[Linux] Nouvelle faille de sécurité majeure ?

Cyril Chaboisseau cyril.chaboisseau@::1
Jeu 2 Oct 00:19:25 CEST 2014 

* Christophe Courtois <christophe@::1> [2014-10-01 10:34 +0200]:

> Le 01/10/14 01:49, Cyril Chaboisseau a écrit :
> Tu prêches à un convaincu, évidemment, sinon je ne serais pas ici, donc je
> continue de me mettre dans le mode mental des gens que je côtoie tous les
> jours, et pour qui MS est souvent l'option la plus évidente et confortable

en fait, ce qui me gêne dans l'approche qu'ont ces "gens" lorsqu'ils
choisissent du MS par défaut, c'est qu'ils le font le plus souvent dans
une optique moutonnière (personne n'a jamais été viré pour avoir choisi
du Microsoft) et non pas pour les qualités intrinsèques de leur produits
et encore moins pour la sécurité
c'est l'effet de réseau https://fr.wikipedia.org/wiki/Effet_de_réseau
dans sa forme la plus pure et la plus débile qui fait que MS arrive
encore à s'imposer dans la plupart des boites
et comme le LL malgré ses qualité ne bénéficie pas du centième (millième
?) des efforts marketing, soutien, support que son concurrent
propriétaire, c'est avec plus de difficultés qu'il arrive à s'imposer en
entreprises


> (et le plus important : celle que les clients demandent).

les clients des moutons sont des moutons (effet boule de neige)

> >primo : le LL (si tant est que l'on puisse y voir une entité cohérente
> >et identifiée)
> 
> Que le LL ne soit pas un bloc, on s'en fiche, il est identifié ainsi de
> manière plus ou moins consciente.
> En fait je dis une bêtise : au mieux c'est identifié à l'open source. Et
> souvent qu'à des trucs de zazous.

ben oui : c'est cette diversité du monde libre/open source qui fait déjà
que la grille de lecture n'est pas super claire (s'adresse t-on à un
RedHat ou des nerds boutonneux dans leur garage ?)

> > n'a jamais prétendu garantir une sécurité quelconque
> 
> J'ai la flemme de chercher mais nous avons des monceaux de propagande sur le
> sujet dans les divers médias libristes depuis au bas mot 15 ans, souvent à
> côté des moqueries sur les failles béantes des produits MS.

bon, il était tard (tôt ?) et il y avait probablement un peu
d'exagération dans mon affirmation
mais ce que je veux surtout dire, c'est que n'importe quelle personne
qui fait de la sécurité le dira : un système sécure à 100% n'existe pas
(tout comme le risque 0)
et que l'on peut probablement faire d'un système OpenBSD une passoire
sans nom si on y installe tout et n'importe quoi et sans jamais y
appliquer aucun patch, tout comme à l'inverse on pourrait avoir un
serveur Windows avec une forte sécurité (et pas seulement si on l'éteint
et qu'on le débranche du réseau !!!)


> >secundo : la sécurité n'est pas un produit mais un process, et si les
> >différents épisodes que l'on vient de voir on pu au moins prouver, c'est
> >que la transparence qu'apporte les LL permet une correction en toute
> >transparence, mais aussi que patch ont été poussés très rapidement
> 
> En disant ça il faut rajouter l'analogie obligatoire avec les voitures : les
> constructeurs qui font le plus de rappels ne sont pas les moins sûrs.

tout à fait

> >tertio : ce qu'apporte les LL par rapport aux 2 principaux OS
> >concurrents et proprio (Win et iOS pour ne pas les nommer), c'est la
> >diversité par opposition à la monoculture qui est souvent synonyme de
> >fragilité face à un virus à l'instar de la nature
> 
> Quand ils entendent ça, beaucoup pensent (pas complètement à tort) à
> "cauchemar de support" et "fragmentation du marché".

cauchemar ?
pas sûr

fragmentation, c'est un peu plus vrai
mais à ceux qui ne veulent/peuvent/savent pas choisir les logiciels qui
correspondent à leurs besoins et par conséquent se laissent imposer une
offre unique monoculture, eh bien je les plains en leur souhaitant bien
de la chance pour la sécurité de leur parc


