme

            Posté par  (site web personnel) . Évalué à 5.

            Ba oui je refuse les mises à jour
            C'est quand même a moi de décider quand je dois les faire et si je dois les faire

            Au pire la machine va peut-être finir par appliquer sa maj

            C'est qui l'admin … ta machine ?

            • [^] # Re: Linux n'est pas uniforme

              Posté par  (site web personnel, Mastodon) . Évalué à 4.

              Anecdote personnelle hors sujet (quoique)

              Quand j'ai démarré sur Linux, au début je refusais les mises à jour car je n'avais pas envie d'être bloquée en plein travail. Une fois que j'ai eu (rapidement) compris qu'en fait ça se mettait à jour en tâche de fond, maintenant je les accepte. Mais ça reste, effectivement volontaire et quand je veux.

              « Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.

              • [^] # Re: Linux n'est pas uniforme

                Posté par  (site web personnel) . Évalué à 4.

                Honnêtement, sur ma machine je fais attention quand certaines librairies se mettent à jour
                et j'ai toujours une appréhension quand je reboote suite à un changement noyau (même si je sais comment me sortir de ce genre de problème)

                Mais ce traumatisme doit dater de mes débuts sous unix, une époque que les moins de 20 ans ne peuvent pas connaître et quand il fallait recompiler le noyau pour changer le nom de la machine … et que chaque reboot était une aventure :)

                On m'avait appris à l'époque qu'une machine Unix c'est comme un avion, tant que ça vole pas de soucis c’est à l’atterrissage et au décollage qu'il y a le plus de problèmes :)

                • [^] # Re: Linux n'est pas uniforme

                  Posté par  . Évalué à 4.

                  Honnêtement, sur ma machine je fais attention quand certaines librairies se mettent à jour
                  et j'ai toujours une appréhension quand je reboote suite à un changement noyau (même si je sais comment me sortir de ce genre de problème)

                  Pour moi c'est exactement ça … Je veux choisir de faire mes mises à jour au moment ou je peux potentiellement passer du temps à dépanner (et pas quand je dois imprimer en urgence un courrier important).

            • [^] # Re: Linux n'est pas uniforme

              Posté par  (site web personnel, Mastodon) . Évalué à 5.

              Au pire la machine va peut-être finir par appliquer sa maj

              C'est vraiment la pire chose de la part d'un système qui vous respecte…

              C'est qui l'admin … ta machine ?

              Ces trucs ont une vie propre et on est à leur service : c'est que système d'exploitation chez Redmond signifie que c'est lui qui vous exploite…

              “It is seldom that liberty of any kind is lost all at once.” ― David Hume

              • [^] # Re: Linux n'est pas uniforme

                Posté par  (site web personnel) . Évalué à 4.

                Ces trucs ont une vie propre et on est à leur service : c'est que système d'exploitation chez Redmond signifie que c'est lui qui vous exploite…

                Si cela se trouve la matrice tourne sous Windows …

                Bon cela pourrait expliquer le comportement irrationnel et erratique de certains …

                une idée à creuser …

                Si quelqu'un croise un lapin blanc, une pilule rouge … faites une dépêche svp

                • [^] # Re: Linux n'est pas uniforme

                  Posté par  . Évalué à 3.

                  Non c'est simplement que tu ne sais pas configurer un système.

                  Mon W10 installe les updates quand je le lui permet, et c'est tout.

                  Le paramétrage par défaut a tout son sens pour les gens qui ne comprennent rien a la sécurité car sinon ils ne mettraient jamais leur machine à jour sans en comprendre les conséquences.

            • [^] # Re: Linux n'est pas uniforme

              Posté par  . Évalué à 2.

              C'est quand même a moi de décider quand je dois les faire et si je dois les faire

              Moi c'est automatique, selon mes horaires choisies, car j'ai autre chose à faire. ¯\(ツ)

              "Quand certains râlent contre systemd, d'autres s'attaquent aux vrais problèmes." (merci Sinma !)

              • [^] # Re: Linux n'est pas uniforme

                Posté par  (site web personnel, Mastodon) . Évalué à 2.

                Tu as quand même décidé d'automatiser et choisi tes horaires ; c'était ça le message du commentaire.

                “It is seldom that liberty of any kind is lost all at once.” ― David Hume

                • [^] # Re: Linux n'est pas uniforme

                  Posté par  . Évalué à -1.

                  Moi personnellement ma machine sous win10 n'a jamais redémarré sans mon accord. Je ne comprends toujours pas comment tu peux avoir ça…

                  • [^] # Re: Linux n'est pas uniforme

                    Posté par  . Évalué à 9.

                    Situation :
                    "Blaster & co exploitent des failles de Windows et sont des problèmes majeures en 2002 avant le SP2 et les mises à jours automatiques"

                    Linuxfr:
                    "Bouh, Microsoft c'est nul ! Passoire !"

                    Nouvelle situation :
                    "Les mises à jours de failles critiques sont automatiquement installées après plusieurs messages d'avertissement sur plusieurs jours afin d'éviter la situation de 2002."

                    Linuxfr:
                    "Bouh, Microsoft c'est nul ! Mon PC, mon temple !"

                    Y'en a, ils sont jamais contents…

                    "Quand certains râlent contre systemd, d'autres s'attaquent aux vrais problèmes." (merci Sinma !)

                    • [^] # Re: Linux n'est pas uniforme

                      Posté par  . Évalué à 3. Dernière modification le 11 décembre 2021 à 05:41.

                      Éh, oh, d'où tu te permets de critiquer ceux qui trouvent toujours à critiquer ?

                      je ->[]

                      Matricule 23415

                    • [^] # Re: Linux n'est pas uniforme

                      Posté par  (site web personnel) . Évalué à 5.

                      Conclusion :

                      malgré ses efforts Microsoft n'arrive pas à sécuriser son OS depuis TRES longtemps, et malgré les moyens colossaux dont ils disposent

                      "On ne peut pas transformer un canasson en cheval de course …"

                      Jamais content raleur mais cohérent …

                      • [^] # Re: Linux n'est pas uniforme

                        Posté par  . Évalué à 1. Dernière modification le 13 décembre 2021 à 14:47.

                        Tu sautes aux conclusions que tu veux sans la moindre preuve, juste pour troller. Bravo.

                        Y'a régulièrement des patches de failles sous Linux aussi, hein. Ça veut rien dire.

                        "Quand certains râlent contre systemd, d'autres s'attaquent aux vrais problèmes." (merci Sinma !)

