[Linux] antivirus

Cyril Chaboisseau cyril.chaboisseau@::1
Sam 9 Mai 18:48:30 CEST 2009 

* Stéphane Becker <whirly@::1> [2009-05-09 14:59 +0200]:

>> mais c'est quoi cette analogie (monoculture *ubuntu) à 2 balles ?
>> la monoculture "Microsoftienne" qui aboutie à une plus grande insécurité
>> vient du fait que MS tente d'imposer 1 seul logiciel pour chaque
>> fonction :
>> - IE pour la navigation web
>> - Outplouk pour lire le mail
>> - Suite MS Office pour la bureautique
>> etc.
>>   
> On pourrait argumenter que c'est un peu la même chose avec toute les  
> distributions linux, si tu installes une ubuntu tu te retrouves  
> forcément avec firefox et evolution. C'est du même ordre d'idée.

ok mais le système de package te permet encore de choisir plein d'autres
programmes qui ont le mm niveau de support :
- Konqueror pour le mail mm si FF3 bénéficie d'une très grande
  popularité
- Kmail, Thunderbird et plein d'autres pour le mail

dans le monde Windoze, en plus du fait que tu dois savoir qu'il existe
autre chose, tu dois déjà l'installer manuellement et souvent le mettre
à jour lorsque le logiciel n'intègre pas la verrue sensé pallier
l'aspect justement monoculture du "Windows update"
et je ne parle mm pas de trouver où se cache l'option permettant de
définir le navigateur ou le client mail comme logiciel par défaut sensé
s'ouvrir automatiquement lorsque l'utilisateur clique sur un URL ou un
lien mailto:



>> Linux est bien moins vulnérable pour plusieurs raisons :
>>
>> - déjà parce que bcp moins de monde l'utilisent (2% ?)
>>
>> - ensuite parce qu'il existe un bien plus grand choix de logiciels pour
>>   chaque utilisation (mail/navigation/bureautique/...)
>>
>> - parce que si le virus doit être sous la forme d'un exécutable, le
>>   fait que Linux tourne sous plusieurs architectures et processeurs
>>   diversifie et complexifie encore le vecteur d'attaque
>>
>> donc pour toutes ces raisons et bien d'autres encore, Linux est moins
>> sujet à une pandémie informatique
>>
>>   
> Je trouve les mots assez mal choisis, linux n'est pas "moins  
> vulnérable", il est juste moins répandu. Une pandémie c'est une question  
> de pourcentage de gens touchés, pas un nombre absolu de gens touchés.  

ben je pense qu'il est moins vulnérable (AMHA) pour le premier point
évoqué du fait du nombre ainsi que pour beaucoup d'autres aspects que
ceux que j'ai mentionné :

- le fait que la plupart des distributions poussent à tourner sous un
  utilisateur classique plutôt que le compte root ou Administrateur
  comme on le voit souvent sous Windows

- une approche sécurité dans le dév. des logiciels bcp plus ancrée dans
  la culture Unix contrairement à Windows qui se veut conviviale et
  simple (simpliste ?) à utiliser quitte à autoriser l'exécution d'une
  macro attachée à un mail automatiquement
(on pourrait longuement débattre de ce point du fait que Microsoft a
fait des efforts depuis ces dernières années... reste que ça n'est pas
forcément le cas des logiciels tiers)

- une approche très compartimentée (chroot/jail) des serveurs permettant
  de limiter l'élévation de privilège ou la propagation d'un trou de
  sécurité à l'ensemble du système
la virtualisation est aussi un bon moyen de compartimenter encore plus
un service à une machine virtuelle et à ce égard, la légèreté de
certains virtualisateur (OpenVZ), leur gratuité ainsi que la licence OS,
la facilité de l'administration de l'OS (et donc du sous-ensemble), sont
autant de facteurs qui favorisent sont déploiement et donc son
utilisation

- de nombreuses améliorations de la sécurité du système existent
  (SeLinux, AppArmor, grsec) mm si ces dernières peinent à s'imposer
  dans les distributions


il y a encore sûrement plein d'autres points


> Car si on applique ton raisonnement Linux en version ARM est moins  
> vulnérable que linux en version x86, ce qui parait bizarre comme phrase.  

disons qu'il est potentiellement moins sujet à un virus sous forme
d'exécutable qui pour les auteurs d'un tel virus devrait faire le choix
d'alourdir la charge utile de toutes les architectures existantes ou
bien de faire le choix du pragmatisme en n'ayant qu'une version x86 qui
compose encore la majeure partie des systèmes installés

> De même il me semble bien que la vaste majorité de la base linux tourne  
> sous x86 minus les plateformes embarqué façon tablet nokia.

je pense que l'architecture x86_64 gagne rapidement en popularité
principalement du fait que la RAM ne coûte pratiquement plus rien et que
l'on doit donc avoir une machine en 'amd64' pour exploiter efficacement
plus de 4Go
à ce sujet le bit 'NX' de cette famille de processeurs offre encore une
protection supplémentaire à un type d'exploitation de sécurité très
courant : les débordements de piles (stack overflow)


> Mais même différentes architectures ne veut pas dire meilleure  
> protection, le ver internet de Robert T. Morris en est l'exemple le plus  
> flagrant.

oui, je l'ai justement dis dans mon précédent mail et celui-là : celà ne
concerne que les virus sous forme exécutable
et puis il faut différencier les vers (programme lancé à l'insu de
l'utilisateur) des virus qui a priori exploite un trou de sécurité du
système ou d'une application

mais bon, c'est clair que pour contrer le lancement d'un programme
néfaste qui irait infecter ou détruire des documents dans le compte de
l'utilisateur qui l'a lancé, c'est plutôt une question de bonne pratique
visant à montrer qu'il ne faut pas lancer inconsidérément n'importe quel
programme que l'on reçois en attachement (y compris d'amis) ou encore
moins un lien se trouvant sur le bureau par ex. (discussion récente sur
les fichiers .desktop et la sécurité)

long débat !

-- 
	Cyril Chaboisseau

Plus d'informations sur la liste de diffusion linux