+ Répondre à la discussion Actualité déjà publiée
  1. #1
    Chroniqueur Actualités
    Avatar de Michael Guilloux
    Homme Profil pro
    Consultant
    Inscrit en
    juillet 2013
    Messages
    1 231
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 26
    Localisation : Côte d'Ivoire

    Informations professionnelles :
    Activité : Consultant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : juillet 2013
    Messages : 1 231
    Points : 31 965
    Points
    31 965
    Billets dans le blog
    2

    Par défaut Bon nombre d’outils Linux de base requièrent plus d’investissements en sécurité

    Bon nombre d’outils Linux de base requièrent plus d’investissements en sécurité
    D’après une enquête de Linux Foundation

    La Fondation Linux a récemment publié les résultats d’une enquête sur les outils Linux nécessitant des investissements en sécurité. L’enquête - dont les résultats sont disponibles sur la page GitHub de la fondation - s’inscrit dans le cadre du projet Core Infrastructure Initiative (CII).

    Le CII est un projet visant à financer et soutenir des projets de logiciels libres et open source qui sont essentiels pour le fonctionnement de l'Internet et d'autres grands systèmes d'information. Le projet a été annoncé il y a un peu plus d’un an de cela, suite à la vulnérabilité critique Heartbleed dans OpenSSL, sachant ce dernier est utilisé sur des millions de sites Web.

    Vu que bon nombre de logiciels open source sont largement utilisés, une vulnérabilité pourrait avoir de graves conséquences. Si en effet, certains projets mobilisent de nombreux développeurs qui effectuent des analyses de sécurité en profondeur, d’autres par contre ne bénéficient que de petites équipes qui n’ont pas toujours le temps d’effectuer les tâches nécessaires pour garantir une forte sécurité. Le projet CII vise donc à recenser cette 2è catégorie de projets qui nécessitent plus d’attention des développeurs afin d’y investir dès maintenant, avant que des problèmes de sécurité ne surviennent. Ces projets ont donc été identifiés lors d’une enquête de la fondation.

    Les résultats de l’enquête montrent que les développeurs accordent beaucoup plus d’importance aux outils de chiffrement, serveurs web et agents de messagerie entre autres. Toutefois, il existe aussi des packages utilisés par tous mais dont personne ne se soucie vraiment.

    Parmi les 394 projets sélectionnés, les projets ftp, netcat-traditional, tcdp et whois sont en tête du classement avec une note de 11/16. Le score est un indice synthétique construit à partir de plusieurs métriques. Les métriques évaluent l’exposition à des risques de sécurité des différents projets en s’intéressant à la maintenance effectivement reçue pour chaque projet, le nombre de contributeurs, la popularité, l’importance et le nombre de CVE associés au projet entre autres. Il faut avant tout noter qu’un score élevé ne signifie pas que le projet doit être abandonné ou qu’il est vulnérable. Les grands scores indiquent seulement que le projet mérite plus d’attention et d’investissement en sécurité qu’il en a actuellement.

    De ce fait, le projet OpenSSL a un score plus faible de 8/16, après avoir bénéficié d’un financement suite à la vulnérabilité Heartbleed. Le projet apache2 relatif au méta-package d’Apache HTTP Server est un vaste projet « d’une importance vitale » qui a enregistré de nombreuses vulnérabilités au fil des ans. Cependant, il a également obtenu une note de 8/16 en partie grâce à « un grand développement et une équipe de suivi déjà en place. »

    Les résultats révèlent aussi que certains outils liés à BIND, l’un des serveurs DNS les plus utilisés sur internet, spécialement pour les systèmes de type UNIX, nécessitent plus d’investissements en sécurité. Le projet bind9 par exemple a obtenu un score de 8/16.

    Parmi les projets qui mériteraient plus d’attention de la part des développeurs, figure le projet bzip2. Bzip2 est largement utilisé pour la décompression de données de réseau. Toutefois, il ne bénéficie d’aucun référentiel de code, seulement des archives des codes sources publiés. Sa dernière mise à jour date de 2010, en réponse à une vulnérabilité. Aucun forum ne lui est associé. Le projet vient en 9è position dans le classement avec une note de 9/16. Plus de détails sur les notations des autres projets de la liste sont donnés sur la page GitHub de la Fondation Linux.