                        • [^] # Re: Linux n'est pas uniforme

                          Posté par  . Évalué à 3.

                          "On ne peut pas transformer un canasson en cheval de course …"

                          Par contre ici on arrive à faire courir les aficionados du canasson … :)

                          • [^] # Re: Linux n'est pas uniforme

                            Posté par  (site web personnel) . Évalué à 1.

                            Excellent :)

                            Ceci dit on doit les payer pour ça ;)

                          • [^] # Re: Linux n'est pas uniforme

                            Posté par  . Évalué à 2.

                            Je suis ravi de constater qu'on ait pu établir ensemble que ceci:

                            "malgré ses efforts Microsoft n'arrive pas à sécuriser son OS depuis TRES longtemps, et malgré les moyens colossaux dont ils disposent"

                            est absolument faux. Et un troll.

                            "Quand certains râlent contre systemd, d'autres s'attaquent aux vrais problèmes." (merci Sinma !)

                        • [^] # Re: Linux n'est pas uniforme

                          Posté par  (site web personnel) . Évalué à 3.

                          Super un troll Linux / Windows … cela fait trop longtemps :)

                          Je commence :

                          L'existence même de Linux est une preuve, si Windows avait été fiable, bon marché et performant JAMAIS autant de personnes ne se seraient regroupées pour créer un éco système comme Linux.

                          A ton tour …

                          • [^] # Re: Linux n'est pas uniforme

                            Posté par  (site web personnel, Mastodon) . Évalué à 6. Dernière modification le 14 décembre 2021 à 12:39.

                            En fait, je me demande pour tous les super-calculateurs tournent sur Linux. Il doit bien y avoir une raison. Il est possible que, dans certains cas, ce soit dû au fait que les gens qui s'en occupent soient aussi des ornithologues ce qui explique le choix d'un SE dont la mascotte est un oiseau. Mais je serais fort étonnée qu'ils le soient tous. Il doit donc y avoir une autre raison, mais laquelle ?

                            « Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.

                            • [^] # Re: Linux n'est pas uniforme

                              Posté par  (site web personnel) . Évalué à 2.

                              C'est vrai c'est bizarre …

                              Pourtant Microsoft doit bien faire des remises pour les super calculateurs … en terme d'image de marque … quand même …

                              Et pourtant, on m'a toujours dit que Windows était plus facile à installer

                              Il doit y avoir une autre raison mais laquelle …

                              Bon c'est pas grave il n'y en a pas beaucoup des super calculateurs

                              Par contre encore plus bizarre : sur Azure le cloud de Microsoft …

                              Linux supplante désormais Windows sur le cloud Microsoft

                              Bon ok l'article date de 2019, mais la aussi je ne comprend pas comment c'ets possible …

                              Quelqu'un aurait un début d'explication ?

                              • [^] # Re: Linux n'est pas uniforme

                                Posté par  . Évalué à 1.

                                Tout simplement car Windows n'est pas étudié pour fonctionner sur des HPC.
                                Du coup s'ils veulent "inventer" un OS compatible ça sera… un Linux ou équivalent donc je pense qu'il est beaucoup plus simple et moins coûteux pour eux de venir apporter leurs contributions aux solutions déjà existantes.

                                • [^] # Re: Linux n'est pas uniforme

                                  Posté par  (site web personnel) . Évalué à 0.

                                  <mauvaise foi>
                                  Microsoft "étudie" ... tant mieux il était temps :)
                                  </mauvaise foi>
                                  

                                  Allez juste pour informations on vient de me demander d'éteindre une série de machine physique qui sont plus utile et Oh surprise …

                                  [root@XXXXXX ~]# uptime
                                  14:46:32 up 1599 days, 3:12, 1 user, load average: 0.06, 0.04, 0.00

                                  [root@XXXXXX ~]# cat /etc/redhat-release
                                  Red Hat Enterprise Linux Server release 5.7 (Tikanga)

                                  Bon ok cela fait au moins plusieurs mois que plus personne ne se connecte dessus mais bon tout était en ordre de marche, l'application la base etc …

                                  <mauvaise foi>
                                  Alors que le seul OS qui se plante TOUT SEUL, je l'ai vu de mes yeux vu ... c'est Windows
                                  ok c'était il y a quelques années ... j'avais tellement rigolé que j'ai failli me faire pipi dessus ... Unix Killer mouahahahah ...
                                  </mauvaise foi>

                                  • [^] # Re: Linux n'est pas uniforme

                                    Posté par  . Évalué à 7. Dernière modification le 16 décembre 2021 à 21:52.

                                    Je suis pas sur que se vanter de n’avoir pas fait un mise à jour en plus de 10 ans aille dans le sens que tu pense.
                                    Ni de fanfaronner un os vieux de 15 ans qui n’est plus supporté.
                                    ‘Fin je dit ca, je dit rien.

                                    Linuxfr, le portail francais du logiciel libre et du neo nazisme.

                                    • [^] # Re: Linux n'est pas uniforme

                                      Posté par  (site web personnel, Mastodon) . Évalué à 1.

                                      Euh… Il ne dit pas que les mises à jour ne sont pas faites ou j'ai mal lu ? J'ai connu beaucoup d'entreprises qui ont peur des mises à jour, mais moi je mets toujours en place les m-à-j quasi-auto des correctifs de sécu uniquement.
                                      Pour le support, celui de la RHEL/CentOS 5 était jusqu'en novembre 2020… Ça ne fait pas quinze ans… Et il ne dit pas que les machines sont encore utilisées, mais qu'elles étaient abandonnées/oubliées (c'est un classique de garder les machines quelques semaines après migration, au cas où …et là l'heure était venu de les éteindre sans regret.)

                                      “It is seldom that liberty of any kind is lost all at once.” ― David Hume

                                      • [^] # Re: Linux n'est pas uniforme

                                        Posté par  . Évalué à 2.

                                        Il fait tourner une 5.7 sortie y’a 11 ans, qui n’était pas couverte par le ELS qui a commencé en 2017 avec la 5.11, et s’est terminé y’a plus d’un an.
                                        La 5.8 est sortie y’a 9 ans.
                                        RHEL 5 est sorti en 2007, avec un kernel 2.6.18, donc presque 15 ans.

                                        Soit ses mois sont vraiment très longs, soit il ne voit pas la poutre dans son œil (ce qui n’est pas étonnant vu la teneur de ses posts ici).

                                        Linuxfr, le portail francais du logiciel libre et du neo nazisme.

                                      • [^] # Re: Linux n'est pas uniforme

                                        Posté par  . Évalué à 4.

