Discussion :

[Stéphane le calme]

Une faille dans l'implémentation du protocole TCP/IP dans Linux affecte 8 terminaux Android sur 10,
aucun correctif n'est disponible pour le moment sur Android

Internet fonctionne sur le modèle TCP/IP (TCP étant littéralement le protocole de contrôle de transmissions). Constituant la base de la grande majorité des transferts sur internet, le protocole présentait cependant plusieurs vulnérabilités. L'une d'elles était sa susceptibilité à des attaques par injection de faux paquets, qui ne proviennent pas d'une des deux extrémités de la connexion TCP. Un sous-ensemble de ces attaques, les attaques en aveugle, concerne les cas où l'attaquant n'est même pas sur le chemin entre les deux extrémités (on dit qu'il est off-path, contrairement à une attaque de type Man-In-The-Middle) et doit deviner les numéros de séquence TCP pour que ses faux paquets soient acceptés.

Aussi, pour améliorer la robustesse du protocole TCP/IP contre les attaques de type Blind In-Window, Linux a décidé d’implémenter en 2012 les recommandations de la RFC 5961 dans la version 3.6 du noyau.

Mercredi dernier, durant le 25^e Usenix Security Symposium, des chercheurs de la University of California at Riverside (UCR) ainsi que les chercheurs de la US Army Research Laboratory, ont prouvé qu’il était possible pour un assaillant de se servir d’une faille sur cette implémentation afin d’identifier des connexions client - serveur via TCP et, dans tous les cas, d’y mettre un terme. Dans le cas où les échanges ne s’avéraient pas chiffrés, l’assaillant a même la possibilité d’injecter du code ou des contenus frauduleux au sein de la communication.

Pour illustrer leur assertion, ils se sont servis d’une page du quotidien USA Today et ont injecté un code qui demande aux visiteurs d’entrer leurs courriels et leurs mots de passe.

Les développeurs du noyau Linux ont publié un correctif avec la version 4.7 du noyau il y a près de quatre semaines déjà, mais le correctif n'a pas encore été appliqué par la plupart des distributions. Précisons qu’il suffit qu’une des deux extrémités de la connexion soit vulnérable pour que l’attaque puisse être réalisée.

Selon les chercheurs de la UCR, cette vulnérabilité peut être utilisée pour servir de multiples desseins : mettre fin à des connexions, pirater des communications internet, lancer des attaques ciblées pour tracer les activités en ligne des utilisateurs, pirater des communications entre deux hôtes, dégrader la garantie d’anonymat fournie par des réseaux comme Tor. Selon eux, l’attaque est rapide et fiable, dure moins d'une minute et marche environ 90 pour cent du temps.

Lundi dernier, Andrew Blaich, un chercheur en sécurité de Lookout, une entreprise spécialisée dans la sécurité des terminaux mobiles, a indiqué que même les appareils tournant sur Android sont concernés : 8 appareils sur 10 de la flotte Android sont vulnérables à cette faille, soit les terminaux tournant à partir d’Android 4.4 Kitkat. Ce pourcentage représente un peu plus de 1,4 milliard de dispositifs (smartphones et tablettes) dans le monde selon le baromètre Statista.

Notons que le RFC 5961 n’a pas été complètement implémenté sur Windows et Mac, par conséquent ces plateformes ne sont théoriquement pas vulnérables.

Par ailleurs, Andrew Blaich note que bien que d’autres failles Android comme Stagefright ou Quadrooter pouvaient être plus critiques, l’attaque décrite s’avère pratique et à la portée de bon nombre de hackers. En effet, la vulnérabilité a été enregistrée comme étant CVE-2016-5696, ce qui en fait une vulnérabilité de sévérité moyenne. Toutefois, bien que l’exploiter n’est pas une chose aisée, le risque est bien présent, et en particulier pour les attaques ciblées.

Si un correctif est déjà déployé côté Linux même s’il n’est pas encore implémenté dans les principales distributions, côté Android, selon Andrew Blaich, le correctif n’est pas présent dans les dernières versions développeurs de la version Nougat (Android 7) et encore moins dans les versions du système d’exploitation déployées sur les terminaux actuellement en vente.

