IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Actualités Discussion :

Un chercheur expose des failles du noyau de Linux pour améliorer la sécurité de l'OS

  1. #1
    Expert éminent sénior
    Avatar de Idelways
    Homme Profil pro
    Développeur Ruby on Rails / iOS
    Inscrit en
    juin 2010
    Messages
    1 374
    Détails du profil
    Informations personnelles :
    Sexe : Homme

    Informations professionnelles :
    Activité : Développeur Ruby on Rails / iOS

    Informations forums :
    Inscription : juin 2010
    Messages : 1 374
    Points : 68 508
    Points
    68 508
    Par défaut Un chercheur expose des failles du noyau de Linux pour améliorer la sécurité de l'OS
    Un chercheur expose des failles du noyau de Linux
    Pour l'améliorer, Red Hat et la NSA verraient ses efforts d'un mauvais œil




    Expert reconnu du Kernel, le chercheur Brad Spengler a présenté hier sa vision de la sécurité de Linux durant la conférence LinuxCon qui se déroule cette semaine à Boston.

    Spengler y a par exemple parlé de « Enlightenment », un exploit de son cru qui permet - ni plus ni moins - de désactiver la politique de sécurité de Linux, y compris SELinux et AppArmor.

    « Enlightenment » qui prouve, selon lui, que les contrôles d'accès ne sont pas la protection ultime, mais doivent plus être considérés comme une dernière ligne de défense.

    Spengler affirme avoir codé 11 autres exploits du Kernel durant les dernières années. Des efforts qui ont aidé à rendre Linux plus sûr.

    Il explique son acharnement à produire autant d'exploits par la passivité des entreprises qui développent Linux, à commencer par Red Hat qui n'a réagi à aucun de ses 7 premiers exploits qui menaçaient la sécurité des utilisateurs de Red Hat Entreprise Linux.

    Ce n'est qu'au bout du huitième que l'entreprise aurait finalement réagi en corrigeant toutes les failles. Pour lui, seules les failles rendues publiques semblent pouvoir produire un changement dans la perception de la sécurité (lire par ailleurs : Google veut réinventer les règles de divulgation des failles)

    Si l'on se doute que Red Hat ne sera pas ravi par ces affirmations, d'autres sont aussi passablement énervés par les travaux de Spengler. La NSA (Agence de Sécurité Nationale), qui a participé au développement de SELinux, voit ses efforts d'un très mauvais œil.

    Elle aurait même réagi en contactant, non pas le chercheur, mais son employeur afin de nuire à sa carrière.

    Mais pour lui la fin justifie les moyens et SELinux serait à présent un bien meilleur produit.

    Spengler présente aussi un ensemble de pistes pour améliorer la sécurité de Linux.

    Il suggère en premier lieu l'usage de la « randomisation de l'espace d'adressage » (ASLR), une technique d'adressage aléatoire des objets partagés dans la mémoire. Cette technique pourrait compliquer les attaques qui exploitent les adressages mémoires écrits en dur.

    Il propose également de retirer du noyau ce qu'il appelle des « infoleaks » (fuites d'informations) comme que la fonction « slabinfo » qui rapporte la taille des blocks de mémoire et peut être potentiellement utilisée par les pirates.

    D'autres éléments du Kernel mériteraient également d'être mieux sécurisés, comme « syscall », la table des appels système qui doit être selon lui passée en lecture-seule.

    Mais selon Spengler, la sécurité ne concerne pas que les développeurs. Des mesures prises par les administrateurs et les utilisateurs peuvent aussi mener à des systèmes plus sûrs.

    Pour mémoire, Brad Spengler est l'expert en sécurité à l'origine du projet « grsecurity », un patch permettant d'ajouter des fonctionnalités de sécurité au noyau Linux.



    Source : Site de LinuxCon


    Lire aussi :

    Kernel 2.6.35 : amélioration de la gestion du multi-coeur et des performances réseaux, Google contribue activement au noyau de l'OS

    Google veut réinventer les règles de divulgation des failles, et publie un guide de bonne conduite pour mettre la pression sur les éditeurs : Microsoft visé ?

    Windows : nouvelle faille mineure dans le noyau, Travis Ormandy de Google l'utilise tout de même pour critiquer Microsoft

    La sécurité d'Android remise en question, au BlackHat 2010 à cause de failles de Linux non-patchés et du système de permission

    Les rubriques (actu, forums, tutos) de Développez :

    Linux Professionnel
    Sécurité
    Systèmes



    Et vous ?

    Quelles sont les mesures que vous recommandez pour augmenter la sécurité de Linux ?



    En collaboration avec Gordon Fowler

  2. #2
    Membre du Club
    Homme Profil pro
    Développeur informatique
    Inscrit en
    août 2009
    Messages
    11
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 34
    Localisation : France, Loiret (Centre)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : Industrie

    Informations forums :
    Inscription : août 2009
    Messages : 11
    Points : 41
    Points
    41
    Par défaut
    Déja, un bon administrateur qui connait bien son boulot et le système qu'il administre, ce serai déja une révolution en termes de sécurité pour les entreprises !

  3. #3
    Modérateur
    Avatar de sevyc64
    Homme Profil pro
    Développeur informatique
    Inscrit en
    janvier 2007
    Messages
    9 945
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 49
    Localisation : France, Pyrénées Atlantiques (Aquitaine)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : janvier 2007
    Messages : 9 945
    Points : 26 922
    Points
    26 922
    Par défaut
    Ben pour une fois que "Failles de sécurité" ne rime pas avec Windows et Microsoft, ça me rassure si besoin en était.


    --- Sevyc64 ---

    Parce que le partage est notre force, la connaissance sera notre victoire

  4. #4
    Membre émérite
    Profil pro
    Inscrit en
    mars 2005
    Messages
    1 683
    Détails du profil
    Informations personnelles :
    Âge : 37
    Localisation : France

    Informations forums :
    Inscription : mars 2005
    Messages : 1 683
    Points : 2 699
    Points
    2 699
    Par défaut
    Du coup, doit on tout publier? Puisque apparemment dès qu'il s'agit d'une société elle en fait un peu qu'à sa tête, peut être qu'avec une assoc (genre Mozilla) c'est différent...?
    dam's

  5. #5
    Expert confirmé Avatar de kain_tn
    Homme Profil pro
    Inscrit en
    mars 2005
    Messages
    1 057
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Suisse

    Informations forums :
    Inscription : mars 2005
    Messages : 1 057
    Points : 4 001
    Points
    4 001
    Par défaut
    Citation Envoyé par sevyc64 Voir le message
    Ben pour une fois que "Failles de sécurité" ne rime pas avec Windows et Microsoft, ça me rassure si besoin en était.


    Enfin bon, au moins là, personne ne râle (mis à part Red Hat et la NSA) parce que les exploits ont été rendus publics

    Citation Envoyé par dams78 Voir le message
    Du coup, doit-on tout publier? Puisque apparemment dès qu'il s'agit d'une société elle en fait un peu qu'à sa tête, peut-être qu'avec une assoc (genre Mozilla) c'est différent...?
    Oui, tout publier a du bon. Je ne vois pas pourquoi ça devrait être différent selon l'OS ou la société.
    Copier c'est copier; voler c'est vendre un CD une vingtaine d'euros!


    Code C : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    #include <stdio.h>
     
    int main(int argc, char **argv) {
     
        printf("So long, and thanks for the fish, Dennis...\n");
        return 0;
    }

  6. #6
    Membre chevronné Avatar de Hellwing
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    avril 2008
    Messages
    537
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 38
    Localisation : France, Bas Rhin (Alsace)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels

    Informations forums :
    Inscription : avril 2008
    Messages : 537
    Points : 2 031
    Points
    2 031
    Par défaut
    Citation Envoyé par kain_tn Voir le message
    Et un troll, un!

    Enfin bon, au moins là, personne ne râle (mis à part Red Hat et la NSA) parce que les exploits ont été rendus publics



    Oui, tout publier a du bon. Je ne vois pas pourquoi ça devrait être différent selon l'OS ou la société.
    Tout publier, mais quand et à qui ?

  7. #7
    Membre chevronné
    Profil pro
    Développeur Java Indépendant
    Inscrit en
    mai 2007
    Messages
    1 333
    Détails du profil
    Informations personnelles :
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Développeur Java Indépendant

    Informations forums :
    Inscription : mai 2007
    Messages : 1 333
    Points : 2 052
    Points
    2 052
    Par défaut
    Citation Envoyé par Hellwing Voir le message
    Tout publier, mais quand et à qui ?
    Quand tu veux et à tout le monde, sinon ils se bougent pas le cul, que ça soit M$, Apple ou les sociétés supportant linux.
    Yoshi

    PS : tous les propos tenus dans le message ci-dessus sont à préfixer avec "A mon humble avis", "Je pense que". Il serait inutilement fastidieux de le rappeler à chaque phrase.

  8. #8
    Expert éminent sénior
    Avatar de Marco46
    Homme Profil pro
    Développeur informatique
    Inscrit en
    août 2005
    Messages
    4 413
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 40
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : août 2005
    Messages : 4 413
    Points : 19 368
    Points
    19 368
    Par défaut
    Citation Envoyé par GanYoshi Voir le message
    Quand tu veux et à tout le monde, sinon ils se bougent pas le cul, que ça soit M$, Apple ou les sociétés supportant linux.
    +1

    Une société est une société. Qu'elle produise du libre n'y change rien.

    Laisser quand même le temps de corriger c'est quand même mieux mais publier s'il y a une mauvaise volonté manifeste.
    Un problème avec Git ? Essayez la FAQ, sinon posez votre question sur le forum.



    "Toute personne croyant qu'une croissance exponentielle peut durer indéfiniment dans un monde fini est soit un fou, soit un économiste."
    Kenneth E. Boulding

    "Les richesses naturelles sont inépuisables, car, sans cela, nous ne les obtiendrions pas gratuitement. Ne pouvant être ni multipliées ni épuisées, elles ne sont pas l’objet des sciences économiques."
    Jean-Baptiste Say, Traité d'économie politique, 1803.

    "/home/earth is 102% full ... please delete anyone you can."
    Inconnu

  9. #9
    McM
    McM est déconnecté
    Expert éminent

    Homme Profil pro
    Développeur Oracle
    Inscrit en
    juillet 2003
    Messages
    4 570
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Bouches du Rhône (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Développeur Oracle

    Informations forums :
    Inscription : juillet 2003
    Messages : 4 570
    Points : 7 709
    Points
    7 709
    Billets dans le blog
    4
    Par défaut
    Tout à fait d'accord avec Marco46.
    Une faille de sécurité ne se corrige pas en 1 journée (ou alors sans tester toutes les fonctionnalités rattachées)
    More Code : More Bugs. Less Code : Less Bugs
    Mon Blog PL/Sql : Fichier Zip / Image BMP / Lire sqliteDB / QRCode et Images PNG ou BMP

  10. #10
    Expert confirmé

    Profil pro
    Inscrit en
    février 2006
    Messages
    2 317
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : février 2006
    Messages : 2 317
    Points : 4 481
    Points
    4 481
    Par défaut
    ôtez moi d'un doute, ceux sont des failles du noyau linux ou pas?

    parce que si c'est le noyau, je vois pas en quoi red hat pourrait y faire quelque chose, il me semble que c'est linus torwald qui gère ça non? ou alors je comprends strictement rien à cet article?

  11. #11
    Membre régulier
    Profil pro
    Inscrit en
    juillet 2010
    Messages
    41
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : juillet 2010
    Messages : 41
    Points : 79
    Points
    79
    Par défaut
    Elle aurait même réagi en contactant, non pas le chercheur, mais son employeur afin de nuire à sa carrière.
    Ils devraient plutôt le remercier et lui proposer un job...

    Quelles sont les mesures que vous recommandez pour augmenter la sécurité de Linux ?
    Le must serait un pur projet collaboratif des grands noms et pas uniquement Red Hat. C'est pourtant vraiment pas dur à mettre en place...

    Le plus juste selon AMA: Informer les personnes/entreprises concernées, et si aucune réponse après un certain laps de temps, full disclosure.

    Mais laisser du temps est important quand même, par contre ne donner aucune réponse, ce n'est pas malin.

  12. #12
    Membre éclairé

    Profil pro
    Inscrit en
    mai 2009
    Messages
    277
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : mai 2009
    Messages : 277
    Points : 731
    Points
    731
    Par défaut
    Citation Envoyé par stardeath Voir le message
    ôtez moi d'un doute, ceux sont des failles du noyau linux ou pas?

    parce que si c'est le noyau, je vois pas en quoi red hat pourrait y faire quelque chose, il me semble que c'est linus torwald qui gère ça non? ou alors je comprends strictement rien à cet article?
    Ce qu'il veut dire, c'est que Red Hat aurait pu fournir un patch. Red Hat est tellement impliqué dans le développement du noyau qu'ils devraient être dans les premiers à réagir effectivement.

  13. #13
    Membre averti Avatar de SYL666
    Inscrit en
    novembre 2003
    Messages
    308
    Détails du profil
    Informations forums :
    Inscription : novembre 2003
    Messages : 308
    Points : 405
    Points
    405
    Par défaut
    D'un coté, je suis très d'accord avec lui ... il suffit de voir que coté Microsoft, l'ASLR est présent depuis pas mal de temps. Linux est assez à la traine. Un coup de pied dans la fourmilière est parfois nécessaire pour en refaire les fondations.

