Android touché par une variante de Stagefright et une faille dans les SoC SnapDragon

Android touché par une variante de Stagefright et une faille dans les SoC SnapDragon

L'inévitable question des correctifs

Avatar de l'auteur
Vincent Hermann

Publié dans

Société numérique

17/03/2016 6 minutes
56

Android touché par une variante de Stagefright et une faille dans les SoC SnapDragon

Android est affecté par deux nouveaux soucis de sécurité, dont l’un n’est autre qu’une variante de la brèche Stagefright, qui revient une fois de plus sur le devant de la scène. La seconde réside dans les SoC Snapdragon et dans le code d'exploitation livré par Qualcomm pour Android.

Android est à nouveau frappé par des soucis de sécurité qu’il sera difficile de juguler pour l’ensemble des utilisateurs. La faille Stagefright, que l’on pensait morte et enterrée (tout du moins pour ceux qui ont eu la chance d’obtenir un ou plusieurs correctifs), est ainsi de retour, dans une nouvelle variante tout aussi simple à exploiter par les pirates.

La faille qui ne voulait pas mourir 

Rappelons d’abord que Stagefright tire son nom d’une bibliothèque multimédia d’Android, présente sur la quasi-totalité des appareils. Si vous recevez par exemple un MMS contenant une photo, c’est elle qui assure la décompression de l’image et son affichage. Techniquement, elle effectue même ce travail avant que vous n’ayez ouvert l’application de messagerie.

La première faille Stagefright tirait parti de cette caractéristique. Par une attaque bien préparée, les pirates pouvaient envoyer un simple MMS, faire exécuter un code à distance et provoquer par exemple l’installation d’un ou plusieurs malwares. Il était même techniquement possible d’effacer les traces d’une telle intervention malveillante, l’utilisateur se réveillant ainsi sans se douter de ce qui s’est passé pendant la nuit.

Une variante passant l'affichage de vidéos sur une page web

La faille a été corrigée à plusieurs reprises, en particulier parce que les premières mises à jour ne colmataient pas complètement la brèche. Et voilà qu’elle est de retour, sous une nouvelle forme d’exploitation. C’est la société israélienne NorthBit qui en a fait la découverte, jusqu’à en publier tous les détails dans un document de recherche.

L’exploitation de la faille, nommée par les chercheurs Metaphor, a un air de déjà-vu puisqu’elle commence par attirer l’utilisateur sur un site web spécialement conçu. Sur une page, les pirates placent un contenu vidéo qui a pour mission de faire planter le serveur multimédia d’Android, provoquant alors sa réinitialisation. Durant cette phase, un code JavaScript envoie au serveur des informations sur l’appareil de l’utilisateur.

Le serveur envoie ensuite en retour une vidéo contenant un code spécifiquement adapté à l’appareil pour exploiter la faille dans Stagefright, révélant alors de nouvelles informations sur l’état interne. Enfin, ces données permettent de renvoyer une troisième vidéo contenant cette fois la « charge virale », la bibliothèque Stagefright exécutant alors le code sans savoir qu’un malware y est présent. L’ensemble de la procédure prend moins de dix secondes.

Les appareils vulnérables s'ils ne disposent pas de toutes les mises à jour

Toujours selon les chercheurs, l’exploitation de la brèche (plus précisément la CVE-2015-3864) est faite de telle manière que certaines techniques d’atténuation des risques ne fonctionnent pas, notamment l’ASLR (Address Space Layout Randomization), qu’elle contourne. Cette protection n’est d’ailleurs pas présente dans les versions 2.2 à 4.0 d’Android. Metaphor fonctionne également avec les versions 5.0 et 5.1, mais semble impossible a priori sur les moutures 4.1 à 4.4.

Selon Gil Dabah, cofondateur de NorthBit interrogé par WIRED, il est nécessaire d’avoir la totalité des mises à jour de sécurité installées pour être tranquille. Au vu des versions touchées par Metaphor, cela ne laisse que les possesseurs d’appareils sous Android 5.1, les plus à même d’avoir reçu les correctifs. Ce qui accroit d’ailleurs la pression sur les autres, les recherches de NorthBit pouvant être exploitées « par les gentils, comme par les méchants », de l’aveu même de Dabah.

Les SoC Snapdragon victimes d’une double faille

Si Stagefright n’est pas nouvelle, la faille contenue dans les puces Snapdragon de Qualcomm l’est bel et bien. L’alerte a été publiée par Trend Micro, qui explique que le code d’exploitation de ces SoC contient des bugs qui, en cas d’exploitation, peuvent permettre la prise de contrôle du smartphone ou de la tablette.

