Windows 7 avec IE8/Chrome : le must en sécurité ?

Le par  |  18 commentaire(s)
Pwn2own_Miller

La star du concours annuel de hacking Pwn2Own donne son avis incisif sur la solution logicielle grand public - OS et navigateur - à ce jour la plus robuste face aux attaques informatiques. Windows 7 avec Internet Explorer 8 ou Google Chrome est le meilleur rempart, pour peu que Flash soit absent.

Pwn2own_MillerChaque année se tient à Vancouver au Canada la très courue conférence CanSecWest sur la sécurité informatique. En marge de cette conférence, un concours de hacking est organisé sous l'égide de la société TippingPoint. Des hackers ( white hats ou chapeaux blancs ) s'affrontent avec des récompenses à la clé pour ceux qui seront notamment les plus prompts à découvrir et exploiter des vulnérabilités dans des systèmes d'exploitation ou navigateurs Web.

À ce petit jeu, Charlie Miller a gagné quelques galons de célébrité en remportant deux fois le concours comme cela a été le cas en 2009 via l'exploitation d'une faille dans Safari sous Mac OS X. À l'approche du concours 2010 qui se déroulera à la fin du mois, oneITsecurity a interrogé Charlie Miller qui au détour des questions posées dresse le portrait de la solution logicielle la plus robuste à ses yeux.

Pour Charlie Miller, entre Windows 7 et Mac OS X 10.6 ( Snow Leopard ), l'OS de Microsoft lui donne le plus de fil à retordre dans ses tentatives d'attaques. Cela tient essentiellement à deux mécanismes de protection : ASLR ( Adress Space Layout Randomization ) et DEP ( Data Execution Prevention ).

La technologie ASLR permet la randomisation de l'espace d'adressage, et ainsi de configurer les processus de manière aléatoire dans le système. Pour les éléments de base, un emplacement mémoire différent est assigné à chaque démarrage. Les adresses cibles ne peuvent alors plus être prédites pour les attaquants. Si Mac OS X tire également parti de ASLR, Charlie Miller avance que dans le cas de Windows 7, ASRL est utilisée de manière complète et que par défaut la surface d'attaque est plus petite : " pas de Java ou Flash par défaut ".

Si Windows 7 doit être associé à un navigateur Web pour obtenir la combinaison la plus robuste, le choix de Charlie Miller se porte vers Internet Explorer 8 ou Google Chrome. Mais attention : " l'essentiel est de ne pas installer Flash ! ", affirme-t-il.

Tout cet avis doit surtout être pris en considération dans le cadre de ce qui reste un concours, et pas forcément un comparatif fiable pour la sécurité d'un navigateur ou d'un système d'exploitation. Pour le cas de Linux, tout dépend des distributions mais Charlie Miller estime qu'il n'est pas plus difficile de trouver des exploits qu'ailleurs, c'est même " probablement plus facile ". Il précise également que les vulnérabilités sont dans les navigateurs, et " les mêmes navigateurs qui fonctionnent sur Linux, fonctionnent sur Windows ".

Complément d'information

Vos commentaires Page 1 / 2

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #604241
C'est bien la première fois que je lis ça. Tant mieux, ca change....
Le #604261
"probablement plus facile" sous Linux ?

Son succes l'aurait il rendu un tantinet pretentieux ?

Non pas qu'il n'y ait pas de failles possibles dans le flash de Linux ou d'autres, non pas egalement que les navigateurs seraient miraculeusement epargnes de toute faille sous les OS libres, mais j'observe quand meme que Linux se passe volontiers d'antivirus, que des mecanismes comme policykit ont ete prevus pour restreindre la portee d'une application "defaillante", et qu'au jour d'aujourd'hui, des millions d'utilisateurs surfent en paix chaque jour avec leur Linux, que ce soit dans les laboratoires de recherche ou chez le particulier...

Donc rien a voir avec l'OS de Redmont, hypersensible a un simple autorun.inf sur une cle USB. CQFD.

Maintenant, plus largement, les conseils de M. Miller me font largement sourire pour une raison tres simple : le maillon faible, tout OS confondu, ca reste encore et toujours l'utilisateur de base. Dans ce sens, miser sa securite sur les seules applications est un non sens, pour ne pas dire une imbecilite patente.