    Mais d'un autre coté, il faut aussi prendre en compte le nombre de serveur qui tournent sur le Net dont les admins ne cherchent pas vraiment à protéger via des patchs.

    Le problème, je pense, c'est justement qu'il y a une fausse idée sur laquelle Linux serait plus sécurisé que Windows. Alors il n'y a pas à s'en faire.
    Pourtant, cette affirmation est bien entendu ridicule.
    The Big Bang theory : In the beginning there was nothing, and it exploded. (Terry Pratchett)

    IT Quote : "Unix is user-friendly. It's just very selective about who its friends are."

  14. #14
    Futur Membre du Club
    Femme Profil pro
    Lycéen
    Inscrit en
    juillet 2010
    Messages
    8
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Localisation : France

    Informations professionnelles :
    Activité : Lycéen

    Informations forums :
    Inscription : juillet 2010
    Messages : 8
    Points : 7
    Points
    7
    Par défaut
    Citation Envoyé par manudwarf Voir le message
    Ce qu'il veut dire, c'est que Red Hat aurait pu fournir un patch. Red Hat est tellement impliqué dans le développement du noyau qu'ils devraient être dans les premiers à réagir effectivement.
    Non Redhat n'est pas impliqué dans le développement du noyau. Aucune entreprise n'est impliqué dans cela par-contre des développeurs travaillant pour des entreprises collaborent au développement du noyau. C'est très subtil mais cela permet aux principaux développeurs du noyau une plus grande autonomie. Voir récemment le cas de google avec Android . Par contre redhat comme Novell ou Mandriva, utilisent le noyau linux commun mais ils ajoutent de nombreux patchs à eux. Et dans ce cas redhat modifie le noyau pour pouvoir utiliser SElinux qui est un module, au mieux. Et c'est dans ce module Selinux, qui fut développer par la NSA qu'il y aurait des failles.
    Sinon quand il y a une faille dans le noyau linux, généralement elle est corrigé dans le mois ou même dans la semaine contrairement a windows ou il faut des-fois attendre des années.

  15. #15
    Membre averti Avatar de SYL666
    Inscrit en
    novembre 2003
    Messages
    308
    Détails du profil
    Informations forums :
    Inscription : novembre 2003
    Messages : 308
    Points : 405
    Points
    405
    Par défaut
    Citation Envoyé par masha Voir le message
    Non Redhat n'est pas impliqué dans le développement du noyau. Aucune entreprise n'est impliqué dans cela par-contre des développeurs travaillant pour des entreprises collaborent au développement du noyau. C'est très subtil mais cela permet aux principaux développeurs du noyau une plus grande autonomie. Voir récemment le cas de google avec Android . Par contre redhat comme Novell ou Mandriva, utilisent le noyau linux commun mais ils ajoutent de nombreux patchs à eux. Et dans ce cas redhat modifie le noyau pour pouvoir utiliser SElinux qui est un module, au mieux. Et c'est dans ce module Selinux, qui fut développer par la NSA qu'il y aurait des failles.
    Je ne suis pas d'accord sur ces points :
    - Si une entreprise paie ses développeurs pour être impliqués dans le noyau Linux, c'est que l'entreprise elle même y est impliquée.
    Ces entreprises ont un assez gros pouvoir de décision. Il suffit de lire la Kernel Mailing List et de regarder les domaines des adresses e-mails.

    - La majeur partie des patchs upstreams sont à la base des patchs fournis par Red Hat & Co. Exemple => Un utilisateur rapporte un bug sur Suse (RHEL, Mandriva) => Les ingénieurs Suse patchent et fournissent le patch upstream aussi.

    - Beaucoup de (tous les ?) modules, tels que XFS, SELinux, drivers Intel, etc. ont été commencés par des entreprises (ici SGI, NSA et Intel eux mêmes), qui ont ensuite poussé pour que ceux-ci soient intégrés upstream.
    The Big Bang theory : In the beginning there was nothing, and it exploded. (Terry Pratchett)

    IT Quote : "Unix is user-friendly. It's just very selective about who its friends are."

  16. #16
    Membre confirmé

    Profil pro
    Inscrit en
    mars 2009
    Messages
    349
    Détails du profil
    Informations personnelles :
    Localisation : France, Gironde (Aquitaine)

    Informations forums :
    Inscription : mars 2009
    Messages : 349
    Points : 538
    Points
    538
    Par défaut
    J'aime bien tout le monde dit ubuntu (canonical youpi) et quand il y a des failles de sécurité il vont voir Red Hat
    D'ailleurs les équipes de canonical ils viennent poster leur bug sur le bugzilla de Fedora.
    Juste pour dire que Red Hat fait beaucoup d'effort il y pas que le noyau mais des centaines d'outils en plus qu'ils doivent gérer. Ça serait bient que des boites comme canonical mettent la main à la patte.