    Il faut aussi noter que dans cette première enquête, seuls les projets open source associés à Debian Linux ont été pris en compte, par contrainte de temps.

    Sources : Projet de recensement, Résultats de l’enquête

    Et vous ?

    Que pensez-vous de l’initiative et des résultats de l’enquête ?
    Cdlt!
    M.K

  2. #2
    Membre éprouvé Avatar de supergeoffrey
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    octobre 2010
    Messages
    493
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 30
    Localisation : France, Nord (Nord Pas de Calais)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : octobre 2010
    Messages : 493
    Points : 972
    Points
    972

    Par défaut

    Il serait bien de comparer les notes avec les logiciels d'un autre OS.
    Une note est relatif à un correcteur. C'est comme à l'école.
    Pensez à marquer vos tickets comme résolus.
    Pensez aussi aux pour les réponses pertinantes

  3. #3
    Membre chevronné
    Avatar de SurferIX
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    mars 2008
    Messages
    764
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 43
    Localisation : France, Bouches du Rhône (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : mars 2008
    Messages : 764
    Points : 1 773
    Points
    1 773

    Par défaut

    Rien que le titre "De nombreux outils Linux de base requièrent plus d'investissements en sécurité" est un non sens. Des millions de gens peuvent lire le code, donc c'est mathématique : beaucoup plus de gens sont susceptibles de le modifier, comparé au code source de Windows.

    J'aimerais qu'une étude honnête soit enfin faite, bon sang !
    Bien évidemment, personne ne fera un comparatif de :
    - nombre total de failles découvertes sur Linux, Apple et Windows
    - nombres de failles zéro day facilement exploitables jusqu'à correction sur Linux, Apple et Windows

    sur les dix dernières années. Et là, Microsoft s'en mangerait une dans les dents, je vous raconte pas la taille !
    Regardez moi coder ⇛ ☆★ en direct ★☆
    "Ceci dit" n'est pas correct. Cf Wikipedia. Cela dit est du français correct.

  4. #4
    Expert confirmé Avatar de BufferBob
    Profil pro
    responsable R&D vidage de truites
    Inscrit en
    novembre 2010
    Messages
    1 951
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : responsable R&D vidage de truites

    Informations forums :
    Inscription : novembre 2010
    Messages : 1 951
    Points : 5 343
    Points
    5 343

    Par défaut

    Citation Envoyé par SurferIX Voir le message
    Rien que le titre "De nombreux outils Linux de base requièrent plus d'investissements en sécurité" est un non sens. Des millions de gens peuvent lire le code, donc c'est mathématique : beaucoup plus de gens sont susceptibles de le modifier, comparé au code source de Windows.
    ouai mais tout le monde n'est pas capable de faire un audit sécurité sur le projet TrueCrypt ou OpenSSL par exemple, les sources ont beau être disponibles ça nécessite une expertise que peu de gens ont, donc quand c'est comme ça ben on fait appel à une entreprise spécialisée et ça coute des sous, cqfd
    Avant donc que d'écrire, apprenez à penser.
    Selon que notre idée est plus ou moins obscure, l'expression la suit, ou moins nette, ou plus pure.
    Ce que l'on conçoit bien s'énonce clairement, et les mots pour le dire arrivent aisément.
                                                        - Nicolas Boileau, L'Art poétique

  5. #5
    Membre chevronné
    Avatar de SurferIX
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    mars 2008
    Messages
    764
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 43
    Localisation : France, Bouches du Rhône (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : mars 2008
    Messages : 764
    Points : 1 773
    Points
    1 773