Il est quand meme curieux que M. Miller ne l'ait pas encore compris.
Le #604291
Faut pas oublier non plus que windows est le plus rependu, c'est pas pour le 1% ou 2% de part de marché de linux dans les ordi de bureau que les hackeurs vont se fatigué.

En plus y a différentes distribution ce qui fait différentes failles, une faille se trouvant sur une distribution ne se trouvera peut être pas dans une autre (même si certaine reste les mêmes).

Autre facteur a prendre en compte, les utilisateur linux en général s'y connaisse en informatique en général, et auront donc plus vite la puce a l'oreille en cas de probleme qu'un utilisateur lambda qui sait a peine ouvrir le pc pour lire ses mails.

Bref c'est pas pcq peu de gens prenne la peine de faire des beau petit virus ou troyan pour nunux que celui ci n'a aucune faille.
C'est juste que pour les 3 geek utilisant linux dans le monde, ca en vaut pas la peine.
Le #604311
Hansi >Les antivirus sont devenus "indispensables" parce-que :
- les gens n'ont pas été formé à être méfiant de base
- les gens ne savent et ne veulent pas savoir ce qu'impliquent toutes leurs actions
- les éditeurs (d'antivirus) se gavent en basant leur économie sur la peur.

Tu noteras qu'une personne capable de doublecliquer sur un .exe, de passer outre l'avertissement de MS mentionnant que le fichier est sans doute dangereux et d'élever son privilège en tant qu'admin sera tout autant capable d'exécuter un binaire sous un Linux. Ou alors il faut m'expliquer pourquoi.

Donc pour te rassurer, on peut surfer sans problème et antivirus sous Windows sans plus de soucis que sous un Linux.

Car si on commence à utiliser les même variables (même utilisateur notamment) et qu'on ne test donc que les systèmes de sécurités, à mon sens les sandboxs sont plus qu'intéressantes. Ravis de voir qu'une étude confirme ce que je disais il y a quelques mois sur une news sur autre concours de hacking.
Le #604341
"La faille en question est certes veille de 17 ans mais n'a été découverte que 17 ans après"

Il aurait du attendre un an de plus : ca aurait ete une faille majeure !!!

Quoiqu'il en soit, la lecture de certaines sources ne suit pas vos dires :
http://intrapole.com/spip.php?article474
et il sera donc dur de nous departager clairement sur ce point.

Si on ne peut finalement conclure sur la date de connaissance reelle de la faille, on peut quand meme affirmer que MS n'est pas connu pour sa reactivite a les combler... Mais quel est l'interet de supporter correctement un produit quand le but est de vous en vendre un autre ?

Concernant les depots centralises sous Linux, je reste sur ma position : la facilite de Linux est sans egale ; en un coup, c'est le noyau + tous les logiciels installes qui sont mis a jours. Vous pouvez certes rajouter des depots exotiques, et la encore, ce fonctionnement global restera le meme... Chez Redmont, vous pourrez centraliser les mises a jour de windows meme avec le bon outil, malheureusement, si vous voulez aller plus loin, avec des logiciels tiers, ca deviendra tres vite du bricolage...

"rien n'empêche à des tiers de développer de nouveaux formats/logiciels/drivers."

Comme rien n'empeche MS de recuperer des logiciels libres et de les distribuer avec son OS. Comme rien ne l'empechait non plus de deriver sa suite sous Linux, a l'epoque ou OpenOffice n'etait pas encore un serieux concurrent... Je ne parle meme pas des outils de surveillance reseau, legion sous Linux, qui permettent de prendre la main et de surveiller precisement ce qui se passe. Ah mais oui : il ne faut pas trop laisser la main a l'utilisateur, il risquerait d'apercevoir les spywares des drivers d'impression et autres joyeusetes sous-jacentes...

MS continue donc de refiler des accessoires depasses, voir de distribuer des dinosaures de type Works via leurs chers partenaires (DELL pour ne pas le nommer...), un integre d'il y a 20 ans (!), totalement perime face a un OpenOffice de plus en plus deploye.