                                        Une mise à jour des failles du noyau nécessite un reboot, à moins que le remplacement à chaud d’un noyau soit possible et que je sois passé à côté. Mais sinon, ça m’étonnerait qu’il n’y ait pas eu de mise à jour de sécurité du noyau pendant dix ans. Je sais que les modules peuvent se charger à chaud ;-)

                                        • [^] # Re: Linux n'est pas uniforme

                                          Posté par  (site web personnel, Mastodon) . Évalué à 2.

                                          Remplacer à chaud le noyau est possible mais pas pour Linux (quoique, il est possible depuis quelques temps de colmater un noyau qui tourne et seulement dans dans des cas bien définis.) Pour le noyau, je fais toujours une exception ; d'où le « quasi » : on reçoit une notification pour une telle mise à jour, et on planifie une interruption de service pour pouvoir faire un redémarrage…

                                          “It is seldom that liberty of any kind is lost all at once.” ― David Hume

                                    • [^] # Re: Linux n'est pas uniforme

                                      Posté par  (site web personnel) . Évalué à -1. Dernière modification le 17 décembre 2021 à 17:01.

                                      Tout le monde ne travaille pas dans le Web 12.0 et d'ailleurs pour gérer
                                      les commandes, la compta, le stock des sites avec logos en flamme-de-la-mort-qui-tue
                                      il faut bien des logiciels très chiant pour stocker toutes ces informations

                                      Et ces logiciels sont parfois très vieux avec un renouvellement entre 7 et 15 ans (il y a pire)
                                      Ils ne sont accessible que depuis un réseau local et absolument pas prévu pour être en live sur le net.

                                      Ces machines ne sont pas exposés tout simplement, les attaques si attaquent il y a viendraient de l'intérieur du LAN.

                                      Généralement ils coutent très cher et la journée pour faire la moindre modifs aussi
                                      Mais ils fonctionnent et d'ailleurs faire une MAJ nécessitent parfois beaucoup de temps pour pas grand chose.

                                      Et donc on ne changent pas une équipe qui gagne …

                                      • [^] # Re: Linux n'est pas uniforme

                                        Posté par  . Évalué à 5.

                                        Ben écoutes, je suis sur que t’as un paquet de bonnes raisons de faire tourner une machine en production sur un os pas supporté, ni d’appliquer les 4 mises à jour fournies par l’éditeur. Surtout pour un truc comme la compta, après tout, ça gère juste les sous, et est couvert par des obligations légales.

                                        Je suis à peu près sûr que tout le monde a fait ça un jour.
                                        Juste, vient pas faire le guignol derrière à dire que MS c’est de la merde quand tu fais de la merde toi aussi.

                                        Ils ne sont accessible que depuis un réseau local et absolument pas prévu pour être en live sur le net.

                                        Ah oui, parce que log4j nous a prouvé qu’il faut un accès direct à la machine pour exploiter une faille. Et jamais on a vu une machine interne se faire compromettre pour rebondir sur le réseau local.
                                        C’est pas comme si Manutan s’était retrouvé hors ligne pendant 10 jours parce qu’ils faisaient tourner des machines hors support qui se sont faite plombées via le réseau interne. Et c’est pas comme si le nourjal en parlait.

                                        Linuxfr, le portail francais du logiciel libre et du neo nazisme.

                                        • [^] # Re: Linux n'est pas uniforme

                                          Posté par  (site web personnel) . Évalué à 4.

                                          Juste, vient pas faire le guignol derrière à dire que MS c’est de la merde quand tu fais de la merde toi aussi.

                                          Désolé mais je n'ai pas l'impression de faire de la merde, ni de faire le guignol (enfin le guignol cela se discute …)

                                          Pour moi MS cela reste de la merde, dont on change juste le papier doré tout les 3 ans pour vendre une nouvelle version.

                                          Et pour information dans la vraie vie, dans les entrepots, les usines … la ou tout n'est pas que virtuel, tu peu trouver des ordinosaures qui … fonctionnent tout simplement.

                                          Je n'ai plus l'occasion de le vérifier, mais dans certains cas des machines outils sont pilotées par du DOS 3.3 ou même du Windows NT et même du SCO Unix.

                                          La différence entre la merde, comme tu dis, et la qualité : un objet de qualité tu peu le réparer et l'entretenir …

                                          avec Windows la tendance est plutot d'attendre la prochaine mise à jour ou la prochaine version :)

                                          • [^] # Re: Linux n'est pas uniforme

                                            Posté par  (site web personnel, Mastodon) . Évalué à 3.

                                            Je te confirme pour SCO (j'ai du m'en occuper chez un client il y a trois ans, et aux dernières nouvelles c'est encore là) ; et je soupçonne que ce soit le cas aussi pour DOS (la dernière fois que j'ai eu le cas c'était en 2006 ou 2007, mais je ne serai pas surpris d'en croiser encore) …comme les XP planqués ci et là.

                                            “It is seldom that liberty of any kind is lost all at once.” ― David Hume

                                          • [^] # Re: Linux n'est pas uniforme

                                            Posté par  (site web personnel, Mastodon) . Évalué à 6.

                                            Et pour information dans la vraie vie, dans les entrepots, les usines … la ou tout n'est pas que virtuel, tu peu trouver des ordinosaures qui … fonctionnent tout simplement.

                                            Ou même dans de petites structures. J'ai une cliente qui, jusqu'à l'année dernière, faisait sa compta sur une vieille version de Ciel (je crois) sur OS 9 (mais son vieux mac "coussin" est en train de rendre l'âme) ! Et, comme ses ordinateurs sont des mac, d'occasion donc pas récents, donc sans toujours de mise à jour possible, va trouver un logiciel comptable pour sa configuration, c'est pas évident. Là elle est passée sur une abominable truc en ligne.

                                            Il n'y a pas si longtemps ici (deux ans ?) quelqu'un rapportait avoir encore vu, dans les années 2000, un système de gestion des parkings géré par un Apple 2C (aucun risque de virus, mais… pas de sauvegarde) si je me souviens bien.

                                            « Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.

                                          • [^] # Re: Linux n'est pas uniforme

                                            Posté par  . Évalué à 2.

                                            Oui, sauf que c’est pas dans une usine, c’est pas un ordinausore, et des mises à jours étaient disponibles.

                                            Bref, comme je disais, on a toujours de bonnes excuses.

                                            Linuxfr, le portail francais du logiciel libre et du neo nazisme.

                                            • [^] # Re: Linux n'est pas uniforme

                                              Posté par  . Évalué à 6.

                                              Y'a un vieux dicton qui dit

                                              If it works, don't fix it!

                                              Bon j'ai quelques exception notamment sur les mises à jour de sécurité, mais pour une machine avec rien d'ouvert sauf le service sur lequel elle est utile, il peut être plus simple et plus raisonnable de ne pas y toucher (autre que pour les backups et surveiller justement les CVE sur les services ouverts). D'ailleurs au boulot on a une appli java en prod, qui utilise Log4j, la bonne nouvelle c'est qu'on est encore sur la 1, et sans les options qui ouvrent la faille (bon c'est une exception j'ai toujours râlé contre les décision de passer à une version de java 1 mois avant la fin de son support, et le fait de devoir se démerder avec des bibliothèque datant de 2003) :P

                                              Il ne faut pas décorner les boeufs avant d'avoir semé le vent

                          • [^] # Re: Linux n'est pas uniforme

                            Posté par  (site web personnel, Mastodon) . Évalué à -2.

                            Pendant longtemps, µ$ a voulu écrire un compatible Unix pour les processeurs Intel x86. Le génial bilou et ses talentueux ingénieurs ont échoué là où un jeune finlandais et communauté de hippies barbus reclus sur la toile ont réussi. Aujourd'hui la firme de Redmond en est à intégrer ce travail comme sous-système de leur tuile, comme quasiment tout ce qu'ils auraient créé.

                            “It is seldom that liberty of any kind is lost all at once.” ― David Hume

  • # Une analyse assez foireuse

    Posté par  (site web personnel) . Évalué à 10.

    En fait, quand on parle de failles en parlant des OS, c'est une comparaison foireuse. Par exemple, si quelqu'un expose un Jenkins ou un Wordpress troué sur internet, personne ne va dire "c'est une faille de Linux". Par contre, si un poste de travail se retrouve infecté, et qu'un malware efface les données des serveurs Windows (ce qui est le cas des ransomware), ça devient d'un coup une faille lié à l'OS.

    L'exemple de Manutan est assez parlant. Microsoft dit "il faut faire les mises à jours", le responsable du SI dit "on a 800 serveurs, on peut pas". Puis "on a eu des alertes, mais on a pas regardé".

    Je comprends que l'informatique, c'est difficile, et je ne doute pas que la situation vis à vis des mises à jour est loin d'être simple. J'ai aussi du m'occuper de remettre en état des infras pourris, ça coûte de l'argent (sous forme d'ingé qualifié) qu'on a du mal à trouver. Et j'ai beau dire "faut passer à de l'automatisation", c'est plus facile à dire qu'à faire (car la, les 800 serveurs, ça a été fait à la main de ce que je comprends).

    Mais quand on regarde l'histoire, l'attaque a commencé par un phising. Est ce qu'on va compter ça comme une faille windows ? Visiblement oui. Je suppose qu'à partir du phisig, il y a eu obtention d’accès plus élevés sur les serveurs, puis la cata.

    Et les serveurs qui ont été touchés sont ceux avec des données qui impacte la boite (exchange, AD, applicatifs maisons).

    Du coup, ça pose la question de la place de Linux dans le SI.
    Si ça sert à faire dhcp/dns, ça va pas être malin de le foutre en l'air, vu que ça coute moins cher de réinstaller vu qu'il y a pas de données. Et du point de vue du pirate, il ne faut pas mettre en l'air la compta et la DB Oracle/SAP (qui en général tourne sous RHEL/Suse), sinon personne ne va pouvoir payer la rançon.

    D'une part que le département financier doit pouvoir fonctionner, et d'autre part parce qu'il resterait plus de thunes après le passage d'Oracle pour refaire marcher la compta.

    Le but, c'est quand même le pognon.

    • [^] # Re: Une analyse assez foireuse

      Posté par  (site web personnel) . Évalué à 8.

      Je n'avais pas pris le temps de donner mon avis sur le retour d'expérience de Manutan mais puisque tu évoques le sujet je me permets d'y consacrer quelques lignes: un service informatique qui gère une infrastructure de 800 serveur physique, qui n'effectue pas les mises à jours et qui ne prête pas attention aux alertes de ses outils de test s'expose de manière quasiment inévitable à un crash à plus ou moins longue échéance. Ce n'est pas nécessairement sa faute au sens où il n'est pas forcément décisionnaire sur l'architecture et/ou les moyens mis en œuvre mais le service informatique doit être conscient de ce risque et faire remonter l'information. C'est là sa responsabilité.

    • [^] # Re: Une analyse assez foireuse

      Posté par  . Évalué à 4.

      Et du point de vue du pirate, il ne faut pas mettre en l'air la compta et la DB Oracle/SAP (qui en général tourne sous RHEL/Suse), sinon personne ne va pouvoir payer la rançon.

      Je pense que c'est plutôt que c'est moins exposé et plus spécifique. Donc plus difficile d'avoir une faille pour au final avoir au mieux le même gain qu'en chiffrant le partage réseau.

      « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

      • [^] # Re: Une analyse assez foireuse

        Posté par  (site web personnel) . Évalué à 7.

        Ça, ou peut être qu'Oracle va demander sa part si quelqu'un arrive à obtenir de l'argent avec sa DB.

        J'ai pas lu les conditions d'utilisation, mais je serait pas étonner que ça soit dedans :p

  • # Commentaire supprimé

    Posté par  . Évalué à 6.

    Ce commentaire a été supprimé par l’équipe de modération.

  • # [Référence nécessaire]

    Posté par  . Évalué à 6.

    La sécurité de Linux est loin d'être parfaite mais elle va bien au-delà de celle de Windows.

    Source ?

    "Quand certains râlent contre systemd, d'autres s'attaquent aux vrais problèmes." (merci Sinma !)

    • [^] # Re: [Référence nécessaire]

      Posté par  (site web personnel) . Évalué à -1.

      précisément les liens qu'il donne :)

      • [^] # Re: [Référence nécessaire]

        Posté par  . Évalué à 10. Dernière modification le 08 décembre 2021 à 11:50.

        Non, les liens qu'il donne ne montre pas ça, c'est deux exemples. Je peux trouver trois exemple d'attaque de serveurs Linux, ça ne nous avancera pas à montrer qui est le plus sécurisé.

        « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

  • # Chromebook

    Posté par  (site web personnel) . Évalué à 4.

    En fonction du succès de Google à développer les Chromebook dans le monde de l'entreprise, ce sera intéressant de voir ce qu'il en est de la sécurité de ces postes de travail.

    https://www.zdnet.fr/actualites/chromebook-en-entreprise-pourquoi-les-fournisseurs-s-y-mettent-maintenant-39899603.htm

    • [^] # Re: Chromebook

      Posté par  (site web personnel) . Évalué à 4.

      Le seul défaut de ces chromebooks c'est d'être pieds et poings liés à Google …

      A titre d'exemple : un chromebook sans accès au Google Store c'est mort, cependant je ne sais pas si il y en a encore

  • # Mon avis qui n'engage que moi ...

    Posté par  (site web personnel) . Évalué à 10.

    Bonjour à tous,

    Mes 20 ans d'ingénièrie système me permettent d'émettre un avis sur la question de la sécurité bien que cela ne soit pas ma partie préférée.

    Depuis quelques années Windows et linux doivent fonctionner ensemble et on peut retenir que si windows est bien gérée cela reste, à mon avis, assez sécure coté serveur.
    On peut dire la même chose de linux, si l'on applique les principes de bases de la sécurité.

    Bien souvent le problème provient de l'élément humain et vous pouvez mettre tout les pare feux que vous voulez, multiplier les certificats, changer les mots de passe tout les jours
    etc … la faille principale restera humaine.

    Un mauvais admin windows se fera pirater, tout comme un mauvais admin linux … ceci dit j'ai vu plus de clown-admin windows que de clown-admin linux.

    Peut être une question de volume, ou de formation ou peut être est il plus facile de faire illusion sous windows.

    D'ailleurs en général des qu'il y a un problème sous windows … il n'y a plus personne …

    Et je ne parle pas des utilisateurs qui ne comprennent pas l'importance des principes de bases de la sécurité.

    Peut être faut il revenir au principe des terminaux et serveurs comme dans les années 90 :)

    • [^] # Re: Mon avis qui n'engage que moi ...

      Posté par  . Évalué à 7.

      Peut être faut il revenir au principe des terminaux et serveurs comme dans les années 90 :)

      C'est pas ce qu'on est en train de faire ? C'est juste que maintenant on appelle ça PC/smartphone à la place de terminal et cloud à la place de serveurs.

      • [^] # Re: Mon avis qui n'engage que moi ...

        Posté par  (site web personnel) . Évalué à 4.

        Un peu … mais l'idéal, pour des raisons de sécurité, serait que les smartphones et PC ne ne soient pas aussi intelligent et facilement reprogrammable.

        Et surtout pas modifiable par l'utilisateur …

        mais d'un autre coté cela donnerait encore plus de pouvoir aux sysadmins …

        Il y a un équilibre à trouver et à mon humble avis le chromebook en serait un … mais sans google

        L'Europe pourrait faire un équivalent de chromebook Europeen ou tout serait crypté de bout en bout, avec une fondation dédiée et un cloud dédiée accessible à tous, respectant la vie privée et le RGPD

        Et dans quelques années on crierait au scandale, car cette instution sous prétexte de lutter contre les extremes, pedobear, les pirates et autres contrevenants aurait le droit de fouiller dans ce cloud pour trouver des preuves.

        Bref rien n'est simple …

  • # De quoi parle-t-on précisement ?

    Posté par  . Évalué à 7.

    Je pense qu'il y a un problème de définition sur les postulats de départs.
    Que tes serveurs web soient sous Windows ou GNU/Linux, peu importe l'OS, si la conf de ton serv web est mal faite, tu vas avoir des soucis. Pareil pour un DDOS, les OS des serveurs et des postes de travails importent peu. Mais ce n'est pas de ca dont on parle ici.

    Dans les exemples indiqués, on parle de ransonwares, qui n'est qu'un type d'attaque parmi tant d'autres. Dans ce type d'attaque, une partie des outils permettant de les mener, exploite tout bêtement les Active Directory mal configurés pour gagner des privilèges et se propager. Donc en gros oui, face à une attaque visant les vulnérabilités d'Active Directory, les infras Windows sont plus fragiles ; mais quelque part, ce raisonnement n'est qu'une tautologie.

    Par contre faire une comparaison de résilience d'OS face aux attaques en ne se basant que sur les vulnérabilités d'Active Directory, ca reste un peu tendu niveau pertinence.

    Emacs le fait depuis 30 ans.

  • # Windows, c'est de la verole à ransomware

    Posté par  (site web personnel) . Évalué à -7.

    Windows, c'est de la verole à ransomware.

    Tant que les responsables informatiques toleront cette passoire dans leur parc informatique, il y aura des ransomwares.

    • [^] # Re: Windows, c'est de la verole à ransomware

      Posté par  . Évalué à -1.

      Commence par bien configurer le certificat SSL de ton site web personnel et ensuite tu pourras revenir parler de Windows ;)

      • [^] # Re: Windows, c'est de la verole à ransomware

        Posté par  (site web personnel, Mastodon) . Évalué à 2. Dernière modification le 09 décembre 2021 à 22:25.

        Y a pas de certificat mal configuré ; c'est un site en http-tout-court.

        “It is seldom that liberty of any kind is lost all at once.” ― David Hume

        • [^] # Commentaire supprimé

          Posté par  . Évalué à -3.

          Ce commentaire a été supprimé par l’équipe de modération.

          • [^] # Re: Windows, c'est de la verole à ransomware

            Posté par  (site web personnel, Mastodon) . Évalué à 2.

            Bof… gnu.org ; git-scm.com ; videolan.org ; cygwin.com ; openoffice.org ; etc. Si eux se font pas insérer du contenu illégal/dangereux, ce n'est pas le petit blog de Gens-Mi avec une dizaine de pages qui va intéresser le méchant homme du milieu (protection au passage relative pour les internautes de l'empire du milieu)

            “It is seldom that liberty of any kind is lost all at once.” ― David Hume

            • [^] # Re: Windows, c'est de la verole à ransomware

              Posté par  . Évalué à 4.

              Tous les sites que tu donnes sont disponible en HTTPS avec un certificat valide.

              « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

            • [^] # Commentaire supprimé

              Posté par  . Évalué à 3.

              Ce commentaire a été supprimé par l’équipe de modération.

              • [^] # Re: Windows, c'est de la verole à ransomware

                Posté par  (site web personnel, Mastodon) . Évalué à 4.

                Si, si, j'ai bien compris le propos. Je fais juste remarquer que si OpenOffice ne le fait pas, il y a de la marge pour l'usager lambda qui n'a que du texte sans trop d'intérêt (à première vue.) Si c'est un choix, on ne peut pas parler de mal configuration.
                Il y a des cas où c'est obligatoire, mais là les cases ne sont pas cochées.

                “It is seldom that liberty of any kind is lost all at once.” ― David Hume

                • [^] # Commentaire supprimé

                  Posté par  . Évalué à 3.

                  Ce commentaire a été supprimé par l’équipe de modération.

                  • [^] # Re: Windows, c'est de la verole à ransomware

                    Posté par  (site web personnel, Mastodon) . Évalué à 2.

                    Mon navigateur ne choisi pas pour moi et ça me convient. C'est pour cela que je me suis rendu compte que certains proposent du http à côté du https.

                    Pour la responsabilité nous sommes d'accords. Mais ce n'est pas de la malfaçon s'il n'a pas fait le choix (on espère éclairé) de mettre du TLS.

                    “It is seldom that liberty of any kind is lost all at once.” ― David Hume

              • [^] # Re: Windows, c'est de la verole à ransomware

                Posté par  . Évalué à 1.

                Toute utilisation d'une connexion internet peut se révéler dangereuse car interceptable ET modifiable. Tu télécharges la dernière version d'OpenOffice, le téléchargement peut être détourné et tu récupères une version vérolée par un malware. Et tu ne vois rien.

                Hein? Je télécharge en https justement pour éviter l'interception et la modification. Et certains package sont en + signés.

                Et je me connecte en ssh chez moi (connexion internet) et non, ce n'est pas modifiable ou interceptable (ou alors tu as dans les mains une faille de sécurité et un exploit absolument démentiel).

                Ou alors dis moi comment tu interceptes les flux ssl ?

                • [^] # Re: Windows, c'est de la verole à ransomware

                  Posté par  . Évalué à 2.

                  C'est justement ce qu'il dit. D'où le recours aux certificats SSL qui est important.

                • [^] # Commentaire supprimé

                  Posté par  . Évalué à 3. Dernière modification le 10 décembre 2021 à 12:09.

                  Ce commentaire a été supprimé par l’équipe de modération.

                  • [^] # Re: Windows, c'est de la verole à ransomware

                    Posté par  . Évalué à 3.

                    Est-ce plus clair comme ça ? Car sinon, sorti de son contexte, c'est sur que ma phrase était ambiguë !

                    aaaaah. oui, ok. On est d'accord. Utilisez des protos sécurisés c'est bien :-) (ça protège pas de tout, mais c'est mieux qu'en clair)

                  • [^] # Re: Windows, c'est de la verole à ransomware

                    Posté par  . Évalué à 4. Dernière modification le 10 décembre 2021 à 16:19.

                    Https ne te protège que dans une infime mesure, en l'occurrence pour l'example donné: 1. tu connais l'url de téléchargement par coeur (généralement les gens/moi prennent le premiere résultat sur google…), 2. tu audites ta liste de CA (généralement les gens/moi font confiance à mozilla, MS ou apple—qui sont loin d'être des entreprises philantropiques) (3. tu utilises dnssec).

                    Il faut un peu arrêter de raisonner par réflexe et vouloir donner des leçons à tout le monde. Le gars qui est prêt à donner plus de crédit à un blog random parce qu'il y a un cadena dans la bare d'adresse, ou pire dénigrer ceux qui n'en n'ont pas, il devrait commencer par apprendre à réfléchir pour soit-même.

                    (qu'on ne me fasse par dire ce que je n'ai pas dit, exiger https pour visiter le site de sa banque en ligne est une bonne chose… pour un blog, peut-être pas…)

                    • [^] # Commentaire supprimé

                      Posté par  . Évalué à 2. Dernière modification le 11 décembre 2021 à 14:18.

                      Ce commentaire a été supprimé par l’équipe de modération.

                      • [^] # Re: Windows, c'est de la verole à ransomware

                        Posté par  . Évalué à 4.

                        Les attaques que tu cites nécessites un accès à la machine du client

                        Pas du tout, es-tu sûr de m'avoir lu et compris ? pour 1: seo, typosquatting, etc, pour 2: https://sslmate.com/resources/certificate_authority_failures et pour 3 ça me semble évident que c'est une attaque remote…

                        qu'on favorise soi-même la propagation de ransomware

                        S'il voulait vraiment favoriser la propagation de ransomware, il aurait mis https et des virus sur son site.

                        il n'y a pas besoin de cibler un site en particulier

                        Donc il reste le point 2. (CA) et 3. (DNS) à régler, je maintiens proposer https ne résoud pas ces problèmes…

                        profiter des failles de ton système, de ton navigateur

                        idem, en quoi proposer https sur son site perso supprime les failles des visiteurs potentiels?

                        Ne pas vouloir faire la part des choses ("favoriser […] la propagation des ransonware", ben voyons…), c'est exactement l'attitude qui m'exaspère et que je dénnonçais dans mon message précédent. Mais ce n'est pas grâve, je te laisse à tes certitudes.

                        • [^] # Commentaire supprimé

                          Posté par  . Évalué à 2.

                          Ce commentaire a été supprimé par l’équipe de modération.

                          • [^] # Re: Windows, c'est de la verole à ransomware

                            Posté par  . Évalué à 2.

                            ni falsifier le DNSSEC.

                            Oui, enfin le requirement dnssec c'est moi qui l'ai introduit. DNSSEC n'est pas utilisé de manière majoritaire alors que c'est la base pour que https soit fiable. Promouvoir sa généralisation est à mon avis plus productif que de s'acharner sur les sites perso qui ne proposent pas https.

                            bookmark

                            Il faudrait savoir, tu veux te protéger de n'importe quel site ou un site précis finalement ? Si tu changes ton threat-model à chaque réponse, la discussion devient compliquée.

                            Et sur des réseaux d'entreprise […] c'est beaucoup plus fréquent que tu ne pourrais le penser.

                            Typiquement des réseaux où tu n'as pas dnssec, et une CA d'entreprise* donc… pré-requis 2&3 manquant. Dans ce cas de figure, le fait qu'un site perso soit uniquement accessible en clair est certainement le dernier de mes soucis.

                            M'accuser de ne pas faire la part des choses, alors que tu ne comprends pas comment le simple fait de ne pas utiliser HTTPS peut faciliter la propagation de scripts malveillants

                            J'ai de mauvaises nouvelles pour toi: 1) obtenir un certificat https est à la portée de tout le monde, c'est toi qui l'as dit (y compris des pirates donc) 2) un mitm n'est clairement pas la technique la plus répandue/efficace pour propager des malwares.

                            Je te propos un autre scénario: de retour au mc-do (ou dans ton entreprise), un petit malin intercepte les requetes dns mon-blog.fr, puis fait un redirect sur https://m0m-blog.fr Je résume: j'ai un cadena mais le pirate peut lire tout le contenu de ma lecture voir remplacer mes images. Le fait que mon-blog.fr soit disponible ou non en https ne change rien.

                            *:(ou pire un proxy https MITM au nom de la sacro-sainte sécurité)

                            • [^] # Commentaire supprimé

                              Posté par  . Évalué à 2. Dernière modification le 11 décembre 2021 à 18:37.

                              Ce commentaire a été supprimé par l’équipe de modération.

                            • [^] # Commentaire supprimé

                              Posté par  . Évalué à 2.

                              Ce commentaire a été supprimé par l’équipe de modération.

                            • [^] # Re: Windows, c'est de la verole à ransomware

                              Posté par  . Évalué à 3.

                              puis fait un redirect sur https://m0m-blog.fr Je résume: j'ai un cadena mais le pirate peut lire tout le contenu de ma lecture voir remplacer mes images.

                              Le dns ne peut pas faire un redirect http. Il peut mentir sur l’ip, mais le browser pensera toujours parler à Mon-blog.fr, et ton certificat pour m0n-blog ne sera pas valide pour ce domaine. Tu vas te taper la page qui fait peur « le certificat n’est pas valide, vous êtes à risque bla-bla-bla ».

                              Linuxfr, le portail francais du logiciel libre et du neo nazisme.

                              • [^] # Re: Windows, c'est de la verole à ransomware

                                Posté par  . Évalué à 1. Dernière modification le 11 décembre 2021 à 20:28.

                                Oui, la redirection est en http. J'ai fais le raccourci car je ne voulais pas rendre plus lourd la discussion qui l'est déjà, et vu le commentaire auquel je répondais, cela me semblait évident de ne pas devoir le mentionner.

                                client: dns/udp qui a mon-blog.fr ?
                                hacker: mon-blog.fr est 1.2.3.4
                                client: https get Host: mon-blog.fr 1.2.3.4
                                hacker: RST
                                client: http get Host: mon-blog.fr
                                hacker: 301 https://m0n-blog.fr

                                Voilà, un mitm du pauvre. Après il y a certaines contre-mesures côté client, mais si on part du principe que le site est visité pour la première fois, ça peut marcher. Il suffit juste d'avoir un domaine qui permet de générer des homonymes visuels (et avec LE, on génère le certificat à la demande). C'est pas tellement plus compliqué qu'un mitm en pure http…

                                Mais bon… on peut arguer pendant des heures sur le fait qu'un mitm est un treath model réaliste ou pas, je ne comprends pas la pertinence de dire que parce quelqu'un publie l'adresse d'un site http, ses propos sur la sécurité sont peu crédibles. On ne sait même pas si c'est son site. Et on s'en fout.

                                La sécurité c'est une question de chaîne de confiance (DNS, CA, prestataire du service, réseau, etc.), et la confiance est une valeure graduelle. On applique une exigeance de garanties différente en fonction du contexte. C'est nuancé, c'est faire la part des chose… Publier son blog en http ça n'est pas la fin du monde, publier des mirroirs de logiciels sur http ça a certains avantages (moins de resources) sans compromettre l'authenticité garantie par un système de signature hors-bande. Aller sur sa banque en ligne avec le laptop de l'entreprise dans le réseau de celle-ci, hors de question: le fait que le site de la banque propose https n'est pas suffisant, les autres maillons sont trop faibles pour garantir l'absence d'un MitM.

                                • [^] # Re: Windows, c'est de la verole à ransomware

                                  Posté par  . Évalué à 3.

                                  Heu, ouais, mais attends, ça marche comment ton truc, là?

                                  Le get sur https ne va pas passer le handshake tls, pourquoi est ce que le browser repasserait en http du coup?

                                  Linuxfr, le portail francais du logiciel libre et du neo nazisme.

                                  • [^] # Re: Windows, c'est de la verole à ransomware

                                    Posté par  (site web personnel, Mastodon) . Évalué à -1.

                                    Si, si, relis bien : c'est un détournement au niveau DNS (avant même d'établir la transaction TLS) qui fait le navigateur va se retrouver à faire sa poignée de main avec le mauvais site (homographe) ; on peut ou non lui faire abandonner la connexion sécurisée (c'est au choix car la personne qui attaque a la main) et si on poursuit ce sera avec le mauvais site sans que ça pose de souci au butineur (dès lors qu'il croit interagir avec la bonne adresse il dit amen.)

                                    “It is seldom that liberty of any kind is lost all at once.” ― David Hume

                                    • [^] # Commentaire supprimé

                                      Posté par  . Évalué à 2. Dernière modification le 12 décembre 2021 à 09:21.

                                      Ce commentaire a été supprimé par l’équipe de modération.

                                      • [^] # Re: Windows, c'est de la verole à ransomware

                                        Posté par  . Évalué à 1. Dernière modification le 12 décembre 2021 à 10:44.

                                        Ça marche si l'utilisateur tape l'url… sans le 's' (ou sans le scheme), on est bien d'accord.

                                        • [^] # Re: Windows, c'est de la verole à ransomware

                                          Posté par  . Évalué à 1.

                                          PS: L'argument, je le rappelle, est de contre-dire "ne pas mettre https facilite la propagation de malware grâce au mitm", je ne prétends pas réinventer la sécurité informatique ou de pouvoir casser https dans tous les cas, je pointe juste un contre-exemple où cela ne sert à rien.

                                          • [^] # Commentaire supprimé

                                            Posté par  . Évalué à 2.

                                            Ce commentaire a été supprimé par l’équipe de modération.

                                        • [^] # Commentaire supprimé

                                          Posté par  . Évalué à 2.

                                          Ce commentaire a été supprimé par l’équipe de modération.

                                          • [^] # Re: Windows, c'est de la verole à ransomware

                                            Posté par  . Évalué à 2.

                                            Je n'ai jamais dit qu'https ne sert à rien (relis bien la dernière phrase de mon premier message!!!), je critique ton discours en noir et blanc. Je dis que la sécurité d'https n'existe pas d'elle-même mais dépends d'au moins 3 facteurs (dans son utilisation générale (==sans configuration spécifique du client)): 1. de l'utilisateur 2. du système de CA 3. de DNS. J'ai donné 3 exemples pour chacun de ces points faibles. Si tu écartes chacun de mes exemples en disant qu'ils sont invalides (1 bookmark, 2 CA infaillible, 3 dns != http(s)), évidement le débat n'est pas possible.

                                            Mais avant de partir dans cet argument technique (admettons qu'https n'aie aucun problème (ce qui est faux mais je veux bien bien abandonner pour te faire plaisir)), je dis simplement que de ne pas donner du crédit à quelqu'un en fonction du lien qu'il donne est absurde. Si ma page perso c'est https://gensapoils.fr , tu m'accorderas plus ou moins de crédit? Tu pense qu'il y a plus ou moins de chance de chopper un virus que de visiter http://ftp.debian.org/ ? Note bien que c'est un site en https hein…

                                            J'attends toujours que tu réagisses à mon lien documents certaines failles du système CA. Problèmes documentés et avérés! Pas besoin de parler de la NSA ou de la Russie qui force l'installation d'une CA sur les télephonnes.

                                            • [^] # Commentaire supprimé

                                              Posté par  . Évalué à 2.

                                              Ce commentaire a été supprimé par l’équipe de modération.

                                          • [^] # Re: Windows, c'est de la verole à ransomware

                                            Posté par  . Évalué à 2. Dernière modification le 12 décembre 2021 à 17:19.

                                            En résumé:
                                            1. la sécurité dépends du maillon le plus faible
                                            2. un commentaire sur linuxfr est à l'extrème basse du niveau de confiance (anonymes, admins bénévoles, etc)

                                            De ce fait, qu'https soit ou non sécure* est totalement accessoire au crédit d'un post sur linuxfr. Baser son jugement sur cet unique critère est dommage pour toi, donner des leçons aux autres est méprisant (et ridicule).

                                            *: ce n'est pas binaire—c'est ce que j'écris depuis le début—mais je te concède une ultime simplification afin de ne pas te perdre une fois de plus.

                                        • [^] # Re: Windows, c'est de la verole à ransomware

                                          Posté par  . Évalué à 2.

                                          Oui, c’est fin une façon de voir les choses.
                                          Ton attaque ne marche que si:

                                          • le site ne propose pas d’https (oh ben tiens)
                                          • le site n’est pas sur les listes hsts preload
                                          • le site ne fait pas de hsts ET n’a jamais été visité

                                          Note que quand on dit « offrir https », ça inclue faire du hsts, parce qu’au final, c’est juste un header à inclure, pas le bout du monde.

                                          Ce qui réduit la surface d’attaque à peau de chagrin.
                                          Un moteur de recherche ne va pas te donner un lien http si le https est dispo, donc il faut soit envoyer un lien http explicite à la victime et réussir à lui faire cliquer dessus, soit réussir à lui faire taper l’adresse en commençant par http://

                                          Ce qui revient exactement à ce qu’on dit: offrir seulement du http est une très mauvaise pratique, même si ton site est trivial et utilisé par quasiment personne.

                                          Linuxfr, le portail francais du logiciel libre et du neo nazisme.

                      • [^] # Re: Windows, c'est de la verole à ransomware

                        Posté par  . Évalué à 2.

                        HTTPS protège de ce pourquoi il a été conçu, à savoir les attaques de l'homme du milieu.

                        Le MITM est un des modèles d'attaques contre lequel protège TLS, ce n'est pas le seul, et de loin. TLS est aussi efficace contre les écoutes passives, d'autres types d'attaques actives comme les attaques par rejeu ; il peut, selon les schémas crypto utilisés proposer de la forward secrecy et de la résistance à des attaques par ordinateur quantique.

                        En fait, je dirais même que la partie MITM est plutôt offerte par x.509 que TLS, avec les certificats échangés pendant le handshake TLS. D'ailleurs même un certificat auto-signé offre une certaine protection contre les MITM, dans un modèle opportuniste…

            • [^] # Re: Windows, c'est de la verole à ransomware

              Posté par  . Évalué à 2.

              Moi je connais un mec il a foncé dans un arbre avec sa voiture et il a survécu.
              Vas-y, t'inquiète y a pas de soucis ;)

              Non mais sérieusement c'est quoi cette réponse, quelqu'un fait de la m**** alors ça suffit pour se dire qu'on peut en faire aussi. Pas étonnant qu'il y ait tant de problèmes de sécurité en informatique.

              Tu parles de son petit site sans prétention, mais qui te dit qu'il ne sera pas visité par quelqu'un qui lui a des responsabilités dans une grosse boite d'IT et que donc par le biais de ce petit site, un pirate va se voir ouvrir des portes bien plus grandes ?

              • [^] # Re: Windows, c'est de la verole à ransomware

                Posté par  (site web personnel, Mastodon) . Évalué à 3.

                Tu parles de son petit site sans prétention, mais qui te dit qu'il ne sera pas visité par quelqu'un qui lui a des responsabilités dans une grosse boite d'IT et que donc par le biais de ce petit site, un pirate va se voir ouvrir des portes bien plus grandes ?

                C'est pour ça que je parle de cases à cocher. Il faut que la menace soit évaluée et la balance bénéfices-risques bien pesée. On ne va pas faire des injonctions en se faisant des films de si ; et les recommandations ne sont pas des obligations.

                Moi je connais un mec il a foncé dans un arbre avec sa voiture et il a survécu.
                Vas-y, t'inquiète y a pas de soucis ;)

                Non, tu travestis mon propos. En plus l'analogie est foireuse : foncer dans un arbre n'est pas une façon normale de conduire une voiture que je sache.
                - hey mec tu as un porte-monnaie au lieu d'un coffre-fort, c'est une malfaçon
                - /moi: ce n'est pas une malfaçon si c'est son choix en connaissance de cause ; il n'a peut-être pas besoin d'un coffre-fort pour les quelques centimes qu'il transporte pour acheter des bonbons. ou d'avoir une serrure trois-points avec alarme sur sa cabane de jardin si ça n'abrite rien de sérieux.

                “It is seldom that liberty of any kind is lost all at once.” ― David Hume

  • # Le cas « avenir »

    Posté par  . Évalué à 3.

    Il s’agit d’un exemple comme Mirai (Avenir en japonais)
    Un matoss sur internet, un couple User/password de type : admin/admin (oui … tout simplement)
    Une mise à jour du firmware basé sur Linux et vous venez de créer l’un des plus gros réseau de botnet de la deuxième moitié des années 2010.
    Première attaque d’1 Tera sur Dyn (le fournisseur dns des Twitter, Netflix…)

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.