    Par défaut

    Citation Envoyé par BufferBob Voir le message
    ouai mais tout le monde n'est pas capable de faire un audit sécurité sur le projet TrueCrypt ou OpenSSL par exemple, les sources ont beau être disponibles ça nécessite une expertise que peu de gens ont, donc quand c'est comme ça ben on fait appel à une entreprise spécialisée et ça coute des sous, cqfd
    Encore une fois : on a beaucoup plus de chance qu'un passionné lise le code et l'analyse à des fins de sécurité s'il est open source, que d'essayer d'aller chercher "à la main" une personne vraiment compétente qui puisse faire le travail.
    Comme dirait Linus Torvalds : ce n'est pas une guerre, ou une concurrence, c'est juste un état de fait : comme il est gratuit et entièrement open source, Linux va naturellement s'imposer, ce n'est qu'une question de temps.
    Regardez moi coder ⇛ ☆★ en direct ★☆
    "Ceci dit" n'est pas correct. Cf Wikipedia. Cela dit est du français correct.

  6. #6
    Membre régulier
    Homme Profil pro
    Consultant ERP
    Inscrit en
    juillet 2011
    Messages
    28
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Consultant ERP
    Secteur : Industrie

    Informations forums :
    Inscription : juillet 2011
    Messages : 28
    Points : 107
    Points
    107

    Par défaut

    faut arrêter, si j'étais un hackeur, je me ferait surement pas chier à trouver une faille sur du Linux, je plongerais droit dans la vieille faille windows ou adobe ou flash ou autre chose qui est là depuis longtemps et probablement pour longtemps. Tant qu'on ne sanctionnera pas financièrement les éditeurs, ils n'auront aucune raison de patcher leurs applis. De toute façon, bons ou mauvais, les logiciels windows se vendront, pourquoi se compliquer la vie, les actionnaires seront contents.

  7. #7
    Membre du Club
    Homme Profil pro
    Développeur informatique
    Inscrit en
    septembre 2003
    Messages
    35
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 69
    Localisation : France, Ain (Rhône Alpes)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : Enseignement

    Informations forums :
    Inscription : septembre 2003
    Messages : 35
    Points : 40
    Points
    40

    Par défaut Quel scandale !

    Comment, LINUX pourrait être vulnérable ?
    C'est intolérable d'écrire des évidences pourtant éclatantes : AUCUN système ne sera jamais à l'abri de failles et d'attaques.
    Pour le coup Windows est certainement plus sûr que LINUX, car maintenu en permanence par une armée de programmeurs chez MS.
    Mais chut, il ne faut pas le dire ... Les adorateurs de la "secte" ne vous pas aimer du tout... Je suis déjà mort

  8. #8
    Membre à l'essai
    Homme Profil pro
    Développeur Web
    Inscrit en
    août 2014
    Messages
    9
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 24
    Localisation : France, Loire Atlantique (Pays de la Loire)

    Informations professionnelles :
    Activité : Développeur Web

    Informations forums :
    Inscription : août 2014
    Messages : 9
    Points : 13
    Points
    13

    Par défaut

    Et pourquoi "une armée" de quelques 200-300 développeurs seraient plus efficace qu'une communauté complète ? Et puis honnêtement, y'a combien de mec qui sont vraiment sur la sécurité chez MS ? Perso je pense pas qu'il y en ait tant que ça vu le nombre de faille qu'ils essaient de cacher chaque année. Sans compter que quand d'autres boîtes leurs indiquent des failles à corriger, ils les ignorent complètement (cf. une affaire récente avec Google). Et puis ton armée de mec chez MS vs quelques boîtes comme Google et Intel qui taff sur la sécurité de Linux en partenariat avec la fondation, je vois pas tellement la différence.

    Et puis de toutes façons la question n'est pas là, ici on a la fondation Linux qui dit cash que rien n'est parfait, que même si tout le monde fait au mieux y'aura toujours des failles et que y'a souvent pas assez de gens sur chaque projet qui ont le temps de s'en occuper, donc faut les aider pour que ça soit mieux et laisser passer moins de faille, même si certains de ces projets n'ont pratiquement pas eut de grosse faille critique. La question n'est windows vs linux.

