<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">

<html>

<head>

  <meta content="text/html; charset=ISO-8859-15"

 http-equiv="Content-Type">

</head>

<body bgcolor="#ffffff" text="#000000">

Le 09/05/2009 22:52, Cyril Chaboisseau a écrit :

<blockquote cite="mid:20090509205226.GA17113@adren.org" type="cite"><br>

  <pre wrap="">

en revanche, le fait de croire que parce que tu vas le chercher sur

Google va te trouver ce que tu veux et que ça sera installable en 2

clics, tu n'as pas dû le faire souvent ou bien tu as eu de la chance

  </pre>

</blockquote>

J'utilise le bouton j'ai de la chance.<br>

<blockquote cite="mid:20090509205226.GA17113@adren.org" type="cite">

  <pre wrap="">ok, ça marche assez bien pour firefox ou OpenOffice mais j'ai eu

l'occasion il y a 1 an de tenter de chercher un simple jeu de sudoku

pour Windows

  </pre>

</blockquote>

J'ai rarement vu des sudoku avec des failles de sécurité exploitable

par des hackers.<br>

<blockquote cite="mid:20090509205226.GA17113@adren.org" type="cite">

  <pre wrap="">ensuite, puisque l'on discute aussi de la sécurité, reste le problème

des MAJ :

ah bien sûr il y a 2 logiciels phares issue du monde du libre (FF et

Thunderbird) qui embarque un outils de MAJ, et encore qques autres (vlc

ou OOo par ex.) qui pour leur part permettent tout juste de détecter

qu'une version plus récente existe

mais pour ce qui est de la vraie MAJ du système et de tous les logiciels

hors ceux issue de la firme de Redmond lorsque l'on est sous Windows

c'est pas terrible et pousse justement à faire largement baisser le

niveau de sécu

  </pre>

</blockquote>

Justement une étude récente a conclu que le meilleur moyen c'était que

le logiciel se mette silencieusement à jour sans rien demander à

l'utilisateur. Résultat un des navigateurs les plus sur à l'heure

actuelle c'est google chrome qui applique cette méthode. On voit par

exemple de nombreuses versions de firefox non mis à jour, pourtant ce

dernier comporte aussi un mécanisme de mise à jour. <br>

<blockquote cite="mid:20090509205226.GA17113@adren.org" type="cite">

  <pre wrap="">

  </pre>

  <pre wrap=""><!---->

et alors, c'est normal et il n'y a aucun problème à ça s'ils étaient

content avec FF3/Evolution

  </pre>

</blockquote>

Ca répondait juste à l'affirmation selon laquelle avec un système de

paquet les utilisateurs installent d'autres applications que celles

fournisent par défaut. C'est justement la base des plaintes vis à vis

de Microsoft, qu'il emploie le fait d'être installé par défaut pour

imposer ses applications d'accès au net et donc à fortiori de pouvoir

fournir la vue du net qu'il souhaite à l'utilisateur final. <br>

<blockquote cite="mid:20090509205226.GA17113@adren.org" type="cite"><br>

  <pre wrap="">oui, en effet

si j'en ai parlé c'est surtout parce que l'endroit où c'est configurable

est assez bien planqué

  </pre>

</blockquote>

Pour tout dire, je ne sais même pas où cela se configure dans linux, je

me contente de dire à thunderbird de s'occuper du mail.<br>

<blockquote cite="mid:20090509205226.GA17113@adren.org" type="cite"><br>

  <pre wrap="">2 remarques :

ça fait déjà plusieurs années que certaines distributions ont donné

l'exemple d'un compte root de moins en moins utilisable pour les travaux

de tous les jours et les autres ont suivi

mais ça fait quand même depuis les origines d'Unix (30 ou 40 ans) que

cette notion d'être sous un utilisateur non admin est ancrée

profondément

  </pre>

</blockquote>

Tellement profondément qu'ubuntu te force à créer un compte

utilisateur, ce qui prouve bien que visiblement il y avait un soucis à

la base. La culture unix c'est surtout celle d'endroit genre la fac où

l'on dispose de machines multi utilisateurs avec un administrateur

système qui s'occupe du boulot. Une fois qu'on livre l'OS chez les gens

c'est plus du tout le même environnement.<br>

<blockquote cite="mid:20090509205226.GA17113@adren.org" type="cite">

  <pre wrap="">qu'après il faille se connecter sous une autre console, taper su, sudo

super ou je ne sais quelle autre commande est du détails mais je dirais

surtout que c'est très récemment qu'il y a justement une tendance à

verrouiller la possibilité qu'un utilisateur aura à utiliser root pour

une utilisation courante (loggué sous X, faire tourner des programmes

etc.)

