"Trois fois plus de vulnérabilités chez Linux que Windows" tel est le titre d'un article de VNUnet.fr [1]
Cet article fait echo du rapport du US-CERT sur les vulnérabilités de l'année 2005 [2]
En gros, 812 alertes pour windows et 2328 du coté de linux. Bon, s'ils le disent, le mieux est quand même de vérifier pour voir pourquoi un telle différence.
Je regarde donc le rapport, et le truc qui me saute aux yeux rapidement est le nombre de rapport updated pour linux. J'ai l'impression que les rapports updated sont des rapports de mises à jours d'informations de vulnérabilités d'un rapport déjà émis (je me trompe?), donc dans ce cas je vois mal pourquoi on compterait 10 vulnérabilités (1 rapport et 9 mises à jour) pour 1 faille.
Alors, je prend ma souris magique. Je sélectionne toutes les failles windows et les mets dans un fichier : windows.txt
Avec la même souris magique (elle est super car elle garde sa magie), je sélectionne les failles linux : linux.txt
(PS: les failles linux correspondent aux failles linux + unix + macOsX)
$ wc -l windows.txt
814 windows.txt
Donc je trouve 814 failles pour windows
$ wc -l linux.txt
2330 linux.txt
Et 2330 pour linux/unix/macosX
Maintenant je vires les updated
$ grep -v -i updated linux.txt | wc -l
Soit plutôt 888 pour linux/unix/macosx
tiens c'est marrant, vu sous cet angle, le titre de l'article de VNUnet.fr ressemble à de la désinformation !
[1] Article VNUnet.fr : http://www.vnunet.fr/actualite/securite/bogues_et_correctifs(...)
[2] Rapport US-CERT : http://www.us-cert.gov/cas/bulletins/SB2005.html
Journal Trois fois plus de vulnérabilités chez Linux que Windows
6
jan.
2006
# Conclusion ...
Posté par mrlem (site web personnel) . Évalué à 10.
Et on ne parlera même pas de l'opportunité de cumuler les failles de systèmes différents...
[*] oui je sais, le fait d'écrire des articles sur VNUnet.fr ne fait pas d'un individu lambda un journaliste... Le recoupement des infos et le regard critique sur les chiffres et leur signification sont bien rares de nos jours.
[^] # Re: Conclusion ...
Posté par Julien Messager . Évalué à 10.
Pardon ->[]
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à 10.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # La différence entre un pigiste et un constipé chronique?
Posté par Pierre . Évalué à 10.
La peur de la feuille blanche :))
Bon, je crois que c'est par là ....
----> []
# Pour comparer des choses comparable
Posté par slubman (site web personnel, Mastodon) . Évalué à 10.
$ grep -v -i updated windows.txt | wc -l
673
N'en reste pas moins, que 3 fois plus de failles reste encore faux dans ce cas :)
[^] # Re: Pour comparer des choses comparable
Posté par Mr_Moustache . Évalué à 10.
(Il faut enlever HP-UX, AIX, Mac OS et BSD)
# N'importe quoi
Posté par JoeltheLion (site web personnel) . Évalué à 10.
Ensuite c'est pas les systèmes d'exploitation qu'on compare, c'est "l'ensemble" des logiciels tournant sur une plateforme contre l'ensemble tournant sur l'autre. Et c'est là que c'est vraiment n'importe quoi. Sur quelle base le CERT sélectionne-t-il les logiciels qu'il étudie? Sans parler du fait que certains logiciels "linux" tournent et sont utilisés sous windows.
Enfin bref, j'ai rien contre les études comparatives, même si elles sont défavorables à linux; mais là c'est pas une étude, c'est un torchon, une honte!
[^] # Re: N'importe quoi
Posté par Rin Jin (site web personnel) . Évalué à 10.
Ce n'est pas une études comparative, juste la liste des "failles" trouvé et/ou corrigés, classé par OS.
L'erreur de Vunet est de considérer comme un rapport une simple liste de liens permettant de retrouver la date de failles découvertes/corrigées en 2005.
vnunet est un torchon qui fait un article en partant d'une liste de lien, mais l'erreur n'est pas, ici, le fait du cert.
