Petite question technique

Jean Baptiste Favre jean.baptiste.favre at gmail.com
Lun 7 Juil 10:06:30 BST 2008


Bonjour,
Mes réactions et justifications au fil de l'eau.

Bonne journée,

Bruno Patri a écrit :
> 
> 
> On Sunday 06 July 2008 13:02:54 Jean Baptiste FAVRE wrote:
>> Bonjour,
>> Je me permettrais de nuancer quelque peu le propos.
>>
>> En effet, les virus sous Linux existent bel et bien !
> 
> Oui, les premiers virus ont été créés pour UNIX il y a plus de 30 ans, et on 
> ne parle toujours pas de virus sur les systèmes ayant ce type d'architecture. 
> Les références que l'on peut trouver sur le Web concernent de vieux virus 
> exploitant des failles corrigées depuis belle lurette ou des "proof-of-
> concept".
> 
>> Et ils ne sont pas si inoffensif que l'on veut bien le croire.
>> Il existe des virus/vers actifs sous Linux dans les fichiers pdf et/ou
>> ps par exemple.
> 
> Je veux bien des références
http://www.sstic.org/SSTIC03/interventions03.shtml
Chercher la présentation de Philippe Lagadec: "Formats de fichiers,
menaces et sécurisation"

>> Pour les plus fans, je vous renvoie au livre d'Éric Filiol "Les virus
>> informatiques: Théorie, pratique et applications" aux éditions Springer
>> (aperçu là:
>> http://books.google.fr/books?id=Mt3qHnEpX2cC&dq=virus+.ps+.pdf+filiol&pg=PP
>> 1&ots=MlVsBRDPuc&sig=TZZRBQhU-ZGpS1Ab9IgDDun0IrQ&hl=fr&sa=X&oi=book_result&r
>> esnum=1&ct=result) .
>> Pour ceux qui ne le connaissent pas, Eric Filiol est un des, sinon le
>> spécialiste français en virologie.
>> Il travaille pour le ministère de la défense et a notamment étudié
>> OpenOffice... édifiant !
> 
> C'est certainement un des grands spécialiste sur le sujet, mais attention à ne 
> pas confondre travaux de recherche fondamentale en virologie (ma remarque 
> précédente sur les exemples de virus, ou plutôt de vers UNIX) et la réalité 
> concrète des virus.
> 
> 
>> Que dire donc de la perméabilité d'OpenOffice avec ses macros (même
>> problème que MS Office, 10 ans plus tard). Toujours pas de solution sur
>> le long terme même si bien des travaux sont en cours.
> 
> C'est effectivement un problème, mais ces applications s'exécutent en espace 
> utilisateur et le risque d'infection par une bestiole est donc très limité. 
> Pour l'instant ce qui a été démontré c'est l'existence de faille de sécurité 
> potentielles dans Openoffice.
Et le vol de documents appartenant à l'utilisateur en question, ça n'est
pas grave ?
Le vol es mots de passe stockés dans Firefox non plus ?
On ne parle forcément de casser le système d'exploitation. Dans le cas
d'un PC de bureautique, on parle surtout d'envoi de spam (pas besoin
d'être root), et de vol d'informations personnelles.

>> Le failles de sécurité ou de conception ne sont pas toujours corrigées
>> si rapidememnt que cela (OpenOffice, Acrobat Reader, Flash, ...)
> 
> Ces deux derniers sont des logiciels propriétaires, donc...
Et ?? ils s'installent et s'exécutent sous Linux, non ? Ils sont
empaquetés pour les principales distributions dont Ubuntu, non ?
Donc, de facto, on doit les prendre en considération pour juger de la
perméabilité (ou pas) aux virus.

>> D'autre part, les systèmes Linux modernes sont tous installés avec
>> divers interpréteurs (Perl, Python, ...). Des vers et virus existent
>> dans ces langages là.
> 
> Des références ?
Le livre d'Éric Filiol, page 194: Virus chiffré en Perl. Il s'agit
certes d'un sujet d'étude, mais les premiers virus étaient des proof of
concept, vous l'avez souligné vous-même.

>> Dieu merci, il n'est pas besoin d'avoir les droits root pour effectuer
>> une connexion réseau.
> 
> Encore une fois ces scripts s'exécutent en espace utilisateur et sans les 
> droits root.
Et cela les empêche de faire des dégats ? sur la machine sans doute,
mais sur le réseau ?

>> Les virus Windows: de plus en plus de gens utilisent Wine. Les vers et
>> virus Windows sont donc virtuellement "comme chez eux". Et les
>> distribution modernes (Ubuntu en tête) permettent "d'auto-exécuter" les
>> .exe avec Wine.
> 
> 
> Là encore je veux bien des références. Au pire la bestiole va compromettre
> les exécutables et les bibliothèques Windows, mais je ne vois pas comment elle 
> peut se propager au système Linux.
Le problème n'est pas tant qu'il se propage au système Linux, mais qu'il
s'en serve (en s'exécutant) pour compromettre d'autres machines via le
réseau.