L'echec cuisant de Vista montre a lui seul toute la perversite de la vente liee. Le seul point positif est qu'elle a permis a certains windowsiens de prendre conscience de l'arnaque...

"si la survie de Linux dépend en partie de sa compatibilité Windows, l'inverse est moins vrai)"

Si dans 10 ans vous relisez votre phrase, vous comprendrez a quel point j'ai pu en sourire...

Certains analystes financiers commencent clairement a douter des capacites de MS a rebondir, et il faut bien dire que quand on voit le cours de l'action MS stagner desesperement, et le manque total d'innovation de la firme, on comprend beaucoup mieux leurs doutes.

Enfin, concernant la LAN, nous parlions du materiel et du fait qu'il faut beaucoup depenser pour transformer son PC en console de jeu. Rien a voir avec l'OS utilise : un ordinateur n'est pas une console de jeu.
Le #604371
Desole, mauvais post dans mauvaise rubrique - l'heure de dormir, sans aucun doute !!!
Le #604441
@kevin666_bxl

"le 1% ou 2% de part de marché de linux"

Pour votre gouverne, la part de marche de Linux sur les portables au niveau mondial etait estimee a 7% fin 2009, donc vos 1%, c'est un mensonge patent que vous avez lu sans l'analyser ou prendre de sources tiers.

Et la, on ne parle pas des machines fixes - car il est clair qu'il est souvent moins onereux d'assembler soit meme une machine et d'y coller un Linux dessus, vous n'avez pas cette facilite pour le cas des portables.

@Luchy

Merci d'appuyer mes propos concernant les bugs utilisateurs.

Quand a croire qu'un antivirus arretera toutes les saletes, memes pour les meilleurs, on sait que ce n'est pas le cas ; j'ai souvenir d'un test d'antivirus sur 1500 saletes connues. De memoire, on en etait aux alentours de 95% de detection pour le meilleur outil teste. Ca laisse quand meme quelques pourcents...

"Donc pour te rassurer, on peut surfer sans problème et antivirus sous Windows sans plus de soucis que sous un Linux."

Ma foi le suicide n'est pas un crime !

Les derniers utilisateurs que j'ai vu oser faire ca se sont chopes un joli cheval de troie sur cle USB au bout d'un 1 mois. Bien entendu, il n'avaient pas une jolie fenetre qui venait leur demander d'elever leurs droits...

Donc surfer sous windows sans antivirus, non merci... Comme dirait Renaud, "meme les belges ils s'y aventurent pas !!!!"

Linux n'execute pas des autorun.inf a l'insertion des cles ou des CDs. Ca s'appelle du bon sens.

Le #604471
"Linux n'execute pas des autorun.inf a l'insertion des cles ou des CDs. Ca s'appelle du bon sens."

Windows non plus depuis une mises à jour de 5 ou 6 mois.

D'accord avec kevin666.

Pour en revenir à la news. Tout est stable à partir du moment où flash n'est pas installé. Mais si tu n'installes pas flash, bin tu te passes de 75% du web.

Autant dire un test qui sert à rien.
Le #604511
sous linux
./Charlie Miller estime qu'il n'est pas plus difficile de trouver des exploits qu'ailleurs, c'est même " probablement plus facile /.

eh bien il n'as qu'a le faire plutôt que de lancer des "probablement".

je pense que les vrais "hackers" ne font surement pas de la pub et ne se laisse pas prendre en photos comme ce gus.
Ce mec tu lui donne une sucette et il te dis ce que tu veux entendre.
et pis son incitation a dire rester sous win et ie me fait sourire que dis je ...rire
pas tuer la poule aux récompenses....

Cela dit je suis sur qu'aucun os soit à100% sûr....
des failles il y en auras toujours,la plus évidente se situe ente la chaise et le clavier.
Le #604521
Hansi >"Ma foi le suicide n'est pas un crime !"
Tu as un antivirus sous ton Linux ?
Ah ? Donc tu es "suicidaire" ?

PS : ça fait des années que les exécutions automatiques nécessitent une validation de la part de l'utilisateur.
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]