Il existe en fait deux failles, nommées CVE-2016-0819 et CVE-2016-0805, causant respectivement un problème de type « Use After Free » dans Android et un dépassement de mémoire tampon. L’association des deux peut mener à l’exécution d’un code arbitraire, mais trend Micro, qui a communiqué en privé les détails des failles à Google, n’en dévoile pas davantage sur les mécanismes d’action.

Tous les possesseurs d’un appareil dont le SoC serait issu de la série 800 des Snapdragon sont vulnérables, en conjonction avec une version 3.10 du code kernel fourni par Qualcomm. Les tests d’exploitation ont par exemple réussi sur les Nexus 5, 6, 6P ainsi que sur un Galaxy Note Edge. Il faudra d’ailleurs attendre que les mises à jour de sécurité soient déployées, ce qui pose encore une fois le problème de leur disponibilité.

Les objets connectés eux aussi touchés par le problème

D’ailleurs, le vrai souci de ces deux failles est que les processeurs Snapdragon ne se retrouvent pas que dans des smartphones et tablettes Android. Ils sont également présents dans divers objets connectés, qui ont donc exactement le même risque d’être attaqués. Trend Micro indique : « Si les objets connectés doivent être aussi répandus que nombre d’experts le prédisent, il faut que soit présent un système assurant que ces produits sont sans danger pour le grand public. Les mises à jour de sécurité sont une nécessité absolue aujourd’hui, et les utilisateurs de ces appareils connectés ont besoin de savoir à quoi ils ont affaire ».

Pour les possesseurs d’un Nexus, le problème ne se pose plus si les dernières mises à jour de sécurité ont été installées. Les correctifs sont en effet présents dans la dernière fournée du 7 mars. Pour les autres, tous les appareils comportent une version 4.4.4 à 6.0.1 du système sont vulnérables, et il va falloir attendre que les constructeurs déploient à leur tour les correctifs. Pour les objets connectés, la situation est plus floue. Les entreprises sont averties, mais la diffusion d’une mise à jour dépendra beaucoup du type de produit.

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

La faille qui ne voulait pas mourir 

Une variante passant l'affichage de vidéos sur une page web

Les appareils vulnérables s'ils ne disposent pas de toutes les mises à jour

Les SoC Snapdragon victimes d’une double faille

Les objets connectés eux aussi touchés par le problème

Commentaires (56)


“La seconde réside” <img data-src=" />


signalé également :)


Pour en revenir à la news, vue que le suivi des maj est proche de 0 chez les constructeurs, j’ai quand même l’impression que les 34 du parc android est bourré de failles. Ça en devient légèrement inquiétant …







Sur PC Windows est touché par les failles et Linux est relativement épargné en raison de son faible taux d’utilisation.

Sur smartphone c’est l’inverse, avec mon Windows Phone je suis relativement tranquille alors que sur Android c’est la fête du slip <img data-src=" />



Bon je fais mon malin mais dans 1 an je ne suis pas sûr que WP existe encore…


Série 800 = 800, 801, 801, 805, 808, 810 et 820 ou seulement le SD 800 ? Si c’est toute la gamme je vais moins faire le malin avec mon Passport… En espérant que BB se montre aussi réactif pour BB10 que pour le Priv.


MDR! Les failles de sécurités et le manque de suivi des MAJ m’avait fait quitter Android pour Windows Phone…

Il y a un 5 minutes, je viens de craquer pour un Nexus car le manque de stabilité de Windows 10 Mobile et le manque d’application m’ont fait péter un câble…



2 minutes après avoir validé ma commande d’Androphone… je tombes sur cette news qui me rappel pourquoi j’avais quitté le droid vert :(



Merde c’est peut être les fanboys Apple qui ont raison, un gros catalogue d’application et des mises à jours qui permettent de pas rester exposé à des failles de sécurité pour au moins 3 ans (temps moyen du support de vieux iPhones avant abandon)


Après, avec un nexus, les failles sont corrigées assez rapidement par Google…


À ceci près que lorsqu’une faille est comblée sur Windows, tu n’es pas dépendant du fabriquant de ton PC pour pouvoir appliquer la mise à jour.



