<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
<meta content="text/html; charset=ISO-8859-15"
http-equiv="Content-Type">
</head>
<body bgcolor="#ffffff" text="#000000">
Le 09/05/2009 22:52, Cyril Chaboisseau a écrit :
<blockquote cite="mid:20090509205226.GA17113@adren.org" type="cite"><br>
<pre wrap="">
en revanche, le fait de croire que parce que tu vas le chercher sur
Google va te trouver ce que tu veux et que ça sera installable en 2
clics, tu n'as pas dû le faire souvent ou bien tu as eu de la chance
</pre>
</blockquote>
J'utilise le bouton j'ai de la chance.<br>
<blockquote cite="mid:20090509205226.GA17113@adren.org" type="cite">
<pre wrap="">ok, ça marche assez bien pour firefox ou OpenOffice mais j'ai eu
l'occasion il y a 1 an de tenter de chercher un simple jeu de sudoku
pour Windows
</pre>
</blockquote>
J'ai rarement vu des sudoku avec des failles de sécurité exploitable
par des hackers.<br>
<blockquote cite="mid:20090509205226.GA17113@adren.org" type="cite">
<pre wrap="">ensuite, puisque l'on discute aussi de la sécurité, reste le problème
des MAJ :
ah bien sûr il y a 2 logiciels phares issue du monde du libre (FF et
Thunderbird) qui embarque un outils de MAJ, et encore qques autres (vlc
ou OOo par ex.) qui pour leur part permettent tout juste de détecter
qu'une version plus récente existe
mais pour ce qui est de la vraie MAJ du système et de tous les logiciels
hors ceux issue de la firme de Redmond lorsque l'on est sous Windows
c'est pas terrible et pousse justement à faire largement baisser le
niveau de sécu
</pre>
</blockquote>
Justement une étude récente a conclu que le meilleur moyen c'était que
le logiciel se mette silencieusement à jour sans rien demander à
l'utilisateur. Résultat un des navigateurs les plus sur à l'heure
actuelle c'est google chrome qui applique cette méthode. On voit par
exemple de nombreuses versions de firefox non mis à jour, pourtant ce
dernier comporte aussi un mécanisme de mise à jour. <br>
<blockquote cite="mid:20090509205226.GA17113@adren.org" type="cite">
<pre wrap="">
</pre>
<pre wrap=""><!---->
et alors, c'est normal et il n'y a aucun problème à ça s'ils étaient
content avec FF3/Evolution
</pre>
</blockquote>
Ca répondait juste à l'affirmation selon laquelle avec un système de
paquet les utilisateurs installent d'autres applications que celles
fournisent par défaut. C'est justement la base des plaintes vis à vis
de Microsoft, qu'il emploie le fait d'être installé par défaut pour
imposer ses applications d'accès au net et donc à fortiori de pouvoir
fournir la vue du net qu'il souhaite à l'utilisateur final. <br>
<blockquote cite="mid:20090509205226.GA17113@adren.org" type="cite"><br>
<pre wrap="">oui, en effet
si j'en ai parlé c'est surtout parce que l'endroit où c'est configurable
est assez bien planqué
</pre>
</blockquote>
Pour tout dire, je ne sais même pas où cela se configure dans linux, je
me contente de dire à thunderbird de s'occuper du mail.<br>
<blockquote cite="mid:20090509205226.GA17113@adren.org" type="cite"><br>
<pre wrap="">2 remarques :
ça fait déjà plusieurs années que certaines distributions ont donné
l'exemple d'un compte root de moins en moins utilisable pour les travaux
de tous les jours et les autres ont suivi
mais ça fait quand même depuis les origines d'Unix (30 ou 40 ans) que
cette notion d'être sous un utilisateur non admin est ancrée
profondément
</pre>
</blockquote>
Tellement profondément qu'ubuntu te force à créer un compte
utilisateur, ce qui prouve bien que visiblement il y avait un soucis à
la base. La culture unix c'est surtout celle d'endroit genre la fac où
l'on dispose de machines multi utilisateurs avec un administrateur
système qui s'occupe du boulot. Une fois qu'on livre l'OS chez les gens
c'est plus du tout le même environnement.<br>
<blockquote cite="mid:20090509205226.GA17113@adren.org" type="cite">
<pre wrap="">qu'après il faille se connecter sous une autre console, taper su, sudo
super ou je ne sais quelle autre commande est du détails mais je dirais
surtout que c'est très récemment qu'il y a justement une tendance à
verrouiller la possibilité qu'un utilisateur aura à utiliser root pour
une utilisation courante (loggué sous X, faire tourner des programmes
etc.)