  9. #9
    Expert confirmé Avatar de BufferBob
    Profil pro
    responsable R&D vidage de truites
    Inscrit en
    novembre 2010
    Messages
    1 951
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : responsable R&D vidage de truites

    Informations forums :
    Inscription : novembre 2010
    Messages : 1 951
    Points : 5 343
    Points
    5 343

    Par défaut

    Avant donc que d'écrire, apprenez à penser.
    Selon que notre idée est plus ou moins obscure, l'expression la suit, ou moins nette, ou plus pure.
    Ce que l'on conçoit bien s'énonce clairement, et les mots pour le dire arrivent aisément.
                                                        - Nicolas Boileau, L'Art poétique

  10. #10
    Membre éprouvé Avatar de marsupial
    Homme Profil pro
    DevOp, Tech leader
    Inscrit en
    mars 2014
    Messages
    497
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Autre

    Informations professionnelles :
    Activité : DevOp, Tech leader

    Informations forums :
    Inscription : mars 2014
    Messages : 497
    Points : 1 051
    Points
    1 051

    Par défaut

    Citation Envoyé par supergeoffrey Voir le message
    Il serait bien de comparer les notes avec les logiciels d'un autre OS.
    Une note est relatif à un correcteur. C'est comme à l'école.
    Lien vers le NIST, la base de données du gouvernement américain des failles logicielles.

    L'article relatif pour 2014 :

    un smartphone Android reste 3 fois plus sur qu'un PC Windows

    A noter que MacOSX et Linux disposent de plus de failles que Windows. Mais linux a le moins de failles critiques pour 10 kernels délivrés chaque année alors qu'en 2014 Apple n'en a livré qu'un seul pour aucun chez MS.
    Android étant le plus répandu, les hackers se tournent naturellement vers cet OS qui reste le plus sécurisé.

    Sur la news en elle même il s'agit tout simplement d'un constat : tout le monde utilise de l'open source dans son infrastructure. Pourtant sur les 3 milliards de connectés au web à 50$ en moyenne ( 150 milliards par mois pour les opérateurs ), si 0,5% de passionnés contribuaient à faire évoluer une commande universelle sans équivalent proprio comme whois, cela profiterait à tous, comme :

    pulvérisation du record absolu de gain de valorisation en une journée
    Repeat after me
    Le monsieur lutte pour la défense des libertés individuelles et collectives

    Repeat after me...

  11. #11
    Membre éclairé Avatar de pcdwarf
    Homme Profil pro
    Administrateur systèmes et réseaux
    Inscrit en
    février 2010
    Messages
    197
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Puy de Dôme (Auvergne)

    Informations professionnelles :
    Activité : Administrateur systèmes et réseaux
    Secteur : High Tech - Opérateur de télécommunications

    Informations forums :
    Inscription : février 2010
    Messages : 197
    Points : 659
    Points
    659

    Par défaut

    je suis assez consterné de voir ressurgir une Nième fois le vieux troll linux vs windows avec des argument massue mais creux qui ne présentent aucun intérêt.

    Comme on l'a déjà écrit ici, AUCUN système d'exploitation ou logiciel n'est infaillible.
    Quiconque prétends le contraire est un imbécile qui ferait bien de s'intéresser à l'histoire de la sécurité informatique depuis ses débuts.

    Heartbleed est une faille gravissime ? Oui c'est vrai.
    Shellshock aussi.

    Oui, et alors ?
    Est-ce le fait que le logiciel soit open-source qui les a produite ?

    Le fait que le logiciel soit open-source a permis de bien voir à quel point l'erreur était grosse.
    C'est nettement plus dur à montrer quand on a pas les sources mais ça n'en est pas moins grave quand ça arrive (et ça arrive... souvent... très souvent...).

    En combien de temps ces failles ont-elle été bouchées ?
    Quelques heures.
    Et le déploiement s'est fait en moins de 48 heures pour quiconque est un peu sérieux dans la gestion de ses serveurs...
    Comparativement, des failles graves de chez MS, Apple ou Adobe sont restées plusieurs mois avant d'être corrigées...
    De toute façon il n'y a que l'éditeur qui peut pousser la mise à jour via son système d'update alors pourquoi le sysadmin s’inquièterait ?