Pour Linux, ça dépend souvent de ta distribution, mais la vitesse de propagation d’un correctif est très rapide (souvent quelques jours)








JustMe a écrit :



permettent de pas rester exposé à des failles de sécurité pour au moins 3 &nbsp;ans&nbsp;





5 ans même



On verra bien si balckberry réagisse vite, comme ils le disent :http://www.nextinpact.com/news/99028-blackberry-met-en-avant-sa-reactivite-a-col…


Ca fait souci pour les amis ayant un Android non mis à jour. Le dernier que j’ai conseillé était un Moto X 2014, mis à jour sous Marshmallow.&nbsp; Faudra que je suive ca de près quand même.











Obidoub a écrit :



Sur smartphone c’est l’inverse, avec mon Windows Phone je suis relativement tranquille alors que sur Android c’est la fête du slip <img data-src=" />



Bon je fais mon malin mais dans 1 an je ne suis pas sûr que WP existe encore…





Dans un an WP sera peut etre bien moribond mais Windows 10 mobile, je sais pas. Mon 1520 aussi est à l’abri <img data-src=" />



C’est la que l’on voit que la politique de Google au niveau des mises à jour Android pose problème.



Apple n’a pas ce soucis, étant constructeur et responsable de l’OS.

Windows Phone/Windows 10 mobile, c’est probablement la même chose que Google, mais je n’en suis pas certain.

&nbsp;

Le simple fait de devoir déléguer cette tache de mise à jour aux constructeurs eux-même n’est pas une bonne politique, mais nécessaire pour que ceux-ci puisse le surcoucher, le modder, et toutes leurs conneries. On s’en rend compte, car ceux-ci ne veulent pas continuer à mettre à jour d’anciens terminaux, la version d’Android entrant régulièrement comme un argument de vente (et donc de comparaison) entre les terminaux …


“Windows Phone/Windows 10 mobile, c’est probablement la même chose que Google,”…



En fait si tu as raison pour WP, Microsoft a changé son fusil d’épaule avec Windows 10 mobile. Microsoft garde la main mise du système et reste seul maitre des MàJ. C’est d’aileurs logique depuis que Windows est passé à “Windows en tant que service”.


Les smartphones et leur modèle de fonctionnement à coup d’OS non maintenu ou selon le bon vouloir d’un fabricant qui préférera le patch hardware sont clairement une catastrophe sécuritaire.



A une époque où il ne se passe pas une journée sans entendre parler d’exploitation de faille, piratage, vol de données, espionnage, etc, c’est juste criminel de ne pas maintenir des OS connectés de toute part.








Obidoub a écrit :



Sur PC Windows est touché par les failles et Linux est relativement épargné en raison de son faible taux d’utilisation.

Sur smartphone c’est l’inverse, avec mon Windows Phone je suis relativement tranquille alors que sur Android c’est la fête du slip <img data-src=" />





Pour Linux en tant que serveur, le taux d’utilisation est au contraire élevé (Apache et compagnie), donc ce vieil adage ne fonctionne pas vraiment.



Sinon j’ai de l’Android depuis 2010 et pour l’instant aucun souci de sécurité, ça reste plus tranquille qu’un poste Windows (pour ne pas le nommer).



Et d’ailleurs Linux n’est pas si épargné que ça. Enfin, pas dans le sens ou on l’entend. Suffit d’aller voir les bulletins sécurité kernel. Et le soucis réside plus souvent dans des briques externes, ou modules compilé a la barbare que dans le kernel lui même. D’ailleurs, windows c’est un peu la même chose, les kernels sont assez résilients maintenant.



Apache reste bourré de failles quand même. Faudrait en fait comparer les FOSS et les CSS mais a mon avis c’est kif kif niveau sécurité.


Dans ce cas, c’est bien. Il ne reste que Google pour les OS grand marché mobile qui n’a pas compris cela :)



C’est autrement plus important que l’OS est le plus déployé actuellement, donc tout comme Windows, il est l’un des plus visé par les recherches/hackeurs/pirates.


Content avec mon iPhone&nbsp;<img data-src=" />


Sur Android sa dépend vraiment des marques et du niveau de gamme. Sur mon Note 4, j’ai eu la mise a jour de mars pour la sécurité. Faut pas oublier aussi les opérateurs qui sur Android suivent vraiment pas les produits.&nbsp;


M’en fous je suis passé d’android a l’iPhone ce mois-ci. J’en avais marre d’attendre une mise à jour de mon honor.