> 
>> Ne n(v)ous leurrons(ez) pas: la démocratisation de Linux auprès du grand
>> public va augmenter l'intérêt de ce type de plate-forme pour les auteurs
>> de ces bêbêtes. Donc, on risque bien d'en voir de plus en plus.
> 
> Ah ! le vieux serpent de mer utilisé par les éditeurs d'anti-virus et les 
> partisans de MS. 70 % des serveurs Web tournent sous Linux BSD ou autre UNIX-
> like, et on a toujours pas de virus. Même chose pour MacOSX, 4 à 7% de parts 
> de marché et zéro virus (les trucs récemment apparus exploitent des failles 
> introduites par Apple, pas des faille du système lui-même). Si c'est systèmes 
> sont très peu attaqués par des logiciels malveillant, c'est uniquement parce 
> que leur architecture est bien lus robuste (gestion des droits, espace mémoire 
> protégé, etc.) 
Oui c'est indéniable, mais c'est également parce que leur part de marché
les rendent bien moins attractifs.
Pour information, je ne travaille ni pour MS (je n'ai aucune machine
sous MS chez moi), ni pour un éditeur anti-virus.
J'ai "juste" travaillé pendant 5 ans dans le domaine de la sécurité
informatique.

>> Enfin, parlons des rootkit noyau. Avec les noyaux modulaire, c'est un
>> jeux d'enfant d'en écrire un (je l'ai fait n'étant pas du tout
>> programmeur système).
> 
> Si tu ne le démontres pas -> FUD
Vous savez écrire un module noyau ? Alors vous savez écrire un rootkit
(ou presque).
Après, il sera plus ou moins discret c'est sûr, mais si vous accédez à
l'espace noyau, vous pouvez tout faire.

>> Évidemment, les sources officielles du noyau sont scrutées en permanence
>> et les tentatives de corruption des sources sont découvertes et
>> corrigées très rapidement. De même pour les paquets officiels des
>> distribution.
> 
> Ah, il y a eu des tentatives de corruption des source du noyau ? Je t'invite à 
> te renseigner sur le mode de fonctionnement du développement du noyau. 

http://kerneltrap.org/node/1584
Ça date de 2003 et ça n'est pas resté dans l'arbre de développement très
longtemps, mais ça a été fait.

> N'importe qui ne peux pas envoyer un bout de code comme cela...
>
>> Mais quid des drivers non inclus dans le noyau officiel mais dont nous
>> avons tous besoin pour mettre fonctionner nos périphériques exotiques ?
> 
> L'idéal bien sûr serait de na pas les utiliser. Puisque le code source n'est 
> pas public, personne en dehors des auteurs ne peut y détecter/corriger des 
> failles. Si ces pilotes proviennent du fabricant officiel et/ou ont été mis en 
> paquet officiellement par la distribution, il n'y a priori pas de risques.
> 
>> Et quid des paquets non officiels proposés par des gens de bonne volonté
>> ? Vous avez besoin des droits root pour les installer. Quelle confiance
>> pouvez-vous accorder à leur(s) auteur(s) ?
> 
> C'est bien pourquoi on insiste lourdement pour que les gens n'installent pas 
> des paquets non officiels en dehors de quelques dépôts fiables.
> 
> 
>> Maintenant, Linux (comme tous les unix) résistent mieux de part,
>> notamment, un meilleur cloisonnement des droits utilisateurs. 
> 
> Oui mais pas seulement !
> 
>> Mais
>> résister ne signifie pas ête immunisé. Tout au plus (mais c'est déjà
>> énorme) n'aurez-vous pas besoin de réinstaller tout le système après une
>> infection.
> 
> Là je suis d'accord le terme "immunisé" peut paraître trop fort, mais c'est 
> pourtant celui qui convient. Le système contient intrinsèquement les moyens de 
> se défendre contre des logiciels malveillants, à la manière d'un système 
> immunitaire pour un organisme vivant. Ce qui ne signifie pas qu'il ne tombera 

Donc nous sommes d'accord sur le fond même si la forme diffère ;-)

> jamais malade et qu'il ne faut pas prendre certaines précautions.
> 
> 
>> Bref, sans vouloir lancer de troll ni être trop parano, il convient de
>> faire attention et faire preuve d'un tout petit peu de bon sens (comme
>> sous Windows finalement ;-) ). Et un anti-virus ne fait jamais de mal
>> (enfin, normalement).
> 
> Un anti-virus sous Linux reste totalement inutile à l'heure actuelle (hormis 
> pour les raisons évoqué dans les posts précédents.)
> 





Plus d'informations sur la liste de diffusion ubuntu-fr