* Stéphane Becker <[email protected]> [2009-05-09 19:56 +0200]: >> dans le monde Windoze, en plus du fait que tu dois savoir qu'il existe >> autre chose, tu dois déjà l'installer manuellement et souvent le mettre >> à jour lorsque le logiciel n'intègre pas la verrue sensé pallier >> l'aspect justement monoculture du "Windows update" >> et je ne parle mm pas de trouver où se cache l'option permettant de >> définir le navigateur ou le client mail comme logiciel par défaut sensé >> s'ouvrir automatiquement lorsque l'utilisateur clique sur un URL ou un >> lien mailto: >> > Sous linux c'est le même problème, la différence consiste juste à savoir > si on tape l'intitulé du logiciel dans synaptic ou dans google.
c'est pas tout à fait pareil : d'une part tu as la possibilité de rechercher par catégorie, mot clé, nom du logiciel (bien sûr) ce qui permet de trouver bcp plus rapidement ce que tu cherches et puis du fait que ça soit si simple, une distribution Linux est installée par défaut avec des dizaines/centaines de logiciels en revanche, le fait de croire que parce que tu vas le chercher sur Google va te trouver ce que tu veux et que ça sera installable en 2 clics, tu n'as pas dû le faire souvent ou bien tu as eu de la chance ok, ça marche assez bien pour firefox ou OpenOffice mais j'ai eu l'occasion il y a 1 an de tenter de chercher un simple jeu de sudoku pour Windows et bien j'ai eu beau chercher pendant assez longtemps, j'ai bien trouvé des tonnes de shareware tous aussi bridés les uns que les autres sans arriver à trouver 1 seul programme utilisable (et je ne parle même pas d'en trouver un qui arrive à la cheville de ksudoku par ex.) ensuite, puisque l'on discute aussi de la sécurité, reste le problème des MAJ : ah bien sûr il y a 2 logiciels phares issue du monde du libre (FF et Thunderbird) qui embarque un outils de MAJ, et encore qques autres (vlc ou OOo par ex.) qui pour leur part permettent tout juste de détecter qu'une version plus récente existe mais pour ce qui est de la vraie MAJ du système et de tous les logiciels hors ceux issue de la firme de Redmond lorsque l'on est sous Windows c'est pas terrible et pousse justement à faire largement baisser le niveau de sécu > J'ai installé pas mal de linux chez des utilisateurs lambda, et ces > derniers ne connaissent absolument pas l'existence de Kmail, > Konqueror voir même de KDE car j'ai installé une Ubuntu. et alors, c'est normal et il n'y a aucun problème à ça s'ils étaient content avec FF3/Evolution ce que je soulignais dans le précédent mail n'est pas tant que tout le monde doit absolument connaitre ou tester des navigateurs ou lecteur de mail alternatif à ce qu'ils utilisent pour ma part, lorsque les gens ne connaissent pas j'installe ou je préconise la Kubuntu et c'est justement ça qui fait la diversité dont il est question depuis le début de ce fil de discussion > Pour le choix du logiciel par défaut, tous les logiciels windows le > propose dès qu'on le lance de se substituer au truc microsoft. Donc cela > revient globalement au même. oui, en effet si j'en ai parlé c'est surtout parce que l'endroit où c'est configurable est assez bien planqué >> - le fait que la plupart des distributions poussent à tourner sous un >> utilisateur classique plutôt que le compte root ou Administrateur >> comme on le voit souvent sous Windows >> > C'est une mode pas si ancienne que cela sur les distributions linux et > récente sous windows (c'est le principe de l'UAC de Windows qui reprend > exactement le concept de sudoer les taches d'administration). 2 remarques : ça fait déjà plusieurs années que certaines distributions ont donné l'exemple d'un compte root de moins en moins utilisable pour les travaux de tous les jours et les autres ont suivi mais ça fait quand même depuis les origines d'Unix (30 ou 40 ans) que cette notion d'être sous un utilisateur non admin est ancrée profondément qu'après il faille se connecter sous une autre console, taper su, sudo super ou je ne sais quelle autre commande est du détails mais je dirais surtout que c'est très récemment qu'il y a justement une tendance à verrouiller la possibilité qu'un utilisateur aura à utiliser root pour une utilisation courante (loggué sous X, faire tourner des programmes etc.) et cette tendance est probablement concomitante au fait que Linux ait attiré à lui des utilisateurs Windows qui avaient cette habitude d'être tout le temps en admin (j'ai des exemples pour illustrer ce que je dis) maintenant, pour revenir à Windows (Vista seulement) et l'UAC, je ne m'y connais pas trop mais d'après ce que j'ai pu lire ça et là, ce système semble tellement intrusif et