Icaunux - Le Forum

Forum de l'Association ICAUNUX

Vous n'êtes pas identifié(e).

Annonce

Les Inscriptions au forum sont temporairement désactivées en attendant de trouver une solution efficace contre les inscriptions fictives très nombreuses ces derniers temps. Si vous souhaitez vous inscrire sur le forum, merci d'envoyer une demande par mail à l'adresse contact@icaunux.org. Désolé de cette gène occasionnée.

#1 25-02-2015 14:09:50

Biker
Membre
Lieu : Pont sur Yonne
Inscription : 18-01-2015
Messages : 17

virus

Ci-dessous lien vers un article qui me surprends:
http://www.01net.com/editorial/646682/l … s-en-2014/.
Quel est votre avis ?
Sp

Hors ligne

#2 25-02-2015 20:35:24

IceCat
Membre
Lieu : 93
Inscription : 17-11-2012
Messages : 682

Re : virus

Alors, par où commencer...

Cet article compare le nombre vulnérabilités découvertes en 2014, entre 3 systèmes différents (pour pc) dont l'un des trois à son code source publique, (donc n'importe qui peut essayer de trouver des failles). On en a découvert - et corrigé - plus sur Linux, ça semble normal et c'est une bonne chose ! Cela signifie que le code est scruté, testé.
À l'inverse, comment expliquer le nombre de failles découvertes sur Windows (même pas 100 de moins) alors que le code n'est pas visible ? Qu'en penser sur sa qualité ?

Comparer le nombre de failles dans des programmes (il y en a et en aura toujours, il faut juste pouvoir les trouver) n'est pas très pertinent. Ce qu'il est intéressant de regarder, c'est au bout de combien de temps après leurs découvertes celles-ci sont corrigées.
Pour la petite histoire, la faille Heartbleed d'OpenSSL (une des plus grave faille découverte récemment, ça passait même dans les journaux tv \o/) a été publiée le 07 avril 2014, malheureusement je n'arrive pas trouver à quelle heure. Eh bien, un correctif était disponible dans la soirée pour la plupart des distributions (21h pour Debian et 22h pour Archlinux).
Suite à cette faille, qui fut un "traumatisme" dans le monde informatique, entre autres initiatives de divers acteurs (Amazon, Cisco, Dell, Facebook, Fujitsu, Google, IBM, Intel, Microsoft, NetApp, RackSpace et Vmware se sont regroupés autour d'une initiative commune), Google a lancé le Project Zero, qui vise à trouver des failles encore inexploitées.
Project Zero informe les éditeurs des failles qu'ils trouvent, et les publie lorsqu'un correctif est disponible, ou au bout de 90 jours si l'éditeur n'a pas publié de correctif.
Ce qui s'est passé par deux fois pour Microsoft, en janvier de cette année : http://www.generation-nt.com/windows-8- … 10753.html
Microsoft a donc mis 92 jours à sortir les correctifs...

Si on veut jouer, on pourra aussi remarquer que Linux a eu le moins de failles critiques (104) en 2014, comparé à Windows (120) et OSX (140).
Du coup, il aurait pu tout aussi bien intituler son article "OSX et Windows plus dangeureux que Linux en 2014".

Enfin, il est indiqué que "ces vulnérabilités ne concernent pas seulement le système d'exploitation, mais aussi les logiciels qui s’y installent". Du coup, on ne sait même pas vraiment ce qu'on compare. Il aurait été plus intéressant de comparer les failles entre les 3 noyaux (Linux, NT et XNU).


promotion.php?image=PL-user.png&membre=IceCat

Hors ligne

#3 25-02-2015 22:48:07

Biker
Membre
Lieu : Pont sur Yonne
Inscription : 18-01-2015
Messages : 17

Re : virus

Merci pour cette réponse circonstanciée et très détaillée et qui remet les choses à leur place. Sp

Hors ligne

#4 02-03-2015 20:37:51

IceCat
Membre
Lieu : 93
Inscription : 17-11-2012
Messages : 682

Re : virus

Un article de "direction informatique", sorti le lendemain de notre échange, partage le même avis que moi.
http://www.directioninformatique.com/bl … rite/33013

Si j'étais mauvaise langue, je dirais même que c'est troublant... wink


promotion.php?image=PL-user.png&membre=IceCat

Hors ligne

#5 07-03-2015 12:03:26

wanica
Membre
Inscription : 13-11-2008
Messages : 2 070

Re : virus

Citation partielle de l' article...aucasou, il ne serait plus accessible...pour une raison ou une autre....

TOUS ONT DES FAILLES....

L’année dernière, beaucoup d’encre a coulé autour du bogue Heartbleed et plus récemment autour de Ghost. La réalité est que chaque logiciel, qu’il soit libre ou propriétaire, et quelle que soit la qualité de son code, a des failles. Le premier, de par la nature de sa licence, est transparent et révèle donc ses failles au grand jour. Le second, de peur d’être victime de mauvaise presse, est plus enclin à garder ce genre d’information à l’interne.

MAIS LA TRANSPARENCE ....

Force est de constater que la transparence du premier a un impact phénoménal sur sa capacité à réagir face à des failles de sécurité. Analysons en chiffres la réactivité des communautés lorsqu’elles ont dû s’organiser pour faire face à leurs menaces respectives :

    Heartbleed : la communauté de Linux a corrigé la faille en deux heures, alors que les éditeurs propriétaires exploitant également OpenSLL ont pris plus de quatre jours.../...Impressionnant et révélateur, n’est-ce pas?

Le fait que le code d’un logiciel soit libre a donc un impact positif sur son niveau de sécurité.

ET LES FINANCES ...

Certains projets libres incontournables étaient en manque de financement.

En effet, ces projets étaient trop souvent PRIS POUR ACQUIS  par les compagnies qui les exploitaient et qui les incorporaient dans leur offre de solution, et ce, sans verser ni de rétribution financière, ni de contribution en ligne de code.

Quelques exemples en chiffres :

    Werner Koch, qui est responsable du maintien de GNU Privacy Guard, opère avec un budget annuel de 25 000$;
    Harlan Sten, qui maintient le logiciel Network Time Protocol daemon, avait jusqu’à récemment un budget similaire au précédent;
    La levée de fond annuelle de la Fondation OpenSSL générait environ 2000$ par année.

Ces sommes semblent dérisoires lorsqu’on réalise à quel point ces logiciels sont exploités partout en entreprise.

FONDATION LINUX

Pour faire face à cela, la Fondation Linux a réuni les grandes puissances technologiques en créant la Core Infrastructure Initiative. CORE INFRASTRUCTURE INITIATIVE.

Cette dernière a pour objectif de financer le développement et le maintient de briques logicielles libres critiques jusqu’à alors sous-financées (OpenSSL, OpenSSH et NTP).

L’initiative compte parmi ces membres Amazon Web Services, Cisco, Dell, Facebook, Google et plusieurs autres géants technologiques. Tous se sont engagés a faire des audits de sécurité continus et fourniront chacun une dote de 100 000$ au cours des trois prochaines années.

DEBAT CLOS...

En conclusion, en combinant financement et réactivité, l’avenir est rose pour le logiciel libre. La sécurité ne devrait plus faire partie des arguments utilisés par les hommes de terrain des éditeurs propriétaires. Toutefois, si de tels propos vous sont tenus, partagez ces chiffres et observez la réaction.

ET PAN !

Amusez-vous aussi à demander à cet individu pourquoi, selon lui, Microsoft libère aujourd’hui son langage de programmation .NET ou pourquoi Pivotal libère ses solutions phares?

fin de la citation partielle et annotée.

Hors ligne

Pied de page des forums