    Mais pour revenir eu débat "Outils linux nécessitant plus d'investissement en sécurité".
    Je pense que la notion "d'investissement" est tout simplement hors de propos quand on parle de logiciels libres.
    Qu'une entreprise qui vends de la sécurité investisse dans la vérification du code, c'est complètement normal.
    Pour elle, publier un code vulnérable est un échec grave dans leur cœur de métier. ça nuit lourdement à leur crédibilité.
    Pourquoi vous paie-t-on si vous êtes aussi vulnérables que les autres ?
    A ce propos il est étrange que bon nombre de fabricants sensés produire du code propriétaire original et bien béton ont urgemment sorti un patch de sécurité critique dans les semaines suivant ces failles sans toutefois entrer dans les détails de qu'est-ce que le patch corrige... de là à penser que.....

    La plupart des logiciels libres sont fournis "tel quel" partant du principe que c'est gratuit et que donc, si vous n'êtes pas contant vous n'avez qu'a passer votre chemin ou contribuer à son amélioration.
    Un logiciel libre, c'est pas un produit qu'il faut vendre / qui a un marché.
    A mon sens, un des gros problèmes des logiciels libres est justement d'avoir voulu "prendre des parts de marché" ce qui a nécessité de réorienter considérablement leurs objectifs.
    La course à la feature "neuneufriendly" est à mon sens une véritable peste pour la maintenabilité du code et donc, à plus ou moins long terme, sur sa qualité. Plutôt que de se concentrer à faire correctement ce pourquoi on les fait, les applis ne cessent d'essayer d'étendre leur périmètre. Elle deviennent des monstres Frankenstein bourrées de plugins, de frameworks, de wrappers...
    Quand c'est du logiciel propriétaire, on peut comprendre que la pression commerciale conduise à ce genre de dérives. Pour du libre, j'avoue ne pas comprendre.
    Mais je m'écarte du sujet....
    Mon propos était de dire qu'en matière de sécurité, le mieux est encore de laisser ceux qui s'en occupent faire de leur mieux. Ce n'est pas parce qu'ils sont spécialistes qu'ils sont infaillibles mais ce n'est pas en leur rajoutant des empilages de vérificateurs douteux que le code deviendra meilleur. Si vraiment une équipe est mauvaise, des gens meilleurs finiront par faire un fork de meilleure qualité (ou pas)...

    L'histoire du logiciel libre a montré que la sélection naturelle était efficace. Je ne pense pas qu'il faille tenter d'interférer dans ce processus.

  12. #12
    Nouveau Candidat au Club
    Homme Profil pro
    Consultant communication & réseaux
    Inscrit en
    juillet 2015
    Messages
    2
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 39
    Localisation : France, Aube (Champagne Ardenne)

    Informations professionnelles :
    Activité : Consultant communication & réseaux

    Informations forums :
    Inscription : juillet 2015
    Messages : 2
    Points : 1
    Points
    1

    Par défaut

    Oui, et alors ?
    Est-ce le fait que le logiciel soit open-source qui les a produite ?
    Non mais ça détruit l'argument principal des inconditionnels du libre qui est que la communauté audit et corrige plus rapidement le code.

    Dans ce cas ci ,encore une fois, c'est loin d’être le cas.

Discussions similaires

  1. [Android] Le Bon Nombre: (Plus ou Moins Avec un mode Histoire!)
    Par DeveloST dans le forum Mon application mobile
    Réponses: 0
    Dernier message: 07/02/2015, 23h57
  2. Requête UNION renvoie pas le bon nombre de lignes
    Par le lynx dans le forum Contribuez
    Réponses: 2
    Dernier message: 29/06/2006, 10h52
  3. Bon nombre d'application sont moche ?
    Par BuG dans le forum Debian
    Réponses: 5
    Dernier message: 17/01/2006, 14h37
  4. Réponses: 3
    Dernier message: 09/10/2005, 19h10
  5. Mysql Configuration nombre de connexion aux bases de données
    Par Thierry8 dans le forum Installation
    Réponses: 2
    Dernier message: 15/09/2005, 20h54

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo