[Rapport CCIA] - Le monopole de MS represente un risque

Dans sa prose, LaDDL nous ecrivait :

Des professionnels en sécurité informatique ont présenté une étude
sur les risques en matière de SI liés à la position dominante de MS à
la conférence de la Computer & Communications Industry Association (CCIA)
- une organisation financée par les rivaux de Microsoft.

Même si on passe rapidement sur l'impartialité discutable de cette
étude, ça fait quand même longtemps qu'on sait que le manque de
diversité dans les parcs informatiques est une source de risque assez
importante en cas de faille.

La suite dans le rapport disponible ici :
http://www.ccianet.org/papers/cyberinsecurity.pdf
Le communiqué de presse :
http://www.ccianet.org/press/03/0924.pdf

Il est à noter que l'un des auteurs, Dan Geer, CTO chez @stake, ne
travaille aujourd'hui plus chez @stake. Et le bruit circule que ce serait
directement lié à cette histoire...

http://www.msnbc.com/news/971914.asp?0si=-&cp1=1

--
Que veut dire respecter la netiquette et oû se trouve
l'option follow up to ???
-+- K in GNU : Configurer le fu2 vers la Nétiquette -+-

On 26 Sep 2003 11:53:15 GMT, LaDDL <alamaisonNOSPAM@noos.NOSPAM.fr>
wrote:

Selon le rapport, Microsoft est devenu la cible numéro un des auteurs de
virus informatiques, la complexité des logiciels de la firme les rendant
particulièrement vulnérable aux attaques.

Tu vas voir qu'un de ces jours il vont finir par s'apercevoir que le
feu ça brûle et que l'eau ça mouille... ;)

On Fri, 26 Sep 2003 11:57:31 +0000, Cedric Blancher wrote:

Il est à noter que l'un des auteurs, Dan Geer, CTO chez @stake, ne
travaille aujourd'hui plus chez @stake. Et le bruit circule que ce
serait directement lié à cette histoire...

http://www.msnbc.com/news/971914.asp?0si=-&cp1=1

Ceci ne faisant que confirmer l'étrange stratégie de @stake, montée
entre autres par certains gars de l0pht, à présent membre du "Cartel
des Failles" et privilégiant ces gros clients (@stake a fait du
consulting sur la sécurité de .NET) à ces employés ayant des propos
discordants.


Nicob

À (at) 26 Sep 2003 13:43:03 GMT,
Nicob <usenet@nicob.net> écrivait (wrote):

On Fri, 26 Sep 2003 11:57:31 +0000, Cedric Blancher wrote:

Il est à noter que l'un des auteurs, Dan Geer, CTO chez @stake, ne
travaille aujourd'hui plus chez @stake. Et le bruit circule que ce
serait directement lié à cette histoire...

http://www.msnbc.com/news/971914.asp?0si=-&cp1=1

Ceci ne faisant que confirmer l'étrange stratégie de @stake, montée
entre autres par certains gars de l0pht, à présent membre du "Cartel
des Failles" et privilégiant ces gros clients (@stake a fait du
consulting sur la sécurité de .NET) à ces employés ayant des propos
discordants.

Je ne vois pas ce qu'il y a de choquant à cela. Un employé est tenu à une
certaine réserve surtout lorsqu'il parle d'un client ! D'autant que dans ce
cas, les propos tenus semblent en relation directe avec le travail effectué
pour le client. Que ce client soit Microsoft ne change rien.

--
Paul Gaborit - <http://www.enstimac.fr/~gaborit/>
Remove '.OOO' from e-mail address - Supprimez '.OOO' de l'adresse e-mail

On Fri, 26 Sep 2003 17:21:29 +0000, Paul GABORIT wrote:

Je ne vois pas ce qu'il y a de choquant à cela. Un employé est tenu à
une certaine réserve surtout lorsqu'il parle d'un client ! D'autant que
dans ce cas, les propos tenus semblent en relation directe avec le
travail effectué pour le client. Que ce client soit Microsoft ne change
rien.

A mon avis, dire que "la monoculture Windows est un danger pour
l'Internet" me semble plus être une évidence qu'une attaque contre
Microsoft. Et @stake est une société de consulting, normalement
indépendante et liée à aucun éditeur. Comment une boite censée
conseiller les gens peut virer des gars qui ont *30* ans d'expérience en
informatique et sécurité parcequ'ils disent ce qu'ils pensent, sans
casser de NDA ou autres contrats de confidentialité.

Surtout que @stake se positionne vraiment sur cet aspect "conseil &
indépendance" :

http://www.atstake.com/company_info/ethics.html

"Issue public statements, advisories, and the like only in an
objective,fact-based and truthful manner while in the course of our
job responsibilities"

Une discussion intéressante sur cette affaire est à suivre sur :

http://www.immunitysec.com/mailman/listinfo/dailydave


Nicob

Fabien LE LEZ nous disait récement dans fr.comp.securite
<news:rha8nvo7rblq09986hsjfgn5n4e2hnsq10@4ax.com> :

On 26 Sep 2003 11:53:15 GMT, LaDDL

Selon le rapport, Microsoft est devenu la cible numéro un des
auteurs de virus informatiques, la complexité des logiciels de la
firme les rendant particulièrement vulnérable aux attaques.

Tu vas voir qu'un de ces jours il vont finir par s'apercevoir que
le feu ça brûle et que l'eau ça mouille... ;)

Ce qu'il faudrait surtout, c'est qu'ils se rendent compte que si
c'était nunux qui avait la place dominante, la situation ne serait pas
si différente que cela. Tous les pirates ayant les yeux tournés vers
nunux, il y aurait beaucoup plus de failles découvertes, et surtout
toutes les failles découvertes seraient exploitées. De même que ces
failles, bien que corrigée dans la journée[1], resteraient exploitables
un an après, tout simplement parce que les utilisateurs ne feraient pas
plus les mises à jours de leur nunux qu'ils ne les font pour leur
Windows. Et enfin, les correctifs ne seraient pas garantis sans failles
car parfois, à vouloir aller trop vite l'on oublie une partie du
travail[2].


[1]
Ce qui n'est pas le cas pour Windows, ce serait la principale
différence en fait.
[2]
Voir par exemple l'avalanche de second patch pour le dernier problème
d'OpenSSH.
--
"Si ceux qui disent du mal de moi savaient exactement ce que je
pense d'eux , ils en diraient bien davantage."
Sacha Guitry

Le 27 Sep 2003 14:39:50 GMT, Stephane Catteau écrivait:

Fabien LE LEZ nous disait récement dans fr.comp.securite
<news:rha8nvo7rblq09986hsjfgn5n4e2hnsq10@4ax.com> :

On 26 Sep 2003 11:53:15 GMT, LaDDL

Selon le rapport, Microsoft est devenu la cible numéro un des
auteurs de virus informatiques, la complexité des logiciels de la
firme les rendant particulièrement vulnérable aux attaques.

Tu vas voir qu'un de ces jours il vont finir par s'apercevoir que
le feu ça brûle et que l'eau ça mouille... ;)

Ce qu'il faudrait surtout, c'est qu'ils se rendent compte que si
c'était nunux qui avait la place dominante, la situation ne serait pas
si différente que cela. Tous les pirates ayant les yeux tournés vers
nunux, il y aurait beaucoup plus de failles découvertes, et surtout
toutes les failles découvertes seraient exploitées.

Peut-être faut-il prendre en compte la spécificité des logiciels
inclus dans windows, tout de même. Les failles de linux existent,
et elles sont exploitées également, mais les logiciels de courrier,
en particulier, sont souvent beaucoup plus sûrs sous linux que
sous windows, parce qu'ils ne s'appuient pas tous sur un set
uniforme de fonctions systèmes où justement les failles résident,
et sont souvent aussi dépourvus des fonctions d'exécution auto
qui sont le triste apanage de la concurrence commerciale.

Ceci, premièrement, devrait tout de même contribuer à rendre les
'vraies' attaques (individualisées) plus faciles à détecter, en
nettoyant le bruit de fond des attaques virales actuelles non-
ciblées (on peut rêver).

Deuxièmement, parler de 'linux' n'a pas de sens ou peu de sens.
Linux, ce sont /des/ disributions, variablement patchées, à
divers niveaux de finition, et l'expérience des quelques virus
qui sont sortis in the wild montre que seules certaines versions
de certaines distributions peuvent être visées (modulo ce que
les auteurs de saletés arriveront à inventer). Finalement, il
est probable qu'individuellement l'utilisateur coure autant de
risques qu'aujourd'hui si linux prenait hypothétiquement la
place prépondérante occupée par windows, mais statistiquement,
la sécurité des utilisateurs serait tout de même très globalement
améliorée. Sans compter qu'un kiddie aurait moins de faciliter
à trouver des scénarios aussi facilement copiables que ceux
disponibles en vbs aujourd'hui.

--
Manuel * mailto:manuel@m-viet.net
Sed quid igitur sum ? Res cogitans. Quid est hoc ? Nempe dubitans,
intelligens, affirmans, negans, volens, nolens, imaginans quoque &
sentiens. -- Descartes

On 27 Sep 2003 15:13:56 GMT, Manuel Viet
<manuel@cette.adresse.est.invalid> wrote:

Peut-être faut-il prendre en compte la spécificité des logiciels
inclus dans windows, tout de même. Les failles de linux existent,
et elles sont exploitées également, mais les logiciels de courrier,
en particulier, sont souvent beaucoup plus sûrs sous linux que
sous windows

Euh... Ne pas confondre "Outlook" et "Windows", quand même. Ça
m'étonnerait beaucoup que Mozilla ou Thunderbird soit franchement
moins sûr sous Windows que sous Linux.

Manuel Viet nous disait récement dans fr.comp.securite
<news:slrn3utd6jrc17so8.kjk.manuel@fatboy.m-viet.net> :

Le 27 Sep 2003 14:39:50 GMT, Stephane Catteau écrivait:

Peut-être faut-il prendre en compte la spécificité des logiciels
inclus dans windows, tout de même.

Parce qu'ils ont une spécificité particulière ces logiciels ? :-/
Enfin, si l'on excepte le fait qu'ils sont majoritairement payant et
fournis sans les sources.

Les failles de linux existent, et elles sont exploitées également,
mais les logiciels de courrier, en particulier, sont souvent beaucoup
plus sûrs sous linux que sous windows, parce qu'ils ne s'appuient pas
tous sur un set uniforme de fonctions systèmes où justement les
failles résident, et sont souvent aussi dépourvus des fonctions
d'exécution auto qui sont le triste apanage de la concurrence
commerciale.

Tu confonds Outlook Express et "l'ensemble des logiciels de courrier
disponibles sous Windows". Becky utilise le moteur d'IE pour le rendu
HTML, mais si ma mémoire est bonne permet de desactiver ce rendu.
PocoMail, comme beaucoup d'autres, utilise son propre moteur de rendu.
Et les tout en un que sont Opera et les différents Mozilla-based
utilisent le moteur de rendu de leur navigateur.
Quant à l'exécution automatique, même Outlook Express n'en dispose pas
par défaut. Par contre il est vrai qu'OE à la facheuse tendance de
rajouter un "toujours" implicite devant "exécuter avec", ce qui pose
effectivement des problèmes, mais est facilement contournable pour peu
que l'utilisateur en soit informé.
Quant aux logiciels nunux, quelque chose me dit que Kmail utilise le
moteur de Konqueror pour son rendu HTML, ce qui le place au même rang
qu'Outlook Express face aux failles du navigateur par défaut de
l'interface graphique.

[...] Deuxièmement, parler de 'linux' n'a pas de sens ou peu de sens.

C'est pour cela que je ne parle jamais de linux, mais de nunux. Or,
comme chacun le sait (si si, vous le savez aussi ;-)), il s'agit d'un
terme générique désignant le noyau, les distributions, et les logiciels
qui vont avec, tout comme "Windows" désigne trop souvent l'ensemble du
système, des logiciels et des utilisateurs.


--
"Si ceux qui disent du mal de moi savaient exactement ce que je
pense d'eux , ils en diraient bien davantage."
Sacha Guitry

Dans sa prose, Paul GABORIT nous ecrivait :

Je ne vois pas ce qu'il y a de choquant à cela. Un employé est tenu à
une certaine réserve surtout lorsqu'il parle d'un client ! D'autant que
dans ce cas, les propos tenus semblent en relation directe avec le
travail effectué pour le client. Que ce client soit Microsoft ne change
rien.

J'ai quand même pris le temps de relire le papier, et franchement, je ne
vois pas ce qui pourrait résulter du fruit d'une coopération spécifique
avec Microsoft et qui devrait rester dans le cadre de la relation
client/prestataire. Je ne vois rien là dedans que tout un chacun ayant un
poil utilisé et observé les outils MS n'aurait pas pu écrire[1]. Mais
pour le reste, la fermer, c'est faire preuve quelque part de parti pris.
Et le parti pris, c'est celui de "Ne gène pas le monsieur, c'est grâce
à lui que tu peux manger le soir".

Et bien sûr, que ce soit Microsoft n'y change rien.


[1] Je ne dis pas que n'importe qui aurait pu écrire l'article, mais que
les exemples qui appuient le raisonnement n'ont à mon sens rien de
secrets (même pas de Polichinelle).

--
Pis je suis un assassin parce que j'ai tué plein de monde de la façon
la plus gore (Carmageddon 2) j'usqu'a la façon la plus lente et la plus
orrible (je fais cramer mes Sims !) ! PTDR !!!
-+- Pip99 in GPJ : Et chez moi, c'est Theme Hospital en vrai -+-