Un représentant de Google a déclaré que les ingénieurs de l'entreprise sont déjà au courant de la vulnérabilité et prennent les mesures appropriées. Le représentant a souligné le fait que la faille réside dans les versions vulnérables du noyau Linux et n'est pas spécifique à Android. Il a également précisé que l'équipe de sécurité Android a estimé que le risque est « modéré », contrairement à des vulnérabilités qu'elle a déjà eu à colmater qui étaient dans la catégorie « haute » ou « critique ».

Source : blog Lookout, Statista, blog Linux, RFC 5961

[Aeson]

C'est pas OpenSource ?? Elle est ou la fameuse Communauté ? Et Linus ? en vacances ??

[abriotde]

Elle est ou la fameuse Communauté ? Et Linus ? en vacances ??

Lis l'article avant de parler... Il est écris que la faille est corrigé sur Linux... mais pas déployé. Linus n'y peux rien. Qui plus est la faille est présente sur Linux car ils ont déployé des mesures de sécurité non encore implémentés chez les Windows et Apple... [Troll]Il faudrait peut être que Windows et Apple implément le SSH... Ah pardon le SSH est implémenté depuis la dernière version par contre le Telnet ne l'est pas encore sous Windows. Ils se mettent à jour avec 20 ans de retads, il faudrait pas en plus leur demander de rattraper le retard accumulé depuis 40 ans non plus. Pardon pour une interprétation correct du HTTP/Javascript Internet Explorer a eu a peine de 10 ans de retard... On continue [/Troll]

[Aeson]

Qui plus est la faille est présente sur Linux car ils ont déployé des mesures de sécurité

tu comprend le paradox ? En tous cas la faille est publique et est exploitable. OpenSource ou pas... Si elle n'etait pas publique ils auraient peut etre eu le temp de deployer la mise a jour avant qu'elle ne soi exploitable.

faudrait peut être que Windows et Apple implément le SSH...

Je vois pas ce que ca changerais. Windows utilise PSRemoting en Https avec tout type d'autentification (Password, Certificats, AAD,...).

Ils se mettent à jour avec 20 ans de retads

Pourquoi ils devraient absolument utiliser SSH ? J.Snover en parle tres clairement dans ses interview. C’était son but il y a 12 ans et il a vite compris que c'etait pas la bonne solution. Linux est basé sur des fichiers de config et Windows sur ses Api (WMI et COM). Ce serai une erreur d'utiliser les meme techno de gestion. Il a été implémenté dans W10 simplement pour être ouvert (oui )

Windows a Powershell / PSRemoting et c'est bien suffisant. Et ca va meme etre implementé sur Linux en OpenSource... PowerShell & DSC. Si on y ajoute .Net core Windows devient plus ouvert que Linux

[Aeson]

On continue

oui on peut continuer avec OpenSSL et Bash si tu veus, pour voir le sérieux et l'efficacité de la communauté Linux

[Beanux]

tu comprend le paradox ? En tous cas la faille est publique et est exploitable. OpenSource ou pas... Si elle n'etait pas publique ils auraient peut etre eu le temp de deployer la mise a jour avant qu'elle ne soi exploitable.

C'est vrai que ça vaut mieux qu'une faille qui n'est pas signalé et qu'on ne corrige pas justement parce qu'on ne peut pas la remarquer. Jusqu’à ce qu'on se rende compte que la faille a été abusivement exploité.
Oui je comprends tout à fait le paradoxe.

[kain_tn]

oui on peut continuer avec OpenSSL et Bash si tu veus, pour voir le sérieux et l'efficacité de la communauté Linux

En attendant Microsoft croit au sérieux de Linux apparemment puisque ses développeurs contribuent au kernel et que le cloud Azure supporte au moins 16 distributions Linux différentes si on compte les différentes versions

Après, si tu veux t'amuser à compter les vulnérabilités officielles par logiciel, open source ou pas, tu peux toujours aller ici et tu verras que ça existe partout...

[Squisqui]

Normalement, ce qu'il faut en tirer est qu'Android a un support sécurité à chier et qu'il faut attendre pour tout racheter parce que même si Google veut bien assurer un backport sécurité, les marques de malinphones ne la déploieront pas pour leurs modèles déjà vendus.

En attendant, on se tape une Nème guerre de kékés Linux/Windows... Un peu comme si la licence d'un logiciel avait une quelconque influence sur les capacités de chacun d'entre nous.

[Bestel74]

En attendant, on se tape une Nème guerre de kékés Linux/Windows... Un peu comme si la licence d'un logiciel avait une quelconque influence sur les capacités de chacun d'entre nous.

