Discussion :

[Gordon Fowler]

"Windows 7 avec IE8 ou Chrome est la combinaison la plus sécurisée"
Mais sans Flash, déclare un expert en sécurité renommé


D'habitude, lorsque l'on demande quelle combinaison OS/Navigateur est la plus sûre, la réponse est souvent incomplète, du simple fait que celui qui la donne n'est expert que d'une seule plateforme.

Charlie Miller n'est pas de ceux-là.

Vainqueur à plusieurs reprises du concours de référence en matière de hacking – le Pwn2Own – Charlie Miller connait aussi bien Linux que Windows sans oublier Mac OS ou l'iPhone et Android, les deux OS mobiles qu'il a été le premier à « casser ». Mais qu'on ne s'y trompe pas, l'homme n'est pas un pirate. Il est un chasseur de bugs renommé dont le but est d'améliorer en permanence la sécurité des systèmes.

Dans une interview qu'il a accordée cette semaine en préambule au Pwn2Own 2010, Charlie Miller soutient que pour lui, la combinaison actuelle la plus sûre serait « Chrome ou Internet Explorer 8 sur Windows 7, mais sans Flash installé. Il n'y a probablement pas assez de différences entre les navigateurs pour les départager [en terme de sécurité] mais l'essentiel est de surtout ne pas installer Flash ! ».

Un avis qui va à contre-courant des idées reçues et qui ne plaira sans doute pas à Steve Jobs, déjà furieux que Miller ait craqué Safari dans le passé.

Quant à Linux, il « n'est pas plus difficile [à pirater], probablement plus facile en fait, même s'il faut bien faire la différence en fonction de la distributions dont on parle. Les organisateurs [du Pwn2Own] choisissent de ne pas utiliser Linux simplement parce que beaucoup moins de gens l'utilisent. L'autre chose importante à dire, c'est que les principales vulnérabilités se trouvent dans les navigateurs, or ce sont les mêmes qui tournent sur Linux et sur Windows ».


Source : L'interview de Charlie Miller


Lire aussi :

Nouvelle faille critique dans Adobe Download Manager, l'utilitaire installé avec Flash et Reader : comment la colmater ?

Firefox : le navigateur le plus vulnérable ?

26 % des hackers préfèrent utiliser Opera selon Purewir

"Snow Leopard est plus facile à hacker que Windows" d'après C. Miller, auteur du livre The Mac Hacker's Handbook

Les rubriques (actu, forums, tutos) de Développez :

Sécurité
Systèmes

[zul]

Concernant la sécurité des systèmes d'exploitations, il est "probablement" plus facile de pirater un Linux. Pas de faits avérés dans un sens ou dans l'autre. Je sais que c'est un "expert en sécurité informatique", mais ce n'est pas une preuve suffisante. Quand à Windows VS MacOSX, l'argument principal c'est que Windows a un vecteur d'attaque moins grand parce qu'il n'a pas Flash ni java de base (ce qui est vrai dans l'absolu, en pratique, ce sont des choses qu'on retrouve souvent installé dans les offres de supermarché). ASLR et DEP sont des techniques intéressantes, qui existent aussi dans d'autres systèmes (je dirai que ça vient entre autre des travaux de GrSecurity) mais comme indiqué, on peut les bypasser (en particulier dans le cas qui nous intéresse, attaque via l'explorateur) (entre autre, il me semble que Leopard utilise aussi des techniques d'ASLR).

Et il va au moins dans le sens de Steve Jobs, Flash est un vecteur d'attaque important, d'où un choix non illogique de ne pas le supporter sur des plateformes mobiles

[bachir006]

c'est bien beau dit comme ca. mais on voudrais des arguments quand meme.
en quoi Windows serait il plus securise que les autres OS par exemple?

[MrEagle]

Que vous soyez sur Linux, Windows ou Mac OS toutes versions confondu avec n'importe quel navigateur le plus gros problème de sécurité est et sera toujours l'utilisateur.

Il n'est pas plus intelligent de s'identifier root en linux que de répondre à un courriel du prince du sud de l'Afrique du nord qui vous dit qu'il vous donnera 1 000 000$ si vous lui en envoyé 5 000$!

[Invité]

sur ce lien de 2008 http://www.referencement-internet-we...ows-Vista.html on voit que linux avait résisté...
quant à flash le mieux est de le désactiver sous firefox.

[Lyche]

sur ce lien de 2008 http://www.referencement-internet-we...ows-Vista.html on voit que linux avait résisté...
quant à flash le mieux est de le désactiver sous firefox.

En même temps, y'a 2 univers d'écart entre Vista et Seven..

[gmotw]

Je pense que Windows 7 a aussi l'avantage de la nouveauté. C'est en tout cas ce qu'il a l'air de dire dans l'interview.

Il n'est pas plus intelligent de s'identifier root en linux que de répondre à un courriel du prince du sud de l'Afrique du nord qui vous dit qu'il vous donnera 1 000 000$ si vous lui en envoyé 5 000$!

Mais pourtant il m'a promis qu'il ne donnerait l'argent qu'à moi!

[Invité]

En même temps, y'a 2 univers d'écart entre Vista et Seven..

oui, mais tout le monde n'a pas Seven et j'ai pas vu un grand empressement pour y passer dans ma boite.Donc toujours sur Vista, d'un autre coté quand on utilise skype voir msn pour communiquer des infos de l'entreprise on voit pas ou il est question de sécurité.
Pour revenir au propos de Charlie Miller qui qualifie linux de "probablement plus facile" à pirater je constate qu'il a participé à un concours de Hacking ou il a craqué Safari mais pas linux, j'aurais aimé qu'il en dise plus sur ce "probablement".

[Gordon Fowler]

"Windows 7 avec IE8 ou Chrome" était la réponse à "Mac ou Windows ?" et non à "Quel est le meilleur ?".

Ah bon ?

In your opinion, which is the safer combination OS+browser to use?

That’s a good question. Chrome or IE8 on Windows 7 with no Flash installed. There probably isn’t enough difference between the browsers to get worked up about. The main thing is not to install Flash!

Linux n'entre en aucun cas en jeu, il dit bien que les vulnérabilités Windows et Linux viennent des navigateurs majoritairement et que l'OS n'influe peu.

Je lis bien "Linux n'est pas plus difficile [à pirater], probablement plus facile en fait, même s'il faut bien faire la différence en fonction de la distributions dont on parle." et non Linux plus facile à pirater. Il y a une grande nuance.

Re-Ah bon ?

In Pwn2Own 2010 there is still no trace of Linux as possible target. Is it too harder to find exploits for Linux or a non commercial operating system has no interest for exploit hunters?

No, Linux is no harder, in fact probably easier, although some of this is dependent on the particular flavor of Linux you’re talking about. The other thing is, the vulnerabilities are in the browsers, and mostly, the same browsers that run on Linux, run on Windows.

A navigateurs égaux il en tire une conclusion. Qui visiblement ne te plait pas et c'est ton droit.
De là à dire que qu'on modifie les propos de Miller !!!

[bizzard4]

Ça va rager dans ce thread

En lisant plusieurs thread sur le browser/malware/OS on se rend compte rapidement que la fiabilité du système (de nos jours, ça n'a pas toujours été le cas) dépend beaucoup (en majorité?) de l'utilisateur.

Petit exemple simple :

Dans ma famille, 4 OS ->
DaddyWindowsXP : La principale faille de cet OS de se trouve dans le courriel de son collègue où il est écrit "Tiger Wood with big boobs" qui pointe sur le fameux vidéo de Tiger Wood avec ses concubines (Movie.EXE).

MommyWindowsXP : Un peu plus sécuritaire comme OS parce qu'il est simple et très peu utilisé. Par contre, l'OS en voulant être trop sécuritaire, envoi souvent par MSN des messages de type "I Found your picture" sur MSN pour avertir l'utilisateur que sa copine (française) a trouvé une photo de l'utilisateur sur un site internet (Photo.EXE).

BrotherVista : Plus ou moins sécuritaire, malgré le progrès technique plus haut que la moyenne de cet OS, il n'en reste pas moins qu'il est porté à offrir des liens sur Facebook vers des concours pour devenir millionnaire. Vu que cet OS est très peu couteux (et que l’utilisateur a pas d’argent), il lui arrive souvent de s'essayer pour faire un peu d'argent. Les concours sont souvent accompagnés d'un Sondage.EXE simple et rapide à remplir.

MeWin7 : Le plus sécuritaire, alerte et très stable comme OS. La performance technique de cet OS le rend utilisable que par un professionnel. Malheureusement, parfois le professionnel DOIT trouver un crack/serial/torrent pour un truc rare et il en a « vraiment » besoin. L'OS de pointe en recherche, permet toujours à l’utilisateur de trouver ce qu’il cherche, peu importe la recherche il trouvera toujours Crack.EXE.

[manudwarf]

Ah bon ?

In your opinion, which is the safer combination OS+browser to use?

That’s a good question. Chrome or IE8 on Windows 7 with no Flash installed. There probably isn’t enough difference between the browsers to get worked up about. The main thing is not to install Flash!

Dit-il juste après avoir expliqué pourquoi Linux n'était pas présent. Pwn2Own portait sur Mac et Windows, le journaliste lui demande qui en ressort gagnant, il répond "Windows".

Re-Ah bon ?

In Pwn2Own 2010 there is still no trace of Linux as possible target. Is it too harder to find exploits for Linux or a non commercial operating system has no interest for exploit hunters?

No, Linux is no harder, in fact probably easier, although some of this is dependent on the particular flavor of Linux you’re talking about. The other thing is, the vulnerabilities are in the browsers, and mostly, the same browsers that run on Linux, run on Windows.

