Windows 7 avec IE8/Chrome : le must en sécurité ?

Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11

Actualités Windows 7 avec IE8/Chrome : le must en sécurité ?

Publié le 02 mars 2010 à 16:52 par Jérôme G.

Lire sur mobile

La star du concours annuel de hacking Pwn2Own donne son avis incisif sur la solution logicielle grand public - OS et navigateur - à ce jour la plus robuste face aux attaques informatiques. Windows 7 avec Internet Explorer 8 ou Google Chrome est le meilleur rempart, pour peu que Flash soit absent.

Chaque année se tient à Vancouver au Canada la très courue conférence CanSecWest sur la sécurité informatique. En marge de cette conférence, un concours de hacking est organisé sous l'égide de la société TippingPoint. Des hackers ( white hats ou chapeaux blancs ) s'affrontent avec des récompenses à la clé pour ceux qui seront notamment les plus prompts à découvrir et exploiter des vulnérabilités dans des systèmes d'exploitation ou navigateurs Web.

À ce petit jeu, Charlie Miller a gagné quelques galons de célébrité en remportant deux fois le concours comme cela a été le cas en 2009 via l'exploitation d'une faille dans Safari sous Mac OS X. À l'approche du concours 2010 qui se déroulera à la fin du mois, oneITsecurity a interrogé Charlie Miller qui au détour des questions posées dresse le portrait de la solution logicielle la plus robuste à ses yeux.

Pour Charlie Miller, entre Windows 7 et Mac OS X 10.6 ( Snow Leopard ), l'OS de Microsoft lui donne le plus de fil à retordre dans ses tentatives d'attaques. Cela tient essentiellement à deux mécanismes de protection : ASLR ( Adress Space Layout Randomization ) et DEP ( Data Execution Prevention ).

La technologie ASLR permet la randomisation de l'espace d'adressage, et ainsi de configurer les processus de manière aléatoire dans le système. Pour les éléments de base, un emplacement mémoire différent est assigné à chaque démarrage. Les adresses cibles ne peuvent alors plus être prédites pour les attaquants. Si Mac OS X tire également parti de ASLR, Charlie Miller avance que dans le cas de Windows 7, ASRL est utilisée de manière complète et que par défaut la surface d'attaque est plus petite : " pas de Java ou Flash par défaut ".

Si Windows 7 doit être associé à un navigateur Web pour obtenir la combinaison la plus robuste, le choix de Charlie Miller se porte vers Internet Explorer 8 ou Google Chrome. Mais attention : " l'essentiel est de ne pas installer Flash ! ", affirme-t-il.

Tout cet avis doit surtout être pris en considération dans le cadre de ce qui reste un concours, et pas forcément un comparatif fiable pour la sécurité d'un navigateur ou d'un système d'exploitation. Pour le cas de Linux, tout dépend des distributions mais Charlie Miller estime qu'il n'est pas plus difficile de trouver des exploits qu'ailleurs, c'est même " probablement plus facile ". Il précise également que les vulnérabilités sont dans les navigateurs, et " les mêmes navigateurs qui fonctionnent sur Linux, fonctionnent sur Windows ".