  17. #17
    Modérateur
    Avatar de sevyc64
    Homme Profil pro
    Développeur informatique
    Inscrit en
    janvier 2007
    Messages
    9 945
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 49
    Localisation : France, Pyrénées Atlantiques (Aquitaine)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : janvier 2007
    Messages : 9 945
    Points : 26 922
    Points
    26 922
    Par défaut
    Sinon quand il y a une faille dans le noyau linux, généralement elle est corrigé dans le mois ou même dans la semaine contrairement a windows ou il faut des-fois attendre des années.
    Vu le nombre de correctifs que Microsoft sort chaque mois pour ses OS, je ne sais pas s'il y a beaucoup de failles connues et non corrigées depuis des années dans Windows. Ou alors c'est parce qu'elles ne peuvent pas l'être.
    Il ne faut pas tout mélanger. Une faille peut exister depuis des années, mais si elle n'a été découverte que la semaine dernière, il aurait été difficile de la corriger, il y a 2 ans
    --- Sevyc64 ---

    Parce que le partage est notre force, la connaissance sera notre victoire

  18. #18
    Membre régulier
    Profil pro
    Inscrit en
    novembre 2009
    Messages
    84
    Détails du profil
    Informations personnelles :
    Localisation : France, Bouches du Rhône (Provence Alpes Côte d'Azur)

    Informations forums :
    Inscription : novembre 2009
    Messages : 84
    Points : 80
    Points
    80
    Par défaut
    Ben chaque entreprise qui développe sa distribution linux gère son noyau comme elle l'entend.
    Enfin moi je vois les choses comme ça en tout cas ^^.

  19. #19
    Membre expérimenté Avatar de alexrtz
    Homme Profil pro
    Développeur C++
    Inscrit en
    juin 2003
    Messages
    639
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 38
    Localisation : Canada

    Informations professionnelles :
    Activité : Développeur C++
    Secteur : Finance

    Informations forums :
    Inscription : juin 2003
    Messages : 639
    Points : 1 347
    Points
    1 347
    Par défaut
    Citation Envoyé par stardeath Voir le message
    ôtez moi d'un doute, ceux sont des failles du noyau linux ou pas?
    C'est ce que semble indiquer l'article.

    Citation Envoyé par stardeath Voir le message
    parce que si c'est le noyau, je vois pas en quoi red hat pourrait y faire quelque chose
    Red Hat contribue au noyau, il est donc possible que les bugs viennent des ces contributions.
    Quand on veut qu'un bug soit corrigé, on s'adresse en général au(x) développeur(s) qui a (ont) écrit le code impacté.

    Citation Envoyé par stardeath Voir le message
    linus torwald
    Linus Torvalds

    Sinon complètement d'accord avec le principe de divulgation des failles : il n'y a que comme ça que certaines sociétés vont se bouger les fesses (avec le délai de prévenance kivabien pour leur laisser le temps de montrer leur bonne volonté pour corriger le bazar).
    "Je suis incapable d'expliquer ce qui se passa ensuite : je lâchai quelque chose, quelque chose à quoi je m'agrippais depuis toujours sans m'en rendre compte. Je m'enfonçais dans une obscurité chaude, moelleuse et protectrice, tandis qu'un loup montait la garde par mes propres yeux."

  20. #20
    Membre averti

    Profil pro
    Inscrit en
    février 2009
    Messages
    284
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : février 2009
    Messages : 284
    Points : 388
    Points
    388
    Par défaut
    C'est vraiment très très étrange que la NSA ne veuille pas divulguer ses backdoors dans SE Linux.

Discussions similaires

  1. Des chercheurs trouvent une faille dans l’algorithme RSA
    Par Hinault Romaric dans le forum Sécurité
    Réponses: 12
    Dernier message: 09/12/2016, 10h32
  2. Réponses: 5
    Dernier message: 02/01/2014, 15h39
  3. Réponses: 17
    Dernier message: 21/11/2013, 00h35
  4. Réponses: 0
    Dernier message: 14/10/2013, 03h16
  5. Des chercheurs découvrent une faille de sécurité critique dans SSL
    Par Hinault Romaric dans le forum Sécurité
    Réponses: 26
    Dernier message: 04/10/2011, 12h04

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo