IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Actualités Discussion :

Un chercheur expose des failles du noyau de Linux pour améliorer la sécurité de l'OS

  1. #41
    Membre confirmé
    Inscrit en
    février 2010
    Messages
    230
    Détails du profil
    Informations forums :
    Inscription : février 2010
    Messages : 230
    Points : 579
    Points
    579
    Par défaut
    Le fait qu'une faille éxiste et soit connu n'est pas un problème : tant qu'elle n'est pas exploité, le danger n'est que potentiel.

    De plus, une faille qui se retrouve exploité est corrigé en à peu près une semaine (la plupart du temps). Donc même lorsque qu'une faille est exploité, ce laps de temps n'est en général pas assez long pour permettre une infestation mondiale dangereuse. C'est pour cette raison que, malgré les faille dont il souffre, la plupart des utilisateurs n'en ont finalement pas peur. Sauf en cas d'attaque très ciblée, évidemment.

    L'autre raison qui fait préférer Windows, c'est que tout (ou presque) éxiste sous Windows, alors qu'il est parfois difficile de trouver son bonheur sur d'autres OS.

    Par exemple : Trouvez-moi un équivalent compatible de SolidWorks pour MacOS et Linux?

    Windows à réussi à s'installer en leader du fait des judicieuses décisions commerciales de Bill Gates, et c'est maintenant cette position "dominante" qui s'auto-entretien : On développe pour Windows parce que Windows est le plus répendu. On achète Windows parce qu'on y trouve de tout.

    C'est une sorte de cercle vicieux. Il ne se brisera que lorsqu'il se produira un évennement suffisament fort pour que la majorité des utilisateurs changent d'OS. Et même alors, ce processus risque d'être suffisament long pour que Microsoft se reprenne et sauve la face. Mais ça, on ne le saura que quand ça arrivera ^^

  2. #42
    Expert éminent sénior
    Avatar de koala01
    Homme Profil pro
    aucun
    Inscrit en
    octobre 2004
    Messages
    11 511
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 49
    Localisation : Belgique

    Informations professionnelles :
    Activité : aucun

    Informations forums :
    Inscription : octobre 2004
    Messages : 11 511
    Points : 29 908
    Points
    29 908
    Par défaut
    Citation Envoyé par GCSX_ Voir le message
    Le fait qu'une faille éxiste et soit connu n'est pas un problème : tant qu'elle n'est pas exploité, le danger n'est que potentiel.
    Si le danger n'est que potentiel, file moi ta carte bleue et le code qui va avec...

    De plus, une faille qui se retrouve exploité est corrigé en à peu près une semaine (la plupart du temps). Donc même lorsque qu'une faille est exploité, ce laps de temps n'est en général pas assez long pour permettre une infestation mondiale dangereuse. C'est pour cette raison que, malgré les faille dont il souffre, la plupart des utilisateurs n'en ont finalement pas peur. Sauf en cas d'attaque très ciblée, évidemment.
    Sauf que c'est souvent plus vicieux que cela.

    Je reprend l'exemple de la faille connue depuis deux ans sans être colmatée:

    Un "petit malin" a utiliser cette faille pour infester les ordinateur sans que rien ne soit apparent, "simplement", chaque fois qu'il y avait un oridnateur à infester, il l'était effectivement.

    Il a laissé son joujou, comme cela, sans rien faire de particulier pendant plusieurs mois, le temps qu'un maximum de pc soient infestés et, le jour J à l'heure H, tous les pc ont commencer à envoyer des requêtes en grand nombre aux différents serveurs.

    Le résultat ne s'est pas fait attendre: en moins d'un quart d'heure, tous les serveurs attaqués était en dénis de service.

    Et de mémoire, il a fallu de nombreuses heures pour arriver à relancer la machinerie "internet".
    A méditer: La solution la plus simple est toujours la moins compliquée
    Ce qui se conçoit bien s'énonce clairement, et les mots pour le dire vous viennent aisément. Nicolas Boileau
    Compiler Gcc sous windows avec MinGW
    Coder efficacement en C++ : dans les bacs le 17 février 2014
    mon tout nouveau blog

  3. #43
    Modérateur
    Avatar de sevyc64
    Homme Profil pro
    Développeur informatique
    Inscrit en
    janvier 2007
    Messages
    9 945
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 49
    Localisation : France, Pyrénées Atlantiques (Aquitaine)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : janvier 2007
    Messages : 9 945
    Points : 26 922
    Points
    26 922
    Par défaut
    Le fait qu'une faille éxiste et soit connu n'est pas un problème : tant qu'elle n'est pas exploité, le danger n'est que potentiel.
    C'est pour ça que tu laisse ta maison grande ouverte quand tu t'absente. De toute façon tant qu'il n'y a pas de voleur qui circule dans le quartier, le danger n'est que potentiel
    --- Sevyc64 ---

    Parce que le partage est notre force, la connaissance sera notre victoire

  4. #44
    Membre confirmé

    Profil pro
    Inscrit en
    mars 2009
    Messages
    349
    Détails du profil
    Informations personnelles :
    Localisation : France, Gironde (Aquitaine)

    Informations forums :
    Inscription : mars 2009
    Messages : 349
    Points : 538
    Points
    538
    Par défaut
    si un voleur veut venir chez toi c'est pas une porte qui va l'arrêter

  5. #45
    Membre averti Avatar de SYL666
    Inscrit en
    novembre 2003
    Messages
    308
    Détails du profil
    Informations forums :
    Inscription : novembre 2003
    Messages : 308
    Points : 405
    Points
    405
    Par défaut
    Citation Envoyé par bioinfornatics Voir le message
    si un voleur veut venir chez toi c'est pas une porte qui va l'arrêter
    euh... en même temps, je ne vois pas trop l'utiliter de ce sujet de discussion :
    -> Dans il n'y a personne chez toi, que tu es parti en vacances pour 1 semaine, est ce que tu laisse la porte grande ouverte ?
    -> si oui : d'accord, je ferme mon clapet, mais file moi ton adresse s'il te plait
    -> si non : pour quelle raison fais tu cela ? ne me dit pas que c'est pour concerver la chaleur car il ne fait pas froid, on est en aout
    The Big Bang theory : In the beginning there was nothing, and it exploded. (Terry Pratchett)

    IT Quote : "Unix is user-friendly. It's just very selective about who its friends are."

  6. #46
    Expert éminent sénior
    Avatar de koala01
    Homme Profil pro
    aucun
    Inscrit en
    octobre 2004
    Messages
    11 511
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 49
    Localisation : Belgique

    Informations professionnelles :
    Activité : aucun

    Informations forums :
    Inscription : octobre 2004
    Messages : 11 511
    Points : 29 908
    Points
    29 908
    Par défaut
    Citation Envoyé par bioinfornatics Voir le message
    si un voleur veut venir chez toi c'est pas une porte qui va l'arrêter
    Non, mais cela va le ralentir, on espère, suffisamment pour que quelqu'un puisse réagir et "lui faire peur".

    On en arrive donc dans une situation dans laquelle même un risque jugé seulement "potentiel" suffit à te faire prendre des mesures en vue de le restreindre encore d'avantage.

    Le gain de sécurité apporté est, peut être négligeable à l'échelle des autres risques, mais c'est la globalité des petites mesures qui augmentent de manière significative la sécurité globale ("ce sont les petits ruisseaux qui font les grands fleuves" )
    A méditer: La solution la plus simple est toujours la moins compliquée
    Ce qui se conçoit bien s'énonce clairement, et les mots pour le dire vous viennent aisément. Nicolas Boileau
    Compiler Gcc sous windows avec MinGW
    Coder efficacement en C++ : dans les bacs le 17 février 2014
    mon tout nouveau blog

  7. #47
    Membre confirmé
    Inscrit en
    février 2010
    Messages
    230
    Détails du profil
    Informations forums :
    Inscription : février 2010
    Messages : 230
    Points : 579
    Points
    579
    Par défaut
    Le danger reste potentil, certes, mais ce n'est pas pour celà que je laisserai ma porte ouverte. Il est nécessaire, du point de vue de la sécurité, de collmater la faille.

    Mais du point de vue d'une entreprise, tant que le risque n'est pas avéré, il est difficile de débloquer de l'argent, car il faut se justifier.
    Quand vous dits à votre patron "j'ai besoin d'une équipe de x ingénieurs pendant x jours pour collmater telle faille", il va vous répondre quelque chose du genre "quel est le risque? est-il nécessaire de faire ça maintenant?". Si vous répondez seulement "il y'a un risque", il y'a fort peu de chance qu'il vous laisse faire.

