[Linux] antivirus

Stéphane Becker whirly@::1
Sam 9 Mai 19:56:52 CEST 2009


Le 09/05/2009 18:48, Cyril Chaboisseau a écrit :
>
> ok mais le système de package te permet encore de choisir plein d'autres
> programmes qui ont le mm niveau de support :
> - Konqueror pour le mail mm si FF3 bénéficie d'une très grande
>    popularité
> - Kmail, Thunderbird et plein d'autres pour le mail
>
> dans le monde Windoze, en plus du fait que tu dois savoir qu'il existe
> autre chose, tu dois déjà l'installer manuellement et souvent le mettre
> à jour lorsque le logiciel n'intègre pas la verrue sensé pallier
> l'aspect justement monoculture du "Windows update"
> et je ne parle mm pas de trouver où se cache l'option permettant de
> définir le navigateur ou le client mail comme logiciel par défaut sensé
> s'ouvrir automatiquement lorsque l'utilisateur clique sur un URL ou un
> lien mailto:
>
>    
Sous linux c'est le même problème, la différence consiste juste à savoir 
si on tape l'intitulé du logiciel dans synaptic ou dans google. J'ai 
installé pas mal de linux chez des utilisateurs lambda, et ces derniers 
ne connaissent absolument pas l'existence de Kmail, Konqueror voir même 
de KDE car j'ai installé une Ubuntu.

Pour le choix du logiciel par défaut, tous les logiciels windows le 
propose dès qu'on le lance de se substituer au truc microsoft. Donc cela 
revient globalement au même.
> ben je pense qu'il est moins vulnérable (AMHA) pour le premier point
> évoqué du fait du nombre ainsi que pour beaucoup d'autres aspects que
> ceux que j'ai mentionné :
>
> - le fait que la plupart des distributions poussent à tourner sous un
>    utilisateur classique plutôt que le compte root ou Administrateur
>    comme on le voit souvent sous Windows
>
>    
C'est une mode pas si ancienne que cela sur les distributions linux et 
récente sous windows (c'est le principe de l'UAC de Windows qui reprend 
exactement le concept de sudoer les taches d'administration).
> - une approche sécurité dans le dév. des logiciels bcp plus ancrée dans
>    la culture Unix contrairement à Windows qui se veut conviviale et
>    simple (simpliste ?) à utiliser quitte à autoriser l'exécution d'une
>    macro attachée à un mail automatiquement
> (on pourrait longuement débattre de ce point du fait que Microsoft a
> fait des efforts depuis ces dernières années... reste que ça n'est pas
> forcément le cas des logiciels tiers)
>    
La remarque sur les logiciels tiers laisse à penser que dans le monde 
unix on a un standard de qualité uniforme au niveau logiciel, ce qui est 
très loin d'être le cas. Chez OpenBSD par exemple ils mettent à point 
d'honneur à auditer le code des logiciels inclus dans la distribution ce 
qui prouve la confiance relative qu'ils ont dans le code de leurs 
copains développeurs unix (bon en même temps la parano c'est leur fond 
de commerce). Comme dit chez Microsoft ils ont percutés au niveau de la 
sécurité depuis une paire d'années après quelques plantades 
retentissante genre le blaster.
> - une approche très compartimentée (chroot/jail) des serveurs permettant
>    de limiter l'élévation de privilège ou la propagation d'un trou de
>    sécurité à l'ensemble du système
> la virtualisation est aussi un bon moyen de compartimenter encore plus
> un service à une machine virtuelle et à ce égard, la légèreté de
> certains virtualisateur (OpenVZ), leur gratuité ainsi que la licence OS,
> la facilité de l'administration de l'OS (et donc du sous-ensemble), sont
> autant de facteurs qui favorisent sont déploiement et donc son
> utilisation
>    
La virtualisation n'est pas la panacée en matière de sécurité qu'on nous 
a vendu non plus, il existe / a existé plusieurs failles majeures dans 
les différents logiciels de virtualisation qui permettaient de prendre 
le controle d'encore plus de machines d'un seul coup. Il faut donc se 
méfier aussi des balles en argent de la sécurité. Et bon on peut aussi 
virtualiser du serveur Windows.
> - de nombreuses améliorations de la sécurité du système existent
>    (SeLinux, AppArmor, grsec) mm si ces dernières peinent à s'imposer
>    dans les distributions
>    
Le problème de ce genre de mécanismes de sécurité c'est qu'ils sont 
contraignants pour l'utilisateur, et que même quand ils préviennent 
l'utilisateur d'un problème il faut encore que ce dernier sache de quoi 
on lui parle. L'exemple le plus flagrant ce sont les firewalls, où la 
majorité des gens veulent juste que la boite de dialogue disparaisse 
sans cherche à comprendre ce qui leur arrive.
>
> disons qu'il est potentiellement moins sujet à un virus sous forme
> d'exécutable qui pour les auteurs d'un tel virus devrait faire le choix
> d'alourdir la charge utile de toutes les architectures existantes ou
> bien de faire le choix du pragmatisme en n'ayant qu'une version x86 qui
> compose encore la majeure partie des systèmes installés
>
>    
Sauf que pas mal de virus sous windows étaient de simple macro en VB, et 
que l'intégration en standard de Mono ou autre python sur linux permet 
d'envisager que c'est finalement pas tant un problème que cela.
>
> je pense que l'architecture x86_64 gagne rapidement en popularité
> principalement du fait que la RAM ne coûte pratiquement plus rien et que
> l'on doit donc avoir une machine en 'amd64' pour exploiter efficacement
> plus de 4Go
>    
L'architecture x86_64 permet d'exécuter du code 32 bits sans problèmes.
> à ce sujet le bit 'NX' de cette famille de processeurs offre encore une
> protection supplémentaire à un type d'exploitation de sécurité très
> courant : les débordements de piles (stack overflow)
>
>    
Il est désactivé par défaut sur pas mal de bios.
>
> oui, je l'ai justement dis dans mon précédent mail et celui-là : celà ne
> concerne que les virus sous forme exécutable
> et puis il faut différencier les vers (programme lancé à l'insu de
> l'utilisateur) des virus qui a priori exploite un trou de sécurité du
> système ou d'une application
>    
Le ver de Morris exploité des failles systèmes, je pense que tu voulais 
faire la différence entre cheveaux de troie et virus.
> mais bon, c'est clair que pour contrer le lancement d'un programme
> néfaste qui irait infecter ou détruire des documents dans le compte de
> l'utilisateur qui l'a lancé, c'est plutôt une question de bonne pratique
> visant à montrer qu'il ne faut pas lancer inconsidérément n'importe quel
> programme que l'on reçois en attachement (y compris d'amis) ou encore
> moins un lien se trouvant sur le bureau par ex. (discussion récente sur
> les fichiers .desktop et la sécurité)
>
> long débat !
>
>    
La sécurité c'est effectivement un long débat, au départ je faisais 
juste objections à quelques idées reçues en matière de sécurité à base 
de raccourcis stupides (M$ savent pas protéger des ordis, linux c'est 
kiewl). De la même manière sur Mac ils ont atteint la masse critique 
nécessaire à intéresser le kevin de base, on y trouve aussi à présent 
des programmes néfastes.

Stéphane



Plus d'informations sur la liste de diffusion linux