et cette tendance est probablement concomitante au fait que Linux ait
attiré à lui des utilisateurs Windows qui avaient cette habitude d'être
tout le temps en admin (j'ai des exemples pour illustrer ce que je dis)
maintenant, pour revenir à Windows (Vista seulement) et l'UAC, je ne m'y
connais pas trop mais d'après ce que j'ai pu lire ça et là, ce système
semble tellement intrusif et surtout aux antipodes de ce que les
utilisateurs ont l'habitude que j'ai l'impression que la première chose
qu'un utilisateur Vista va faire c'est le désactiver
cf. <a class="moz-txt-link-freetext" href="http://www.google.com/search?q=désactivation+Windows+UAC&ie=utf-8&oe=utf-8&aq=t&rls=org.debian:fr:unofficial&client=iceweasel-a">http://www.google.com/search?q=désactivation+Windows+UAC&ie=utf-8&oe=utf-8&aq=t&rls=org.debian:fr:unofficial&client=iceweasel-a</a>
et au point que cet aspect sera (a été ?) revu pour Windows 7
</pre>
</blockquote>
Pour avoir un Vista que j'utilise au quotidien, l'UAC c'est exactement
la même chose que le sudo d'une ubuntu, et d'ailleurs j'ai connu des
gens qui ont de suite réactivé le compte root sur leur machine pour se
logguer avec parce que ça les faisait chier d'avoir cette boite de
dialogue qui s'affiche sans arrêt dès qu'on change les settings de la
machine. Le principal problème à l'heure actuelle c'est que Windows est
dans une phase d'adaptation où les différentes applications ne sont pas
encore habitués à tourner avec des privilèges restreints et avaient
tendance à faire des trucs un peu gore. Par exemple beaucoup
d'applications écrivaient dans leur propre répertoire des données
(genre les parties sauvegardées pour les jeux), or l'écriture dans le
program files nécessite à présent des droits d'admin. C'est une phase
transitoire, mais au moins ils ont décidé de s'attaquer au problème.<br>
<br>
Je ne vois pas trop ce qu'il pourrait revoir sur Win7, ils profitent
juste de l'effet que les développeurs d'applications ont commencé à
mettre aux normes leurs applications avec par exemple l'initiative
gaming for windows qui fixe les règles du jeu pour les jeux justement.<br>
<blockquote cite="mid:20090509205226.GA17113@adren.org" type="cite">
<pre wrap="">alors oui dans la théorie ça existe pour un OS qui de plus ne fait pas
l'unanimité
mais bon, ça n'est pas parce que ça existe et qu'en plus c'est souvent
désactivé que ça rends l'OS plus sécure
</pre>
</blockquote>
C'est une assertion gratuite, à ma connaissance il n'existe pas d'étude
sur la désactivation de l'UAC. Je pense que déjà l'utilisateur vraiment
de base ne va pas chercher à le désactiver c'est trop compliqué, il va
plutôt simplement cliquer sur "oui oui oui" en maugréant. <br>
<blockquote cite="mid:20090509205226.GA17113@adren.org" type="cite"><br>
<pre wrap="">tu as tout a fait raison et je n'ai jamais dit que Linux c'était la
panacée (je te rappelle que le début de la discussion portait sur la
comparaison Linux / Windows par rapport aux virus)
</pre>
</blockquote>
Et mon axiome de base était simplement de dire que la prolifération des
virus sur Windows ne tient pas au manque de sécurité de l'OS mais
simplement qu'il s'agit d'une cible plus juteuse.<br>
<blockquote cite="mid:20090509205226.GA17113@adren.org" type="cite">
<pre wrap="">
mais c'est vrai qu'OpenBSD est vendu comme étant l'un des OS les plus
sécurisé et audité mais comme tu le sais, rien ni personne n'est parfait
et avec la meilleur volonté du monde, les failles existent partout et
c'est juste une question de temps pour les trouver
comme tu le rappelle OpenBSD en a fait les frais et ne peux plus se
targué de n'avoir aucune faille après une installation par défaut
ce cher Bernstein a aussi découvert qu'il y avait un trou dans son
djbdns qu'il croyait intouchable
et on découvre des bugs et trous de sécurité dans de nombreux logiciels
clients ou serveur dans de nombreuses distributions Linux
d'où l'importance de pouvoir très rapidement être alerté afin de boucher
la faille
</pre>
</blockquote>
OpenBSD a, par ricochet, fait beaucoup pour la sécurité de Linux, et on
peut pas dire qu'on les a vraiment remerciés pour cela, mais c'est un
autre débat. Mais ce paragraphe valide juste mon point, que la présence
de virus se fait quelque soit le degré de sécurité de l'OS, simplement
parce qu'il suffit soit d'une faille soit d'un utilisateur complaisant
et que sur ce dernier point on fait très peu l'éducation de
l'utilisateur et que ce n'est pas en brandissant une pancarte "on est
libre c'est pour ça qu'on a pas de virus" que ça réglera le truc.<br>
<blockquote cite="mid:20090509205226.GA17113@adren.org" type="cite">
<pre wrap="">
in fine, lorsque l'on compte les failles qui sont exploitables à
distance combiné avec des "zero-exploit day", je trouve que le monde
Unix et Linux en particulier s'en tire pas mal (d'ailleurs je ne me
souviens pas en avoir eu un ces 2/3 dernières années, et encore !)
</pre>
</blockquote>
Il me semble qu'à ce niveau, Windows et Linux se tiraient la bourre,
assez loin derrière leurs copains *BSD. Par contre il y a eu des
antécédents scandaleux, genre l'époque où Microsoft s'en cognait un peu
de régler rapidement certains problèmes. <br>
<blockquote cite="mid:20090509205226.GA17113@adren.org" type="cite"><br>
<pre wrap="">je ne connais pas ces failles mais j'imagine qu'elles sont aussi
bouchées au fur et à mesure qu'elles sont découvertes
</pre>
</blockquote>
Oui, sauf que pour beaucoup de monde la virtualisation c'est la balle
en argent pour la sécurisation d'un OS, et les patchs comme dit faut
aussi les appliquer, d'ailleurs c'est quoi la politique en général sur
un serveur pour appliquer les patchs ?<br>
<blockquote cite="mid:20090509205226.GA17113@adren.org" type="cite">
<pre wrap="">et puis il ne faut pas oublier que pour exploiter une faille dans le
logiciel de virtualisation, il faut déjà que l'attaquant ait réussi à
s'introduire dans le système via une faille dans l'un des logiciels
serveur qui est hébergé
donc la combinaison de pouvoir exploiter 2 failles dans 1 temps très
proche (i.e. avant qu'elles soient corrigées) est d'autant plus
improbable
</pre>
</blockquote>
C'est pour cette même raison que Google Chrome est actuellement le
navigateur web le plus sécurisé disponible, bien plus qu'un firefox ou
un safari ou un IE. Quoi que je sais même pas si ce dernier apparait
encore dans les concours de solidité de navigateur tant microsoft a du
retard à ce niveau là.<br>
<blockquote cite="mid:20090509205226.GA17113@adren.org" type="cite"><br>
<pre wrap="">oui, avec tous les inconvénients que j'ai indiqué plus une nouvelle qui
vient de ta remarque juste au dessus :
du fait que les logiciels ne sont pas mis à jour dans la monde Windows,
il incombe à l'administrateur de surveiller les MAJ de chacun des
logiciels qu'il utilise pour voir s'il n'y a pas une faille qui
permettrait à un attaquant de l'exploiter
et tout ce temps gâché est autant de temps qu'il ne peut pas passer à
améliorer et surveiller les systèmes dont il a la charge
</pre>
</blockquote>
Globalement tu fais tourner quoi sur un serveur ? Genre je ne pense pas
que mettre à jour l'application de sudoku soit vitale. Windows Update
met à jour toute la stack microsoft, or sur un serveur microsoft on ne
trouve en principe que du Microsoft. De même qu'à mon avis sur un
serveur Linux qui fait tourner Oracle, ce dernier n'est pas mis à jour
par le système de paquet. <br>
<blockquote cite="mid:20090509205226.GA17113@adren.org" type="cite">
<pre wrap="">
comme tu dois le savoir : la sécurité c'est un process et plus on peut
industrialiser certaines tâches, plus on y gagne
</pre>
</blockquote>
Et surtout qu'on forme les gens, parce que bon les post-its sur les
écrans avec les mots de passe... déjà chez nous quand un mec me dit "ok
je vais me noter mon mot de passe sur un papier" il a le droit à 5mn de
sermon. Mais je pense bien que sur un serveur Microsoft, le process est
aussi industrialisé, à moins d'utiliser des trucs plus exotiques dessus
genre du PHP :) En même temps un admin de serveur windows il a le droit
de souffrir.<br>
<blockquote cite="mid:20090509205226.GA17113@adren.org" type="cite">
<pre wrap="">
oui, comme l'UAC et les mesures qui sont pris à ce sujet
bon, plus sérieusement ça fait des années que j'utilise grsec sur de
nombreuses machines perso ou au boulot et franchement je n'ai jamais eu
de problème pour l'administrer ou comprendre les messages (rares) qu'il
me donne et pourtant il n'est pas installé par défaut et je dois me
faire mon noyau manuellement
</pre>
</blockquote>
Pour les updates automatiques, c'est foutu. Pour la contrainte "comme
l'UAC" on est entièrement d'accord.<br>
<blockquote cite="mid:20090509205226.GA17113@adren.org" type="cite"><br>
<pre wrap=""><!---->
mono en standard ?
je n'ai rien de ça sur aucun de mes machines (y compris client bien sûr)
</pre>
</blockquote>
Depuis la standardisation de Tomboy sous Gnome tu as mono d'installé,
bon si tu utilises uniquement KDE ça ira, mais vu que visiblement Gnome
est plus répandu.<br>
<blockquote cite="mid:20090509205226.GA17113@adren.org" type="cite">
<pre wrap="">
et pour ce qui est d'un macro virus en Python, j'aimerai bien voir
comment il se propagerait !
</pre>
</blockquote>
NakedBritney.png.py, le tout balancé par pidgin après avoir été lancé
façon cheval de troie sur une machine. Ou alors un ver façon Morris.<br>
<blockquote cite="mid:20090509205226.GA17113@adren.org" type="cite">
<pre wrap="">
</pre>
<br>
<pre wrap="">oui, tu as raison (dans la plupart des cas mm s'il est possible de
l'interdire)
là encore c'est l'avantage de la distribution Linux où la quasi totalité
des programmes tournent en 64 bits
</pre>
</blockquote>
Tu iras expliquer ça à Adobe, qui pendant longtemps a fait la sourde
oreille pour le plug-in flash, et regarder des anims flash quand on
surfe le web ça a quand même son intérêt.<br>
<blockquote cite="mid:20090509205226.GA17113@adren.org" type="cite">
<pre wrap="">
sur mes postes clients en 64 bits, si je retire ia32-libs il y a
seulement 2 programmes qui sautent : acroread et wine
je n'utilisais quasiment jamais acroread (je préfère de bcp kpdf et
maintenant okular) et pour wine, à part m'amuser à faire tourner
ies4linux ou des virus ce que je ne fais plus depuis au moins 2/3 ans,
ça m'est aussi devenu inutile
donc...
</pre>
</blockquote>
C'est sur que sous Windows tu as beaucoup plus de programme 32 bits
même quand tu tournes en 64 bits. Mais il me semble bien que toutes les
distribs linux en 64 bits permettent l'exécution de programme 32 bits,
ne serait ce que pour faire tourner des applis proprio. Et oui Acroread
c'est de la daube, même sous Windows je n'utilise pas ça. Par contre je
joue, donc ça élimine Linux sur pas mal de mes machines.<br>
<blockquote cite="mid:20090509205226.GA17113@adren.org" type="cite"><br>
<pre wrap=""><!---->
Linux se fout de ce que dit le bios depuis son origine (1991)
à la limite il s'en sert pour y glaner qques infos au démarrage mais
c'est tout
</pre>
</blockquote>
Ouaip sauf que pour activer le NX sur certaines distrib linux il faut
changer la boot line du kernel.<br>
<blockquote cite="mid:20090509205226.GA17113@adren.org" type="cite">
<pre wrap=""><!---->
tu auras aussi remarqué que je n'ai pas dit que Linux était cool mais
que ça n'était pas du tout la monoculture telle qu'on la trouve dans
Windows qui mène souvent à une sécurité moindre, en particulier (mais
pas seulement) du fait que Windows soit bcp plus populaire
Linux le devenant aussi un peu plus au fil des années a dû s'adapter à
un nouveau type d'utilisateur qui avait aussi une utilisation
particulière (compte admin par défaut)
maintenant, le fait est que si l'on regarde les chiffres, les failles
critiques exploitables à distance et pour lesquelles il y a sur Internet
des programmes tout fait pour script kiddies sans pour autant que la
faille soit corrigée, et bien c'est quasiment tout le temps que l'on en
trouve sous Windows et jamais sous Linux (ou alors j'ai dû en louper
une !)
</pre>
</blockquote>
Je persiste à dire que ce n'est pas lié à la fréquence des failles mais
simplement au fait que Windows est une cible plus juteuse. Quand à ma
phrase sur la kiewlitude, elle était surtout valable pour les gens qui
écrivent encore Microsoft avec des $. Les mecs qui hackent vraiment du
serveur pour des intentions louables ou pas, diffusent rarement leur
outils en dehors d'un cercle très restreint, parce que là on parle de
trucs important pas juste de prendre à distance le controle de la
webcam du type en face pour voir s'il est à poil.<br>
<blockquote cite="mid:20090509205226.GA17113@adren.org" type="cite">
<pre wrap="">
</pre>
<pre wrap="">personne n'est à l'abri et probablement que dans un futur proche on
verra aussi la même chose sous Linux (qui sait ?)
</pre>
</blockquote>
Faut passer la masse critique, pour l'instant vu la part de marché
desktop de linux c'est pas gagné. Mais c'est tout le mal qu'on lui
souhaite.<br>
<br>
Stéphane<br>
</body>
</html>