On Tue, 20 Feb 2024, Maxime DERCHE wrote: > > > Après effectivement j'ai déjà soulevé ici ou ailleurs (frsag ?) la > > > question > > > de l'antivirus sous Linux, ça existe, y compris en zone UE (ESET par > > > exemple). Et il y a toujours l'ami ClamAV quand il faut vraiment une > > > excuse > > > (ou bien quand on fait de l'OpenBSD :p). > > > > Et sachant que plusieurs vulnérabilités critiques sur Clamav on deja > > été annoncées dans le passé, cela rajoute de la surface d'attaque sur > > la machine. Ce qui peut valoir le cout ou pas suivant le contexte. > > Mais lol, cette mauvaise fois. :-) > > L'antivirus te permet de couvrir un risque. Un scénario d'attaque est > modélisable par une chaîne de risques appliqués à des actifs, donc couper un > risque particulier sur la totalité des actifs permet de casser un certain > nombre de chaînes de risques, et c'est contrer autant de scénarii de risques > à l'échelle globale de l'infrastructure.
Ca permet de couvrir un risque dans un certain contexte uniquement. Si on parle d'un système qui va contenir des données jamais susceptibles d'etre executées l'antivirus ne sert à rien. Si le systeme va contenir des données très confidentielles auquel certaines personnes motivées sont susceptibles de vouloir accéder, alors l'antivirus risque d'etre au contraire néfaste puisqu'il va permettre à n'importe qui capable de trouver un bug dans l'antivirus de l'exploiter pour acceder aux données du systeme. Peut-etre meme que dans certains cas l'antivirus va décider d'envoyer les fichiers super confidentiels directement sur les serveurs de l'editeur de l'antivirus pour analyse. > Si des vulnérabilités critiques sont publiées, dans ClamAV comme dans > n'importe quel autre bout de code, il faut appliquer la procédure de mise à > jour critique -- avec un gestionnaire de paquet la surface d'attaque n'est > pas plus grande avec ou sans tel ou tel autre logiciel installé, surtout > s'il est actionné via une orchestration centralisée. Quand on met en place un système sur lequel la sécurité est importante on ne se contente pas d'appliquer des mises à jour. Il est tout aussi important de séléctionner minitieusement les logiciels qu'on fait tourner en essayant d'exclure ceux qui sont le plus susceptibles de contenir des problème de sécurité. Et un antivirus, c'est à dire un programme capable de décoder à peu près tous les formats de fichiers existants, c'est exactement le type de logiciel qu'il est à peu près impossible de faire sans bugs. > En toute bonne foi, agrandir un tout petit peu la surface d'attaque pour la > réduire énormément, le compromis est généralement considéré bénéfique. Tout dépend du contexte. C'est justement le problème de ce type de questionnaire automatique de supposer que l'unique risque contre lequel il faudrait se proteger est celui d'un fichier contenant un virus qui va etre téléchargé et executé. Mais il y a de nombreux cas où ce type de risque n'existe pas et c'est contre d'autres risques qu'il est important de se protéger. --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/