Ce n’est pas une variante de Stagefright, c’est une exploitation de la vulnérabilité avec une méthode pour contourner les protections :&nbsp;





Metaphor is the name of our stagefright implementation. We present a more thorough research

of libstagefright and new techniques used to bypass ASLR. Like the team at Google, we exploit

CVE­-2015-­3864 as it is much simpler to implement rather than the vulnerability in Joshua

5

Drake’s exploit, CVE­-2015­-1538 .



&nbsp;


Comme quoi faut prendre du Nexus, mon Nexus 6P a recu sa maj hier soir








xillibit a écrit :



On verra bien si balckberry réagisse vite, comme ils le disent :http://www.nextinpact.com/news/99028-blackberry-met-en-avant-sa-reactivite-a-col…





Apparemment c’est la mise-à-jour de sécurité de février qui corrige la faille, donc BlackBerry a réagi en même temps que Google.

Par contre j’ai lu d’autres sites qui ne parlaient que d’Android, j’aimerais bien savoir si l’exploitation de cette faille n’est possible que sous Android ou si BB10 est aussi vulnérable…



Quel problème ? On a les mises à jour courantes sur les Nexus (tablette en tout cas). Faut juste pas acheter un périphérique Android non Google genre Samsung.








JustMe a écrit :



Merde c’est peut être les fanboys Apple qui ont raison, un gros catalogue d’application et des mises à jours qui permettent de pas rester exposé à des failles de sécurité pour au moins 3 ans





T’as raison.



-








Mithrill a écrit :



Au final il n’y a toujours pas vraiment d’alternative crédible au couple Apple/Android.







Ca dépend du besoin.



Si le smartphone sert majoritairement à consulter du web, tous les OS alternatifs aux deux mastodontes savent y répondre.

Par contre si le besoin est d’avoir des logiciels dont les développeurs ignorent l’existence d’autre chose que iOS et Android, là c’est sûr que ça coince.



Perso quand je vois mon utilisation sur WP : mails, web, GPS avec Here, plus quelques gadgets utilitaires de temps en temps. Quand je zieute la logithèque Ubuntu Touch, j’y retrouve tout le nécessaire.

(oui, Here est dessus aussi)



Mais lol les commentaires avec leurs iphones :http://www.begeek.fr/apple-remporte-palme-failles-de-securite-corrigees-2015-190…



[edit : lien corrigé]


Il y a des failles chez Apple et elles sont corrigées, voilà ce que ça dit.

Les smartphones Android non suivis par les constructeurs n’ont pas cette chance.


au moins la quasi totalité des mobiles ont les failles corrigés sous iOS <img data-src=" />



Moi ce qui me choque le plus c’est qu’il y a plein d’annonces que des failles existent, mais pas d’annonce qu’une faille est en exploitation TRES active <img data-src=" />



Parce que, ironiquement, c’est la seule chose qui pourrait forcer les OEM à bouger leur cul <img data-src=" />


Ils ont même répondu plus vite que Google! Sur mon priv j’ai eu la maj un ou deux jours avant de voir lactu sur la maj des nexus :p








atomusk a écrit :



au moins la quasi totalité des mobiles ont les failles corrigés sous iOS <img data-src=" />



Moi ce qui me choque le plus c’est qu’il y a plein d’annonces que des failles existent, mais pas d’annonce qu’une faille est en exploitation TRES active <img data-src=" />



Parce que, ironiquement, c’est la seule chose qui pourrait forcer les OEM à bouger leur cul <img data-src=" />







Oui, c’est étrange. On peut tenter de déduire les raisons ?





  • La mode est au ransomware : les données sur un smartphone sont rarement critique ?

  • L’exploitation de la faille : pas si simple que çà ou facilement détectable/traçable ?

  • Des centaines de milliers d’appareils sont infectés mais on évite la panique générale ?

  • Des centaines de milliers d’appareils sont infectés par le FBI/NSA, stagefright a une backdoor ? <img data-src=" />

  • Les pirates ont honte de s’attaquer à un OS aussi fiable… <img data-src=" />





    PS: J’ai un android :p



Cool, j’ai un viel Acer plus du tout supporté, et pas de rom alternative dispo pour ce modèle. Je comptais le garder encore un peu parce qu’il fait le taf, mais là…








Soltek a écrit :



T’as raison.







