[Linux] antivirus
Stéphane Becker
whirly@::1
Dim 10 Mai 02:49:17 CEST 2009
Le 09/05/2009 22:52, Cyril Chaboisseau a écrit :
>
> en revanche, le fait de croire que parce que tu vas le chercher sur
> Google va te trouver ce que tu veux et que ça sera installable en 2
> clics, tu n'as pas dû le faire souvent ou bien tu as eu de la chance
>
>
J'utilise le bouton j'ai de la chance.
> ok, ça marche assez bien pour firefox ou OpenOffice mais j'ai eu
> l'occasion il y a 1 an de tenter de chercher un simple jeu de sudoku
> pour Windows
>
J'ai rarement vu des sudoku avec des failles de sécurité exploitable par
des hackers.
> ensuite, puisque l'on discute aussi de la sécurité, reste le problème
> des MAJ :
> ah bien sûr il y a 2 logiciels phares issue du monde du libre (FF et
> Thunderbird) qui embarque un outils de MAJ, et encore qques autres (vlc
> ou OOo par ex.) qui pour leur part permettent tout juste de détecter
> qu'une version plus récente existe
> mais pour ce qui est de la vraie MAJ du système et de tous les logiciels
> hors ceux issue de la firme de Redmond lorsque l'on est sous Windows
> c'est pas terrible et pousse justement à faire largement baisser le
> niveau de sécu
>
>
Justement une étude récente a conclu que le meilleur moyen c'était que
le logiciel se mette silencieusement à jour sans rien demander à
l'utilisateur. Résultat un des navigateurs les plus sur à l'heure
actuelle c'est google chrome qui applique cette méthode. On voit par
exemple de nombreuses versions de firefox non mis à jour, pourtant ce
dernier comporte aussi un mécanisme de mise à jour.
>
>
> et alors, c'est normal et il n'y a aucun problème à ça s'ils étaient
> content avec FF3/Evolution
>
Ca répondait juste à l'affirmation selon laquelle avec un système de
paquet les utilisateurs installent d'autres applications que celles
fournisent par défaut. C'est justement la base des plaintes vis à vis de
Microsoft, qu'il emploie le fait d'être installé par défaut pour imposer
ses applications d'accès au net et donc à fortiori de pouvoir fournir la
vue du net qu'il souhaite à l'utilisateur final.
>
> oui, en effet
> si j'en ai parlé c'est surtout parce que l'endroit où c'est configurable
> est assez bien planqué
>
>
Pour tout dire, je ne sais même pas où cela se configure dans linux, je
me contente de dire à thunderbird de s'occuper du mail.
>
> 2 remarques :
> ça fait déjà plusieurs années que certaines distributions ont donné
> l'exemple d'un compte root de moins en moins utilisable pour les travaux
> de tous les jours et les autres ont suivi
> mais ça fait quand même depuis les origines d'Unix (30 ou 40 ans) que
> cette notion d'être sous un utilisateur non admin est ancrée
> profondément
>
Tellement profondément qu'ubuntu te force à créer un compte utilisateur,
ce qui prouve bien que visiblement il y avait un soucis à la base. La
culture unix c'est surtout celle d'endroit genre la fac où l'on dispose
de machines multi utilisateurs avec un administrateur système qui
s'occupe du boulot. Une fois qu'on livre l'OS chez les gens c'est plus
du tout le même environnement.
> qu'après il faille se connecter sous une autre console, taper su, sudo
> super ou je ne sais quelle autre commande est du détails mais je dirais
> surtout que c'est très récemment qu'il y a justement une tendance à
> verrouiller la possibilité qu'un utilisateur aura à utiliser root pour
> une utilisation courante (loggué sous X, faire tourner des programmes
> etc.)
