Discussion :

[Gordon Fowler]

"Windows 7 avec IE8 ou Chrome est la combinaison la plus sécurisée"
Mais sans Flash, déclare un expert en sécurité renommé


D'habitude, lorsque l'on demande quelle combinaison OS/Navigateur est la plus sûre, la réponse est souvent incomplète, du simple fait que celui qui la donne n'est expert que d'une seule plateforme.

Charlie Miller n'est pas de ceux-là.

Vainqueur à plusieurs reprises du concours de référence en matière de hacking – le Pwn2Own – Charlie Miller connait aussi bien Linux que Windows sans oublier Mac OS ou l'iPhone et Android, les deux OS mobiles qu'il a été le premier à « casser ». Mais qu'on ne s'y trompe pas, l'homme n'est pas un pirate. Il est un chasseur de bugs renommé dont le but est d'améliorer en permanence la sécurité des systèmes.

Dans une interview qu'il a accordée cette semaine en préambule au Pwn2Own 2010, Charlie Miller soutient que pour lui, la combinaison actuelle la plus sûre serait « Chrome ou Internet Explorer 8 sur Windows 7, mais sans Flash installé. Il n'y a probablement pas assez de différences entre les navigateurs pour les départager [en terme de sécurité] mais l'essentiel est de surtout ne pas installer Flash ! ».

Un avis qui va à contre-courant des idées reçues et qui ne plaira sans doute pas à Steve Jobs, déjà furieux que Miller ait craqué Safari dans le passé.

Quant à Linux, il « n'est pas plus difficile [à pirater], probablement plus facile en fait, même s'il faut bien faire la différence en fonction de la distributions dont on parle. Les organisateurs [du Pwn2Own] choisissent de ne pas utiliser Linux simplement parce que beaucoup moins de gens l'utilisent. L'autre chose importante à dire, c'est que les principales vulnérabilités se trouvent dans les navigateurs, or ce sont les mêmes qui tournent sur Linux et sur Windows ».


Source : L'interview de Charlie Miller


Lire aussi :

Nouvelle faille critique dans Adobe Download Manager, l'utilitaire installé avec Flash et Reader : comment la colmater ?

Firefox : le navigateur le plus vulnérable ?

26 % des hackers préfèrent utiliser Opera selon Purewir

"Snow Leopard est plus facile à hacker que Windows" d'après C. Miller, auteur du livre The Mac Hacker's Handbook

Les rubriques (actu, forums, tutos) de Développez :

Sécurité
Systèmes

[zul]

Concernant la sécurité des systèmes d'exploitations, il est "probablement" plus facile de pirater un Linux. Pas de faits avérés dans un sens ou dans l'autre. Je sais que c'est un "expert en sécurité informatique", mais ce n'est pas une preuve suffisante. Quand à Windows VS MacOSX, l'argument principal c'est que Windows a un vecteur d'attaque moins grand parce qu'il n'a pas Flash ni java de base (ce qui est vrai dans l'absolu, en pratique, ce sont des choses qu'on retrouve souvent installé dans les offres de supermarché). ASLR et DEP sont des techniques intéressantes, qui existent aussi dans d'autres systèmes (je dirai que ça vient entre autre des travaux de GrSecurity) mais comme indiqué, on peut les bypasser (en particulier dans le cas qui nous intéresse, attaque via l'explorateur) (entre autre, il me semble que Leopard utilise aussi des techniques d'ASLR).

Et il va au moins dans le sens de Steve Jobs, Flash est un vecteur d'attaque important, d'où un choix non illogique de ne pas le supporter sur des plateformes mobiles

[bachir006]

c'est bien beau dit comme ca. mais on voudrais des arguments quand meme.
en quoi Windows serait il plus securise que les autres OS par exemple?

[MrEagle]

Que vous soyez sur Linux, Windows ou Mac OS toutes versions confondu avec n'importe quel navigateur le plus gros problème de sécurité est et sera toujours l'utilisateur.