Ouuuh le vilain troll tout pas beau.&nbsp;Ici par contre&nbsp;on explique que la faille réside plus entre la chaise, le smartphone et le PC sous windows….

je cite :&nbsp;&nbsp;“avant de pouvoir mener l’attaque à bien, ce qui n’est possible que sur PC, il faut avoir installé un logiciel appelé “Aisi Helper” censé être un utilitaire de gestions de certains appareils iOS sous Windows.” &nbsp;

Conclusion il faut que l’utilisateur soit&nbsp;assez naif pour&nbsp;utiliser un autre&nbsp;logiciel qu’iTunes et qu’il soit sous windows. C’est en effet une faille car l’iPhone fait confiance à l’ordinateur alors qu’il devrait avoir des mécanismes de vérifications, mais pas encore le genre de failles dont-on parle dans cet article..&nbsp;<img data-src=" />









Flyinpiz a écrit :



Mais lol les commentaires avec leurs iphones :http://www.begeek.fr/apple-remporte-palme-failles-de-securite-corrigees-2015-190…&nbsp;



edit : lien corrigé]







Aie encore un gros troll tout pas beau. C’est magnifique les infos tronquées hein ? on peut faire dire ce qu’on veut..




 Si tu veux voir le tableau complet tu peux aller&nbsp;[ici&nbsp;ou&nbsp;encore là. Tu te rendras compte que les versions d'OSX et d'iOs sont cumulé sans distinction de version, alors que pour les autres c'est séparé pour chaque version. Ainsi si on fait le cumul de toutes les versions de windows comme il est fait pour OSX et iOS, il y a plus de 1000 failles windows en 2015, 300% supérieur OSX (C'est bien le seul domaine d'ailleurs). Ça fait pas rêver hein. Mieux vaut taper Apple, ça fait vendre et cliquer.


C’était surtout le passage des applications malveillantes présentent directement sur l’App Store officiel que je pointais du doigt avec cet article.



Quand aux failles de l’article de NXi, comme l’a dit Atomusk en #31, on les a jamais vu exploités et d’un côté c’est dommage.


ok d’accord. La dessus tu as raison. Malheureusement malgré toutes les vérifications faisables, il y en aura toujours qui trouveront un moyen de passer au travers des mailles du filet, et ce pour toutes les boutiques. Par contre une fois démasqué l’app est éjectée et inaccessible sans un iPhone jailbreaké et des stores alternatifs.&nbsp;

Edit: Attention je ne minimise en rien cette bourde de laisser passer des applications malveillantes !








KissFC a écrit :



Et d’ailleurs Linux n’est pas si épargné que ça. Enfin, pas dans le sens ou on l’entend. Suffit d’aller voir les bulletins sécurité kernel. Et le soucis réside plus souvent dans des briques externes, ou modules compilé a la barbare que dans le kernel lui même. D’ailleurs, windows c’est un peu la même chose, les kernels sont assez résilients maintenant.



Apache reste bourré de failles quand même. Faudrait en fait comparer les FOSS et les CSS mais a mon avis c’est kif kif niveau sécurité.





En pratique on connaît très peu de cas de failles Apache ayant été exploitées, idem les failles noyau. Ce qui ne veut pas dire qu’il n’y a jamais eu d’attaque réussie, mais ça reste assez tranquille statistiquement.



Ah d’accord … Si on résumait Android aux produits Nexus, je doute qu’on en parle autant ici.



Tu sais, je suis pas un #hater, je suis utilisateur d’Android aussi, mais désolé, la politique de Google dans sa gestion des partenaires constructeurs et des mises à jour est désastreuse. Regarde le nombre de smartphones aujourd’hui touché par une faille connue, et dans 1 mois.



Ils sont en position de force et n’en profitent pas pour imposer ce genre de choses, pourquoi ?

Il peuvent par exemple détacher les APIs qui font Android, et le kernel/drivers, proposer des images à jour des APIs à tout le monde en laissant la liberté aux constructeurs de mettre à jour le kernel et les drivers, qui eux maitrisent l’équipement qui se trouve dans chacun des téléphones.

D’ailleurs, base Linux … donc c’est possible … donc c’est compliqué à expliquer pourquoi ils ne l’ont pas fait.



On aurait donc pas à se soucier de la faille n°1, étant automatiquement corrigé par Google sur la totalité des smartphones qui fonctionne sous Android.








Soltek a écrit :



T’as raison.







Je n’ai pas dit qu’il n’y avait pas de faillechez Appel (si non le jailbreakn’existerait pas…)

j’ai dit qu’Apple assurait le suivi des MAJ sur plusieurs années ,ce qu iévite de rester advitam eternam avec des failels bétantes ce qui est le cas pour des millions de smartphone Android souvent pas très vieux…









SebGF a écrit :



Ca dépend du besoin.