A navigateurs égaux il en tire une conclusion. Qui visiblement ne te plait pas et c'est ton droit.
De là à dire que qu'on modifie les propos de Miller !!!

Bah tu cites la même phrase que moi (pas dans la même langue) : Linux peut être plus vulnérable, mais ça dépend de la distribution. On est encore loin de "Linux plus facile à pirater que les autres OS" !

Et excuse-moi si je me suis emporté mais j'ai vraiment trouvé les raccourcis trop rapides (et incitant au troll).

[superness64]

Moi je suis tout affait d'accord avec toi, c'est l'utilisateur qui décide d'installer telle ou telle version d'un logiciel édité par Mr Jehack. Et après ça, ça s'étonne d'avoir des spams, virus ou autre impurté !!!
Le mieux serait de déconnecter sont ordinateur du net !!!

[Psychopathe]

Je vois pas trop l'intérêt des propos de Miller. Si ce n'est qu'il essaie d'être à contre-courant des idées reçues (Linux = safe). Et comme dit précédemment, c'est vraiment l'utilisateur la vraie faille. Quelque soit l'OS et/ou le navigateur.

[isra17]

Vous voulez savoir la formule magique pour sécurisé votre ordinateur? Débrancher le cable Ethernet à l'arrière de votre PC ou bien débrancher l'alimentation, je vous garantie que les hackers auront beaucoup de peine pour voler vos données

[deadalnix]

Il faut arrêter de croire que la sécurité peut se limiter aux attaques informatiques. On va au-devant de mauvaises surprises dans un tel cas.

[Rizza]

Il faut arrêter de croire que la sécurité peut se limiter aux attaques informatiques. On va au-devant de mauvaises surprises dans un tel cas.

Je suis d'accord.

Seulement, je pense qu'il est plus facile de rémunérer une équipe de hacker pour obtenir des informations confidentielles, que de recruter un commando armé jusqu'aux dents pour braquer un data-center.

Car les tours de PC de monsieur tout le monde, il n'y a pas toujours des infos super intéressantes. Enfin dans la plupart des cas !

[pseudocode]

A tous ceux qui réagissent au propos de Miller concernant l'"hackabilté" de Linux : il faut lire les règles du concours Pwn2Own !

Le but est d'arriver à lire un fichier présent dans le répertoire utilisateur de l'ordinateur (/home, ou c:\mes documents).

Donc, si on trouve une faille sur un navigateur permettant de lire le fichier, c'est gagné. On ne parle pas de devenir "root" sur la machine, juste de lire un fichier qui est accessible par l'utilisateur loggué.

C'est pour cela que IE8, avec sa sandbox, offre une plus grande résistance.

[Aurelien.Regat-Barrel]

sur ce lien de 2008 http://www.referencement-internet-we...ows-Vista.html on voit que Linux avait résisté...

Ce lien confirme ce qui a été dit : ce ne sont pas les systèmes qui sont en cause, mais les applications installées dessus. A savoir que pour Max OS X, c'est Safari (donc Apple) qui était en cause. Et pour Windows, c'était... Flash...

Les hackers Charlie Miller, Jake Honoroff et Mark Daniel ont réussi à faire succomber le MacBook Air sous Mac OS X en l’envoyant vers un site Internet sur lequel ils avaient installé une exploitation qui a profité d’une vulnérabilité inconnue dans le navigateur Safari.

Les hackers Shane Macaulay, Derek Callaway et Alexander Sotirov ont fait défaillir Windows Vista en exploitant une faille de sécurité déjà connue de la dernière version d’Adobe Flash.

Est-ce que quelqu'un sait pourquoi une faille de sécurité dans flash n'affecte pas les 2 autres systèmes ?

[deadalnix]

Utilises Flash sous Linux ou MacOs. Tu verras que ce n'est clairement pas le même plug-in.

[Invité]

A tous ceux qui réagissent au propos de Miller concernant l'"hackabilté" de Linux : il faut lire les règles du concours Pwn2Own !

Le but est d'arriver à lire un fichier présent dans le répertoire d'utilisateur de l'ordinateur (/home, ou c:\mes documents).

Donc, si on trouve une faille sur un navigateur permettant de lire le fichier, c'est gagné. On ne parle pas de devenir "root" sur la machine, juste de lire un fichier qui est accessible par l'utilisateur loggué.

Heu non, je réagis aux propos de Charlie Miller et à la légèreté qui lui permet d'esquiver la question de Linux car moi j'aimerais bien avoir son avis sur la possibilité de hacké Linux si facilement que ça...
Je vois qu'il a des idées précises sur les défauts d'APPLE qu'il a déjà exprimées par ailleurs, je reste sur ma faim.

C'est pour cela que IE8, avec sa sandbox, offre une plus grande résistance.

et SElinux ??