[Linux] antivirus

[Cyril Chaboisseau]

* Stéphane Becker <whirly@::1> [2009-05-09 19:56 +0200]:

>> dans le monde Windoze, en plus du fait que tu dois savoir qu'il existe
>> autre chose, tu dois déjà l'installer manuellement et souvent le mettre
>> à jour lorsque le logiciel n'intègre pas la verrue sensé pallier
>> l'aspect justement monoculture du "Windows update"
>> et je ne parle mm pas de trouver où se cache l'option permettant de
>> définir le navigateur ou le client mail comme logiciel par défaut sensé
>> s'ouvrir automatiquement lorsque l'utilisateur clique sur un URL ou un
>> lien mailto:
>>    
> Sous linux c'est le même problème, la différence consiste juste à savoir  
> si on tape l'intitulé du logiciel dans synaptic ou dans google.

c'est pas tout à fait pareil :

d'une part tu as la possibilité de rechercher par catégorie, mot clé,
nom du logiciel (bien sûr) ce qui permet de trouver bcp plus rapidement
ce que tu cherches
et puis du fait que ça soit si simple, une distribution Linux est
installée par défaut avec des dizaines/centaines de logiciels

en revanche, le fait de croire que parce que tu vas le chercher sur
Google va te trouver ce que tu veux et que ça sera installable en 2
clics, tu n'as pas dû le faire souvent ou bien tu as eu de la chance

ok, ça marche assez bien pour firefox ou OpenOffice mais j'ai eu
l'occasion il y a 1 an de tenter de chercher un simple jeu de sudoku
pour Windows
et bien j'ai eu beau chercher pendant assez longtemps, j'ai bien trouvé
des tonnes de shareware tous aussi bridés les uns que les autres sans
arriver à trouver 1 seul programme utilisable (et je ne parle même pas
d'en trouver un qui arrive à la cheville de ksudoku par ex.)

ensuite, puisque l'on discute aussi de la sécurité, reste le problème
des MAJ :
ah bien sûr il y a 2 logiciels phares issue du monde du libre (FF et
Thunderbird) qui embarque un outils de MAJ, et encore qques autres (vlc
ou OOo par ex.) qui pour leur part permettent tout juste de détecter
qu'une version plus récente existe
mais pour ce qui est de la vraie MAJ du système et de tous les logiciels
hors ceux issue de la firme de Redmond lorsque l'on est sous Windows
c'est pas terrible et pousse justement à faire largement baisser le
niveau de sécu


> J'ai  installé pas mal de linux chez des utilisateurs lambda, et ces
> derniers  ne connaissent absolument pas l'existence de Kmail,
> Konqueror voir même  de KDE car j'ai installé une Ubuntu.

et alors, c'est normal et il n'y a aucun problème à ça s'ils étaient
content avec FF3/Evolution

ce que je soulignais dans le précédent mail n'est pas tant que tout le
monde doit absolument connaitre ou tester des navigateurs ou lecteur de
mail alternatif à ce qu'ils utilisent
pour ma part, lorsque les gens ne connaissent pas j'installe ou je
préconise la Kubuntu et c'est justement ça qui fait la diversité dont il
est question depuis le début de ce fil de discussion

> Pour le choix du logiciel par défaut, tous les logiciels windows le  
> propose dès qu'on le lance de se substituer au truc microsoft. Donc cela  
> revient globalement au même.

oui, en effet
si j'en ai parlé c'est surtout parce que l'endroit où c'est configurable
est assez bien planqué

>> - le fait que la plupart des distributions poussent à tourner sous un
>>    utilisateur classique plutôt que le compte root ou Administrateur
>>    comme on le voit souvent sous Windows
>>    
> C'est une mode pas si ancienne que cela sur les distributions linux et  
> récente sous windows (c'est le principe de l'UAC de Windows qui reprend  
> exactement le concept de sudoer les taches d'administration).

2 remarques :
ça fait déjà plusieurs années que certaines distributions ont donné
l'exemple d'un compte root de moins en moins utilisable pour les travaux
de tous les jours et les autres ont suivi
mais ça fait quand même depuis les origines d'Unix (30 ou 40 ans) que
cette notion d'être sous un utilisateur non admin est ancrée
profondément
qu'après il faille se connecter sous une autre console, taper su, sudo
super ou je ne sais quelle autre commande est du détails mais je dirais
surtout que c'est très récemment qu'il y a justement une tendance à
verrouiller la possibilité qu'un utilisateur aura à utiliser root pour
une utilisation courante (loggué sous X, faire tourner des programmes
etc.)
et cette tendance est probablement concomitante au fait que Linux ait
attiré à lui des utilisateurs Windows qui avaient cette habitude d'être
tout le temps en admin (j'ai des exemples pour illustrer ce que je dis)

maintenant, pour revenir à Windows (Vista seulement) et l'UAC, je ne m'y
connais pas trop mais d'après ce que j'ai pu lire ça et là, ce système
semble tellement intrusif et surtout aux antipodes de ce que les
utilisateurs ont l'habitude que j'ai l'impression que la première chose
qu'un utilisateur Vista va faire c'est le désactiver
cf.  http://www.google.com/search?q=désactivation+Windows+UAC&ie=utf-8&oe=utf-8&aq=t&rls=org.debian:fr:unofficial&client=iceweasel-a
et au point que cet aspect sera (a été ?) revu pour Windows 7

alors oui dans la théorie ça existe pour un OS qui de plus ne fait pas
l'unanimité
mais bon, ça n'est pas parce que ça existe et qu'en plus c'est souvent
désactivé que ça rends l'OS plus sécure

