Vulnérabilité Python

Le
miXomatoZ
Bonjour,
Je voudrais savoir si Python peut poser des problèmes de sécurité.
(Virus, Malware etc) Et si c'est le cas quels sont les moyens de
s'en prémunir. J'utilise Python 3.1 sur Windows et Python 2.6 sur
Ubuntu;
Merci pour vos réponses.
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Pierre Maurette
Le #22890491
miXomatoZ, le 12/6/2010 a écrit :
Bonjour,
Je voudrais savoir si Python peut poser des problèmes de sécurité.
(Virus, Malware etc...) Et si c'est le cas quels sont les moyens de
s'en prémunir. J'utilise Python 3.1 sur Windows et Python 2.6 sur
Ubuntu;
Merci pour vos réponses.



La principale vulnérabilté pour vous miXomatoZ est que le python est
réputé pour s'envoyer les petits lapins vivants, ce qui est
attentatoire à votre fond de commerce.

--
Pierre Maurette
Alain Ketterlin
Le #22890561
miXomatoZ
Je voudrais savoir si Python peut poser des problèmes de sécuri té.
(Virus, Malware etc...)



Python est une langage de script dynamique. Tu peux écrire :

def open(f):
print "Héhé"
...

et hop, tu peux capturer tous les fichiers ouverts par l'appli. (Note
que c'est possible avec tous les langages, mais c'est particulièrement
facile avec python.) Je te laisse décider si c'est un "problème de
sécurité".

Python dispose aussi d'une fonction eval(), ainsi que d'une fonction
exec(). Si ton programme utilise ça sur des données de provenance
douteuse, t'es mort.

Et si c'est le cas quels sont les moyens de s'en prémunir.



Comme dans tous les cas, ce n'est pas le langage qui pose des problèmes
de sécurité, ce sont les programmes. Tu penses à quelque cho se en
particulier ?

-- Alain.
miXomatoZ
Le #22891811
On 6 déc, 16:05, Alain Ketterlin
miXomatoZ > Je voudrais savoir si Python peut poser des problèmes de sécurité .
> (Virus, Malware etc...)

Python est une langage de script dynamique. Tu peux écrire :

def open(f):
    print "Héhé"
    ...

et hop, tu peux capturer tous les fichiers ouverts par l'appli. (Note
que c'est possible avec tous les langages, mais c'est particulièrement
facile avec python.) Je te laisse décider si c'est un "problème de
sécurité".

Python dispose aussi d'une fonction eval(), ainsi que d'une fonction
exec(). Si ton programme utilise ça sur des données de provenance
douteuse, t'es mort.

> Et si c'est le cas quels sont les moyens de s'en prémunir.

Comme dans tous les cas, ce n'est pas le langage qui pose des problèmes
de sécurité, ce sont les programmes. Tu penses à quelque chose en
particulier ?

-- Alain.



Je pense à un script qui détruirait des fichiers dans le PC, des
script qui enverrait des infos en passant par l'interpréteur qui
dispose d'une autorisation dans mon firewall (dois-je la
désactiver ?)... J'ai pu voir qu'il était assez facile de faire un peu
ce qu'on veut avec un module genre os. Je me demande en outre si les
antivirus sont capable de détecter du code malveillant écrit en
python. J'ai télécharger un logiciel qui utilise des scripts python je
ne sais pas si c'est prudent de le faire... Est-ce que un script peut
s'ouvrir automatiquement et silencieusement? Par l'intermédiaire d'un
script ActiveX, batch ... Ceci dit j'ai aussi un interpreteur java
mais ça m'a jamais inquiété plus que ça... je n'ai pas compris ton
exemple je débute et en plus j'ai un peu arreté de me former sur le
language depuis un moment... Donc excusez-moi si mes question sont un
peu bête.
merci en tout cas.
pdorange
Le #22893011
miXomatoZ
>on peut faire l'hypothèse que l'utilisateur est suffisament compétent
pour sécuriser > sa machine), C'est précisement ce que je cherche à
faire...

> Que Python soit installer ou non sur la machine ne devrait donc pas
changer > grand chose. > Python sera simplement moins visible que Java en
terme de taille du malware. Sauf que hier j'ai relu la doc de mon
antivirus et c'est écrit qui peut repérer des aplets Java...



Le principe général des antivirus est de repérer les signatures
reconnues. Si demain j'écris un malware en java, Python, C, C++, Basic,
etc... Il ne sera pas reconnu par ton anti-virus (qui n'en aura pas la
signature étant nouveau).
Certains prétendent avec des méthodes évoluées repérer des nouveaux
virus je suis loin d'être sur de la fiabilité de telle détection. Car
rien (ou pas grand chose) ne distingue un malware d'un simple logiciel a
priori.

Ce problème de sécurité est pertinent mais n'a que peu ou pas de lien
avec le language python qui n'est ni plus ni moins sujet que les autres
laguages.

--
Pierre-Alain Dorange
Ce message est sous licence Creative Commons "by-nc-sa-2.0"
miXomatoZ
Le #22894111
On 7 déc, 04:09, (Pierre-Alain
Dorange) wrote:

Le principe g n ral des antivirus est de rep rer les signatures
reconnues. Si demain j' cris un malware en java, Python, C, C++, Basic,
etc... Il ne sera pas reconnu par ton anti-virus (qui n'en aura pas la
signature tant nouveau).
Certains pr tendent avec des m thodes volu es rep rer des nouveaux
virus je suis loin d' tre sur de la fiabilit de telle d tection. Car
rien (ou pas grand chose) ne distingue un malware d'un simple logiciel a
priori.


Je pensais que les signatures était une manière de se "comporter" de
la part d'un programme plutôt qu'un type de programme spécifique écri t
dans un code spécifique. Par exemple il écrit dans tel registre, il
accède à tel fichier...
Mais bon comme c'est pas le sujet du newsgroup...
Merci pour vos réponses...
pdorange
Le #22894151
miXomatoZ
> Certains pr tendent avec des m thodes volu es rep rer des nouveaux
> virus je suis loin d' tre sur de la fiabilit de telle d tection. Car
> rien (ou pas grand chose) ne distingue un malware d'un simple logiciel a
> priori.
Je pensais que les signatures était une manière de se "comporter" de
la part d'un programme plutôt qu'un type de programme spécifique écrit
dans un code spécifique. Par exemple il écrit dans tel registre, il
accède à tel fichier...



C'est bien plus simple que ça, même si certains antivirus metent en
place des systèmes "intelligents" (au moins au niveau commercial).

Mais bon comme c'est pas le sujet du newsgroup...
Merci pour vos réponses...



Le sujet aurait probablement plus ça place sur (ce sont des forums que
je fréquente pas, donc à confirmer) :

fr.comp.securite
fr.comp.securite.virus

--
Pierre-Alain Dorange
Ce message est sous licence Creative Commons "by-nc-sa-2.0"
jean-marc pouchoulon
Le #22896051
Le 06/12/2010 15:42, miXomatoZ a écrit :
Bonjour,
Je voudrais savoir si Python peut poser des problèmes de sécurité.
(Virus, Malware etc...) Et si c'est le cas quels sont les moyens de
s'en prémunir. J'utilise Python 3.1 sur Windows et Python 2.6 sur
Ubuntu;
Merci pour vos réponses.



peut être voir
http://www.pythonsecurity.org/

de mémoire il me semble avoir vu un article sur un virus en Python dans
misc ou linuxmag

bonne soirée
Publicité
Poster une réponse
Anonyme