[Linux] antivirus

[Cyril Chaboisseau]

* Stéphane Becker <whirly@::1> [2009-05-10 02:49 +0200]:

>> en revanche, le fait de croire que parce que tu vas le chercher sur
>> Google va te trouver ce que tu veux et que ça sera installable en 2
>> clics, tu n'as pas dû le faire souvent ou bien tu as eu de la chance
>>    
> J'utilise le bouton j'ai de la chance.

tu es bien le seul (à en avoir) !

>> ok, ça marche assez bien pour firefox ou OpenOffice mais j'ai eu
>> l'occasion il y a 1 an de tenter de chercher un simple jeu de sudoku
>> pour Windows
>>    
> J'ai rarement vu des sudoku avec des failles de sécurité exploitable par  
> des hackers.

non !
je voulais juste donner cet exemple du sudoku pour (dé)montrer que
chercher un logiciel quel qu'il soit n'est pas seulement aussi simple
que de lancer une recherche google

l'approche de la distribution Linux via un système de packaging qui
offre un palette de choix de logiciels à installer parmi plus de 20k
avec tout un système de dépendance est à mon avis le plus grand avantage
de Linux sur les autres OS

> Justement une étude récente a conclu que le meilleur moyen c'était que  
> le logiciel se mette silencieusement à jour sans rien demander à  
> l'utilisateur. Résultat un des navigateurs les plus sur à l'heure  
> actuelle c'est google chrome qui applique cette méthode.

dommage que pour l'instant ce navigateur n'existe que sous Win

> On voit par  exemple de nombreuses versions de firefox non mis à jour,
> pourtant ce  dernier comporte aussi un mécanisme de mise à jour.

comme quoi on en revient encore à l'étape n°1 : avoir un système de
gestion des paquetages garantissant non seulement une cohérence des
dépendances entre ces derniers mais offrant aussi quasi automatiquement
des MAJ pour la totalité des programmes installés, qu'ils fassent parti
du système ou soient des logiciels utilisateurs


>> 2 remarques :
>> ça fait déjà plusieurs années que certaines distributions ont donné
>> l'exemple d'un compte root de moins en moins utilisable pour les travaux
>> de tous les jours et les autres ont suivi
>> mais ça fait quand même depuis les origines d'Unix (30 ou 40 ans) que
>> cette notion d'être sous un utilisateur non admin est ancrée
>> profondément
>>    
> Tellement profondément qu'ubuntu te force à créer un compte utilisateur,  
> ce qui prouve bien que visiblement il y avait un soucis à la base.

ben c'est évident que si on veut ne pas avoir à travailler sous root il
faut bien qu'il y ait un compte standard
et puis ça fait aussi depuis des années pour ne pas dire tjrs que les
distros demande de créer un compte à l'installation
la seule nouveauté qu'à apporter Ubuntu mais probablement d'autres
aussi, c'est de ne pas avoir à saisir un mot de passe pour le compte
admin obligeant ainsi à faire les actions administrateur à travers la
commande sudo

> La  culture unix c'est surtout celle d'endroit genre la fac où l'on
> dispose  de machines multi utilisateurs avec un administrateur système
> qui  s'occupe du boulot. Une fois qu'on livre l'OS chez les gens c'est
> plus  du tout le même environnement.

je ne vois pas non plus ce qu'il y a d'étonnant : il faut bien que sur
un système Unix soit-il auto-géré (i.e. sans admin) que les opérations
d'administration soient faites par l'utilisateur principal qui en a la
charge

>> maintenant, pour revenir à Windows (Vista seulement) et l'UAC, je ne m'y
>> connais pas trop mais d'après ce que j'ai pu lire ça et là, ce système
>> semble tellement intrusif et surtout aux antipodes de ce que les
>> utilisateurs ont l'habitude que j'ai l'impression que la première chose
>> qu'un utilisateur Vista va faire c'est le désactiver
>> cf.  http://www.google.com/search?q=désactivation+Windows+UAC&ie=utf-8&oe=utf-8&aq=t&rls=org.debian:fr:unofficial&client=iceweasel-a
>> et au point que cet aspect sera (a été ?) revu pour Windows 7
>>
>>    
> Pour avoir un Vista que j'utilise au quotidien, l'UAC c'est exactement  
> la même chose que le sudo d'une ubuntu, et d'ailleurs j'ai connu des  
> gens qui ont de suite réactivé le compte root sur leur machine pour se  
> logguer avec parce que ça les faisait chier d'avoir cette boite de  
> dialogue qui s'affiche sans arrêt dès qu'on change les settings de la  
> machine.

oui ce genre de personnes doit bien exister certes mais cette façon de
faire tends à se marginaliser avec des logiciels qui refusent de tourner
sous root (ex: vlc)
malgré tout c'est dommage : ils pourraient tout aussi bien configurer
sudo pour ne pas avoir à demander le mot de passe ce qui est qd mm un
peu plus sécurisé que de tourner directement en mode admin

> Le principal problème à l'heure actuelle c'est que Windows est  
> dans une phase d'adaptation où les différentes applications ne sont pas  
> encore habitués à tourner avec des privilèges restreints et avaient  
> tendance à faire des trucs un peu gore.

les applications mais surtout les utilisateurs

> Par exemple beaucoup  d'applications écrivaient dans leur propre
> répertoire des données (genre  les parties sauvegardées pour les
> jeux), or l'écriture dans le program  files nécessite à présent des
> droits d'admin. C'est une phase  transitoire, mais au moins ils ont
> décidé de s'attaquer au problème.

mais ça fait déjà presque 15 ans que les applications Windows mal
écrites s'entêtent à écrire leurs données autre part que là où elles
devraient
j'entendais déjà parler de ce problème en 1997 dans un article très
virulent à l'égard de Microsoft à l'époque où Citrix gagnait en
popularité et que cette approche de 'terminal server' nécessitait que
les applications soient bien écrites
malheureusement, on voit que les habitudes ont la vie dure et qu'après
plus de 20 ans des années DOS et Win 3.x, les développeurs n'ont tjrs
pas intégré cette façon de faire que le monde Unix sais déjà faire
depuis les années 70

>> alors oui dans la théorie ça existe pour un OS qui de plus ne fait pas
>> l'unanimité
>> mais bon, ça n'est pas parce que ça existe et qu'en plus c'est souvent
>> désactivé que ça rends l'OS plus sécure
>>    
> C'est une assertion gratuite, à ma connaissance il n'existe pas d'étude  
> sur la désactivation de l'UAC.

je n'ai pas non plus lu d'études à proprement parler, juste de nombreux
témoignages
comme je l'ai mis dans mon précédent mail (recherche 'désactivation
Windows UAC') donne 657k réponses
c'est qu'il doit qd mm y avoir un problème et tu ne peux pas juste dire
que c'est une assertion gratuite et que personne ne le désactive !

maintenant c'est vrai que ça ne prouve rien et que ces dizaines voire
centaines de milliers de pages expliquant comment désactiver l'UAC sont
justes là pour indiquer à un utilisateur ce qu'il pourrait faire dans le
cas où l'envie lui prendrait !

;-)


> Je pense que déjà l'utilisateur vraiment  de base ne va pas chercher à
> le désactiver c'est trop compliqué, il va  plutôt simplement cliquer
> sur "oui oui oui" en maugréant.

c'est vrai aussi que l'utilisateur de base a une capacité quasi infinie
pour se contenter d'appliquer encore et encore les mêmes actions sans
vouloir comprendre ni trouver un moyen de contourner le problème

mais là on ne parle pas de la même catégorie d'utilisateur (ce dernier
est mm probablement déjà infesté de malware tant la seule action de
cliquer sur le bouton lui demandant d'installer des MAJ qui sont en
attente lui parait étrange voire dangereux !)

>> tu as tout a fait raison et je n'ai jamais dit que Linux c'était la
>> panacée (je te rappelle que le début de la discussion portait sur la
>> comparaison Linux / Windows par rapport aux virus)
>>    
> Et mon axiome de base était simplement de dire que la prolifération des  
> virus sur Windows ne tient pas au manque de sécurité de l'OS mais  
> simplement qu'il s'agit d'une cible plus juteuse.

là je ne suis pas du tout d'accord :
je pense aussi que c'est une cible techniquement plus simple à corrompre
(je ne vais pas reprendre tous les arguments évoqués ici) et des
utilisateurs qui sont souvent bien moins habitués à des réflexes
sécurité

> OpenBSD a, par ricochet, fait beaucoup pour la sécurité de Linux, et on  
> peut pas dire qu'on les a vraiment remerciés pour cela, mais c'est un  
> autre débat.