[^] # Re: N'importe quoi
Posté par JoeltheLion (site web personnel) . Évalué à 3.
Bien sûr que non! Mais j'ai jamais dit ça... Ce que je voulais dire, c'est que parler de faille "linux" pour une vulnérabilité sur un quelconque programme qui par hasard tourne sous linux ou de faille "windows" pour un problème sur un freeware quelconque dont personne a jamais entendu parler, c'est n'importe quoi. Et comme il est impossible de tester la sécurité des millons de logiciels existants, le cert fait forcément une sélection. Supposer que cette sélection est un échantillon représentatif de linux et windows, c'est quand même un peu n'importe quoi, non?
Et de mon point de vue, même si le CERT n'a pas dit "trois fois plus de vulnérabilités dans linux", ils sont quand même un peu coupables, vu que c'est eux qui ont mis apple, et tous les unix ensemble, et que c'est eux qui ont classifié les logiciels par système d'exploitation. De là ils concluent "There were 5198 reported vulnerabilities: 812 Windows operating system vulnerabilities; 2328 Unix/Linux operating system vulnerabilities". N'importe quoi!
[^] # Re: N'importe quoi
Posté par Rin Jin (site web personnel) . Évalué à 3.
http://www.us-cert.gov/cas/bulletins/SB05-355.html
avec le détails des failles, les systémes touchés... Où l'on constate que beaucoup (tout est relatifs) de failles touchent à la fois les Unix classiques et les Linux
un exemple: GNU gzip 1.2.4 a, 1.2.4, 1.3.3-1.3.5 :le bug touche Linux, Unixware...
Cela permet de garder la page relativement peu chargé (imagine si pour chaque failles du Kernel Linux, il devait y avoir une entrée dans le tableau de chaque distribs touchées, un tableau par distrib sur chaque page)?
Cette page est un rapide résumé, se baser dessus pour déterminer si leur boulot est correct est une erreur, et le rendre au pied de la lettre comme la fait vnunet, une connerie.
[^] # Re: N'importe quoi
Posté par JoeltheLion (site web personnel) . Évalué à 7.
un exemple: GNU gzip 1.2.4 a, 1.2.4, 1.3.3-1.3.5 :le bug touche Linux, Unixware...
Un windows qui utilise gzip sous cygwin sera aussi touché. Doit-on en conclure que c'est une faille de windows? Non, ce n'est ni une faille linux, ni unix, ni windows, mais une faille de gzip, point. Et si gzip te plait pas, tu as qu'à utiliser une alternative, il en existe, même sous linux! exemple: http://www.info-zip.org/pub/infozip/UnZip.html
Une comparaison qui aurait du sens, ce serait de comparer les logiciels de compression. Mais évidemment, c'est tout de suite moins porteur comme titre à la une: "GNU GZip a 3 fois moins de vulnérabilités que WinSoft TOTOZip!"
[^] # Re: N'importe quoi
Posté par Rin Jin (site web personnel) . Évalué à 2.
Non (enfin, je n'espére pas), pas plus qu'une faille de warcraft3 dans wine.
Ce que je voulais dire, c'est que, puisque de nombreuses failles se retrouve à la fois sous Unix et Linux, les regrouper n'est pas toujours stupides. De la même manière, ils regroupent tout les windows, alors que certaines failles ne touchent qu'XP, ils mettent dans cette même catégorie les failles de logiciels ne tournant que sous windows...
Ils traitent des failles découvertes sur les systèmes Unix, que celles ci soit le fait d'un soft ou du système même. Le nom "Unix/Linux operating vulnerabilities" est mal choisi, certes, mais je ne trouve pas leurs classement si inepte que ça.
[^] # Re: N'importe quoi
Posté par Nicolas Bernard (site web personnel) . Évalué à 3.
> Non (enfin, je n'espére pas), pas plus qu'une faille de warcraft3 dans wine.
En tout cas il semble bien que Wine soit vulnérable à la faille WMF qui panique les windowsiens en ce moment...
[^] # Re: N'importe quoi
Posté par Nicolas Bernard (site web personnel) . Évalué à 2.
Donc effectivement il ne faut pas tout mélanger!
[^] # Re: N'importe quoi
Posté par Jean-Christophe Berthon (site web personnel) . Évalué à 3.
Le CERT n'a fait que reporter par type de plates-forme les problèmes rencontrés. Il n'en font aucune conclusion ensuite.
Le problème de VUnet c'est que ce ne sont apparemment pas des mathématiciens et qu'ils additionnent allégremment des choux et des carottes (leurs institut-rices ou -eurs doivent être content !).
Bref, pour "Linux", ils additionnent les failles de sécurité de FreeBSD, Mac OS X, AIX, HP/UX, etc. Mais aussi plein de logiciels dédiés à ces plates-formes. Mais qui les utilise tous en même temps ? Par exemple utilisez-vous (la plus part) le logiciel Carnegie Mellon Cyrus IMAP Server ? Surtout sur votre PC Linux "desktop" ! ;)
Si l'on veut comparer Linux et Windows, il vaut mieux comparer juste les failles de sécurité du système d'exploitation (exit les failles sur Acrobat ou Winzip ou Bzip2, ou encore Mac OS X, etc.)
Mais bon je vais arrêter la discussion ici car à chaque nouvelle analyse sur la sécurité dans la presse, j'ai ensuite l'impression de me répéter. :(
Ciao,
Jean-Christophe
[^] # Tour du monde
Posté par Pouce . Évalué à 4.
J'ai l'impression que l'article de ZDNet.co.uk prend un peu plus de recul quand même :
http://news.zdnet.co.uk/internet/security/0,39020375,3924587(...)
Et bien sûr, sur NewsForge, on monte au créneau :
http://trends.newsforge.com/article.pl?sid=06/01/05/1627242&(...)
Malgrés tout, je sens que mes collègues windowsiens fanatiques n'ont pas fini de m'en parler.
[mode age=8ans]
VNUnet rime avec papier toilette.
[/mode]
[^] # Re: Tour du monde
Posté par theocrite (site web personnel) . Évalué à 3.
http://www.liens-utiles.org/modules/news/article.php?storyid(...)
http://www.quebecmicro.com/technologie/3164/linux-moins-secu(...)
http://nuxo.net/article-657-les-failles-et-ventes-des-os--cl(...)
La palme revient à quebecmicro :
Un rapport commandé par le gouvernement américain en viendrait à la conclusion que le système d’exploitation Unix/Linux serait près de quatre fois plus vulnérable que le populaire Microsoft Windows.
Ce n'est plus trois fois mais quatre. Et maintenant le rapport est commandé par le gouvernement américain... Consternant.
Liens-utile compare Windows et son "homologue" Unix/Linux.
Un autre truc consternant, c'est le copier coller entre les sites. Pas un seul ne prend de recul... Tous mettent en titre "Linux plus vulnérable", mais mettent dans le texte de la news "plus de failles dans Unix/Linux que dans Windows"...
En gros sur la demie douzaine d'article fr, tous font la même erreur. Dans les artciles US/UK, j'ai trouvé 5/6 articles qui n'amalgament pas Unix/Linux et Linux parmi la trentaine trouvé...
Il y a déjà plein de réponses là : http://www.forum-microsoft.org/ftopic61209.html
et là aussi : http://www.pcinpact.com/forum/index.php?showtopic=72956
Et dans plein d'autres...
En gros, c'est tellement évident les énormités étalées dans les sites de news, que tout le monde répond (corrige) la même chose sans se concerter.
http://www.nuxo.net/article-679-le-rapport-des-failles-us-ce(...)
Le seul article (fr) que j'ai trouvé avec un démenti utilise l'argument le moins important à mon sens : le fait que Fx ou Apache tournent sous windows. Il me semble qu'ils sont aussi répertoriés sous Windows et que c'est vraiment un mauvais argument comparé au fait que les stats n'ont aucune valeur (10 OS Unix/Linux, pas de classement crtitique/non critique, des updates, des logiciels tiers aux systèmes)
# bon...
Posté par fearan . Évalué à 3.
mais ce qui est etonnant, c'est un tel différentiel...
car c'est tout linux-unix-freebsd-os-x; Or, il aurait fallu faire diffrents groupes, quitte a faire des doublons.
et toutes les failles n'ont pas le même niveau de dangerosité... le mieux aurait été un tableau avec différente colonne ( une par type de faille ), et plusieurs lignes : windows, linux ( sans proprio ), linux ( avec ), freebsd (sans proprio), feebsd(avec ), macOS-X
et une colonne total...
Bon c'est beaucoup de travail; mais ils sont pas payé pour ça?
Car mettre toutes les distribs linux + macOs + freebsd dans un même sac ça fait fort le café.
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
# RMS avait prévenu !
Posté par thom_ra . Évalué à 5.
Bon, là, ils ont fait encore plus fort, puisqu'ils ont appelé Linux tout ce qui n'est pas Microsoft si je comprend bien (OS et applicatifs compris)
[^] # Re: RMS avait prévenu !
Posté par dawar (site web personnel) . Évalué à 8.
Faisons la même chose avec, disons, Debian :
http://lists.debian.org/debian-security-announce/debian-secu(...)
The last update was on 08:00 GMT Thu Dec 29. There are 332 messages. Page 1 of 1.
Donc 332 failles pour une distrib GNU/Linux contre 673 pour une "distrib" MS Windows... Sans considérer le nombre de logiciel livré par Debian face a l'offre commerciale de Microsoft sans doute beaucoup plus limité en nombre, si quelqu'un a le courage de faire le simple calcul...
Bref, encore du bidon, venant de VNUnet ça ne surprends pas, le pire c'est que ça risque d'être repris par plein de journaux en ligne. Et vraiment pas le courage d'écrire pur la dixieme fois a VNU pour leur mettre le nez dans leur caca...
[^] # Re: RMS avait prévenu !
Posté par thom_ra . Évalué à 1.
Oui, oui, c'est ce que je voulais dire. Je sais pas si on est dans le vrai, mais on est d'accord ;-)
Sinon, oui, on va en etendre parler pendant un moment... J'attends d'ailleurs que quelques collègues viennent me charier avec cet article ;-)
Sinon, on notera aussi la très belle :
> Notons également que, parmi les failles Unix/Linux, l'US-CERT intègre celles de Mac OS X. En toute logique puisqu'il s'agit bien d'une déclinaison propriétaire d'un noyau Unix.
[^] # Re: RMS avait prévenu !
Posté par cosmocat . Évalué à 1.
Bref, encore du bidon, venant de VNUnet ça ne surprends pas, le pire c'est que ça risque d'être repris par plein de journaux en ligne. Et vraiment pas le courage d'écrire pur la dixieme fois a VNU pour leur mettre le nez dans leur caca...
T'as qu'as juste leur envoyer un lien vers ce journal.....
[^] # Re: RMS avait prévenu !
Posté par Nicolas Dumoulin (site web personnel) . Évalué à 2.
http://www.us-cert.gov/cas/bulletins/SB05-188.html#adobeunix(...)
# tant que ca ?
Posté par PloufPlouf (site web personnel) . Évalué à 7.
et c'est ca que je retient.
en vous remerciant
[^] # Re: tant que ca ?
Posté par Matthieu . Évalué à 5.
[^] # Re: tant que ca ?
Posté par Dring . Évalué à 3.
;-)
[^] # Re: tant que ca ?
Posté par PloufPlouf (site web personnel) . Évalué à 3.
j'espere migrer les machines enqueteurs la moitié des serveurs.... (cherchez pas à comprendre)
# Commentaire supprimé
Posté par Anonyme . Évalué à 1.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à 3.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Re: À propos du titre
Posté par Matthieu . Évalué à 3.
# Petites stats spécifiques à OpenBSD
Posté par Jean-Luc Henry . Évalué à 5.
Donne 17 vulnérabilités dans l'année 2005 (toutes version confondues).
C'est très loin quand même des 331 vulnérabilités dans Debian GNU/Linux et des 672 vulnérabilités dans Microsoft Windows.
Enfin... OpenBSD n'a ni les mêmes objectifs que Windows (ou encore Debian), ni le même nombre d'applications.
[^] # Re: Petites stats spécifiques à OpenBSD
Posté par Matthieu . Évalué à 2.
$ grep "* Microsoft" windows.txt | grep -v Update | wc -l
120
Idem pour Linux :
$ grep -i linux linux.txt | grep -v Updated | wc -l
114
[^] # Re: Petites stats spécifiques à OpenBSD
Posté par TuxPierre . Évalué à 2.
Donc pour etre un chouia plus honnête, il faudrait comptabiliser les corrections des packages.
[^] # Re: Petites stats spécifiques à OpenBSD
Posté par Jean-Luc Henry . Évalué à 1.
En ajoutant les OPSA disponibles sur "ports-security mailing list
archives" on tombe sur ceci:
En 2005: 53 vulnérabilités dans OpenBSD
En 2004: 69 vulnérabilités OpenBSD
Pour 2004, je ne suis pas certain car il semble que l'archive de la ml ne soit pas complète.
[^] # Re: Petites stats spécifiques à OpenBSD
Posté par herodiade . Évalué à 10.
La plupart des failles indiquées sur cette page sont des buffers overflows. Or on sait qu'ils sont quasiment inexploitables sur OpenBSD (W^X, propolice, stackghost, toussa).
Ce type de "failles" est aussi devenu très dur à exploiter sur certaines distribution de GNU/Linux (type trustix, debian hardened, ou gentoo dans certaines configurations...). D'autres protections, éventuellement actives par défault, peuvent aussi mitiger les risques (par ex. SELinux).
Ces problemes logiciels ont pourtant fait l'objet d'annonces et de corrections par les distributeur. À l'inverse les failles des produits MS sont généralement reconnues publiquement lorsque quelqu'un aprouvé leur criticité (d'ailleur il serait dur d'assertir qu'on a affaire à un buffer overflow dans une partie potentiellement sensible d'un programme lorsqu'on ne dispose pas du source pour le prouver).
Il y a donc un sérieux très différent dans la façon d'annoncer et corriger les erreurs: dans certains cas on considère des problèmes très hypothétiques comme des "failles de sécurité", dans l'autre on se montre beaucoup plus discret.
Celà doit bien affecter les statistiques.
Combien de failles prouvées par des exploits pour la plateforme windows ? pour une plateforme GNU/Linux "hardened" ? pour OpenBSD ?
Et bien sûr il faudrait une comparaison à fonctionalités equivalentes. Par exemple pour un serveur web + sql + dns + mail "typique".
Les annonces de sécurité Debian ou Mandriva concernent un système contenant plusieurs milliers de logiciels. Combien de logiciels on étés pris en compte pour la comptabilisation des failles Windows ?
# J'ai halluciné
Posté par blobmaster . Évalué à 3.
Sauf que je me suis dis que ce n'était qu'un Troll (Vu les commentaires intéressants j'avais tord) et je n'ai rien posté.
Je me permet de rajouter quelques tests supplémentaires :
~$ cat windows.txt|grep [fF][tT][pP] |wc
47
~$ cat linux.txt|grep [fF][tT][pP] |wc
40
~$ cat linux.txt|grep [wW][eE][Bb] |wc
48
~$ cat windows.txt|grep [wW][eE][Bb] |wc
61
Ou l'on voit que en temps que serveur web Linux est mieux mais qu'il vaut mieux ne pas avoir besoin de SSH ou de RPC.
Et les derniers :
~$ cat windows.txt|grep pdf|wc
0
~$ cat linux.txt|grep pdf|wc
29
Wow ! Windows est plus sèciûre pour lire des PDF !!!
J'ai bon ?
Sinon le rapport
Bug trouvés / Bug MAJ
Aurait du mettre la puce à l'oreille de Nuvet.
J'ai faillit les déRSSisés mais finalement je crois que je vais continuer à les surveiller.
N.B. : Je sais que mes tests sont nuls mais c'est eux qui ont commencés.
[^] # Re: J'ai halluciné
Posté par SkizoRutabaga . Évalué à 5.
http://www.ruhr.de/home/smallo/award.html
[^] # Re: J'ai halluciné
Posté par blobmaster . Évalué à 5.
Dans un script je réfléchis à la méthode mais en ligne de commande le but c'est d'être le plus rapide à taper le bouzin.
Je pense :
Il faut que je prenne dans le fichier linux.txt les lignes avec "FTP" pour les compter
alors j'écris
cat linux...
J'aurais pu penser autre chose.
Et j'aurais écris autre chose.
Mais je ne l'ai pas fait.
Malgré que je sois célibataire, je ne souhaite pas être _poétique_ en Bash.
Sinon merci pour le lien je le lirai quand même, ça peut pas faire de mal®.
Ça m'aidera; pour mes scripts.
[^] # Re: J'ai halluciné
Posté par Colin Leroy (site web personnel) . Évalué à 6.
grep -i ftp
[^] # Re: J'ai halluciné
Posté par Mr_Moustache . Évalué à 5.
[^] # Re: J'ai halluciné
Posté par Anonyme . Évalué à 3.
avec l'option -i j'aurais du lire le man pour savoir de quoi il s'agit
[^] # Essayons la poésie :
Posté par blobmaster . Évalué à 4.
Tu me sauves et illumines mon soir !
Et comme il est minuit et demi
Je m'en vais au lit.
:)
# preum's !
Posté par gasche . Évalué à 2.
Évidemment, ce commentaire s'adresse à un public tout à fait différent, et le style n'est donc pas comparable (surtout qu'en vulgarisant on a souvent tendance à dire des bêtises), mais le contenu est là : http://www.infos-du-net.com/actualite/commentaires-6026.html
Si je poste ce commentaire, ce n'est pas pour me mettre en valeur (mais non...), mais surtout parce qu'à l'époque je m'étais posé la question de parler de ça sur linuxfr, et je m'étais dit que tout le monde aurait probablement remarqué.
Visiblement ce n'est pas le cas, et je me pose maintenant la question de "qui a vu ca ?". Étant donné que la différence est tout à fait notable (maintenant je ne suis même pas sur que ce CERT soit conscient de la formidable imprécision que constitue son paragraphe explicatif), peut-être qu'il faudrait en parler un peu plus.
[^] # Re: preum's !
Posté par gasche . Évalué à 1.
http://www.pcentraide.com/index.php?showtopic=9542
# Définition de vulnérabilités...
Posté par Jehan (site web personnel, Mastodon) . Évalué à 10.
tout le monde ici compare les failles listés dans ces fichiers en enlevant des lignes, en ne comptant que le noyau linux, ou que les progs d'une distrib donnée, etc.
Mais y a un autre point aussi qu'on ne met pas en avant. C'est la stratégie de détection des failles Microsoft vs Logiciels Libres.
En effet, deux choses:
- d'une part, peu de gens dans la communauté windows peut relever une faille, car ils ne la verront pas, ou le programme plantera simplement. Au mieux, ils iront en discuter dans des forums, ou essaieront de contacter Microsoft, qui sait? Mais personne ne pourra vraiment détecter la cause précise de la faille dans beaucoup de cas, voire même ses conséquences exactes, et même les programmeurs ne pourront pas "enquêter" dessus, puisqu'y a pas de code source.
Par conséquent les failles qui se font vraiment connaître dans le monde proprio sont les failles très claires (notamment aux causes et conséquences explicites même sans le code source), ou très dangereuses (donc dont on parlera beaucoup dès qu'on les découvre).
Donc bon, bien moins de personnes sont susceptibles de rapporter des failles avec un code fermé, et même on peut se demander si bcp de vulnérabilités ne sont pas zappées, ou bien réparées l'air de rien sans prévenir le public.
- En outre, faut voir aussi ce que l'un et l'autre appellent des failles critiques, mineures, etc. Bon en l'occurence, là l'article cherchait pas à faire la diff. Mais bon faut qd même voir qu'un logiciel Libre n'a pas peur des grands mots, car il veut de la qualité avant tout. Un programmeur Libre trouve une faille très importante, il l'appellera critique, pour dire qu'il veut ça réparé vite. Maintenant une boîte proprio va éviter de trop alerter les foules, donc à moins que la faille soit clairement très dangereuse, ils vont pas hésiter à minimiser la chose.
Même si la faille peut être chiante, tant qu'elle est pas TRÈS chiante ou dangereuse, c'est mineur.