> et cette tendance est probablement concomitante au fait que Linux ait
> attiré à lui des utilisateurs Windows qui avaient cette habitude d'être
> tout le temps en admin (j'ai des exemples pour illustrer ce que je dis)
>
> maintenant, pour revenir à Windows (Vista seulement) et l'UAC, je ne m'y
> connais pas trop mais d'après ce que j'ai pu lire ça et là, ce système
> semble tellement intrusif et surtout aux antipodes de ce que les
> utilisateurs ont l'habitude que j'ai l'impression que la première chose
> qu'un utilisateur Vista va faire c'est le désactiver
> cf. http://www.google.com/search?q=désactivation+Windows+UAC&ie=utf-8&oe=utf-8&aq=t&rls=org.debian:fr:unofficial&client=iceweasel-a
> et au point que cet aspect sera (a été ?) revu pour Windows 7
>
>
Pour avoir un Vista que j'utilise au quotidien, l'UAC c'est exactement
la même chose que le sudo d'une ubuntu, et d'ailleurs j'ai connu des
gens qui ont de suite réactivé le compte root sur leur machine pour se
logguer avec parce que ça les faisait chier d'avoir cette boite de
dialogue qui s'affiche sans arrêt dès qu'on change les settings de la
machine. Le principal problème à l'heure actuelle c'est que Windows est
dans une phase d'adaptation où les différentes applications ne sont pas
encore habitués à tourner avec des privilèges restreints et avaient
tendance à faire des trucs un peu gore. Par exemple beaucoup
d'applications écrivaient dans leur propre répertoire des données (genre
les parties sauvegardées pour les jeux), or l'écriture dans le program
files nécessite à présent des droits d'admin. C'est une phase
transitoire, mais au moins ils ont décidé de s'attaquer au problème.
Je ne vois pas trop ce qu'il pourrait revoir sur Win7, ils profitent
juste de l'effet que les développeurs d'applications ont commencé à
mettre aux normes leurs applications avec par exemple l'initiative
gaming for windows qui fixe les règles du jeu pour les jeux justement.
> alors oui dans la théorie ça existe pour un OS qui de plus ne fait pas
> l'unanimité
> mais bon, ça n'est pas parce que ça existe et qu'en plus c'est souvent
> désactivé que ça rends l'OS plus sécure
>
C'est une assertion gratuite, à ma connaissance il n'existe pas d'étude
sur la désactivation de l'UAC. Je pense que déjà l'utilisateur vraiment
de base ne va pas chercher à le désactiver c'est trop compliqué, il va
plutôt simplement cliquer sur "oui oui oui" en maugréant.
>
> tu as tout a fait raison et je n'ai jamais dit que Linux c'était la
> panacée (je te rappelle que le début de la discussion portait sur la
> comparaison Linux / Windows par rapport aux virus)
>
Et mon axiome de base était simplement de dire que la prolifération des
virus sur Windows ne tient pas au manque de sécurité de l'OS mais
simplement qu'il s'agit d'une cible plus juteuse.
> mais c'est vrai qu'OpenBSD est vendu comme étant l'un des OS les plus
> sécurisé et audité mais comme tu le sais, rien ni personne n'est parfait
> et avec la meilleur volonté du monde, les failles existent partout et
> c'est juste une question de temps pour les trouver
> comme tu le rappelle OpenBSD en a fait les frais et ne peux plus se
> targué de n'avoir aucune faille après une installation par défaut
> ce cher Bernstein a aussi découvert qu'il y avait un trou dans son
> djbdns qu'il croyait intouchable
> et on découvre des bugs et trous de sécurité dans de nombreux logiciels
> clients ou serveur dans de nombreuses distributions Linux
> d'où l'importance de pouvoir très rapidement être alerté afin de boucher
> la faille
>
OpenBSD a, par ricochet, fait beaucoup pour la sécurité de Linux, et on
peut pas dire qu'on les a vraiment remerciés pour cela, mais c'est un
autre débat. Mais ce paragraphe valide juste mon point, que la présence
de virus se fait quelque soit le degré de sécurité de l'OS, simplement
parce qu'il suffit soit d'une faille soit d'un utilisateur complaisant
et que sur ce dernier point on fait très peu l'éducation de
l'utilisateur et que ce n'est pas en brandissant une pancarte "on est
libre c'est pour ça qu'on a pas de virus" que ça réglera le truc.
> in fine, lorsque l'on compte les failles qui sont exploitables à
> distance combiné avec des "zero-exploit day", je trouve que le monde
> Unix et Linux en particulier s'en tire pas mal (d'ailleurs je ne me
> souviens pas en avoir eu un ces 2/3 dernières années, et encore !)
>
Il me semble qu'à ce niveau, Windows et Linux se tiraient la bourre,
assez loin derrière leurs copains *BSD. Par contre il y a eu des
antécédents scandaleux, genre l'époque où Microsoft s'en cognait un peu
de régler rapidement certains problèmes.
>
> je ne connais pas ces failles mais j'imagine qu'elles sont aussi
> bouchées au fur et à mesure qu'elles sont découvertes
>
>
Oui, sauf que pour beaucoup de monde la virtualisation c'est la balle en
argent pour la sécurisation d'un OS, et les patchs comme dit faut aussi
les appliquer, d'ailleurs c'est quoi la politique en général sur un
serveur pour appliquer les patchs ?
> et puis il ne faut pas oublier que pour exploiter une faille dans le
> logiciel de virtualisation, il faut déjà que l'attaquant ait réussi à
> s'introduire dans le système via une faille dans l'un des logiciels
> serveur qui est hébergé
> donc la combinaison de pouvoir exploiter 2 failles dans 1 temps très
> proche (i.e. avant qu'elles soient corrigées) est d'autant plus
> improbable
>
C'est pour cette même raison que Google Chrome est actuellement le
navigateur web le plus sécurisé disponible, bien plus qu'un firefox ou
un safari ou un IE. Quoi que je sais même pas si ce dernier apparait
encore dans les concours de solidité de navigateur tant microsoft a du
retard à ce niveau là.
>
> oui, avec tous les inconvénients que j'ai indiqué plus une nouvelle qui
> vient de ta remarque juste au dessus :
> du fait que les logiciels ne sont pas mis à jour dans la monde Windows,
> il incombe à l'administrateur de surveiller les MAJ de chacun des
> logiciels qu'il utilise pour voir s'il n'y a pas une faille qui
> permettrait à un attaquant de l'exploiter
> et tout ce temps gâché est autant de temps qu'il ne peut pas passer à
> améliorer et surveiller les systèmes dont il a la charge
>
Globalement tu fais tourner quoi sur un serveur ? Genre je ne pense pas
que mettre à jour l'application de sudoku soit vitale. Windows Update
met à jour toute la stack microsoft, or sur un serveur microsoft on ne
trouve en principe que du Microsoft. De même qu'à mon avis sur un
serveur Linux qui fait tourner Oracle, ce dernier n'est pas mis à jour
par le système de paquet.
> comme tu dois le savoir : la sécurité c'est un process et plus on peut
> industrialiser certaines tâches, plus on y gagne
>
Et surtout qu'on forme les gens, parce que bon les post-its sur les
écrans avec les mots de passe... déjà chez nous quand un mec me dit "ok
je vais me noter mon mot de passe sur un papier" il a le droit à 5mn de
sermon. Mais je pense bien que sur un serveur Microsoft, le process est
aussi industrialisé, à moins d'utiliser des trucs plus exotiques dessus
genre du PHP :) En même temps un admin de serveur windows il a le droit
de souffrir.
> oui, comme l'UAC et les mesures qui sont pris à ce sujet
>
> bon, plus sérieusement ça fait des années que j'utilise grsec sur de
> nombreuses machines perso ou au boulot et franchement je n'ai jamais eu
> de problème pour l'administrer ou comprendre les messages (rares) qu'il
> me donne et pourtant il n'est pas installé par défaut et je dois me
> faire mon noyau manuellement
>
Pour les updates automatiques, c'est foutu. Pour la contrainte "comme
l'UAC" on est entièrement d'accord.
>
>
> mono en standard ?