>> - une approche sécurité dans le dév. des logiciels bcp plus ancrée dans
>>    la culture Unix contrairement à Windows qui se veut conviviale et
>>    simple (simpliste ?) à utiliser quitte à autoriser l'exécution d'une
>>    macro attachée à un mail automatiquement
>> (on pourrait longuement débattre de ce point du fait que Microsoft a
>> fait des efforts depuis ces dernières années... reste que ça n'est pas
>> forcément le cas des logiciels tiers)
>>    
> La remarque sur les logiciels tiers laisse à penser que dans le monde  
> unix on a un standard de qualité uniforme au niveau logiciel, ce qui est  
> très loin d'être le cas. Chez OpenBSD par exemple ils mettent à point  
> d'honneur à auditer le code des logiciels inclus dans la distribution ce  
> qui prouve la confiance relative qu'ils ont dans le code de leurs  
> copains développeurs unix (bon en même temps la parano c'est leur fond  
> de commerce). Comme dit chez Microsoft ils ont percutés au niveau de la  
> sécurité depuis une paire d'années après quelques plantades  
> retentissante genre le blaster.

tu as tout a fait raison et je n'ai jamais dit que Linux c'était la
panacée (je te rappelle que le début de la discussion portait sur la
comparaison Linux / Windows par rapport aux virus)

mais c'est vrai qu'OpenBSD est vendu comme étant l'un des OS les plus
sécurisé et audité mais comme tu le sais, rien ni personne n'est parfait
et avec la meilleur volonté du monde, les failles existent partout et
c'est juste une question de temps pour les trouver
comme tu le rappelle OpenBSD en a fait les frais et ne peux plus se
targué de n'avoir aucune faille après une installation par défaut
ce cher Bernstein a aussi découvert qu'il y avait un trou dans son
djbdns qu'il croyait intouchable
et on découvre des bugs et trous de sécurité dans de nombreux logiciels
clients ou serveur dans de nombreuses distributions Linux
d'où l'importance de pouvoir très rapidement être alerté afin de boucher
la faille

in fine, lorsque l'on compte les failles qui sont exploitables à
distance combiné avec des "zero-exploit day", je trouve que le monde
Unix et Linux en particulier s'en tire pas mal (d'ailleurs je ne me
souviens pas en avoir eu un ces 2/3 dernières années, et encore !)

et quand bien mm ça devait arriver, il existe tellement de moyens qui
sont souvent mis en œuvre par défaut pour limiter la casse que ça doit
en effet décourager les initiatives

> La virtualisation n'est pas la panacée en matière de sécurité qu'on nous  
> a vendu non plus, il existe / a existé plusieurs failles majeures dans  
> les différents logiciels de virtualisation qui permettaient de prendre  
> le controle d'encore plus de machines d'un seul coup. Il faut donc se  
> méfier aussi des balles en argent de la sécurité.

je ne connais pas ces failles mais j'imagine qu'elles sont aussi
bouchées au fur et à mesure qu'elles sont découvertes

et puis il ne faut pas oublier que pour exploiter une faille dans le
logiciel de virtualisation, il faut déjà que l'attaquant ait réussi à
s'introduire dans le système via une faille dans l'un des logiciels
serveur qui est hébergé
donc la combinaison de pouvoir exploiter 2 failles dans 1 temps très
proche (i.e. avant qu'elles soient corrigées) est d'autant plus
improbable

> Et bon on peut aussi  virtualiser du serveur Windows.

oui, avec tous les inconvénients que j'ai indiqué plus une nouvelle qui
vient de ta remarque juste au dessus :
du fait que les logiciels ne sont pas mis à jour dans la monde Windows,
il incombe à l'administrateur de surveiller les MAJ de chacun des
logiciels qu'il utilise pour voir s'il n'y a pas une faille qui
permettrait à un attaquant de l'exploiter
et tout ce temps gâché est autant de temps qu'il ne peut pas passer à
améliorer et surveiller les systèmes dont il a la charge

comme tu dois le savoir : la sécurité c'est un process et plus on peut
industrialiser certaines tâches, plus on y gagne

