CanSecWest : seul Linux aura résisté aux hackers

Le par  |  22 commentaire(s)
CanSecWest_Concours

Lors du concours de hacking organisé dans le cadre de la conférence CanSecWest, Mac OS X et Vista ont rendu les armes. Linux avec Ubuntu a résisté aux attaques.

CanSecWest_ConcoursLe concours de hacking du CanSecWest organisé par la société Tipping Point (voir notre actualité) a pris fin. Trois jours durant (du 26 au 28 mars), trois ordinateurs portables intégrant trois OS différents à jour, à savoir Mac OS X 10.5.2, Windows Vista Ultimate SP1 et Ubuntu 7.10, ont subi les assauts de hackers motivés par la perspective d'une prime et d'une certaine notoriété.

A l'issue de la première journée, les machines ont résisté aux tentatives d'attaques à distance (attaques par le réseau) et les règles ont été assouplies via l'autorisation d'un accès physique aux ordinateurs par l'entremise des organisateurs (interaction utilisateur avec l'ouverture d'un site Web ou d'un courriel). Dès lors, le premier à baisser pavillon a été le MacBook Air suite à une attaque impliquant vraisemblablement une faille dans le navigateur Web Safari (plus de détails ici). Les machines sous Vista et Ubuntu sont quant à elles restées inviolées.


Windows Vista succombe à son tour
La troisième phase du concours a donc été décrétée, c'est-à-dire l'installation d'applications tierces sur les deux machines restantes comme Acrobat Reader et Flash Player d'Adobe, le navigateur Firefox et le logiciel de VoIP Skype. Pour le portable sous Windows Vista, c'est un trou de sécurité dans Flash Player qui lui a été fatal et ainsi, Shane Macaulay a remporté le Fujitsu U810 sous gouverne de Windows Vista Ultimate SP1 avec 5 000 dollars de prime.


Linux en vainqueur ?
Apparemment, le grand vainqueur est le VAIO VGN-TZ37CN intégrant la distribution Linux Ubuntu 7.10 qui a résisté aux attaques tout au long du concours. Pour autant, certaines voix, notamment du côté de Microsoft, s'élèvent pour dénoncer un certain manque de volonté de la part des participants qui ont bien découvert des trous de sécurité mais n'ont pas daigné mettre au point un exploit. De même, une polémique risque de naître quant à savoir si c'est le système d'exploitation Windows Vista qui est réellement vulnérable ou une autre application. A priori, la vulnérabilité utilisée pour mettre en échec Vista serait d'ailleurs cross-plateforme.

Devenues propriété de Tipping Point, les vulnérabilités découvertes ne seront pas publiées et les éditeurs concernés pourront les combler.
Complément d'information

Vos commentaires Page 1 / 3

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #199751
"Pour autant, certaines voix, notamment du côté de Microsoft, s'élèvent pour dénoncer un certain manque de volonté de la part des participants qui ont bien découvert des trous de sécurité mais n'ont pas daigné mettre au point un exploit."

ca c'est de la mauvaise foie, personne ne dirait non à un gros chèque meme venant de la part de linux.
Le #199752
Non mais ce genre de concours c'est un peu du n'importe quoi.
Déjà qu'il n'ai pas réussi à hacker à distance c'est suspect. Et Après qu'il n'est pas réussi à le faire sur du Linux, c'est assez comique. Ce concours est sponsorisé par des pro-Linux ou quoi ?
Le #199762
yoadip, ce concours à permis de mettre à plat 4 légendes urbaines.

1/ Un ordinateur en installation de base, sans interaction de l'utilisateur est aujourd'hui fiable, quelque soit l'os grand public utilisé. Fini les tragédies de type sasser.

2/ Rien qu'en surfant sur un Mac Os tout fraichement installé, rien qu'avec les produits maisons, on peut se faire "hacker". Ironie seul Apple communique à outrance sur la sécurité.

3/ Vista, n'a pas à rougir car seul l'adjonction d'un programme tiers à permis l'attaque. La faute en incombe à Adobe.

4/ Ubuntu, le truc de geeks asociaux analphabètes trollifères et qu'aucun DSI réellement pro et sérieux* n'installerait dans son parc, surtout pour des utilisateurs lambda, a fait preuve d'efficacité.
ou alors
4/Le VAIO VGN-TZ37CN n'a aucun avenir commercial (personne n'en veut).
ou alors
4/ Mr Adobe, libérez les spécifications du format flash et arrêtez de l'implémenter. Si ça se trouve c'est uniquement la présence de gnash qui a permis de ne pas reproduire la faille sur Ubuntu.

Le 4/ est au choix =)

*Là on parle de vrais admins, des Natacha au minimum, pas des apprentis avec leurs systèmes libres.
Le #199764
suite et fin de cette news à trolls...

vous êtes barbant avec votre guéguerre à la "mors-moi le noeud".
Le Vendangeur Masqué Hors ligne Vétéran 2082 points
Le #199765
@ frodon

Flash est pas censé existé sur toutes les plate-formes ?
Donc en théorie l'attaque devrait fonctionner sur toutes les plates-formes.