surtout aux antipodes de ce que les utilisateurs ont l'habitude que j'ai l'impression que la première chose qu'un utilisateur Vista va faire c'est le désactiver cf. http://www.google.com/search?q=désactivation+Windows+UAC&ie=utf-8&oe=utf-8&aq=t&rls=org.debian:fr:unofficial&client=iceweasel-a et au point que cet aspect sera (a été ?) revu pour Windows 7 alors oui dans la théorie ça existe pour un OS qui de plus ne fait pas l'unanimité mais bon, ça n'est pas parce que ça existe et qu'en plus c'est souvent désactivé que ça rends l'OS plus sécure >> - une approche sécurité dans le dév. des logiciels bcp plus ancrée dans >> la culture Unix contrairement à Windows qui se veut conviviale et >> simple (simpliste ?) à utiliser quitte à autoriser l'exécution d'une >> macro attachée à un mail automatiquement >> (on pourrait longuement débattre de ce point du fait que Microsoft a >> fait des efforts depuis ces dernières années... reste que ça n'est pas >> forcément le cas des logiciels tiers) >> > La remarque sur les logiciels tiers laisse à penser que dans le monde > unix on a un standard de qualité uniforme au niveau logiciel, ce qui est > très loin d'être le cas. Chez OpenBSD par exemple ils mettent à point > d'honneur à auditer le code des logiciels inclus dans la distribution ce > qui prouve la confiance relative qu'ils ont dans le code de leurs > copains développeurs unix (bon en même temps la parano c'est leur fond > de commerce). Comme dit chez Microsoft ils ont percutés au niveau de la > sécurité depuis une paire d'années après quelques plantades > retentissante genre le blaster. tu as tout a fait raison et je n'ai jamais dit que Linux c'était la panacée (je te rappelle que le début de la discussion portait sur la comparaison Linux / Windows par rapport aux virus) mais c'est vrai qu'OpenBSD est vendu comme étant l'un des OS les plus sécurisé et audité mais comme tu le sais, rien ni personne n'est parfait et avec la meilleur volonté du monde, les failles existent partout et c'est juste une question de temps pour les trouver comme tu le rappelle OpenBSD en a fait les frais et ne peux plus se targué de n'avoir aucune faille après une installation par défaut ce cher Bernstein a aussi découvert qu'il y avait un trou dans son djbdns qu'il croyait intouchable et on découvre des bugs et trous de sécurité dans de nombreux logiciels clients ou serveur dans de nombreuses distributions Linux d'où l'importance de pouvoir très rapidement être alerté afin de boucher la faille in fine, lorsque l'on compte les failles qui sont exploitables à distance combiné avec des "zero-exploit day", je trouve que le monde Unix et Linux en particulier s'en tire pas mal (d'ailleurs je ne me souviens pas en avoir eu un ces 2/3 dernières années, et encore !) et quand bien mm ça devait arriver, il existe tellement de moyens qui sont souvent mis en œuvre par défaut pour limiter la casse que ça doit en effet décourager les initiatives > La virtualisation n'est pas la panacée en matière de sécurité qu'on nous > a vendu non plus, il existe / a existé plusieurs failles majeures dans > les différents logiciels de virtualisation qui permettaient de prendre > le controle d'encore plus de machines d'un seul coup. Il faut donc se > méfier aussi des balles en argent de la sécurité. je ne connais pas ces failles mais j'imagine qu'elles sont aussi bouchées au fur et à mesure qu'elles sont découvertes et puis il ne faut pas oublier que pour exploiter une faille dans le logiciel de virtualisation, il faut déjà que l'attaquant ait réussi à s'introduire dans le système via une faille dans l'un des logiciels serveur qui est hébergé donc la combinaison de pouvoir exploiter 2 failles dans 1 temps très proche (i.e. avant qu'elles soient corrigées) est d'autant plus improbable > Et bon on peut aussi virtualiser du serveur Windows. oui, avec tous les inconvénients que j'ai indiqué plus une nouvelle qui vient de ta remarque juste au dessus : du fait que les logiciels ne sont pas mis à jour dans la monde Windows, il incombe à l'administrateur de surveiller les MAJ de chacun des logiciels qu'il utilise pour voir s'il n'y a pas une faille qui permettrait à un attaquant de l'exploiter et tout ce temps gâché est autant de temps qu'il ne peut pas passer à améliorer et surveiller les systèmes dont il a la charge comme tu dois le savoir : la sécurité c'est un process et plus on peut industrialiser certaines tâches, plus on y gagne >> - de nombreuses améliorations de la sécurité du système existent >> (SeLinux, AppArmor, grsec) mm si ces dernières peinent à s'imposer >> dans les distributions >> > Le problème de ce genre de