Si le smartphone sert majoritairement à consulter du web, tous les OS alternatifs aux deux mastodontes savent y répondre.

Par contre si le besoin est d’avoir des logiciels dont les développeurs ignorent l’existence d’autre chose que iOS et Android, là c’est sûr que ça coince.&nbsp;





J’ai parfaitement connaisance de l’existence de WP et je ne fais pas me faire chier à développer pour 10 utilisateurs. En plus il faut un PC Windows..

C’est assez drôle cette situation, MS/Windows qui se retrouve dans la situation de Linux côté mobile : a pleurer car beaucoup d’applis ne sont pas compatibles. Mais sur desktop ça ne semblait pas un problème.



J’me demande d’ailleurs si en cas de vol de données, il ne serait pas possible de se retourner contre l’opérateur.








aGuy a écrit :



Ouuuh le vilain troll tout pas beau.&nbsp;Ici par contre&nbsp;on explique que la faille réside plus entre la chaise, le smartphone et le PC sous windows….







Tu parles d’une faille: tu arrives pour brancher ton iPhone sur ton Mac, et là, il y a un pc à la place, déjà, tu te méfies&nbsp;<img data-src=" />



“Il ne reste que Google pour les OS grand marché mobile qui n’a pas compris cela :)”

Dans ma réponse, je dis juste que Google a compris l’importance des Maj. Si ces partenaires constructeurs (Samsung, etc) ne l’ont pas compris, c’est indépendant de Google.

C’était juste cela le sens de ma remarque. Ne pas acheter un téléphone d’un partenaire constructeur avec la surcouche constructeur.

Désolé pour ma première réponse, j’ai répondu rapidement.

Ce que tu proposes en évolution (API) ne fait-il pas partie des versions futures majeures à venir ?

Le problème est la dispersion des versions en cours 4.4.4 et 5, donc ce que tu proposes nécessiterait de tout re-programmer dans chaque version #avis-néophyte.


Tout comme on connait peu de failles IIS exploitées. (et on parle bien de failles exploitées hein)



Reste les cas particuliers de java et flash. Mais une faille qui touche chrome sur windows touchera aussi chrome sur linux ou BSD dans une certaine mesure =&gt; Le dossier user sera en danger quelque soit l’OS. Là où existe le problème est en environnement multi utilisateurs, sous windows les mécanismes de protection sont désactivé par beaucoup (UAC, EMET pour ne citer qu’eux), d’où une élévation de privilège plus aisée.&nbsp;

Là ou c’est problématique, Androïd est basé sur un noyau linux, et potentiellement les modules binaires de l’un peuvent poser soucis sur l’autre.


voilà quelqu’un qui à tout compris !&nbsp;<img data-src=" />


Où as-tu vu que EMET est installé par défaut ?


Pas installé, ok mais c’est con de s’en passer <img data-src=" />

Parce que UAC + EMET sous windows, c’est comme une hardened gentoo sous SE Linux et pf d’installé.








KissFC a écrit :



Et d’ailleurs Linux n’est pas si épargné que ça. Enfin, pas dans le sens ou on l’entend. Suffit d’aller voir les bulletins sécurité kernel. Et le soucis réside plus souvent dans des briques externes, ou modules compilé a la barbare que dans le kernel lui même. D’ailleurs, windows c’est un peu la même chose, les kernels sont assez résilients maintenant.



Apache reste bourré de failles quand même. Faudrait en fait comparer les FOSS et les CSS mais a mon avis c’est kif kif niveau sécurité.







Quel est le système le plus sécurisé :





  1. Un système où on trouve régulièrement des failles mais elles sont très rapidement corrigées (&lt;48h), et du coup elles sont rarement exploitées ;



  2. Un système qui comporte très peu de failles, mais qui mettent du temps à être corrigées, et qui sont régulièrement attaquées par des malwares de tous poils ?



    Vous avez deux heures.



En systèmes pur (hors offre logiciels) Windows et GNU/Linux “de base” (LFS, debian qui colle relativement bien a l’upstream en excluant systemd) même combat.



Concernant ta comparaison : tout dépend de la criticité de la faille, savoir si elle attaque des données, savoir si elle est mitigeable, connaitre la criticité des systèmes en cause.

Entre un routeur de coeur bourré de faille et facilement attaquable mais qui se trouve derrière une flopée de firewalls, avec une capacité de mitige énorme et une redondance tout aussi grosse … Et un système de sauvegarde de données.



Mais dans ton énoncé du introduit un biais directement : les deux systèmes décrit n’existent pas et la comparaison n’est pas équivalente.








KissFC a écrit :



En systèmes pur (hors offre logiciels) Windows et GNU/Linux “de base” (LFS, debian qui colle relativement bien a l’upstream en excluant systemd) même combat.



Concernant ta comparaison : tout dépend de la criticité de la faille, savoir si elle attaque des données, savoir si elle est mitigeable, connaitre la criticité des systèmes en cause.

Entre un routeur de coeur bourré de faille et facilement attaquable mais qui se trouve derrière une flopée de firewalls, avec une capacité de mitige énorme et une redondance tout aussi grosse … Et un système de sauvegarde de données.



Mais dans ton énoncé du introduit un biais directement : les deux systèmes décrit n’existent pas et la comparaison n’est pas équivalente.







Nonon, n’ajoute pas des choses que je n’ai pas dites, c’est toi qui introduis des biais supplémentaires là. Je ne parle pas de système embarqués ni de routeurs, ni de data centers, qui sont des cas particuliers.



Je te parle de comparer des OS d’utilisateurs lambda, qui ne sont pas derrière un pare-feu d’entreprise ni rien de ce genre. Par exemple Windows et GNU/Linux sur desktop, ou bien Android, iOS, Windows Mobile.



Tu disais que « Linux n’est pas si épargné que ça (…) Suffit d’aller voir les bulletins sécurité kernel ». Oui, il y a beaucoup de patches liés à la sécurité qui paraissent régulièrement pour le noyau Linux. Mais, combien de ces failles sont réellement exploitées ? Sous GNU/Linux des failles sont régulièrement trouvées, mais elles sont le plus souvent patchées dans les 48h, et sont rarement attaquées (cf HeartBleed, ShellShock, Poodle : patchées en 48h). Le peu de machines GNU/Linux infectées est pour moi un signe d’une bonne sécurité de cet OS.



À côté de ça tu peux bien dire que sous Windows, moins de failles sont dévoilées, mais dans la pratique le taux d’infection de machines Windows est bien plus élevé que celui des machines GNU/Linux. On peut tergiverser pendant des heures sur la « sécurité théorique », le nombre de failles, les parts de marché et tout le tralala, ça n’empêche que dans la réalité pratique des choses, les machines Windows sont plus fréquemment infectées que les machines GNU/Linux. Quel système est le plus « sécurisé » alors ?



Bref, mon propos est de dire que le simple nombre de failles est trompeur, c’est un mauvais indicateur de la « sécurité » d’un système. Le nombre et la criticité des failles sont bien entendu des indicateurs, mais bien plus important, la réactivité pour combler les failles (et distribuer les patches) me semble le critère le plus important dans la sécurité d’un système.



Un OS est autant sécurisé que son maillon le plus faible. Quand un maillon faible est détecté, il est donc important de le consolider au plus vite.



On peut avoir l’OS le plus sécurisé du monde, s’il a UNE SEULE faille et qu’elle reste à la merci des attaques pendant 18 mois, ça en fait un OS mal sécurisé. Par exemple on peut vanter la sécurité d’Android, ses sandboxes et tout et tout, mais tout cela tombe à l’eau si les mises à jour de sécurité ne parviennent pas jusqu’à l’utilisateur. La sécurité sur le papier c’est bien, moi je me réfère à ce qui arrive dans la pratique.



À l’inverse, un OS dans lequel des failles sont régulièrement découvertes mais rapidement patchées chez tous les utilisateurs, sera bien mieux sécurisé dans la pratique. C’est ce que Microsoft est en train d’imposer avec Windows 10 : mises à jour obligatoires pour tout le monde, ça limitera les failles, et les utilisateurs Windows seront bien moins souvent infectés. C’est similaire à ce qui existait déjà sous GNU/Linux, où les correctifs parviennent très rapidement aux utilisateurs finaux. Et c’est malheureusement ce qui manque le plus cruellement sous Android.



Je ne crois pas qu’un OS puisse être « secure by design » : ce qui le rend sécurisé, c’est d’être bien suivi et rapidement patché.









Konrad a écrit :



[…]



Je ne crois pas qu’un OS puisse être « secure by design » : ce qui le rend sécurisé, c’est d’être bien suivi et rapidement patché.