Il faut bien voir que les 2 modèles ne sont définitivement pas le même modèle de développement, de gestion et réparation des bugs. Dans le modèle Libre, les utilisateurs et contributeurs sont appelés à rapporter honnêtement et clairement la moindre faille trouvée dans le programme immédiatement, et les développeurs tentent de les réparer dès que possible. Dans un modèle proprio, le culte du secret est qd même bien plus courant comme principe de sécurité (si personne connaît la faille, on s'en fout), et en plus les vulnérabilités considérés comme non-critiques peuvent se traîner des mois sans que les dévs s'en préoccupent).
Il faut bien se rendre compte que des failles st régulièrement découvertes encore ds des logiciels proprios des années après leur sortie, soit d'autant plus de temps pour les gars qui veulent exploiter malicieusement ces failles (lesquels pourraient en avoir découvert sans le dire). Il suffit de prendre un produit comme IE, dont la dernière version publique date de 2001, ben wé, ils avaient arrêté le dév, et pourtant 5 ans après, y a tjrs très régulièrement des patchs de sécurité, dt certains critiques! J'ai essayé de retrouver sans succès un article qui parlait d'une faille qui avait traîné des mois car Microsoft la considérait comme mineur, jusqu'à ce que des gens trouvent le moyen de s'en servir dangereusement sur des sites web, et c'est devenu une faille critique qu'ils ont été forcé de réparer dans l'urgence... Forcément ils ont laissé le truc traîner car ils s'en foutaient!
Franchement, ce sont tous ces détails qu'ils faut voir, et qui font que je fais bien plus confiance à qqch comme des logiciels Libres, où le but est réellement de réparer les failles, et d'avoir un développement le plus transparent possible, plutôt qu'un culte du secret ou de la minimisation commerciale pour rassurer les gens, mais en réalité laisser d'autant plus de marge aux gens qui savent exploiter ce secret.
Et c'est aussi pourquoi pour moi, tous ces chiffres (en plus des diverses choses qui ont été dites ici, et pr lesquelles je suis d'accord) ne signifie pas grand chose à mon sens.
Allez, à bientôt.
Film d'animation libre en CC by-sa/Art Libre, fait avec GIMP et autre logiciels libres: ZeMarmot [ http://film.zemarmot.net ]
# N importe quoi les failles
Posté par cortex62 . Évalué à 6.
Je vous explique: pwmconfig fait partie de lm_sensors, c' est un script perl qui permet de configurer fancontrol pour gérer le refroidissement de la machine (en créant /etc/fancontrol.conf). Ce script ne peut être utilisé QUE par l' admin .
Je n' ai utilisé ce script qu' une fois sur un sony vaio desktop (trés utile soit dit en passant), et pourtant j' en vois du matériel .
Résultat donc : 6 "failles" (low risk heureusement). J' aimerais bien voir un admin pirater sa propre machine avec cette faille , juste pour rigoler.....
# la désimformation ca marche à fond
Posté par yves a (site web personnel) . Évalué à 3.
En plus ce genre d'article est repris par une foule de sites d'informatique.
Et on peut toujours aller sur les forums windowsiens resortir les meilleurs arguments possibles certains feront toujours plus confiance à Vunet qu'a ceux qu'ils considère comme des "intaigristes de mauvaise foi".
Lorsque symantec qui édite des anti-spyware compatible uniquement avec ie, raconte que ce dernier est plus sûr que firefox, il y a des milliers de neu² qui y croient.
[^] # Re: la désimformation ca marche à fond
Posté par roberta . Évalué à 3.
Si tu commencais par respecter les gens qui ne sont pas experts en Systeme, peut etre qu'eux aussi te respecteraient et t'ecouteraient par la meme occasion.
# Etrange
Posté par Ymage . Évalué à 3.
Or, les applications PHP tournent aussi sous Windows, pourquoi les créditer à un seul OS ?
On peut suivre le même raisonnement pour d'autres applicatifs multi plates-formes.
Ce qui confirme bien que 30% des statistiques sont fausses.
Si vous n'aimez pas ce commentaire c'est qu'il est ironique.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.