> je n'ai rien de ça sur aucun de mes machines (y compris client bien sûr)
>
Depuis la standardisation de Tomboy sous Gnome tu as mono d'installé,
bon si tu utilises uniquement KDE ça ira, mais vu que visiblement Gnome
est plus répandu.
> et pour ce qui est d'un macro virus en Python, j'aimerai bien voir
> comment il se propagerait !
>
NakedBritney.png.py, le tout balancé par pidgin après avoir été lancé
façon cheval de troie sur une machine. Ou alors un ver façon Morris.
>
>
> oui, tu as raison (dans la plupart des cas mm s'il est possible de
> l'interdire)
> là encore c'est l'avantage de la distribution Linux où la quasi totalité
> des programmes tournent en 64 bits
>
Tu iras expliquer ça à Adobe, qui pendant longtemps a fait la sourde
oreille pour le plug-in flash, et regarder des anims flash quand on
surfe le web ça a quand même son intérêt.
> sur mes postes clients en 64 bits, si je retire ia32-libs il y a
> seulement 2 programmes qui sautent : acroread et wine
> je n'utilisais quasiment jamais acroread (je préfère de bcp kpdf et
> maintenant okular) et pour wine, à part m'amuser à faire tourner
> ies4linux ou des virus ce que je ne fais plus depuis au moins 2/3 ans,
> ça m'est aussi devenu inutile
> donc...
>
C'est sur que sous Windows tu as beaucoup plus de programme 32 bits même
quand tu tournes en 64 bits. Mais il me semble bien que toutes les
distribs linux en 64 bits permettent l'exécution de programme 32 bits,
ne serait ce que pour faire tourner des applis proprio. Et oui Acroread
c'est de la daube, même sous Windows je n'utilise pas ça. Par contre je
joue, donc ça élimine Linux sur pas mal de mes machines.
>
>
> Linux se fout de ce que dit le bios depuis son origine (1991)
> à la limite il s'en sert pour y glaner qques infos au démarrage mais
> c'est tout
>
>
Ouaip sauf que pour activer le NX sur certaines distrib linux il faut
changer la boot line du kernel.
>
> tu auras aussi remarqué que je n'ai pas dit que Linux était cool mais
> que ça n'était pas du tout la monoculture telle qu'on la trouve dans
> Windows qui mène souvent à une sécurité moindre, en particulier (mais
> pas seulement) du fait que Windows soit bcp plus populaire
>
> Linux le devenant aussi un peu plus au fil des années a dû s'adapter à
> un nouveau type d'utilisateur qui avait aussi une utilisation
> particulière (compte admin par défaut)
>
>
> maintenant, le fait est que si l'on regarde les chiffres, les failles
> critiques exploitables à distance et pour lesquelles il y a sur Internet
> des programmes tout fait pour script kiddies sans pour autant que la
> faille soit corrigée, et bien c'est quasiment tout le temps que l'on en
> trouve sous Windows et jamais sous Linux (ou alors j'ai dû en louper
> une !)
>
Je persiste à dire que ce n'est pas lié à la fréquence des failles mais
simplement au fait que Windows est une cible plus juteuse. Quand à ma
phrase sur la kiewlitude, elle était surtout valable pour les gens qui
écrivent encore Microsoft avec des $. Les mecs qui hackent vraiment du
serveur pour des intentions louables ou pas, diffusent rarement leur
outils en dehors d'un cercle très restreint, parce que là on parle de
trucs important pas juste de prendre à distance le controle de la webcam
du type en face pour voir s'il est à poil.
>
> personne n'est à l'abri et probablement que dans un futur proche on
> verra aussi la même chose sous Linux (qui sait ?)
>
>
Faut passer la masse critique, pour l'instant vu la part de marché
desktop de linux c'est pas gagné. Mais c'est tout le mal qu'on lui souhaite.
Stéphane
-------------- section suivante --------------
Une pièce jointe HTML a été nettoyée...
URL: <https://strasbourg.linuxfr.org/pipermail/linux/attachments/20090510/90f21455/attachment-0001.htm>
Plus d'informations sur la liste de diffusion linux