OpenBSD.









KissFC a écrit :



OpenBSD.







Oui et ? OpenBSD a été créé au départ, et comme il est « secure by design » il n’a jamais été mis à jour ni patché depuis ?



Ben si, OpenBSD est bel et bien suivi et mis à jour régulièrement, et c’est bien pour cela qu’il est sécurisé.



Coco, tu change d’argumentaire quand t’en a envie, et en plus tu confond certaines choses et c’est assez grave si tu bosse dans le milieu.

Tu patch pour la ccompat, tu patch pour tout et n’importe quoi. ‘fin bref, rien a voir avec la choucroute.



Tu parle du niveau de sécurisation d’un OS qui est comparable a la sécurisation de son maillon le plus faible, OK, sauf que, que ça soit sur windows ou linux, le maillon le plus faible c’est l’ICC.

Tu parle de comparatifs d’un windows il y a 10 ans a un linux de maintenant … C’est juste hors de propos.

‘fin bref … Soit un peu pragmatique et sort de ton pseudo fanboyisme, tu verra, avoir l’esprit critique ça change la vie, surtout quand tu t’enfonce comme ça. T’as l’air d’en faire une affaire personnelle. Franchement … Si tu savais sur quel type de systèmes je bosse, tu viendrais pas me faire chier comme tu le fait a essayer de me reprendre avec des arguments qui sont biaisés.



On reprend rien que ton post d’origine :&nbsp;

&nbsp;







Konrad a écrit :



Quel est le système le plus sécurisé :





  1. Un système où on trouve régulièrement des failles mais elles sont très rapidement corrigées (&lt;48h), et du coup elles sont rarement exploitées ;



  2. Un système qui comporte très peu de failles, mais qui mettent du temps à être corrigées, et qui sont régulièrement attaquées par des malwares de tous poils ?



    Vous avez deux heures.





    Que ça soit l’une ou l’autre des questions, hormis OS X (et encore c’est en voie d’amélioration), aucuns système d’exploitation ne répond plus depuis environs 3 a 4 ans a ce genre de présomption. Donc en soit, il est IMPOSSIBLE de te répondre sans troller. Compare donc se qui est comparable, apprend en un peu plus et test par toi même, parce que rapporter des “on dit”, c’est juste plus possible (surtout vue la masse d’informations disponible sur internet pour confirmer ou infirmer).

    Bref, tu tente une approche façon “répond a ma question” pour dire AHAHAHAHA t’as tord. Alors que déjà a la base ta question est orientée et clairement pas dans le bon sens. (et en plus sans connaitre le passif de ton interlocuteur, ni son niveau technique).



    Je vais te donner un petit exemple :

    J’administre principalement des gentoo pour une raison simple : je peu pas me permettre d’administrer des red hat et d’être vulnérable pendant 3 mois a la suite de la découverte d’une faille. Je ne suis pas dépendant de mon mainteneur de distrib, vue que sur gentoo, le mainteneur, c’est moi.

    Le temps de compilation en cas de mise a jour, ou de hack de code pour patcher un système approche les 10 secondes sur le cluster administré, les tests de régressions sont automatisés et le déploiement quasiment instantané (comprendre = dans l’heure ou une solution/workaround est trouvé(e) a un problème, il est résolut chez moi). avec un système d’HA custom.

    Je peu pas faire ça ni sous windows, ni sous aucuns autre OS actuellement.&nbsp;

    Mais la criticité des données n’est pas la même. Si mon système tombe (et il tombera un jour, de préférence d’une manière que j’ai prévu, et je bosse a prévoir d’autres cas de figures pour pallier a toutes les éventualités et de restauration de catastrophes) il peut être susceptible de mettre a jour des coordonnées bancaires et des informations privées. Si le PC de madame michu sous windows 10 tombe, hormis emporter ses photos de vacances, je doute de la criticité de la chose (même si potentiellement la faille résulte d’une prise de contrôle de la machine dans les deux cas).

    In extenso, si tu parle du maillon le plus faible, c’est forcément l’utilisateur, viens ensuite l’applicatif et en dernier lieu le kernel (les failles hardware étant marginales), et de ce côté, c’est kif kif. Mais c’est mitigeable. L’utilisateur lui, si il est teubé au point de virer les outils de sécurité mis a sa disposition, il mérite juste de se faire péter sa machine.



    Je persiste : tes questions, on ne peut plus y répondre dans l’état actuel des choses.