    L'Homme n'est pas très prévoyant. Il n'y a qu'a voir les rapport d'enquètes sur les crash d'avions (environ 70% sont dûs à des problèmes techniques inprévus, sous-estimés ou même ignorés : un exemple, les câbles électriques des Boeing circulent dans des chemins de câbles sans couvercles. Ce fut la cause d'un incendie. L'enquète a récemment été relatée dans l'emission Air Crash, précisant que depuis, rien n'a changé : trop cher.), Mais le plus marquant fut sans doute l'accident de la navette Columbia qui a été autorisée à redescendre malgré la présence connue de l'impact du cube de mousse dès le décollage (l'impact est clairement visible sur la vidéo) et vérifié une fois en orbite. On peut aussi citer Apollo 1, qui a brûlé au sol lors d'un éssai de pressurisation : les astronautes avaient signalés une odeur de brûlé, mais les responsables on jugé cette information négligeable, alors qu'ils s'apprêtaient à remplir la capsule faite de matériaux inflammables avec de l'oxygène pur...

    Comme quoi, il n'y a pas qu'en informatique que l'Homme est nagligent. Des domaines aussi critiques que l'aéospatial sont touchés par les éffets de la course à la rentabilité : on veut dépenser le moins possible. C'est pour ça que la plupart des failles dont le risque n'est pas jugé préoccupant ne sont pas colmatés avant d'avoir été utilisés...

    Dans ce genre de situations, un PoC est une bonne idée. Mais avant de le diffuser librement (permettant ainsi à une personne malveillante de s'en servir) il serait préférable de le fournir à l'entreprise concernée ou à une communautée digne de confience, capable de faire réagir l'entreprise (un groupe d'expert en sécurité par exemple)

    -> Koala01 : La carte banquaire est un mauvais exemple car dans ce cas je consentirais à te les donner. Ce ne serait donc pas une faille mais ma stupidité qui serait en cause.
    En revanche, la fenêtre d'une maison consitue dans un sens une faille à sa sécurité : il suffit de casser la vitre pour entrer. Les correctifs disponibles sont la condamnation (une grille devant la fenêtre), un système d'alarme, etc...

  8. #48
    Expert éminent sénior
    Avatar de koala01
    Homme Profil pro
    aucun
    Inscrit en
    octobre 2004
    Messages
    11 511
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 49
    Localisation : Belgique

    Informations professionnelles :
    Activité : aucun

    Informations forums :
    Inscription : octobre 2004
    Messages : 11 511
    Points : 29 908
    Points
    29 908
    Par défaut
    Citation Envoyé par GCSX_ Voir le message
    Dans ce genre de situations, un PoC est une bonne idée. Mais avant de le diffuser librement (permettant ainsi à une personne malveillante de s'en servir) il serait préférable de le fournir à l'entreprise concernée ou à une communautée digne de confience, capable de faire réagir l'entreprise (un groupe d'expert en sécurité par exemple)
    Qu'est ce qui pourrait nous faire croire que les failles sont directement diffusées à grande échelle ?

    Ils sont le plus souvent (du moins, à en croire ceux qui finissent par les diffuser) effectivement transmis à "la personne capable" d'y réagir et diffusés "uniquement" en cas de mauvaise volonté flagrante.

    Sauf, que, à en croire l'autre partie en présence (la société qui a laissé la faille dans son code), il semblerait que les failles diffusées n'aient jamais été transmises

    Il serait sans doute tout aussi utopiste de croire que les PoC sont systématiquement transmises "à qui de droit" (car il y a réellement une tranche de gens malveillants) que de croire qu'elle ne le sont jamais.

    Le problème, c'est que l'on est souvent confronté à la parole de l'un contre celle de l'autre.

    Mais, quoi qu'il en soit, il est aberrant de laisser une faille quelque part si on en a connaissance, quel que soit le biais par lequel on en a pris connaissance et quel que soit l'avis sur la "correction" des manières de celui qui la découvre.

    Il suffit de voir ce qui s'est passé dans le secteur automobile cette année: combien de fois une grande marque n'a-t-elle pas décidé de rappeler une série de modèles pour résoudre des problèmes qui n'étaient que "potentiels"

    Pourquoi faut-il toujours attendre en informatique qu'un problème potentiel soit divulgué en masse pour finir par obtenir une réaction (qui est le plus souvent de l'ordre du "c'est inacceptable, il (celui qui divulgue le problème) n'avait pas à le faire)
    A méditer: La solution la plus simple est toujours la moins compliquée
    Ce qui se conçoit bien s'énonce clairement, et les mots pour le dire vous viennent aisément. Nicolas Boileau
    Compiler Gcc sous windows avec MinGW
    Coder efficacement en C++ : dans les bacs le 17 février 2014
    mon tout nouveau blog

  9. #49
    Modérateur
    Avatar de sevyc64
    Homme Profil pro
    Développeur informatique
    Inscrit en
    janvier 2007
    Messages
    9 945
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 49
    Localisation : France, Pyrénées Atlantiques (Aquitaine)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : janvier 2007
    Messages : 9 945
    Points : 26 922
    Points
    26 922
    Par défaut
    Mais le plus marquant fut sans doute l'accident de la navette Columbia qui a été autorisée à redescendre malgré la présence connue de l'impact du cube de mousse dès le décollage (l'impact est clairement visible sur la vidéo) et vérifié une fois en orbite.
    Ça, c'est le mauvais exemple typique, celui qu'il ne faut surtout pas prendre.

    Que voulais-tu que la NASA fasse ? Il était effectivement probable que la navette soit détruite au retour sur terre, mais il existait une infime chance que non.
    La navette ne pouvait, de toute façon pas rester en orbite et il était totalement impossible de réparer dans l'espace, le matériel nécessaire n'était pas prévu à bord car l'incident n'était, jusque là pas imaginable.
    Tu pourra toujours avancer les rapports polémistes contre la NASA sur les négligences d'entretien et autres qui existaient depuis des mois/années, je te répondrais que la faille alors, n'était pas de faire revenir la navette sur terre, la faille était justement de la faire décoller.
    A partir du moment ou elle avait décollée, il n'existait que 2 solutions soit abandonner la navette dans les confins de l'espace avec 10 hommes d'équipage que l'on tuaient volontairement, soit la ramener sur terre en laissant croire qu'il existait une infime chance qu'ils s'en sortent . En terme de crise et d'image, la seconde solution est plus facile à gerer.

    Je citerais 2 cas similaires, les russes avec le sous-marin nucléaire Koursk et l'image déplorable qu'ils ont donner de leur gestion de la crise, la NASA (encore elle) avec Appolo 13.
    2 façons de gérer une crise, où, de toute façon l'issue était connue et l'équipage considéré perdu. Sauf que pour Appolo 13, il y a eu un coup de poker, l'équipage s'en est sorti (à quelque dizaines de minutes d'après l'histoire)


    Tout ça pour dire que là, on est plus sur du danger potentiel, mais sur un danger exploité, avec des conséquences graves et des retombées à gérer tant bien que mal. En Informatique on aurait très largement dépassé le PoC.
    --- Sevyc64 ---

    Parce que le partage est notre force, la connaissance sera notre victoire

  10. #50
    Membre confirmé
    Inscrit en
    février 2010
    Messages
    230
    Détails du profil
    Informations forums :
    Inscription : février 2010
    Messages : 230
    Points : 579
    Points
    579
    Par défaut
    Pour Columbia, il était possible d'héberger l'équipage sur l'ISS en attendant une autre navette (Discovery, Atlantis, Endeavour ou une navette russe) pour ramener l'équipage en toute sécurité et même réparer Columbia (les 3 navettes cités ont été équipés d'un bras robotisé capable de réparer le bouclier thermique après l'accident).

    Le problème aurait donc pu être évité de cette façon, mais le pire, c'est que ce type de problèmes d'entretien était connu de la NASA bien avant, et à été ignoré... On se trouve bien dans ce cas pour les failles en informatique, sauf que là, c'est quand même moins dangereux. (Bon OK, on peut imaginer que si un ordinateur pilotant une machine dangereuse venais à être pirater, ça peut être dangereux aussi )

Discussions similaires

  1. Des chercheurs trouvent une faille dans l’algorithme RSA
    Par Hinault Romaric dans le forum Sécurité
    Réponses: 12
    Dernier message: 09/12/2016, 10h32
  2. Réponses: 5
    Dernier message: 02/01/2014, 15h39
  3. Réponses: 17
    Dernier message: 21/11/2013, 00h35
  4. Réponses: 0
    Dernier message: 14/10/2013, 03h16
  5. Des chercheurs découvrent une faille de sécurité critique dans SSL
    Par Hinault Romaric dans le forum Sécurité
    Réponses: 26
    Dernier message: 04/10/2011, 12h04

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo