Discussion :

[Madmac]

« XorDdos illustre la tendance des logiciels malveillants à cibler de plus en plus les systèmes d'exploitation basés sur Linux », déclare Microsoft. Êtes-vous du même avis ?

Les logiciels malveillants ont surtout tendance à cibler des OS qui sont populaires ...

[Steinvikel]

Quel est votre avis sur le sujet ?
« XorDdos illustre la tendance des logiciels malveillants à cibler de plus en plus les systèmes d'exploitation basés sur Linux », déclare Microsoft. Êtes-vous du même avis ?
Madmac l'a très bien résumé >> ce qui est de plus en plus ciblé est ce qui est de plus en plus populaire ...j'ajouterais à la popularité que Windows intègre dorénavant bien plus d'environnement linux dans /avec ses solutions (cloud, WSL...), en plus de se transformer petit à petit en distro linux. Il est donc naturel que M$ audit le code avant de s'appuyer aveuglément dessus.
Il est aussi naturel que la pénétration des environnement linux ayant évolué dans le marché, le ciblage évolue également.


Que pensez-vous de cette vulnérabilité découverte par Microsoft dans Linux ?
1) les méthodes s'appuient sur la possibilité de copier, modifier, puis exécuter un fichier d'une source inconnue (dont la fiabilité est inconnue).
2) permet à cette même source d'aller modifier les accès et chmod de certains fichiers sensibles (à risque)
C'est à dire deux comportements que l'on s'attend à ne pas rencontrer dans une distro linux sans modifications.

« Il n'y a rien dans Linux qui le rende intrinsèquement plus fiable que Windows », partagez-vous cet avis ?
Oui et non >> tout dépends de la distro que l'on choisi et des réglages que l'on applique.
En "out of the box" les distro linux sont généralement plus sécurisées, ne serait-ce que parce que les fichiers ne sont pas exécutables par défaut (pas tous).
Tout le problème réside dans les concessions opérées par la distro pour augmenter la "facilité d'usage" en dépit de la "dureté de la sécurité".
Il suffit de voir les contournements root possible sur une Debian clé en main pour opérer des commandes root sans avoir à taper le mot de passe root...
Aucun OS n'est parfait. La question c'est quelles concessions sont acceptables, lesquelles ne le sont pas ? >> A quelle insécurité un néophyte peut-il être exposé à son insu ?

Si l'on est capable de répondre franchement à cette question, les changements à faire sur les paramètres "out of the box" sont assez évidents.
En découlera une certaine difficulté d'usage, qui sera la contrepartie à payer pour la sécurité apporté (sécurisé = complexifié, c'est indissociable).
C'est par exemple (pour simplifier) la différence entre Debian, et un de ses fork : Kali Linux.

[bmayesky]

C'est marrant, sur tout les systèmes Linux que j'utilise, il faut agir pour désactiver l'interdiction par défaut de connexion root avant de pouvoir s'y connecter avec ssh. Les ignorants sont donc protégés par défaut de cette menace. Les administrateurs un peu compétent laissent ce blocage et le sécurisent en limitant l'accès par une clé RSA autrement (et aucun risque qu'une clé ssh soit cassée par force brute). Bref, la quasi totalité des machines Linux est invulnérable à cette menace.

Il reste comme cible de ce botnet les administrateurs Linux incompétents et imprudents. Ça fait pas beaucoup. Vraiment. D'ailleurs je me pose la question du nombre de machines infectées parce que 254% c'est beaucoup (bien qu'en 6 mois) mais sur combien ? Parce que 254% sur 10 ordinateurs ça fait 2-3 machines et en 6 mois c'est pas terrible.

L'annonce de Microsoft reste comme beaucoup en la matière une publicité pour Microsoft basée sur une démonstration d'une vulnérabilité qui reste très théorique puisque, étant absente par défaut, elle se base sur la mauvaise administration d'une machine Linux.

[selmanjo]

J'ai toutefois l'impression qu'ils vantent leur logiciel antivirus !, un bon administrateur Linux met beaucoup plus de restrictions sur le système. En même temps si le parfeu limite la majorité des accès à la machine, je me demande comment Microsoft peut trouver des failles alors que c'est peut-être une erreur Humaine ? Bref, ... Bavardages...

[Steinvikel]

C'est marrant, sur tout les systèmes Linux que j'utilise, il faut agir pour désactiver l'interdiction par défaut de connexion root avant de pouvoir s'y connecter avec SSH. Les ignorants sont donc protégés par défaut de cette menace.

La faille désignée par M$ ne décrit pas une connexion root en SSH, mais une connexion SSH classique dans laquelle des accès fichiers vulnérables sont repérés pour une escalade de privilège et l'installation de failles supplémentaires.

diabolos29 se rapproche un peu plus de la réalité : " C'est plus une succession d'erreur d'administration ( (...) accès ssh par mdp, mdp suffisamment faible pour être trouvé en brute force) qu'une réelle faille... "

Toujours utile que même si une personne non autorisé accédait à la machine, elle ne devrait pas pouvoir agir de la sorte sur une distro sécurisé par défaut. Du moins, on ne est en droit attendre que le comportement par défaut ne le permette pas.
D'où l'importance de l'administration pour renforcer la sécurité.

[chrtophe]

C'est marrant, sur tout les systèmes Linux que j'utilise, il faut agir pour désactiver l'interdiction par défaut de connexion root avant de pouvoir s'y connecter avec ssh
Bref, la quasi totalité des machines Linux est invulnérable à cette menace.

Sauf en présence de faille SSH, il y en a une sous Linux qui avait fait grand bruit.

Après rien n’empêche d'utiliser le port knocking pour SSH, et SELinux ou apparmor pour ajouter de la sécurité, mais c'est l'enfer à paramétrer.

[Sve@r]

Mouais. Les failles de Linux sont tellement rares que quand on en trouve une, on en parle dans tout le monde informatique. En revanche quand on trouve un faille sous zindow, c'est juste "une de plus dans la multitude"...