Discussion :

[Patrick Ruiz]

Linux serait-il plus perméable aux cyberattaques qu’on le pense ?
De récentes analyses des firmes AV-TEST et WatchGuard laissent perplexe

L’un des principes du test de logiciels stipule que « l’absence de failles est une utopie ». Le système d’exploitation Linux, considéré par beaucoup comme imperméable aux logiciels malveillants et donc à 100 % sécurisé, n’échappe pas à ce principe. Si les systèmes d’exploitation basés sur le noyau Linux sont globalement satisfaisants du point de vue de la sécurité, il faudrait dire qu’ils ne sont certainement pas impénétrables.

L’actualité sécurité du système d’exploitation Linux a récemment été fortement enrichie par les attaques à répétition contre les dispositifs connectés – qui font tourner des versions allégées de Linux – de par le monde.

La seule évocation du mot « Mirai » rappelle avec force les récentes attaques de ce malware contre ces dispositifs. Pour rappel, Mirai est un malware qui transforme des dispositifs tournant sous le système d’exploitation Linux en bots contrôlés à distance. Ces derniers – les bots – sont alors enrôlés dans un botnet utilisé pour réaliser des attaques par déni de service distribué.

Des botnets Mirai ont été utilisés entre septembre 2016 et mars 2017 pour mettre de nombreux systèmes informatiques à mal. Le journaliste Brian Krebs – spécialisé en sécurité informatique – a été l’un des premiers à en subir le courroux. Des routeurs de la Deutsche Telekom et des serveurs dans de nombreux autres pays ont suivi.

À côté des vulnérabilités que le système d’exploitation exhibe sur les dispositifs connectés – caméras, routeurs, etc. –, il faudrait souligner que ces dernières peuvent être relevées là où on s’y attendrait le moins.

En effet, WikiLeaks a récemment publié un manuel d’utilisation destiné à des agents de la CIA. Ce dernier décrit un malware spécialement conçu pour créer une table netfilter masquée sous Linux Red Hat 6.x et distributions dérivées. Le malware pourrait être déployé par des agents de la CIA sur un serveur Linux faisant tourner ces distributions pour détourner du trafic vers des postes sous leur contrôle.

La liste de ces exemples pourrait être étendue à souhait, ce qui, lorsqu’on parle du système d’exploitation Linux pourrait surprendre plus d’un. Seulement, il serait encore plus surprenant d’apprendre que d’après des statistiques de la firme de sécurité AV-TEST, le développement de logiciels malveillants destinés à cibler des systèmes tournant sous Linux a triplé en 2016 en comparaison à l’année précédente.

La firme de sécurité WatchGuard vient ajouter de l’eau au moulin de la précédente avec un rapport dans lequel on peut lire : « les malwares sous Linux sont en augmentation, et représentent 36 % des principaux malwares détectés au premier trimestre. La présence accrue de malwares de type Linux/Exploit, Linux/Downloader et Linux/Flooder illustrent l’intérêt toujours plus grand des attaquants pour les serveurs Linux et les objets connectés ».

À côté du fait déjà déroutant que de plus en plus de logiciels malveillants sont déployés contre les systèmes tournant sous Linux, cette activité va décroissant en ce qui concerne les systèmes d’exploitation Windows si l’on s’en tient aux chiffres de la firme AV-TEST.

Cela ressemble fort à un « basculement » de l’élite des hackers vers les systèmes tournant sous Linux comme l’a relevé la firme de sécurité WatchGuard.

Il n’est pas ici question de dire que le système d’exploitation Linux serait plus vulnérable qu’un autre. Le contexte impose cependant plus de vigilance. Avec de telles tendances, bien malin serait celui qui, après avoir installé Linux sur un dispositif, irait s’asseoir en toute quiétude.

Source : Rapport AV-TEST (format PDF), Rapport WatchGuard

Et vous ?

Que vous inspire cette tendance des hackers à développer de plus en plus de logiciels malveillants contre des systèmes tournant sous Linux ?

Voir aussi :

Une nouvelle faille de sécurité découverte sous Linux, la commande "Less" serait la porte d'entrée de logiciels malveillants
Linux secoué par une faille de sécurité critique dans glibc, Ghost permet de prendre le contrôle d'un système affecté
Une autre faille critique de sécurité a été découverte dans glibc et rend les machines sous Linux vulnérables à l'exécution d'un code à distance
Dr Web détecte sur Linux un nouveau cheval de Troie qui espionne les utilisateurs en effectuant régulièrement des captures d'écran du système

[Aeson]

Mais non... la communauté veille au grain

[e101mk2]

Linux dispose de faille (nul ne peut dire que son OS n'en ait pas), mais la réactivité de la communauté à créer un patch de mis à jour, est très surprenante.
C'est ce détail qui rend ce système aussi rassurant!

[Aeson]

mais la réactivité de la communauté à créer un patch de mis à jour, est très surprenante.

Uniquement si la faille est rendu publique.. La NSA a trouvé des failles et a pu les exploiter des années car ils etaient les seul a les avoir vues dans le code. Comme l'a fait Google, des simple outils d'analyse static de code on fait découvrir des failles.

Combien de temp sont resté bash et OpenSSl vulnerable ?

Mais bon... on ne va pas refaire ce debat.... On voit de plus en plus que la communauté c'est pas vraiment le top...

[Haseo86]

Je suis totalement pro-Linux.

Mais "vendre" Linux en affirmant qu'il n'a pas de faille est juste stupide.

Il serait beaucoup plus juste de dire que, jusque-là, Linux est beaucoup moins la cible des attaques, la différence est de taille.

Maintenant je crois qu'un système ouvert est de fait beaucoup moins vulnérable qu'un système fermé.

Mais ne perdons pas de vue que la principale faille reste la personne devant la machine, quel que soit le système (et si la personne en question a choisi une distribution Linux parce que "y'a pas de failles", elle représente sans doute une belle faille...)

[e101mk2]

Uniquement si la faille est rendu publique..

Pourquoi, pour Microsoft et Mac OS c'est différent? Si certains ne leur donnaient pas gratos (ou pas...) les failles, elles ne seraient pas corrigées et en plus elles peuvent prendre un certains temps avant qu'elles le soient.

Mais bon... on ne va pas refaire ce debat.... On voit de plus en plus que la communauté c'est pas vraiment le top...

Alors toi, tu accuse un problème qui touche les grandes multinational, pour un problème de la communauté? Parce que elles doivent travailler bénévolement surement?

Il est vrai que le fait que les pirates ne visent pas encore linux (pc desktop), dû à son manque de popularité, mais ca ne veut ni dire qu'il est plus sécurisé, ni qu'il l'est moins. Sur linux serveur c'est une autre histoire (certaines attaques existent dû au manque de sécurité des admins).

Mais au moins en une semaine et demi max, on a notre mise à jour déployée dans les dépôts. Et ce "sans système de contrôle" qui permet au serveur de souffler, on les a tous en même temps, pas à 2 semaines d'intervalle entre 2 serveurs/pcs identiques.

[Aeson]

Quand un faille est devoilée dans du code source ouvert tu n'as AUCUNE garantie que celui qui l'a devoilée est le premier a l'avoir decouverte. Ca a ete prouvé avec les révélations de wikileaks. Ils ont découvert des failles dans le code open source et les ont exploitées des années sans les rendre publique. Donc oui les failles sont résolue rapidement mais elles sont peut etre deja exploitées depuis des années. La communauté n'a simplement pas les meme moyen que la NSA (KGB ?) ou autre mafia... Avec leur moyen ils trouveront les failles et les exploitront. Suffi de cherher le code est sur GitHub. Google a fait dernierement une simple analyse static de code et en a decouvert enormement. La preuve que sans une grosse firme avec les moyen derriere la communauté n'est pas efficace pour le code review.

Si le code source est ferme c'est plus difficile de trouver des failles (mais pas impossible on est d'accord)

D'ailleur de plus en plus souvent on me demande de forker les projets que mes clients utilisent et d'y corriger les bug dans une version interne. La derniere fois on a perdu 3h pour finalement se rendre compte que le bon développeur de la communauté avais mit en parametre d'une fonction une variable qu'il n'utilisait jamais... Comment encore faire confience apres cela ?

Je n'utilise plus que Linux coté serveur. Pas car c'est plus secure (ca c'est une illusion comme dire que les virus ca n'existe pas sur MAC) mais car le systeme est plus leger, mieux fait et pensé, plus modulaire et que ecosysteme est beaucoup plus riche et aussi mieux fait.On peut simplement faire beaucoup plus et beaucoup mieux avec Linux.

Rendre un projet OpenSource fait avancer le projet beaucoup plus rapidement et l'enrichi. Mais il faut une tres grosse machine avec des gros moyen derriere pour la gestion de projet et le code review. (ou un fou comme Linus)

[e101mk2]

Quand un faille est devoilée dans du code source ouvert tu n'as AUCUNE garantie que celui qui l'a devoilée est le premier a l'avoir decouverte. Ca a ete prouvé avec les révélations de wikileaks. Ils ont découvert des failles dans le code open source et les ont exploitées des années sans les rendre publique.

Sa a été aussi prouvé dans Windows.

Donc oui les failles sont résolue rapidement mais elles sont peut etre deja exploitées depuis des années.

C'est vrai, mais c'est pire du cotés de Microsoft et Mac, les piratent en tirent mieux profit, et donc refuse de les divilguer.

La derniere fois on a perdu 3h pour finalement se rendre compte que le bon développeur de la communauté avais mit en parametre d'une fonction une variable qu'il n'utilisait jamais... Comment encore faire confience apres cela ?

Pour ma part, si on pouvez regarder les vieux code de Microsoft (compatibilité Windows 2000 kernel32.dll), sa m’étonnerais pas que sa soit pareil.

Mais il faut une tres grosse machine avec des gros moyen derriere pour la gestion de projet et le code review.

Les contributions sur certains projet sont assez bien surveiller pour éviter justement ces coûts. De plus à ma connaissance, si le projet est assez bien diviser, sa coûte pas tant de ressource que sa.

[Aeson]

Sa à été aussi prouvé dans Windows

C'est juste

C'est vrai, mais c'est pire du cotés de Microsoft et Mac, ils en tirent mieux profit.

Comment sais tu que s'est pire ? L' analyse de code n'est pas possible sur Office et Windows. Ces produits sont BEAUCOUP plus utilisé et majoritairement par des personnes a risque. Donc ils sont beaucoup plus sollicité.

Pour ma part, si on pouvez regarder les vieux code de Microsoft (compatibilité Windows 2000 kernel32.dll), sa m’étonnerais pas que sa soit pareil.

Il y a certainement des bug et des failles enorme. Mais comme tu le dis personne ne le sais car on n' a pas vu le code. On ne sait donc pas les exploiter.

De plus à ma connaissance, si le projet est assez bien diviser, sa coûte pas tant de ressource que sa.

Le projet OpenSSL etait maintenu par 2 benevoles.... Il faut en dire plus ?

[Iradrille]

De toute façon l'OS le plus secure sera toujours le moins utilisé (Win 10 mobile ? ^^).
Pas forcément parce qu'il aura moins de failles, mas parce qu'il y aura moins de profit à faire, et donc moins de gens pour les exploiter.

L'open source ne change pas grand chose à la sécurité : il est juste plus simple de trouver des failles quand on a accès au code source (donc plus simple de les corriger, mais aussi plus simple à exploiter).

[Shepard]

Ahh !

Comme c'est agréable de se réveiller trolldi matin, et de voir que cette news a été postée à point nommé hier soir, histoire qu'il y ait déjà de quoi sortir le popcorn en arrivant !

[CaptainDangeax]

En tout cas, les failles en exploitation passent principalement par l'interface chaise-clavier. Exemple, la table netfilter des MIB : il faut un accès physique root pour l'installer. La sécurité commence à la porte de l'entreprise. S'attaquer aux IoT est facile, ils ont tous un accès SSH avec mot de passe par défaut, tout simplement pour pouvoir s'y connecter. C'est bien un problème d'usage, plus de que sécurité intrinsèque du système. Pour le troll qui crache sur la communauté, je l'invite à regarder qui contribue le plus au noyau Linux : Microsoft, Intel, IBM, Redhat... Pas vraiment communautaire tout ça.
On n'est pas dans le même niveau de faille que, par exemple, Blaster, qui infectait n'importe quel XP connecté à Internet dans les 30 secondes.
Microsoft a fait des progrès, certes, mais ils sont bloqués par le maintien de la sacro-sainte compatibilité ascendante, polluée par le choix délibéré qui remonte à l'époque d'OS/2 de faire différemment d'Unix. En 1993, Ballmer n'avait jamais entendu parler de TCP/IP. Sur NTFS, tous les fichiers sont exécutables par défaut.

[Shepard]

[...] contribue le plus au noyau Linux : Microsoft, Intel, IBM, Redhat...

Tu oublies Google ^^ Concepteur de l'OS le plus utilisé, devant Microsoft, devant Apple, basé sur Linux

Ainsi que Apple, responsable de la gestion des imprimantes sous Linux

Et aussi Facebook, qui améliore toute la stack réseau (il veut qu'elle soit au moins aussi performante que celle de FreeBSD, je ne sais pas si l'objectif est déjà atteint ou pas)

[RaphaelG]

Quand un faille est devoilée dans du code source ouvert tu n'as AUCUNE garantie que celui qui l'a devoilée est le premier a l'avoir decouverte. Ca a ete prouvé avec les révélations de wikileaks. Ils ont découvert des failles dans le code open source et les ont exploitées des années sans les rendre publique. Donc oui les failles sont résolue rapidement mais elles sont peut etre deja exploitées depuis des années. La communauté n'a simplement pas les meme moyen que la NSA (KGB ?) ou autre mafia... Avec leur moyen ils trouveront les failles et les exploitront. Suffi de cherher le code est sur GitHub. Google a fait dernierement une simple analyse static de code et en a decouvert enormement. La preuve que sans une grosse firme avec les moyen derriere la communauté n'est pas efficace pour le code review.