Il n'est pas plus intelligent de s'identifier root en linux que de répondre à un courriel du prince du sud de l'Afrique du nord qui vous dit qu'il vous donnera 1 000 000$ si vous lui en envoyé 5 000$!

[Invité]

sur ce lien de 2008 http://www.referencement-internet-we...ows-Vista.html on voit que linux avait résisté...
quant à flash le mieux est de le désactiver sous firefox.

[Lyche]

sur ce lien de 2008 http://www.referencement-internet-we...ows-Vista.html on voit que linux avait résisté...
quant à flash le mieux est de le désactiver sous firefox.

En même temps, y'a 2 univers d'écart entre Vista et Seven..

[Invité]

En même temps, y'a 2 univers d'écart entre Vista et Seven..

oui, mais tout le monde n'a pas Seven et j'ai pas vu un grand empressement pour y passer dans ma boite.Donc toujours sur Vista, d'un autre coté quand on utilise skype voir msn pour communiquer des infos de l'entreprise on voit pas ou il est question de sécurité.
Pour revenir au propos de Charlie Miller qui qualifie linux de "probablement plus facile" à pirater je constate qu'il a participé à un concours de Hacking ou il a craqué Safari mais pas linux, j'aurais aimé qu'il en dise plus sur ce "probablement".

[Aurelien.Regat-Barrel]

sur ce lien de 2008 http://www.referencement-internet-we...ows-Vista.html on voit que Linux avait résisté...

Ce lien confirme ce qui a été dit : ce ne sont pas les systèmes qui sont en cause, mais les applications installées dessus. A savoir que pour Max OS X, c'est Safari (donc Apple) qui était en cause. Et pour Windows, c'était... Flash...

Les hackers Charlie Miller, Jake Honoroff et Mark Daniel ont réussi à faire succomber le MacBook Air sous Mac OS X en l’envoyant vers un site Internet sur lequel ils avaient installé une exploitation qui a profité d’une vulnérabilité inconnue dans le navigateur Safari.

Les hackers Shane Macaulay, Derek Callaway et Alexander Sotirov ont fait défaillir Windows Vista en exploitant une faille de sécurité déjà connue de la dernière version d’Adobe Flash.

Est-ce que quelqu'un sait pourquoi une faille de sécurité dans flash n'affecte pas les 2 autres systèmes ?

[deadalnix]

Utilises Flash sous Linux ou MacOs. Tu verras que ce n'est clairement pas le même plug-in.

[gmotw]

Je pense que Windows 7 a aussi l'avantage de la nouveauté. C'est en tout cas ce qu'il a l'air de dire dans l'interview.

Il n'est pas plus intelligent de s'identifier root en linux que de répondre à un courriel du prince du sud de l'Afrique du nord qui vous dit qu'il vous donnera 1 000 000$ si vous lui en envoyé 5 000$!

Mais pourtant il m'a promis qu'il ne donnerait l'argent qu'à moi!

[superness64]

Moi je suis tout affait d'accord avec toi, c'est l'utilisateur qui décide d'installer telle ou telle version d'un logiciel édité par Mr Jehack. Et après ça, ça s'étonne d'avoir des spams, virus ou autre impurté !!!
Le mieux serait de déconnecter sont ordinateur du net !!!

[Psychopathe]

Je vois pas trop l'intérêt des propos de Miller. Si ce n'est qu'il essaie d'être à contre-courant des idées reçues (Linux = safe). Et comme dit précédemment, c'est vraiment l'utilisateur la vraie faille. Quelque soit l'OS et/ou le navigateur.

[isra17]

Vous voulez savoir la formule magique pour sécurisé votre ordinateur? Débrancher le cable Ethernet à l'arrière de votre PC ou bien débrancher l'alimentation, je vous garantie que les hackers auront beaucoup de peine pour voler vos données

[deadalnix]

Il faut arrêter de croire que la sécurité peut se limiter aux attaques informatiques. On va au-devant de mauvaises surprises dans un tel cas.