Journal Le vers est dans le fruit

Posté par  (site web personnel) .
-8
6
avr.
2012

Tout le monde savait que cela devait finir par arriver:
Un cheval de Troie spécifique aux ordinateurs fonctionnant sur Macos a envahi les ordinateurs Apple.
http://www.lemonde.fr/technologies/article/2012/04/06/les-mac-d-apple-seraient-vises-par-une-attaque-informatique_1681500_651865.html
Voilou un superbe argument commercial qui s'effondre RIP, mais avec le développement d'Androïd, nous n'avons pas forcément à nous réjouir. Visiblement la vulnérabilité d'un OS est fonction de sa part de marché, avec une progression exponentielle.

  • # N'exageront pas tout de meme

    Posté par  . Évalué à 0.

    Visiblement la vulnérabilité d'un OS est fonction de sa part de marché, avec une progression exponentielle.

    Enfin si un OS est programme avec les pieds ca aident un peu pour en trouver des vulnerabilite et lorsque tu rajoutes a cela que les vulnerabilites ne sont pas forcement corrige ou avec des annees de retard par rapport a l'exploit. Cela ne met pas tous les OS sur le meme plan niveau securite!

    • [^] # Re: N'exageront pas tout de meme

      Posté par  (site web personnel) . Évalué à 5.

      Certes, mais pour autant des vulnérabilités existent aussi sous Linux, et il est possible sans aucun doute d'en trouver encore. Aussi la motivation d'un fabricant de virus est basé sur le principe du moindre effort pour un résultat maximum. Ce résultat maximum dépend justement des parts de marché de chaque OS alors que la recherche de vulnérabilités renvoie à la notion d'efforts minimums.

      • [^] # Re: N'exageront pas tout de meme

        Posté par  (site web personnel) . Évalué à 10.

        C'est pour cela que la sécurité sur un OS libre se résume à:
        - Pas de logiciels propriétaires
        - Pas de paquets non officiels

        C'est aussi simple que cela, après reste les failles non connues, mais la plupart des systèmes attaqués le sont parce qu'ils ne sont pas à jour niveau sécurité.

        • [^] # Re: N'exageront pas tout de meme

          Posté par  . Évalué à 5.

          Oui, c'est tout simple, et l'utilisateur lambda s'il reçoit une pièce jointe par e-mail, ou un lien pointant vers un script ou exécutable vérolé, ne risque pas de cliquer dessus, n'est-ce pas ?

          • [^] # Re: N'exageront pas tout de meme

            Posté par  (site web personnel) . Évalué à 2.

            Si, mais avec un bon logiciel de mails, il aura un warning monstrueux pour le prévenir qu'il s'apprête à prendre un gros risque.

            • [^] # Re: N'exageront pas tout de meme

              Posté par  (site web personnel) . Évalué à 8.

              Et sous le warning monstrueux, il y aura des boutons "accepter" et "refuser", et le bouton "accepter" sera cliqué dans presque tous les cas.

            • [^] # Re: N'exageront pas tout de meme

              Posté par  (site web personnel) . Évalué à 3.

              Et surtout le fichier ne sera pas executable par défaut donc…

              • [^] # Re: N'exageront pas tout de meme

                Posté par  (site web personnel) . Évalué à 7.

                Il n'est pas nécessaire d'être binaire ou script shell pour être exécutable. Du javascript, des macros Xoffice, etc… (sans parler des fichiers normalement pas exécutables, qui profitent des failles de sécurité et autres débordements pour démarrer du code).

                Les Unix (Linux et MacOS aussi donc) étaient mieux protégés du fait de la séparation claire admin / user, mais Windows a quand même fait des progrès là dessus. Et finalement, tous ces systèmes en sont à afficher un joli dialogue demandant la confirmation -éventuellement avec un mot de passe- pour réaliser certaines opérations nécessitant les droits d'admin.

                Et pour ça c'est principalement la formation de l'utilisateur sur sa chaise face à son clavier qui joue… plus il y aura d'utilisateurs novices sous Linux -auxquels ont aura donné le passe admin pour qu'ils puissent réaliser certaines opérations le nécessitant- plus on aura aussi le risque.

                Il faudrait peut-être différents niveaux d'admin… mais ça devient usine à gaz. Ou sinon des applis virtualisées dans des boites d'exécution (ça arrive). Mais bon, difficile d'empêcher l'utilisateur d'utiliser sa machine, sauf à vouloir l'enfermer dans un système complètement verrouillé (Windows 8? MacOS X prochain?).

                Votez les 30 juin et 7 juillet, en connaissance de cause. http://www.pointal.net/VotesDeputesRN

        • [^] # Re: N'exageront pas tout de meme

          Posté par  (site web personnel) . Évalué à 4.

          Il reste aussi les dépôts (officiels, chez le dev, ou ceux des distros) qui ont été piratés, les logiciels conçus volontairement avec une faille, la configuration par défaut mal foutue, les failles rajoutées par des tiers qui envoient des patchs fourbes…

          Puis un logiciel peut être propriétaire, mais te laisser regarder les sources, et même envoyer des patchs ; ça change rien.

          Et puis, « faille non connue » j'y crois plus.
          Tant que le monde continuera à coder en C ou C++, les failles seront connues. Elle s'appellent toutes « buffer overflow. »

          Enfin, c'est dredi…

        • [^] # Re: N'exageront pas tout de meme

          Posté par  . Évalué à 2.

          • Pas de logiciels propriétaires
          • Pas de paquets non officiels

          Tu n'es aucunement à l'abris d'une corruption d'un serveur upstream (sur les 250000 projets composants une debian) avec injection de patch mafieux.

          Tu n'es pas à l'abris d'une corruption d'une archive par un "bénévole"

          tu n'es pas à l'abris d'une mauvaise configuration qui laisserait une porte ouverte

          Tu n'es pas à l'abris d'un utilisateur qui cliquoille sur n'importe quoi

          Tu n'es pas à l'abris d'un accès physique à ta machine par la DST

          :-)

          • [^] # Re: N'exageront pas tout de meme

            Posté par  (site web personnel) . Évalué à 8. Dernière modification le 06 avril 2012 à 13:50.

            Je ne suis pas à l'abri d'une fusion totale du soleil :p

            Bien sur que le risque zéro n'existe pas, mais en comparaison d'un .exe trouvé sur kikoolol.com…

            • [^] # Re: N'exageront pas tout de meme

              Posté par  . Évalué à 5.

              Et pourquoi il n'y aurait pas de .exe sur kikolol qui seraient en GPL? Suivant ton résumé, toute personne cliquant dessus ne craindrait rien! bref faut arrêter 5mn le prosélytisme et réfléchir un peu avant de marquer n'importe quoi…

        • [^] # Re: N'exageront pas tout de meme

          Posté par  . Évalué à 8.

          C'est pour cela que la sécurité sur un OS libre se résume à:

          • une implémentation correcte de SSH, même sur Debian?

          Ce n'est jamais bon de se croire invincible.

          • [^] # Re: N'exageront pas tout de meme

            Posté par  . Évalué à 3.

            Il y a une exploitation reportée de cette faille avant qu'elle soit corrigée?

            « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

            • [^] # Re: N'exageront pas tout de meme

              Posté par  . Évalué à 2.

              non, mais je connais plusieurs systèmes où les gens n'ont pas fait de régénération de clef. Et même à jour, ils sont vulnérables

        • [^] # Re: N'exageront pas tout de meme

          Posté par  (site web personnel) . Évalué à 1.

          Mais si le mainteneur du paquet ne dans ta distribution ne fait pas son taf et ne met pas à jour un logiciel libre avec des failles critiques connu dessus ?

          Je dis ça parce que j'ai vu le cas pas plus tard que cette semaine chez debian et ubuntu.

          • [^] # Re: N'exageront pas tout de meme

            Posté par  (site web personnel) . Évalué à 0.