mais c'est en effet incroyable comme point de vue !
depuis quand faudrait-il que l'on remercie un groupe de développeurs
pour ce qu'ils ont apportés (hypothétiquement) à un autre ?
et encore ça n'est pas prouvé
mais surtout je ne sais pas si de l'audit du code BSD ou de la
popularité et donc du nombre plus grand d'utilisateurs Linux (ce qui se
traduit par une attention accrue, des boites qui font aussi à leur
niveau des audit sécurité de code tel que Coverity) c'est le premier ou
le second qui a le + bénéficier de l'autre
et d'une certaine façon je ne veux pas le savoir !
tout ça c'est un formidable éco-système dont tout le monde en sort
gagnant si l'on n'attends pas de l'autre qu'il le remercie pour le
travail accomplie

tiens, juste pour info :
un graphe montrant l'influence de 8 années des projets PaX et grsec
envers d'autres systèmes :
http://grsecurity.net/~spender/grsecurity_pax-influence.png
c'est forcément biaisé vu que c'est produit par le développeur principal
du projet mais je pense qu'il doit y avoir une once de vérité montrant
que ça ne marche pas forcément que dans un sens (et je ne sais pas si ce
dernier à été remercié de son travail par tous ces projets qui s'en sont
inspirés d'une façon ou d'une autre !)


> Mais ce paragraphe valide juste mon point, que la présence  
> de virus se fait quelque soit le degré de sécurité de l'OS, simplement  
> parce qu'il suffit soit d'une faille soit d'un utilisateur complaisant  
> et que sur ce dernier point on fait très peu l'éducation de  
> l'utilisateur et que ce n'est pas en brandissant une pancarte "on est  
> libre c'est pour ça qu'on a pas de virus" que ça réglera le truc.

je n'ai _jamais_ dit ça ni brandit aucune pancarte de ce genre
(bien au contraire)
par contre il est aussi vrai que l'ouverture du code et le fait que l'on
a potentiellement des milliers/millions de personnes capables de
regarder le code et de l'analyser ou encore de reprendre pour s'inspirer
du code de l'autre (OpenBSD vers Linux ou vice versa) sont autant de
gages qui peuvent améliorer la sécurité de l'ensemble
à l'inverse, la sécurité à travers l'obscurantisme (security through
obscurity) n'est pas forcément une bonne chose

>> in fine, lorsque l'on compte les failles qui sont exploitables à
>> distance combiné avec des "zero-exploit day", je trouve que le monde
>> Unix et Linux en particulier s'en tire pas mal (d'ailleurs je ne me
>> souviens pas en avoir eu un ces 2/3 dernières années, et encore !)
>>    
> Il me semble qu'à ce niveau, Windows et Linux se tiraient la bourre,  
> assez loin derrière leurs copains *BSD.

tu as un exemple illustrant le fait que "Linux se tirait la bourre" ?


> Oui, sauf que pour beaucoup de monde la virtualisation c'est la balle en  
> argent pour la sécurisation d'un OS, et les patchs comme dit faut aussi  
> les appliquer, d'ailleurs c'est quoi la politique en général sur un  
> serveur pour appliquer les patchs ?

ça dépends de la boutique j'imagine mais en générale, selon le niveau de
criticité et le risque encouru, la boite va souvent appliquer rapidement
ses patchs
mais probablement qu'il y a plein d'autres paramètres : sensibilité des
admins, temps qu'ils peuvent y consacrer, facilité de les appliquer,
impact sur les services/applicatifs etc.

>> et puis il ne faut pas oublier que pour exploiter une faille dans le
>> logiciel de virtualisation, il faut déjà que l'attaquant ait réussi à
>> s'introduire dans le système via une faille dans l'un des logiciels
>> serveur qui est hébergé
>> donc la combinaison de pouvoir exploiter 2 failles dans 1 temps très
>> proche (i.e. avant qu'elles soient corrigées) est d'autant plus
>> improbable
>>    
> C'est pour cette même raison que Google Chrome est actuellement le  
> navigateur web le plus sécurisé disponible, bien plus qu'un firefox ou  
> un safari ou un IE. Quoi que je sais même pas si ce dernier apparait  
> encore dans les concours de solidité de navigateur tant microsoft a du  
> retard à ce niveau là.

et si c'était seulement sur la solidité qu'ils avaient du retard, ça
serait un moindre mal
mais il y a aussi la rapidité/performance ainsi que le respect des
standards qui est la chose qui a fait le + de mal à l'interopérabilité
qu'ils n'ont jamais voulu car ça leur permettait de verrouiller les
utilisateurs autour de leur suite logiciel
et maintenant c'est la chose dont ils ont le plus de mal à se dépêtrer
(i.e. double mode de compatibilité dans IE8)


>> et tout ce temps gâché est autant de temps qu'il ne peut pas passer à
>> améliorer et surveiller les systèmes dont il a la charge
>>    
> Globalement tu fais tourner quoi sur un serveur ?

plein de choses :
Apache, Samba, Squid, Postfix, PostgreSQL, clamav, Amavis, Spamassassin,
CUPS, OpenLDAP, Nagios, Sympa

et à la maison un sous-ensemble de ça avec p-e 2/3 en plus

> Genre je ne pense pas  que mettre à jour l'application de sudoku soit
> vitale.

ah ah ! (j'ai ri)
déjà j'avais donné cet exemple du sudoku non pas pour un serveur Linux
mais pour un poste Windows
ensuite je n'ai jamais mis de serveur X sur aucun de mes serveurs au
boulot (j'ai juste sur mon poste de travail perso certains serveurs qui
tournent en même temps que mon environnement graphique)

> Windows Update  met à jour toute la stack microsoft, or sur un serveur
> microsoft on ne  trouve en principe que du Microsoft. De même qu'à mon
> avis sur un  serveur Linux qui fait tourner Oracle, ce dernier n'est
> pas mis à jour  par le système de paquet.

je n'ai jamais fait tourner Oracle (pas besoin grâce à PostgreSQL)
mais j'imagine que vu que ce progiciel demande déjà d'avoir 1 ou
plusieurs admin Oracle dédié à faire tourner la base, je peux aussi
imaginer qu'ils peuvent aussi suivre les MAJ et appliquer les patchs
(on sort un peu de l'admin qui doit gérer un grand nombre de services
décrit + haut)

>> comme tu dois le savoir : la sécurité c'est un process et plus on peut
>> industrialiser certaines tâches, plus on y gagne
>>    
> Et surtout qu'on forme les gens, parce que bon les post-its sur les  
> écrans avec les mots de passe...

ok, on n'est plus dans l'optique d'admin système ou réseau là mais bien
de Joe-six-packs !

>> mono en standard ?
>> je n'ai rien de ça sur aucun de mes machines (y compris client bien sûr)
>>    
> Depuis la standardisation de Tomboy sous Gnome tu as mono d'installé,  
> bon si tu utilises uniquement KDE ça ira, mais vu que visiblement Gnome  
> est plus répandu.

ah ah !
celle-là aussi est très bonne
je ne sais pas d'où tu as pu sortir de telles statistiques
… p-e que ça vient du fait que Linus Torvalds est passé récemment (et
probablement temporairement) sous Gnome suite au fiasco de KDE 4 !

:-)

>> et pour ce qui est d'un macro virus en Python, j'aimerai bien voir
>> comment il se propagerait !
>>    
> NakedBritney.png.py, le tout balancé par pidgin après avoir été lancé  
> façon cheval de troie sur une machine. Ou alors un ver façon Morris.

je ne connaissais pas
ça me rassure donc d'avoir choisi autre chose que Gnome !
</troll>

>> oui, tu as raison (dans la plupart des cas mm s'il est possible de
>> l'interdire)
>> là encore c'est l'avantage de la distribution Linux où la quasi totalité
>> des programmes tournent en 64 bits
>>    
> Tu iras expliquer ça à Adobe, qui pendant longtemps a fait la sourde  
> oreille pour le plug-in flash, et regarder des anims flash quand on  
> surfe le web ça a quand même son intérêt.

je sais mais maintenant c'est de l'histoire ancienne
sachant que les 2 extensions que j'installe sous FF3 sont Adblock plus
et Flashblock

>> Linux se fout de ce que dit le bios depuis son origine (1991)
>> à la limite il s'en sert pour y glaner qques infos au démarrage mais
>> c'est tout
>>    
> Ouaip sauf que pour activer le NX sur certaines distrib linux il faut  
> changer la boot line du kernel.

je ne pense pas mais je vais vérifier tout ça de ce pas


> Je persiste à dire que ce n'est pas lié à la fréquence des failles mais  
> simplement au fait que Windows est une cible plus juteuse.

et moi je persiste à dire que ça n'est pas que ça mais on ne sera pas
d'accord sur le sujet semble t-il !
(ou p-e il faudrait que tu définisses "cible plus juteuse")

> Quand à ma  phrase sur la kiewlitude, elle était surtout valable pour
> les gens qui  écrivent encore Microsoft avec des $.

mince alors, ça n'est pas mon cas !
ça veut dire que je ne fait pas parti de la kiewlitude ?!

;-)

> Faut passer la masse critique, pour l'instant vu la part de marché  
> desktop de linux c'est pas gagné. Mais c'est tout le mal qu'on lui 
> souhaite.

tant que la vente liée permettra à Microsoft de continuer à obliger les
utilisateurs d'acheter un OS sur les machines (surtout portables) des
grands constructeurs, cet état de fait continuera à perdurer

mais là encore c'est un tout autre débat !


-- 
	Cyril Chaboisseau