@tous

On notera que contrairement à ce qu'écrivaient certains, OS X est totalement sûr puisqu'aucune attaque à distance n'a réussi. Il a fallu atteindre une attaque physique pour y arriver.
D'ailleurs à propos de Safari, le problème à été identifié (et déjà corrigé, bravo pour la réactivité), il provenait de la bibliothèque open-source PCRE.
Voir ici:
http://trac.webkit.org/projects/webkit/changeset/31388

L'ennui c'est que cette bibliothèque n'est pas l'oeuvre des auteurs de Safari, donc là encore on peut blâmer les apprentis-journalistes qui ont saisi cette occasion pour casser de l'Apple. Les vrais perdants c'est les auteurs de PCRE.

Et à propose de PCRE, je vous invite à jeter un oeil à la page officielle:
http://www.pcre.org/
On y apprend que la bibliothèque est aussi utilisée dans:
Apache, PHP, KDE, Postfix, Analog, Nmap, ...
Par conséquent Linux était très loin d'être à l'abri et il est bizarre que les hackers linux n'y aient pas pensé.

Sur le fond, je dirais qu'un concours ne peut évidement pas refléter la réalité. Le nombre de participants et leur qualité est variable... Dire qu'un OS est "perdant" n'a pas non plus beaucoup de sens, puisque dans les deux cas d'attaques réussies les points faibles furent une bibliothèque multi plate-formes (PCRE) et un plug-in d'une société tierce (Flash).
Du coup on peut même envisager de contester le choix des gagnants.
Le Vendangeur Masqué Hors ligne Vétéran 2082 points
Le #199767
@KerTiaM

"1/ Un ordinateur en installation de base, sans interaction de l'utilisateur est aujourd'hui fiable, quelque soit l'os grand public utilisé. Fini les tragédies de type sasser."

Ce concours n'avait pas pour objectif de trouver toutes les failles des OS. Les choses prennent parfois du temps. Pour preuve: XP était vulnérable dès le premier jour aux attaques de Sasser, mais ce virus n'est apparu que bien longtemps après la commercialisation de l'OS.
Et à ce propos j'ai lu quelques vilaines choses sur Vista ces derniers jours, on y parle même de "mesures de sécurité totalement inefficaces", tout un programme...

"2/ Rien qu'en surfant sur un Mac Os tout fraichement installé, rien qu'avec les produits maisons, on peut se faire "hacker". Ironie seul Apple communique à outrance sur la sécurité."

Ironie ultime: le problème vient d'un composant open-source, PCRE, très utilisé dans des applications Linux.
Apple voit donc son honneur lavé.

"3/ Vista, n'a pas à rougir car seul l'adjonction d'un programme tiers à permis l'attaque. La faute en incombe à Adobe."

Comme pour Apple où c'est une librairie tiers qui est responsable (PCRE).

"4/ Ubuntu, le truc de geeks asociaux analphabètes trollifères et qu'aucun DSI réellement pro et sérieux* n'installerait dans son parc, surtout pour des utilisateurs lambda, a fait preuve d'efficacité."

PCRE ?

"ou alors
4/Le VAIO VGN-TZ37CN n'a aucun avenir commercial (personne n'en veut)."

Un ex-ultra-portable je comprend que ça donne pas envie, c'est vrai.

"ou alors
4/ Mr Adobe, libérez les spécifications du format flash et arrêtez de l'implémenter. Si ça se trouve c'est uniquement la présence de gnash qui a permis de ne pas reproduire la faille sur Ubuntu."

Là encore PCRE est libre et ouvert et ça n'a pas empêcher qu'on trouve une faille dedans.
Ça démontre bien que l'amalgame entre libre et sûr n'est pas à faire. Pour moi un programme est juste bon ou mauvais, ça n'a rien à voir avec sa licence ou son prix.
Le #199771
@Le Vendangeur Masqué "Il a fallu atteindre une attaque physique pour y arriver."


Non, c'était pas une attaque physique, mais bien une attaque à distance, mais nécessitant que l'utilisateur clique sur un lien pigé.

On est très loin d'une attaque avec accès physique à la machine.


"Flash est pas censé existé sur toutes les plate-formes ?"

Le fait qu'il existe sur plusieurs plate-formes ne signifient que les bugs et failles soient les mêmes sur toutes les versions.
Le #199772
Vous psychotez tous...
Vista n'est pas un système sécurisé et stable...c'est du nimp...c'est une grosse merde ambulante qui va rapidement tomber...(dejà que personne n'en veut...)
OSX est certes tomber à cause d'une faille dans une librairie OpenSource...mais elle a certainement été exploitable pour d'autres raisons qui font qu'elle ne l'était pas sur ubuntu...
Moi je suis bien content qu'enfin on voit un test grandeur nature qui n'est pas sponsorisé par microsoft pour microsoft...ça montre que le système le plus sécurisé reste Linux...
Le jour où on aura un sasser sur Linux n'est pas encore né...

pour KerTiaM, je crois que déployé du Linux dans un parc professionnel reste la solution la plus serieuse...c'est pour cela d'ailleur qu'on a du linux embarqué dans énormément de matériel informatique.
tout ça pour dire que quand tu dis que linux est "le système qu'aucun DSI un minimum Pro et Sérieux n'installerai dans son parc" tu dis vraiment n'importe quoi et tu ne sais pas de quoi tu parle...

________________________
Linux ... ya moin bien mais c'est plus chère...
Le #199773
tigermickrs : c'était de l'humour de la part de Kertiam.
Le #199776
ce test ne montre que les faits : linux est le plus sécurisé
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]