            Exemple ? C'est une manie sur linuxfr de raconter des trucs sans prouver ce que l'ont dit ?

            • [^] # Re: N'exageront pas tout de meme

              Posté par  . Évalué à 6.

              C'est une manie sur linuxfr de raconter des trucs sans prouver ce que l'ont dit ?

              Oui, j'ai vu le cas pas plus tard que cette semaine.

              « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

            • [^] # Re: N'exageront pas tout de meme

              Posté par  . Évalué à 2.

              Ce n’est pas Wikipedia ! En plus on est vendredi… alors si on peut plus se lâcher.

            • [^] # Re: N'exageront pas tout de meme

              Posté par  (site web personnel) . Évalué à 2.

              OCS Inventory NG sur Debian et Ubuntu. Normalement c'est un autre mainteneur qui vient enfin de pusher la mise à jour du logiciel mais le mainteneur officiel pourtant inscrit sur notre liste d'annonce n'a rien fait.

              Et c'est pas le seul logiciel où des mainteneurs ne s'en occupe pas vraiment car ils ne s'implique pas dans les projets qu'ils maintiennent et ne les utilisent pas. De plus quand tu maintiens 15 projets différents il est normal qu'au bout d'un moment tu en privilégie qu'une poignée.

              C'est bon avec mon exemple, tu acceptes que je commente ?

        • [^] # Re: N'exageront pas tout de meme

          Posté par  (site web personnel) . Évalué à 2.

          C'est un peu le soucis : un bug est un problème technique, et la sécurité que tu proposes ne se pas que sur des problèmes politiques. Cherchez l'erreur.

      • [^] # Re: N'exageront pas tout de meme

        Posté par  . Évalué à 2.

        Je n'ai jamais dit qu'il n'y avait pas de vulnerabilite sous d'autres OS que Windows (que je n'ai pas nomme d'ailleurs mais que ses afficionados ont pointe comme l'OS code avec les pieds vu ma note :) ).

        L'enorme probleme de Windows c'est qu'ils veulent absolument garder la compatibilite avec les anciennes versions (et qu'un windowsiens ose me dire que Millienium n'etait pas code avec les pieds et une bouse infame!) du coup ca garde tout un tas de merde en place pour garder les bugs bien au chaud pour pouvoir faire tourner les vieux logiciels.

    • [^] # Re: N'exageront pas tout de meme

      Posté par  . Évalué à 1. Dernière modification le 06 avril 2012 à 11:52.

      C'est quoi qui pique le plus les yeux :
      - du texte sans accent ?
      - du texte avec des fautes d'orthographe (qui est aussi inclus dans le premier élément de la liste …) ?

    • [^] # Re: N'exageront pas tout de meme

      Posté par  (site web personnel) . Évalué à 2. Dernière modification le 06 avril 2012 à 12:33.

      Visiblement la vulnérabilité d'un OS est fonction de sa part de marché, avec une progression exponentielle.

      Je crois surtout que Apple paye sa politique de fermeture. C'était en 2002 je crois qu'il ont décidé de fermer leur sources non ?

      L'apparition de malwares "grand public" sur Mac OS X se manifeste depuis bien 3 ans. Entre l'installation de programmes kikoo, le système proprio avec ses mises à jour qui ont un train de retard et les utilisateurs qui pensent qu'ils peuvent faire n'importe quoi car ils prennent la sécurité d'un UNIX pour une sorte de super-pouvoir intrinsèque au système et qui n'implique en aucun cas leur comportement : forcément quand y a un problème qui se fait relayer par les médias, le mythe en prend un coup.

      Nasty thoughts are like buses - you don't get one for ages and then a whole army arrive at once.

  • # Homérique

    Posté par  . Évalué à 6.

    C'est très poétique en tout cas.

  • # Saisie du mot de passe root

    Posté par  (site web personnel) . Évalué à 7.

    Ce cheval de troie s'installe quand on saisie le mot de passe Administrateur. Ce qui est le plus marrant, c'est de voir tous les articles, réflexions et autres sur le problème de sécurité. Ce n'est pas le premier cheval de troie sous MacOS X (Mac OS X : un troyen dans les versions pirates d'iWork '09 http://www.pcinpact.com/news/48611-mac-osx-troyen-iwork-09.htm), ce ne sera pas le dernier. Et dès lors que l'on nous demande de saisir un mot de passe, faut réfléchir à deux fois avant de le faire.
    Mais bon, Symantec et co vont pouvoir négocier avec Apple pour vendre des logiciels…

    • [^] # Re: Saisie du mot de passe root

      Posté par  (site web personnel) . Évalué à 8.

      Non, Apple va pouvoir dire "avec notre nouveau systéme d'appstore, vous n'aurez pas de problémes".

      • [^] # Re: Saisie du mot de passe root

        Posté par  (site web personnel) . Évalué à 6.

        Pas vraiment vu que justement, la faille existe uniquement parce qu'Apple n'a pas mis à jour Java via leur système d'update (vu que c'est apple qui distribue le Java de MacOSX)…

        • [^] # Re: Saisie du mot de passe root

          Posté par  . Évalué à 7.

          vu que c'est apple qui distribue le Java de MacOSX

          Je croyais qu'ils avaient arrêté justement.

          « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

          • [^] # Re: Saisie du mot de passe root

            Posté par  . Évalué à 4.

            Pour Java 7, oui cela sera Oracle. En ce qui concerne les versions précédentes, c'est bien Apple.

            • [^] # Re: Saisie du mot de passe root

              Posté par  . Évalué à 4.

              Ok, je ne me souvenais plus exactement de ce qu'il en était.

              « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

    • [^] # Re: Saisie du mot de passe root

      Posté par  . Évalué à 6.

      Il demande effectivement les droits mais même si on ne lui donne pas il arrive tout de mme à infecter la machine http://www.f-secure.com/v-descs/trojan-downloader_osx_flashback_i.shtml

      Et je pense qu'il est important de préciser que c'est essentiellement une vulnérabilité de Java: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3544

      • [^] # Re: Saisie du mot de passe root

        Posté par  . Évalué à 7.

        D'après le premier lien on voit que Micosoft Office peut servir d'antivirus:

        In cases where the user did not input their administrator password, the malware checks if the following path exists in the system:
        /Applications/Microsoft Word.app
        /Applications/Microsoft Office 2008
        /Applications/Microsoft Office 2011
        /Applications/Skype.app
        If any of these are found, the malware again skips the rest of its routine and proceeds to delete itself

        Comme quoi, le pare feu d'openoffice n'était pas si débile que ça…

        • [^] # Re: Saisie du mot de passe root

          Posté par  . Évalué à 3.

          Tu veux dire que si les utilisateurs de Mac ont un programme Microsoft installe dessus le bousin s'auto detruit?

          C'est rigolo et il en faudait pas beaucoup plus pour que les adorateurs des theories du complot se jette dessus ;)

        • [^] # Re: Saisie du mot de passe root

          Posté par  . Évalué à 3.

          Micosoft, ça sent le moisi

  • # Pas d'accord

    Posté par  . Évalué à 9.

    Le point qu'on oublie de citer, est que sur mac OS tu installes les logiciels exactement de la même façon que sur Windows, c'est à dire en piochant sur le net des programmes à droite à gauche. Donc il y a risque de récupérer des choses infectées.

    Là l'article n'est pas clair il ne mentionne pas le vecteur d'entrée de ce virus. Mais je pense qu'on ne peut pas réduire l'équation à "grosses parts de marché = grosse vulnérabilité".

    • [^] # Re: Pas d'accord

      Posté par  . Évalué à 5.

      Là l'article n'est pas clair il ne mentionne pas le vecteur d'entrée de ce virus.

      C'est un applet Java dans une page Web.

  • # Linux

    Posté par  . Évalué à -1. Dernière modification le 06 avril 2012 à 13:08.

    Ca me fait un peur pour linux tout ça. Parce que bon, on sait tous que linux va se retrouver sur le bureau tôt ou tard. Je suis en train de me dire que les risques sont peut-être moindres parce qu'il y a une multitude de distributions. C'est le genre de truc qui risque peu-être d'arriver aussi non ? Je dis ça parce qu'il est relativement facile de contribuer a un projet linux et que l'on pourrait avoir de plus en plus du code fait avec les pieds et autres cochonneries avec l'augmentation des utilisateurs.

    • [^] # Re: Linux

      Posté par  (site web personnel) . Évalué à 5. Dernière modification le 06 avril 2012 à 13:18.

      La popularité d'un OS va certainement affecter le nombre d'attaques qui lui sont destinées mais pas dans la même mesure le nombre d'attaques qui seront réellement efficaces.

      Pour GNU/Linux la sécurité c'est une question d'hygiène : faire les mises à jour, utiliser les dépôts officiels de la distro, éviter les programmes proprio, ne pas travailler en tant que root.

      Plus grande popularité sur un système ouvert signifie aussi plus de contributeurs : que se soit pour des applications mineures ou des pacthes. Rendre Linux plus populaire (là on parle du desktop, puisque côté serveur c'est l'OS dominant) c'est l'exposer ET le protéger.

      PS: au final, on revient toujours sur une histoire d'interface chaise-clavier non ?

      Nasty thoughts are like buses - you don't get one for ages and then a whole army arrive at once.

      • [^] # Re: Linux

        Posté par  . Évalué à 3.

        Pour GNU/Linux la sécurité c'est une question d'hygiène : faire les mises à jour, utiliser les dépôts officiels de la distro, éviter les programmes proprio, ne pas travailler en tant que root.

        Hélas, j'ai peur que la séparation root/utilisateur ne soit plus si utile. Qu'un programme malveillant me bousille mon installation linux et ouvre des ports, c'est embêtant, mais moins embêtant qu'un ver qui va s'en prendre à mes données personnelles : soit pour du vandalisme pur et simple (suppression de mes données pas encore sauvegardées) ou pour récupérer des mots de passes et/ou des informations bancaires.
        Actuellement, n'importe quel programme qui tourne sous mon compte utilisateur peut faire tout cela. Il y a sûrement déjà des solutions, mais ce n'est pas ce qui est fait par défaut, si je ne m'abuse.

        • [^] # Re: Linux

          Posté par  . Évalué à 6.

          La dernière fois que j'ai utilisé Fedora, il y a avait un SELinux assez chiant pour ce qui était des droits des programmes.

          « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

        • [^] # Re: Linux

          Posté par  . Évalué à 2. Dernière modification le 06 avril 2012 à 14:14.

          Dans la prochaine version de MacOSX, il sera possible d'empêcher le démarrage d'applications ne venant pas de l'AppStore, ou n'étant pas "signées". Je ne sais pas si l'on pourra par contre ajouter des racines "de confiance" supplémentaires (par exemple pour créer des sortes de dépôts alternatifs, pour ne pas craindre la sensibilité d'Apple concernant certaines applications).

        • [^] # Re: Linux

          Posté par  . Évalué à 2.

          Sans compter qu'il n'y a pas besoin d'être root pour envoyer, par exemple, des mails à tout va (spambot).

    • [^] # Re: Linux

      Posté par  . Évalué à 5.

      Voyons sans vulnérabilité Linux est déjà inutilisable.
      Il n'a pas besoin de ça.

    • [^] # Re: Linux

      Posté par  (site web personnel) . Évalué à 2.

      Je dis ça parce qu'il est relativement facile de contribuer a un projet linux

      Mwai, je peux te dire que faire inclure un patch dans un projet de logiciel libre, cela ne se fait pas en claquant des doigts, le code est relu, validé, marqué à corriger, …

      Reste les paquets, mais bon, pour l'instant, on nous raconte cela depuis 10 ans et pour l'instant je n'ai pas vu d'exemples dans la vie réelle… Hormis un paquet vérolé sur kde-look.org mais là on sort du cadre des depots officiels…

      • [^] # Re: Linux

        Posté par  . Évalué à 3.

        T'y vas un peu fort quand même… Dans des logiciel moyens, t'a peu être plusieurs mainteneurs qui sont capables de comprendre le logiciel de A à Z, mais pour des logiciels un peu gros, si il y a une grose partie qui est faites par un seul pecno qui code propre et en qui les gens ont confiance, il peut inserer toutes les failles de sécurités qu'il veut du moment que le code est propre. c'est d'autant plus facile qu'il connais le code comme sa poche…

        Prend le noyau linux par exemple, tu ne fera jamais intégrer une faille dans des composant vitaux, mais si tu maintiens un driver exotique mais neanmoins utilisé (genre un lecteur de carte memoire) et que tu est le seul à comprendre comment le matos marche, tu peux intégrer des belles portes dérobées si tu fait ça bien.

        • [^] # Re: Linux

          Posté par  . Évalué à 1.

          Mais si ce matos est exotique, le module ne se chargera que chez les (très ?) rares personnes possédant ce matos… et ne seront donc que (très ?) peu à être véritablement exposés à cette faille…. non ?

          Miam ça c'est du bon gros morceau de théorie du complot

    • [^] # Re: Linux

      Posté par  . Évalué à 2.

      C'est d'ailleurs déjà arrivé en 2009, avec un .deb qui contenait un malware sur gnome-look.
      De toute façon c'est arrivé, et ca continuera d'arriver tant qui il y aura des utilisateurs pas très responsables.

      Pour les sources :
      http://linux.slashdot.org/story/09/12/09/2215253/malware-found-hidden-in-screensaver-on-gnome-look
      http://www.omgubuntu.co.uk/2009/12/malware-hidden-inside-screensaver-on-gnome-look/
      https://linuxfr.org/users/grid/journaux/malware-linux

      • [^] # Re: Linux

        Posté par  (site web personnel) . Évalué à 4.

        Un .deb sur gnome-look, c'est un peu comme un .exe sur une page multimania, non ?

        Sérieusement, sans troller, je me suis souvent demandé si les sites ***-look étaient vraiment utilisés, parce que c'est l'exemple-type de ce qu'il ne faut pas faire !

        PS: à ceux qui disent que c'est dur de mettre une porte dérobée dans un dépôt officiel, vous oubliez la profusion des ppa et autres getdeb/playdeb qui font exploser le nombre de sources à qui faire confiance. Certains diront que l'ajout d'un ppa n'est pas un truc pour Mlle Michu, mais si une distrib comme Ubuntu avait la part de marché de Windows, le sous ensemble de ceux qui ajoutent des ppa sans discernement serait tout de même assez grosse pour pouvoir déployer des virus (avec mise à jour auto, via apt :D).

        (Et pourtant je trouve ça cool, les ppa !)

        ce commentaire est sous licence cc by 4 et précédentes

  • # On ne peut pas laisser passer ça

    Posté par  (site web personnel) . Évalué à 2.

    Est-ce que qqn a un abonnement au monde.fr ?
    Non, parce qu'on ne peut laisser passer ces horreurs dans leurs commentaires :

    Jerome Gonsolin Hier
    Vive Linux !
    
      Henri Bembell 07/04/2012 - 02h56
      Juste pour mémoire : le noyau de Mac OS X, c'est Linux...
    
      Robin MATHIAS Hier
      le jour où linux cessera d'être "confidentiel" ce sera son tour, faut pas rêver...
    
    

    (soit dit en passant c'est pas si bête, comme business model transitoire pour ces vieux médias, de réserver l'interaction aux abonnés… où l'on voit que ce sont des vieux franchement à la ramasse coté Internet/Informatique)

    Je moinsse, tu moinsses, il moinsse, nos bots moinssent ...

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.