Hoo ça en a une d'influence question ouverture d'esprit... Pas pour tout le monde on dirait

[Aeson]

Ca marche a CHAQUE fois quelle mauvaise fois.. la communaute Linux dans toute sa splandeur...

code source visible ou pas ca change rien. En voila ENCORE une preuve....

[MaximeCh]

Il a déjà été assez nourri non?

[vohufr]

Aeson > Est ce que tu ressens, tout au fond de toi, à quel point tes interventions, depuis la première de ce topic, sont totalement idiotes est inutiles ?

[abriotde]

Je répondais à la Question "Elle est ou la fameuse Communauté ? en vacances ??". Sur la question de la réactivité de l'Open-Source qui n'est même plus a démontrer mais la personne qui a posé la question n'avait pas compris l'article et profitait de son ignorance pour inventer des faiblesse a l'Open-Source.
Après l'Open-Source a ses avantages et ses inconvénient, j'en conviens mais certainement pas plus d'inconvénient que le propriétaire. Et à choisir je préfère le côté philanthrope de l'Open-Source, la pérénité qu'il apporte et l'appropriation de la technologie qu'il permet au confort du propriétaire.
D'un point de vue sécuritaire, l'Open-Source est meilleur si la communauté est importante ce qui est le cas de Linux et pour cette raison, Linux est une référence. Ensuite ce n'est qu'une question de choix. Prendre la dernière version, non encore éprouvé et ne pas permettre de mise a jour du système est un suicide quelques soit la licence.

[Aeson]

N importe quoi. Ca c est verifie avec OpenSsl et Bash... 15 ans pour decouvrir un failles dans des soft si utilisé... alors que le code est disponoble a tous le monde. Les entreprises ne se trompe pas d ailleurs. Regardez les part de marche des desktop et des serveurs d entreprise. Les OS libre sont trop chere a maintenir donc pas maintenus et donc vulnerable. De plus, on le voit encore ici, il est tres difficile avec les moyens a leur disposition de fournir des services digne de ce nom. La faille est reparee oui, mais si elle reste sur le PC de dev elle ne sert a rien. Avoir un code super mais aucun support ou suive efficace ne sert a rien.

Enfin soit... traite moi de troll ca me fera bien marrer...

[vohufr]

N importe quoi. Ca c est verifie avec OpenSsl et Bash... 15 ans pour decouvrir un failles dans des soft si utilisé... alors que le code est disponoble a tous le monde. Les entreprises ne se trompe pas d ailleurs. Regardez les part de marche des desktop et des serveurs d entreprise. Les OS libre sont trop chere a maintenir donc pas maintenus et donc vulnerable. De plus, on le voit encore ici, il est tres difficile avec les moyens a leur disposition de fournir des services digne de ce nom. La faille est reparee oui, mais si elle reste sur le PC de dev elle ne sert a rien. Avoir un code super mais aucun support ou suive efficace ne sert a rien.

Enfin soit... traite moi de troll ca me fera bien marrer...

MDR, t'as raison, une petite illustration de ce qui arrive très souvent :

8h00 "Installation des mise à jour, veuillez ne pas éteindre ou redémarrer votre ordinateur"
8h02 20% .......
8h05 60% .......
8h07 61% .......
...
8h11 95% .......
8h12 "Mise à jour impossible, désinstallation des modifications effectuées..."
8h15 80% .......
8h17 78% .......
...
8h19 "Redémarrage de l'ordinateur..."
8h20 "Installation des mise à jour, veuillez ne pas éteindre ou redémarrer votre ordinateur"
8h21 20% .......
8h25 60% .......
8h27 61% .......
...
8h31 95% .......
8h32 "Mise à jour impossible, désinstallation des modifications effectuées..."
8h35 80% .......
8h37 78% .......
...
8h42 "Redémarrage de l'ordinateur..."

8h43 "mot de passe :"

On peut enfin travailler et oui, c'est sur que c'est à jour...

[Aeson]

Si tu sais pas utilise un pc j en peus rien. J ai jamais eu ce problemes. Par cobtre la derniere ditribution Linux que j ai essaye n avait meme pas le clavier Fr-be... bravo. Mdrrrr. Que la communaute commence a mapper tous les clavier avant de s y croire....

[chrtophe]

Des failles existent dans le monde Opensource tout comme dans le monde propriétaire.

L'Opensource a l'avantage d'être gratuit, et les sources sont étudiables et corrigeables par qui le souhaite,ce qui n'est pas le cas du monde propriétaire ou s'est au bon vouloir de l'éditeur.

Les failles du libre sont corrigés par des bénévoles sur leur temps libre, ils n'ont donc pas les ressources des grands éditeurs, et par répondent rapidement aux problèmes par rapport à cette situation.

Celui qui n'est pas satisfait du degré de réactivité de l'opensource peut participer, ou acheter un produit propriétaire, sans assurance d'avoir plus de sécurité et qu'une faille sera plus rapidement corrigé.

Certaines failles sont plus rapidement corrigés dans l'opensource que dans le monde propriétaire. J'ai déjà vu. Mais le contraire doit être vrai aussi.

Que la communaute commence a mapper tous les clavier avant de s y croire....

Ils le sont.

Les OS libre sont trop chere a maintenir donc pas maintenus et donc vulnerable.

Qu'est ce qui te fait dire ça ? Un service de qualité a un juste prix, que ce soit dans le libre ou dans le propriétaire. Je ne pense pas qu'à qualité de service équivalent, une machine sous Linux revienne plus chère qu'une machine sous Windows. Le point maintenance sera plus cher, mais le point licence le sera moins. Sans prendre en compte le nombre d'interventions probablement plus fréquent sous Windows (tous problèmes confondus), mais pour être objectif compensé par une complexité moindre.

Tu peux également obtenir du support ici pour le libre tout comme pour le propriétaire.

[J@ckHerror]

Si tu sais pas utilise un pc j en peus rien. J ai jamais eu ce problemes. Par cobtre la derniere ditribution Linux que j ai essaye n avait meme pas le clavier Fr-be... bravo. Mdrrrr. Que la communaute commence a mapper tous les clavier avant de s y croire....

Je pense que tu es tout de même en train de nous faire un laius sur un monde que non seulement tu ne maitrise pas, mais que tu ne connais pas non plus (je ne parle pas de lancer un liveCD d'Ubuntu).
Perso j'ai les 2 expériences, je développe sur .net au niveau pro depuis plusieurs année et j'ai un bagage assez important dans le monde du libre d'un point de vue perso et lors de mes études (stage dans un labo de recherche sur la sécurité des réseaux distribués en pointe) et je peux te confirmer que des failles il y en a partout, la base de la sécurité étant de partir du principe que 100% de sécurité n'existe nulle part, la réactivité et la facilité de déploiement d'un correctif face à une menace et un critère bien plus important que le nombre de failles, et la communauté libre n'a plus de preuve à faire de ce coté là.

Bref ! Si tu parlais de choses que tu connais et maitrisais tu pourrais sans doute te rendre compte des âneries que tu nous sors, qui peuvent être certes distrayantes (au pire ridicule), mais qui trouveraient plus leurs places dans la taverne.

J@ck.

[Lokicoule]

Si tu sais pas utilise un pc j en peus rien. J ai jamais eu ce problemes. Par cobtre la derniere ditribution Linux que j ai essaye n avait meme pas le clavier Fr-be... bravo. Mdrrrr. Que la communaute commence a mapper tous les clavier avant de s y croire....

locale, gestionnaire de paquet tu connais ? Si oui ton problème de clavier est résolu en moins d'une minute trente et je suis large...

[J@ckHerror]

@Lokicoule

Il va te répondre qu'il n'avait pas de connexion internet !
Mais vu qu'il semble être un pur windobien avec des œillères, il ne sait pas que pour des soucis techniques et pratiques tous les claviers ne sont pas dans toutes les distributions simplement parce que l'on en a pas besoin, parce que ça prend de la place inutilement... et que cela ne peut être un défaut puisque c'est un choix réfléchit et délibéré, et bien-sur que cela n'est un problème pour aucun utilisateur de linux (sauf lui), car nous savons choisir notre distribution avant de les installer. De même que Windows a choisit d'en embarquer un max pour ne pas poser de problème aux utilisateurs lambda, puisque qu'ils sont la cible.
Enfin j'avais pas vraiment scruté son historique avant de poster, mais maintenant c'est sur que je vais le suivre de près celui-là ses interventions sont magistrales

J@ck.