Si le code source est ferme c'est plus difficile de trouver des failles (mais pas impossible on est d'accord) ...

En mode parano, on peut aussi soupçonner les sociétés qui développent du code privatif de créer intentionnellement (ou sous pressions gouvernementales) des back doors pour permettre à des agences de sécurité gouvernementales de les exploiter..
Rassurez vous, c"est pour traquer les méchants terroristes pas pour espionner des éventuels opposants.

... Je n'utilise plus que Linux coté serveur ...

Incroyable, Aeson fait son coming out ! Attention Aeson, on commence comme ça et on finit avec Debian installé sur son poste de travail.

[xarkam]

Perso, la communauté se focalise sur les failles vite corrigées sur les pc desktop.

Sur les serveurs il en vas autrement. Et je pense qu'ils l'ont bien compris en se focalisant dessus.

Idem pour tous les appareils connectés tournant sous linux et qui ne sont pas mis à jour pas les constructeurs.

La maintenance à un coup et elle entre aussi dans le cycle de obsolescence programmée en ne mettant pas à jour pour forcer détendeurs à acquérir du nouveau matos.

[Aeson]

Incroyable, Aeson fait son coming out ! Attention Aeson, on commence comme ça et on finit avec Debian installé sur son poste de travail.

Oui.. Il n'y a que les imbeciles qui ne change pas d'avis. Coté serveur c'est CentOs ou AWS Linux ( et oui.. meme Azure c'est bye bye) ou CoreOs si c'est du Docker (DC/OS c'est le pied). Cote desktop c'est Ubuntu Mate. Windows uniquement quand j'ai besoin de Visual Studio pour du .Net 46. .Net Core tourne beaucoup mieu sur Linux et il y a beaucoup plus d'outils interessant sous linux.

Mais je ne suis pas sur Linux car c'est plus secure, par peur des BackDoor ou car je peus voir le code. La raison principal est que je peus faire beaucoup plus sous Linux. Et j'ai vraiment ete surpris de ce qu'AWS pouvait apporter de plus qu'Azure.

[Jipété]

La maintenance à un coup et elle entre aussi dans le cycle de obsolescence programmée en ne mettant pas à jour pour forcer détendeurs à acquérir du nouveau matos.

C'est comme la maintenance à deux coups, ou la valse à trois temps, de Brel ?

[xarkam]

C'est comme la maintenance à deux coups, ou la valse à trois temps, de Brel ?

Misschien moet ik schrijf mijn antwoord in het Vlaams. Ik zeker minder fouten zou hebben gemaakt. Denk je niet?

[Tryph]

Déjà que le titre pue le troll, mais alors le premier paragraphe c'est une véritable infection:

L’un des principes du test de logiciels stipule que « l’absence de failles est une utopie ». Le système d’exploitation Linux, considéré par beaucoup comme imperméable aux logiciels malveillants et donc à 100 % sécurisé, n’échappe pas à ce principe. Si les systèmes d’exploitation basés sur le noyau Linux sont globalement satisfaisants du point de vue de la sécurité, il faudrait dire qu’ils ne sont certainement pas impénétrables.

On pourrait avoir la source du passage en gras SVP? à moins que ça ne soit qu'un avis personnel érigé au status d'information...?
Puis dans le même paragraphe, après le fantasme, l'enfonçage de porte ouverte avec le passage en italique qui nous apprend que "Les distrib' GNU/Linux ne sont pas infaillible"... ouah...

Le premier paragraphe est suffisamment ridicule pour me couper l'envie de lire la suite.


Ça devait faire un an que j'avais pas pointé le bout de mon nez sur developpez.com justement parce qu'une bonne partie des "infos" sont ridicules. J'ai lu quelques articles cette semaine et j'ai pu constater que c'est loin de s'être amélioré.
Bref, je repasserai peut être l'année prochaine...

[xataz]

GNU/Linux n'a jamais été plus sécure que d'autre, mais moins exploité seulement.

Le but d'un hacker, est d'avoir le plus de victime possible, donc pour ce qui est cryptolocker, le choix de windows est plus adapté que linux. Pour ce qui est d'un botnet, il faut des équipements avec le plus de uptime possible, donc tout ce qui est embarqué, donc plutôt GNU/linux.
D'autre part, dans 99% des cas, ce n'est pas le système lui même qui est troué, mais les softs tiers, pour mirai ce sont des APIs par exemple.

Je travail sur du gros système (MVS/unisys), et vois clairement que ce n'est pas secure du tout, mais qu'elle serait l'utilité de hacker ceci (sauf attaque purement personnel), ça ne rapporterai pas assez.