>> - de nombreuses améliorations de la sécurité du système existent
>>    (SeLinux, AppArmor, grsec) mm si ces dernières peinent à s'imposer
>>    dans les distributions
>>    
> Le problème de ce genre de mécanismes de sécurité c'est qu'ils sont  
> contraignants pour l'utilisateur, et que même quand ils préviennent  
> l'utilisateur d'un problème il faut encore que ce dernier sache de quoi  
> on lui parle.

oui, comme l'UAC et les mesures qui sont pris à ce sujet

bon, plus sérieusement ça fait des années que j'utilise grsec sur de
nombreuses machines perso ou au boulot et franchement je n'ai jamais eu
de problème pour l'administrer ou comprendre les messages (rares) qu'il
me donne et pourtant il n'est pas installé par défaut et je dois me
faire mon noyau manuellement

alors certes ça n'est pas la panacée ni un produit miracle sensé me
protéger de tout mais j'estime qu'il contribue à monter un peu le niveau
de sécurité de mes serveurs

> L'exemple le plus flagrant ce sont les firewalls, où la  
> majorité des gens veulent juste que la boite de dialogue disparaisse  
> sans cherche à comprendre ce qui leur arrive.

tout à fait d'accord :
un firewall mal configuré ou dont on ne sais pas se servir ne sert à
rien
il faut mm mieux se mettre derrière à routeur : c'est tout aussi
efficace

et d'ailleurs ce problème sera encore plus vrai avec la généralisation
de l'IPv6


> Sauf que pas mal de virus sous windows étaient de simple macro en VB, et  
> que l'intégration en standard de Mono ou autre python sur linux permet  
> d'envisager que c'est finalement pas tant un problème que cela.

mono en standard ?
je n'ai rien de ça sur aucun de mes machines (y compris client bien sûr)

et pour ce qui est d'un macro virus en Python, j'aimerai bien voir
comment il se propagerait !

>> je pense que l'architecture x86_64 gagne rapidement en popularité
>> principalement du fait que la RAM ne coûte pratiquement plus rien et que
>> l'on doit donc avoir une machine en 'amd64' pour exploiter efficacement
>> plus de 4Go
>>    
> L'architecture x86_64 permet d'exécuter du code 32 bits sans problèmes.

oui, tu as raison (dans la plupart des cas mm s'il est possible de
l'interdire)
là encore c'est l'avantage de la distribution Linux où la quasi totalité
des programmes tournent en 64 bits

sur mes postes clients en 64 bits, si je retire ia32-libs il y a
seulement 2 programmes qui sautent : acroread et wine
je n'utilisais quasiment jamais acroread (je préfère de bcp kpdf et
maintenant okular) et pour wine, à part m'amuser à faire tourner
ies4linux ou des virus ce que je ne fais plus depuis au moins 2/3 ans,
ça m'est aussi devenu inutile
donc...

>> à ce sujet le bit 'NX' de cette famille de processeurs offre encore une
>> protection supplémentaire à un type d'exploitation de sécurité très
>> courant : les débordements de piles (stack overflow)
>>
>>    
> Il est désactivé par défaut sur pas mal de bios.

Linux se fout de ce que dit le bios depuis son origine (1991)
à la limite il s'en sert pour y glaner qques infos au démarrage mais
c'est tout

>> oui, je l'ai justement dis dans mon précédent mail et celui-là : celà ne
>> concerne que les virus sous forme exécutable
>> et puis il faut différencier les vers (programme lancé à l'insu de
>> l'utilisateur) des virus qui a priori exploite un trou de sécurité du
>> système ou d'une application
>>    
> Le ver de Morris exploité des failles systèmes, je pense que tu voulais  
> faire la différence entre cheveaux de troie et virus.

oui, pardon, c'est exactement ce que je voulais dire

> La sécurité c'est effectivement un long débat, au départ je faisais  
> juste objections à quelques idées reçues en matière de sécurité à base  
> de raccourcis stupides (M$ savent pas protéger des ordis, linux c'est  
> kiewl).

tu auras aussi remarqué que je n'ai pas dit que Linux était cool mais
que ça n'était pas du tout la monoculture telle qu'on la trouve dans
Windows qui mène souvent à une sécurité moindre, en particulier (mais
pas seulement) du fait que Windows soit bcp plus populaire

Linux le devenant aussi un peu plus au fil des années a dû s'adapter à
un nouveau type d'utilisateur qui avait aussi une utilisation
particulière (compte admin par défaut)


maintenant, le fait est que si l'on regarde les chiffres, les failles
critiques exploitables à distance et pour lesquelles il y a sur Internet
des programmes tout fait pour script kiddies sans pour autant que la
faille soit corrigée, et bien c'est quasiment tout le temps que l'on en
trouve sous Windows et jamais sous Linux (ou alors j'ai dû en louper
une !)

> De la même manière sur Mac ils ont atteint la masse critique  
> nécessaire à intéresser le kevin de base, on y trouve aussi à présent  
> des programmes néfastes.

personne n'est à l'abri et probablement que dans un futur proche on
verra aussi la même chose sous Linux (qui sait ?)


-- 
	Cyril Chaboisseau