> Tiens, rien qu'hier je cherche à voir avec quoi est certifiée le
> dernière version Linux d'un soft nommé BO XI 3.1 (Cyril tu connais au
> moins de nom :-). Je ne vois que RedHat dans la doc. Je fais quoi si
> je n'ai que Debian ? J'installe ce produit hyper-fragile sur du non
> certifié/non supporté, ou je me lance dans un nouvel OS ?

je pense que pour ceux qui font ce choix de logiciels hyper proprio et
surtout très cher avec de surcroit un coût de maintenance supérieur à
20%, le fait de savoir si ça tourne ou non sous Debian ne leur traverse
même pas l'esprit !
mais c'est vrai que ça pourrait le devenir pour d'autres produits et
cette fragmentation des distrib (ce que j'appelle tout simplement le
_choix_ !) sera probablement résolu par des artifices techniques tels
que Docker.io ou autres
d'ailleurs j'ai vu passer un article intéressant sur le sujet
http://0pointer.net/blog/revisiting-how-we-put-together-linux-systems.html

> Dans un autre domaine, la fragmentation d'Android est un véritable problème
> pour les développeurs.

qui est en parti réglé d'un côté par des obligations de + en + strictes
pour les constructeurs qui se basent sur Android, et de l'autre par cet
étonnant cheval de Troie qu'est le monstre de Google Play
http://www.frandroid.com/android/developpement/227959_google-play-services-cheval-troie-google

et soit dit en passant, c'est quoi l'alternative à cette "fragmentation" ?

> Bref, la diversité c'est nécessaire sur le long terme, Darwin oblige, mais
> sur le court terme ça fait ch... pas mal de monde.

le choix ça fait ch... ceux qui ne savent pas choisir (ou ne veulent
pas)
cf. supra
va dire ça à ceux qui ont développé, maintiennent ou tout simplement
utilisent un logiciel X qui existe depuis des années et qui correspond à
leur besoin (peut-être de niche mais ça suffit)
et c'est sans parler de ce qui se passe de l'autre côté du miroir, à
savoir ceux qui ont choisit un logiciel d'une boite proprio
et parce qu'il n'était pas rentable, qu'il était en concurrence avec un
autre produit en interne ou bien parce que la boite s'est fait racheté
par un plus gros, du jour au lendemain ce logiciel a été abandonné
laissant sur le carreau les utilisateurs obligé de migrer vers une
solution (lorsqu'elle existait) pas forcément meilleure

je pense que l'on a tous des dizaines d'exemples de ce type là

> >alors c'est vrai que OpenSSL et bash sont justement les contre-exemples
> >de cette diversité, mais d'un côté le bug heartbleed a permis une prise
> >de conscience sur le manque de choix et pour bash, de nombreuses
> >personnes s'en était déjà inquiété (d'où dash) et le switch avait déjà
> >été réalisé pour certaines distrib
> 
> En fait cette affaire aurait dû être annoncée comme une pub monstrueuse pour
> Debian aux dépens de RedHat. Il leur manque un département Marketing,
> Propagande & Mauvaise foi.  Qui aurait peut-être gardé le bug sous le coude
> jusqu'à avoir trouvé un bug Windows majeur du même calibre à sortir juste
> après.

voir la signature de mon dernier message

> >il y a d'un côté les logiciels proprio qui veulent faire croire à tout
> >prix qu'ils le sont (parfait... au moins du point de vue de la sécu) et
> >vont tout faire pour masquer les imperfections allant jusqu'à cacher les
> >bugs sécu où en les corrigeant en douce (security through obscurity)
> >et de l'autre les LL qui jouent de facto une transparence avec les
> >mauvais côtés que ça comporte (guerre interne, sécu discuté et corrigé
> >"carte sur table", etc.) et s'en fichant du côté marketing ce qui fait
> >bien sûr moins sérieux et moins pro alors que dans les faits, il s'avère
> >que c'est souvent le contraire
> 
> Soyons cynique : ça ne fera pas changer d'un poil les avis de chacun. Les
> windowsistes le resteront, les libristes le resteront.

oui, cette affaire ne changera probablement pas les lignes énormément

mais sur le long terme, il est clair que le libre ne fait que gagner des
parts de marché (c'était normal il y a 20 ou 30 ans vu qu'il partait de
rien, mais je pense que ça continu de l'être)
selon moi c'est un rouleau compresseur qui ne fera qu'avancer (lentement
mais sûrement)


-- 
	Cyril Chaboisseau

All software sucks
        (Alan Cox)

Plus d'informations sur la liste de diffusion linux