et cette tendance est probablement concomitante au fait que Linux ait

attiré à lui des utilisateurs Windows qui avaient cette habitude d'être

tout le temps en admin (j'ai des exemples pour illustrer ce que je dis)

maintenant, pour revenir à Windows (Vista seulement) et l'UAC, je ne m'y

connais pas trop mais d'après ce que j'ai pu lire ça et là, ce système

semble tellement intrusif et surtout aux antipodes de ce que les

utilisateurs ont l'habitude que j'ai l'impression que la première chose

qu'un utilisateur Vista va faire c'est le désactiver

cf.  <a class="moz-txt-link-freetext" href="http://www.google.com/search?q=désactivation+Windows+UAC&amp;ie=utf-8&amp;oe=utf-8&amp;aq=t&amp;rls=org.debian:fr:unofficial&amp;client=iceweasel-a">http://www.google.com/search?q=désactivation+Windows+UAC&amp;ie=utf-8&amp;oe=utf-8&amp;aq=t&amp;rls=org.debian:fr:unofficial&amp;client=iceweasel-a</a>

et au point que cet aspect sera (a été ?) revu pour Windows 7

  </pre>

</blockquote>

Pour avoir un Vista que j'utilise au quotidien, l'UAC c'est exactement

la même chose que le sudo d'une ubuntu, et d'ailleurs j'ai connu des

gens qui ont de suite réactivé le compte root sur leur machine pour se

logguer avec parce que ça les faisait chier d'avoir cette boite de

dialogue qui s'affiche sans arrêt dès qu'on change les settings de la

machine. Le principal problème à l'heure actuelle c'est que Windows est

dans une phase d'adaptation où les différentes applications ne sont pas

encore habitués à tourner avec des privilèges restreints et avaient

tendance à faire des trucs un peu gore. Par exemple beaucoup

d'applications écrivaient dans leur propre répertoire des données

(genre les parties sauvegardées pour les jeux), or l'écriture dans le

program files nécessite à présent des droits d'admin. C'est une phase

transitoire, mais au moins ils ont décidé de s'attaquer au problème.<br>

<br>

Je ne vois pas trop ce qu'il pourrait revoir sur Win7, ils profitent

juste de l'effet que les développeurs d'applications ont commencé à

mettre aux normes leurs applications avec par exemple l'initiative

gaming for windows qui fixe les règles du jeu pour les jeux justement.<br>

<blockquote cite="mid:20090509205226.GA17113@adren.org" type="cite">

  <pre wrap="">alors oui dans la théorie ça existe pour un OS qui de plus ne fait pas

l'unanimité

mais bon, ça n'est pas parce que ça existe et qu'en plus c'est souvent

désactivé que ça rends l'OS plus sécure

  </pre>

</blockquote>

C'est une assertion gratuite, à ma connaissance il n'existe pas d'étude

sur la désactivation de l'UAC. Je pense que déjà l'utilisateur vraiment

de base ne va pas chercher à le désactiver c'est trop compliqué, il va

plutôt simplement cliquer sur "oui oui oui" en maugréant. <br>

<blockquote cite="mid:20090509205226.GA17113@adren.org" type="cite"><br>

  <pre wrap="">tu as tout a fait raison et je n'ai jamais dit que Linux c'était la

panacée (je te rappelle que le début de la discussion portait sur la

comparaison Linux / Windows par rapport aux virus)

  </pre>

</blockquote>

Et mon axiome de base était simplement de dire que la prolifération des

virus sur Windows ne tient pas au manque de sécurité de l'OS mais

simplement qu'il s'agit d'une cible plus juteuse.<br>

<blockquote cite="mid:20090509205226.GA17113@adren.org" type="cite">

  <pre wrap="">

mais c'est vrai qu'OpenBSD est vendu comme étant l'un des OS les plus

sécurisé et audité mais comme tu le sais, rien ni personne n'est parfait

et avec la meilleur volonté du monde, les failles existent partout et

c'est juste une question de temps pour les trouver

comme tu le rappelle OpenBSD en a fait les frais et ne peux plus se

targué de n'avoir aucune faille après une installation par défaut

ce cher Bernstein a aussi découvert qu'il y avait un trou dans son

djbdns qu'il croyait intouchable

et on découvre des bugs et trous de sécurité dans de nombreux logiciels

clients ou serveur dans de nombreuses distributions Linux

d'où l'importance de pouvoir très rapidement être alerté afin de boucher

la faille

  </pre>

</blockquote>

OpenBSD a, par ricochet, fait beaucoup pour la sécurité de Linux, et on

peut pas dire qu'on les a vraiment remerciés pour cela, mais c'est un

autre débat. Mais ce paragraphe valide juste mon point, que la présence

de virus se fait quelque soit le degré de sécurité de l'OS, simplement

parce qu'il suffit soit d'une faille soit d'un utilisateur complaisant

et que sur ce dernier point on fait très peu l'éducation de

l'utilisateur et que ce n'est pas en brandissant une pancarte "on est

libre c'est pour ça qu'on a pas de virus" que ça réglera le truc.<br>

<blockquote cite="mid:20090509205226.GA17113@adren.org" type="cite">

  <pre wrap="">

in fine, lorsque l'on compte les failles qui sont exploitables à

distance combiné avec des "zero-exploit day", je trouve que le monde

Unix et Linux en particulier s'en tire pas mal (d'ailleurs je ne me

souviens pas en avoir eu un ces 2/3 dernières années, et encore !)

  </pre>

</blockquote>

Il me semble qu'à ce niveau, Windows et Linux se tiraient la bourre,

assez loin derrière leurs copains *BSD. Par contre il y a eu des

antécédents scandaleux, genre l'époque où Microsoft s'en cognait un peu

de régler rapidement certains problèmes.  <br>

<blockquote cite="mid:20090509205226.GA17113@adren.org" type="cite"><br>

  <pre wrap="">je ne connais pas ces failles mais j'imagine qu'elles sont aussi

bouchées au fur et à mesure qu'elles sont découvertes

  </pre>

</blockquote>

Oui, sauf que pour beaucoup de monde la virtualisation c'est la balle

en argent pour la sécurisation d'un OS, et les patchs comme dit faut

aussi les appliquer, d'ailleurs c'est quoi la politique en général sur

un serveur pour appliquer les patchs ?<br>

<blockquote cite="mid:20090509205226.GA17113@adren.org" type="cite">

  <pre wrap="">et puis il ne faut pas oublier que pour exploiter une faille dans le

logiciel de virtualisation, il faut déjà que l'attaquant ait réussi à

s'introduire dans le système via une faille dans l'un des logiciels

serveur qui est hébergé

donc la combinaison de pouvoir exploiter 2 failles dans 1 temps très

proche (i.e. avant qu'elles soient corrigées) est d'autant plus

improbable

  </pre>

</blockquote>

C'est pour cette même raison que Google Chrome est actuellement le

navigateur web le plus sécurisé disponible, bien plus qu'un firefox ou

un safari ou un IE. Quoi que je sais même pas si ce dernier apparait

encore dans les concours de solidité de navigateur tant microsoft a du

retard à ce niveau là.<br>

<blockquote cite="mid:20090509205226.GA17113@adren.org" type="cite"><br>

  <pre wrap="">oui, avec tous les inconvénients que j'ai indiqué plus une nouvelle qui

vient de ta remarque juste au dessus :

du fait que les logiciels ne sont pas mis à jour dans la monde Windows,

il incombe à l'administrateur de surveiller les MAJ de chacun des

logiciels qu'il utilise pour voir s'il n'y a pas une faille qui

permettrait à un attaquant de l'exploiter

et tout ce temps gâché est autant de temps qu'il ne peut pas passer à

améliorer et surveiller les systèmes dont il a la charge

  </pre>

</blockquote>

Globalement tu fais tourner quoi sur un serveur ? Genre je ne pense pas

que mettre à jour l'application de sudoku soit vitale. Windows Update

met à jour toute la stack microsoft, or sur un serveur microsoft on ne

trouve en principe que du Microsoft. De même qu'à mon avis sur un

serveur Linux qui fait tourner Oracle, ce dernier n'est pas mis à jour

par le système de paquet. <br>

<blockquote cite="mid:20090509205226.GA17113@adren.org" type="cite">

  <pre wrap="">

comme tu dois le savoir : la sécurité c'est un process et plus on peut

industrialiser certaines tâches, plus on y gagne

  </pre>

</blockquote>

Et surtout qu'on forme les gens, parce que bon les post-its sur les

écrans avec les mots de passe... déjà chez nous quand un mec me dit "ok

je vais me noter mon mot de passe sur un papier" il a le droit à 5mn de

sermon. Mais je pense bien que sur un serveur Microsoft, le process est

aussi industrialisé, à moins d'utiliser des trucs plus exotiques dessus

genre du PHP :) En même temps un admin de serveur windows il a le droit

de souffrir.<br>

<blockquote cite="mid:20090509205226.GA17113@adren.org" type="cite">

  <pre wrap="">

oui, comme l'UAC et les mesures qui sont pris à ce sujet

bon, plus sérieusement ça fait des années que j'utilise grsec sur de

nombreuses machines perso ou au boulot et franchement je n'ai jamais eu

de problème pour l'administrer ou comprendre les messages (rares) qu'il

me donne et pourtant il n'est pas installé par défaut et je dois me

faire mon noyau manuellement

  </pre>

</blockquote>

Pour les updates automatiques, c'est foutu. Pour la contrainte "comme

l'UAC" on est entièrement d'accord.<br>

<blockquote cite="mid:20090509205226.GA17113@adren.org" type="cite"><br>

  <pre wrap=""><!---->

mono en standard ?

je n'ai rien de ça sur aucun de mes machines (y compris client bien sûr)

  </pre>

</blockquote>

Depuis la standardisation de Tomboy sous Gnome tu as mono d'installé,

bon si tu utilises uniquement KDE ça ira, mais vu que visiblement Gnome

est plus répandu.<br>

<blockquote cite="mid:20090509205226.GA17113@adren.org" type="cite">

  <pre wrap="">

et pour ce qui est d'un macro virus en Python, j'aimerai bien voir

comment il se propagerait !

  </pre>

</blockquote>

NakedBritney.png.py, le tout balancé par pidgin après avoir été lancé

façon cheval de troie sur une machine. Ou alors un ver façon Morris.<br>

<blockquote cite="mid:20090509205226.GA17113@adren.org" type="cite">

  <pre wrap="">

  </pre>

  <br>

  <pre wrap="">oui, tu as raison (dans la plupart des cas mm s'il est possible de

l'interdire)

là encore c'est l'avantage de la distribution Linux où la quasi totalité

des programmes tournent en 64 bits

  </pre>

</blockquote>

Tu iras expliquer ça à Adobe, qui pendant longtemps a fait la sourde

oreille pour le plug-in flash, et regarder des anims flash quand on

surfe le web ça a quand même son intérêt.<br>

<blockquote cite="mid:20090509205226.GA17113@adren.org" type="cite">

  <pre wrap="">

sur mes postes clients en 64 bits, si je retire ia32-libs il y a

seulement 2 programmes qui sautent : acroread et wine

je n'utilisais quasiment jamais acroread (je préfère de bcp kpdf et

maintenant okular) et pour wine, à part m'amuser à faire tourner

ies4linux ou des virus ce que je ne fais plus depuis au moins 2/3 ans,

ça m'est aussi devenu inutile

donc...

  </pre>

</blockquote>

C'est sur que sous Windows tu as beaucoup plus de programme 32 bits

même quand tu tournes en 64 bits. Mais il me semble bien que toutes les

distribs linux en 64 bits permettent l'exécution de programme 32 bits,

ne serait ce que pour faire tourner des applis proprio. Et oui Acroread

c'est de la daube, même sous Windows je n'utilise pas ça. Par contre je

joue, donc ça élimine Linux sur pas mal de mes machines.<br>

<blockquote cite="mid:20090509205226.GA17113@adren.org" type="cite"><br>

  <pre wrap=""><!---->

Linux se fout de ce que dit le bios depuis son origine (1991)

à la limite il s'en sert pour y glaner qques infos au démarrage mais

c'est tout

  </pre>

</blockquote>

Ouaip sauf que pour activer le NX sur certaines distrib linux il faut

changer la boot line du kernel.<br>

<blockquote cite="mid:20090509205226.GA17113@adren.org" type="cite">

  <pre wrap=""><!---->

tu auras aussi remarqué que je n'ai pas dit que Linux était cool mais

que ça n'était pas du tout la monoculture telle qu'on la trouve dans

Windows qui mène souvent à une sécurité moindre, en particulier (mais

pas seulement) du fait que Windows soit bcp plus populaire

Linux le devenant aussi un peu plus au fil des années a dû s'adapter à

un nouveau type d'utilisateur qui avait aussi une utilisation

particulière (compte admin par défaut)

maintenant, le fait est que si l'on regarde les chiffres, les failles

critiques exploitables à distance et pour lesquelles il y a sur Internet

des programmes tout fait pour script kiddies sans pour autant que la

faille soit corrigée, et bien c'est quasiment tout le temps que l'on en

trouve sous Windows et jamais sous Linux (ou alors j'ai dû en louper

une !)

  </pre>

</blockquote>

Je persiste à dire que ce n'est pas lié à la fréquence des failles mais

simplement au fait que Windows est une cible plus juteuse. Quand à ma

phrase sur la kiewlitude, elle était surtout valable pour les gens qui

écrivent encore Microsoft avec des $. Les mecs qui hackent vraiment du

serveur pour des intentions louables ou pas, diffusent rarement leur

outils en dehors d'un cercle très restreint, parce que là on parle de

trucs important pas juste de prendre à distance le controle de la

webcam du type en face pour voir s'il est à poil.<br>

<blockquote cite="mid:20090509205226.GA17113@adren.org" type="cite">

  <pre wrap="">

  </pre>

  <pre wrap="">personne n'est à l'abri et probablement que dans un futur proche on

verra aussi la même chose sous Linux (qui sait ?)

  </pre>

</blockquote>

Faut passer la masse critique, pour l'instant vu la part de marché

desktop de linux c'est pas gagné. Mais c'est tout le mal qu'on lui

souhaite.<br>

<br>

Stéphane<br>

</body>

</html>