mécanismes de sécurité c'est qu'ils sont > contraignants pour l'utilisateur, et que même quand ils préviennent > l'utilisateur d'un problème il faut encore que ce dernier sache de quoi > on lui parle. oui, comme l'UAC et les mesures qui sont pris à ce sujet bon, plus sérieusement ça fait des années que j'utilise grsec sur de nombreuses machines perso ou au boulot et franchement je n'ai jamais eu de problème pour l'administrer ou comprendre les messages (rares) qu'il me donne et pourtant il n'est pas installé par défaut et je dois me faire mon noyau manuellement alors certes ça n'est pas la panacée ni un produit miracle sensé me protéger de tout mais j'estime qu'il contribue à monter un peu le niveau de sécurité de mes serveurs > L'exemple le plus flagrant ce sont les firewalls, où la > majorité des gens veulent juste que la boite de dialogue disparaisse > sans cherche à comprendre ce qui leur arrive. tout à fait d'accord : un firewall mal configuré ou dont on ne sais pas se servir ne sert à rien il faut mm mieux se mettre derrière à routeur : c'est tout aussi efficace et d'ailleurs ce problème sera encore plus vrai avec la généralisation de l'IPv6 > Sauf que pas mal de virus sous windows étaient de simple macro en VB, et > que l'intégration en standard de Mono ou autre python sur linux permet > d'envisager que c'est finalement pas tant un problème que cela. mono en standard ? je n'ai rien de ça sur aucun de mes machines (y compris client bien sûr) et pour ce qui est d'un macro virus en Python, j'aimerai bien voir comment il se propagerait ! >> je pense que l'architecture x86_64 gagne rapidement en popularité >> principalement du fait que la RAM ne coûte pratiquement plus rien et que >> l'on doit donc avoir une machine en 'amd64' pour exploiter efficacement >> plus de 4Go >> > L'architecture x86_64 permet d'exécuter du code 32 bits sans problèmes. oui, tu as raison (dans la plupart des cas mm s'il est possible de l'interdire) là encore c'est l'avantage de la distribution Linux où la quasi totalité des programmes tournent en 64 bits sur mes postes clients en 64 bits, si je retire ia32-libs il y a seulement 2 programmes qui sautent : acroread et wine je n'utilisais quasiment jamais acroread (je préfère de bcp kpdf et maintenant okular) et pour wine, à part m'amuser à faire tourner ies4linux ou des virus ce que je ne fais plus depuis au moins 2/3 ans, ça m'est aussi devenu inutile donc... >> à ce sujet le bit 'NX' de cette famille de processeurs offre encore une >> protection supplémentaire à un type d'exploitation de sécurité très >> courant : les débordements de piles (stack overflow) >> >> > Il est désactivé par défaut sur pas mal de bios. Linux se fout de ce que dit le bios depuis son origine (1991) à la limite il s'en sert pour y glaner qques infos au démarrage mais c'est tout >> oui, je l'ai justement dis dans mon précédent mail et celui-là : celà ne >> concerne que les virus sous forme exécutable >> et puis il faut différencier les vers (programme lancé à l'insu de >> l'utilisateur) des virus qui a priori exploite un trou de sécurité du >> système ou d'une application >> > Le ver de Morris exploité des failles systèmes, je pense que tu voulais > faire la différence entre cheveaux de troie et virus. oui, pardon, c'est exactement ce que je voulais dire > La sécurité c'est effectivement un long débat, au départ je faisais > juste objections à quelques idées reçues en matière de sécurité à base > de raccourcis stupides (M$ savent pas protéger des ordis, linux c'est > kiewl). tu auras aussi remarqué que je n'ai pas dit que Linux était cool mais que ça n'était pas du tout la monoculture telle qu'on la trouve dans Windows qui mène souvent à une sécurité moindre, en particulier (mais pas seulement) du fait que Windows soit bcp plus populaire Linux le devenant aussi un peu plus au fil des années a dû s'adapter à un nouveau type d'utilisateur qui avait aussi une utilisation particulière (compte admin par défaut) maintenant, le fait est que si l'on regarde les chiffres, les failles critiques exploitables à distance et pour lesquelles il y a sur Internet des programmes tout fait pour script kiddies sans pour autant que la faille soit corrigée, et bien c'est quasiment tout le temps que l'on en trouve sous Windows et jamais sous Linux (ou alors j'ai dû en louper une !) > De la même manière sur Mac ils ont atteint la masse critique > nécessaire à intéresser le kevin de base, on y trouve aussi à présent > des programmes néfastes. personne n'est à l'abri et probablement que dans un futur proche on verra aussi la même chose sous Linux (qui sait ?) -- Cyril Chaboisseau
