Journal Bench de la sécurité des différents systèmes d'exploitation en Juillet 2007

Posté par  .
Étiquettes : aucune
0
22
août
2007
http://blogs.technet.com/security/archive/2007/08/16/july-20(...)

Vu sur OSNews. Ce que l'on peut en tirer :
- Les OS Microsoft sont largement plus sécurisés que les autres, que ce soit au niveau Desktop ou Serveur
- Linux et Mac OS X sont presque aussi mauvais

Attention cependant, Microsoft Windows est livré avec un nombre d'applicatifs bien moindre que RHEL 4/5 ou SLES 10

http://blogs.csoonline.com/methodology_sources_and_assumptio(...)

Par contre, la moyenne du nombre de jours dis risqués (découverte de faille sans correction) est plus équilibrée :
http://blogs.technet.com/security/archive/2007/06/18/2006-cl(...)
http://blogs.technet.com/security/archive/2007/06/15/2006-da(...)

  • # Et la tradition !

    Posté par  . Évalué à 7.

    On est pas vendredaï !!
    Bon il émane de qui ce truc...

    • [^] # Re: Et la tradition !

      Posté par  . Évalué à 3.

      technet...

      si je ne me trompe pas, technet = MS

      ceci explique peut-etre cela.

  • # Explication

    Posté par  . Évalué à 10.

    Pour ceux qui, comme moi, sont étonnés par le résultat du bench, il faut savoir que celui-ci est basé sur le nombre de vulnaribilité fixé cet année et ces trois derniers mois. Plus il y a de vulnirabilités qui ont été corrigé, plus la sécurité dudit système d'exploitation est considéré comme faible Oo.

    Autant dire qu'il y a un sérieux, très sérieux problème de logique.

    En plus, ils oublient par magie que le système de corrections des distributions est universel a tout les logiciel, quand Microsoft ne corrige que Microsoft.

    • [^] # Re: Explication

      Posté par  . Évalué à 4.

      Tiens c'est bien ce que j'était en train de me dire en essayant de me convaincre qu'ils avaient pas osés...
      Les seuls tests "parlant" sont les temps de réaction entre 0 Day et Patch officiel.
      Parce que la découverte des failles dépend de trop de choses...

    • [^] # Re: Explication

      Posté par  (site web personnel) . Évalué à 8.

      « En plus, ils oublient par magie que le système de corrections des distributions est universel a tout les logiciel, quand Microsoft ne corrige que Microsoft. »

      Disons qu'une distribution Linux c'est 10.000 paquets alors que Windows c'est 1 noyau et (je dis au pif) une centaine d'applicatifs. Comparons ce qui est comparable !

      Les distributions Linux corrigent de nombreuses failles dans des applications qui ne sont pas installées par défaut.

      Cette analyse est totalement biaisée.

      • [^] # Re: Explication

        Posté par  . Évalué à 1.

        http://blogs.csoonline.com/methodology_sources_and_assumptio(...)

        UPDATE 03/29/2007] Ubuntu 6.60 LTS. Stats for Ubuntu will include the default client installation software (not the server CD), excluding packages that do not have equivalents on Windows, such as bittorrent, evolution, gimp, openoffice and thunderbird.
        [UPDATE 03/29/2007] Novell SLED10. Stats for SLED 10 will include the default set of packages, excluding packages that do not have equivalents on Windows, such as gimp, ImageMagick, mono and openoffice.

        Red Hat Enterprise Linux 4 AS (rhel4as). Stats for rhel4ws will include only the minimum required installation group packages, plus the package groups necessary to build basic server configurations: file server, print server, network server, and basic web server. X-Graphics, Gnome, Firefox, OpenOffice, Sound-n-Video and other optional packages are explicitly excluded from analysis in order to grant Red Hat the benefit of the doubt for its modularity. MySQL is also excluded since Windows Server does not ship with SQL Server included.

        • [^] # Re: Explication

          Posté par  . Évalué à 2.

          packages that do not have equivalents on Windows, such as bittorrent, evolution, gimp, openoffice and thunderbird
          windows est plus livré avec outlock express ?

    • [^] # Re: Explication

      Posté par  . Évalué à -1.

      Plus il y a de vulnirabilités qui ont été corrigé, plus la sécurité dudit système d'exploitation est considéré comme faible Oo.

      Autant dire qu'il y a un sérieux, très sérieux problème de logique.

      Non c'est tout a fait logique. Plus il y a de vulnerabilites, plus ton systeme a eu de failles.

      En plus, ils oublient par magie que le système de corrections des distributions est universel a tout les logiciel, quand Microsoft ne corrige que Microsoft.

      Gni ? Il compte les patchs que Redhat distribue pour Redhat, qu'Ubuntu distribue pour Ubuntu, il ne les additionne pas tous ensemble.

      • [^] # Re: Explication

        Posté par  . Évalué à 1.

        Non c'est tout a fait logique. Plus il y a de vulnerabilites, plus ton systeme a eu de failles.

        Hum, il parle de vulnerabilitees corrigees, imagine une systeme (au hasard windows vista) qui a 1000 vulnerabilitees, dont 10 corrigees, et un autre (au hasard debian gnu/linux) qui a 10000 vulnerabilitees, dont 9999 sont corrigees.. Quizz, quel est le systeme qui a le plus de vulnerabilitees? et quel est le systeme le plus securisé?

        • [^] # Re: Explication

          Posté par  . Évalué à 2.

          Tu peux encore affiner en disant imagine un système (au hasard Windows Vista) qui a 1000 vulnérabilités connues (sur 10000 réelles) dont 10 corrigées et un autre (au hasard Debian GNU/Linux) qui a 10000 vulnérabilités connues (et 5000 inconnues) dont 9000 sont corrigées.

          Parce que bon, une faille ça existe aussi avant qu'on la découvre...

        • [^] # Re: Explication

          Posté par  . Évalué à 0.

          Ouaip, le probleme etant que Windows n'a pas 990 vulnerabilites non corrigees, ce qui fait que la comparaison est valable dans ce cas ci.

          • [^] # Re: Explication

            Posté par  . Évalué à 2.

            Plus il y a de vulnirabilités qui ont été corrigé, plus la sécurité dudit système d'exploitation est considéré comme faible Oo.

            Autant dire qu'il y a un sérieux, très sérieux problème de logique.

            Non c'est tout a fait logique. Plus il y a de vulnerabilites, plus ton systeme a eu de failles.

            Oui je sais, les chiffres etaient des exemples fictifs pour illustrer que tu avais tort, tu peux remplacer windows par linux dans ce que j'ai dit si ca te chante, mais toujours est il que Ce n'est pas logique que la securité d'un systeme soit mesuree a partir du nombre de failles corrigees, comme mon exemple, et l'exemple suivant l'illustrent.

            • [^] # Re: Explication

              Posté par  . Évalué à 1.

              Dans le cas present c'est tout a fait valide vu que les 2 systemes patchent toutes les failles, resultat cela revient a comparer le nombre de failles.

              Alors oui on peut chipoter et dire qu'en absolu c'est pas la meme chose, mais dans le cas present, oui c'est la meme chose.

              • [^] # Re: Explication

                Posté par  . Évalué à 1.

                Et tu m'explique comment on fait pour patcher une faille non connue?

                • [^] # Re: Explication

                  Posté par  . Évalué à -1.

                  Si elles ne sont pas connues on ne les patche pas evidemment, mais fort est ce constater que des failles non connues il y en a ou peut y en avoir dans les 2 systemes, bref ca s'equilibre.

                  • [^] # Re: Explication

                    Posté par  (site web personnel) . Évalué à 4.

                    Le code source des logiciels libres étant public, n'importe qui peut l'auditer. De nombreux bugs mineurs et inexploitables sont corrigés de cette manière. Au contraire, quand Microsoft publie un bulletin de sécurité, seuls les failles critiques et exploitables sont notifiées. J'ai bien l'impression que de très nombreux bugs (failles inexploitables) sont marqués comme « faille de sécurité ». Je le sais car je suis à l'auteur de quelques bulletins de sécurité.

                    • [^] # Re: Explication

                      Posté par  . Évalué à 1.

                      Le code source des logiciels libres étant public, n'importe qui peut l'auditer. De nombreux bugs mineurs et inexploitables sont corrigés de cette manière. Au contraire, quand Microsoft publie un bulletin de sécurité, seuls les failles critiques et exploitables sont notifiées. J'ai bien l'impression que de très nombreux bugs (failles inexploitables) sont marqués comme « faille de sécurité ». Je le sais car je suis à l'auteur de quelques bulletins de sécurité.

                      Tu regardes le graphe des vuln. et tu verras que simplement en gardant les vulnerabilites severes, Linux en a plus.

                      Quand a marquer des bugs simples comme failles, autant je peux imaginer que certains auteurs de softs le fassent, autant j'ai enormement de mal a imaginer Redhat faire ca, notamment car ils ne vont certainement pas forcer leurs utilisateurs a upgrader leurs softs(et tous les tests que cela signifie) pour un simple bug.
                      Si Redhat/Suse/... sortent un patch de securite, c'est qu'il y a un reel risque, tout comme chez MS.

      • [^] # Re: Explication

        Posté par  . Évalué à 1.

        >>Gni ? Il compte les patchs que Redhat distribue pour Redhat, qu'Ubuntu distribue pour Ubuntu, il ne les additionne pas tous ensemble.

        Je pense que ThesmallgamerS voulait dire c'est que windows ne corrige que les failles du système d'exploitation et de ses logiciels quand les distributions corrigent les failles qui existent pour _tous_ les logiciels (il n'y a pas qu'un navigateur internet, un lecteur vidéo, ... ce qui complique la tâche).

        • [^] # Re: Explication

          Posté par  . Évalué à 1.

          Ben si il avait lu la methodologie employee il aurait vu qu'il y a 2 graphes : un avec tous les elements de la distrib, et un autre avec uniquement les elements qui ont un equivalent dans Windows.

          • [^] # Re: Explication

            Posté par  (site web personnel) . Évalué à 3.

            La seul variable ayant un sens, c'est la fénètre de vulnérabilité entre le 0 days et la sortie de patch.

            "La première sécurité est la liberté"

            • [^] # Re: Explication

              Posté par  . Évalué à 1.

              Pas forcément, tu peux compter genre aussi en jours de vulnérabilité, genre "nombre de failles" * "fenetre de vulnérabilité"

              Parce que entre une faille corrigé au bout de 3 jours et 10 failles corrigées au bout de deux, il faut bien un indicateur aussi.

  • # OSNews

    Posté par  . Évalué à 8.

    Citons OSNews (ainsi que de nombreux experts) :
    Hence, these reports are not proper measurements of security - they are just that, a tally of fixed vulnerabilities. Any conclusions like "x is more secure than y" cannot be drawn from this data set.
    Traduction (à peu près) :
    Ainsi, ces rapports ne sont pas des mesures valables de la sécurité - ils comptent simplement les vulnérabilités corrigées. On ne peut pas tirer de ces données une conclusion comme "X est plus sécurisé que Y".


    Alors bravo pour le lancer de trolls, mais sache que pour un bon lancer de troll, il ne faut pas mettre de sources (même sans liens).

  • # Infos sur heise security

    Posté par  (site web personnel) . Évalué à 5.

    Cet article fait suite à un article publié en Juin :
    http://www.heise-security.co.uk/news/91593

    Plus d'information sur l'article de Jeff :
    http://www.heise-security.co.uk/news/94657

    Il me semble que Jeff Jones soit employé par Microsoft mais je n'en suis pas sûr.

  • # Gni :/

    Posté par  . Évalué à 5.

    En gros, moins on patch un système, et plus il est sécurisé :) ? Super logique ca.

    • [^] # Re: Gni :/

      Posté par  (site web personnel) . Évalué à 3.

      Donc MultiDeskOS est l'os le plus fiable au monde, donc apparement la logique est confirmée.


      (pas taper)

  • # Biaisé peut-être mais ...

    Posté par  . Évalué à 1.

    ... est-ce que les commentaires auraient été les mêmes si c'était l'inverse ?? (moi donner le bâton pour me faire battre ?? non non ...)

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.