/proc & /sys

cauchemar

01/05/2005 à 09:50

'jour,

Bob qui Trolle wrote:

LiNuCe wrote:

Dans une certaine mesure, ça éviterait au
moins la répétition des "débats" affirmant Linux a copié
Windows à ce

niveau :)

Quel serait l'intérêt de faire cesser ce débat-là ?

En faire un autre ?

Cauchemar !

LiNuCe

01/05/2005 à 10:12

30 Apr 2005 10:10:43 -0700 - "" :

Rien ne prouve que certaine failles découverte sous nunux, ne
seraient pas connue des utilisateurs lambdas ...

De même, rien ne prouve que toutes les failles découvertes sous
Windows soient connues des utilisateurs lambdas. D'ailleurs, il suffit
à l'utilisateur lambda de lancer Windows Update pour appliquer
l'ensemble des correctifs disponibles, et cela sans avoir à connaître
toutes les failles. Tout comme il suffit à l'utilisateur lambda
d'appliquer les correctifs à sa distribution Linux en utilisant les
outils fournis par l'éditeur de la distribution Linux.

--
LiNuCe

LiNuCe

01/05/2005 à 10:48

Sat, 30 Apr 2005 11:10:51 +0200 - Bruno patri <b.patri+ :

Je ne vois pas le rapport entre un système de fichier virtuel
servant a stocker les infos du kernel et des processus et un machin
monolithique servant a lancer des virus et des spywares a l'insu de
l'utilisateur.

Concernant l'utilisation de la base de registre pour lancer des
malwares, il faut noter qu'un malware qui s'exécuterait sous Linux
avec les droits d'un utilisateur donné peut accomplir la même tâche en
ajoutant une ligne dans le fichier ~/.profile : il se chargerait ainsi
à chaque lancement d'un shell de connection.

Certains objecteraient que cette modification peut ne pas passer
inaperçu si l'utilisateur est averti et qu'il modifie régulièrement
son fichier ~/.profile (ou ~/.bash_profile). Qu'à cela ne tienne, il
existe des une pléthore de solutions beaucoup plus vicieuses à même de
leurrer l'utilisateur, aussi averti soit-il !

Par exemple, un malware peut vouloir s'assurer que lorsqu'il est
lancé, Internet tourne. À cet effet, quoi de mieux que de se charger
quand le navigateur est exécuté ? Il suffirait au malware de créer un
script SXXmalware dans ~/.mozilla/firefox/init.d pour passer outre la
vigilance de l'utilisateur.

Où alors, le malware peut aussi se charger quand KDE est lancé en
créant un script dans ~/.kde/bin, ou encore lorsque KDE est stoppé en
créant un script dans ~/.kde/shutdown.

Il est possible que l'utilisateur ne soit pas forcément un utilisateur
de KDE mais de XFCE. Aucun problème, il suffit de créer un script dans
le dossier $HOME/Desktop/AutoStart s'il existe (il s'agirait d'une
vielle fonctionnalité héritée des versions précédentes de KDE/GNO ME).

La liste des possibilités est évidemment loin d'être exhaustive.
Cependant, avant de pouvoir utiliser l'une d'entre elles, le malware
devra déjà "entrer" dans la machine. Et à ce niveau là, Windows et
Linux sont loin d'être égaux, quelqu'en soit la raison.

Donc reprocher à la base de registre Windows d'être un chargeur de
malware par détournement d'une fonctionnalité, ce n'est techniquement
pas faux, mais Linux à ce niveau offre au moins autant de
possibilités.

--
LiNuCe

Sat, 30 Apr 2005 11:10:51 +0200 - Bruno patri <b.patri+ng@free.fr> :

Je ne vois pas le rapport entre un système de fichier virtuel
servant a stocker les infos du kernel et des processus et un machin
monolithique servant a lancer des virus et des spywares a l'insu de
l'utilisateur.

Concernant l'utilisation de la base de registre pour lancer des
malwares, il faut noter qu'un malware qui s'exécuterait sous Linux
avec les droits d'un utilisateur donné peut accomplir la même tâche en
ajoutant une ligne dans le fichier ~/.profile : il se chargerait ainsi
à chaque lancement d'un shell de connection.

Certains objecteraient que cette modification peut ne pas passer
inaperçu si l'utilisateur est averti et qu'il modifie régulièrement
son fichier ~/.profile (ou ~/.bash_profile). Qu'à cela ne tienne, il
existe des une pléthore de solutions beaucoup plus vicieuses à même de
leurrer l'utilisateur, aussi averti soit-il !

Par exemple, un malware peut vouloir s'assurer que lorsqu'il est
lancé, Internet tourne. À cet effet, quoi de mieux que de se charger
quand le navigateur est exécuté ? Il suffirait au malware de créer un
script SXXmalware dans ~/.mozilla/firefox/init.d pour passer outre la
vigilance de l'utilisateur.

Où alors, le malware peut aussi se charger quand KDE est lancé en
créant un script dans ~/.kde/bin, ou encore lorsque KDE est stoppé en
créant un script dans ~/.kde/shutdown.

Il est possible que l'utilisateur ne soit pas forcément un utilisateur
de KDE mais de XFCE. Aucun problème, il suffit de créer un script dans
le dossier $HOME/Desktop/AutoStart s'il existe (il s'agirait d'une
vielle fonctionnalité héritée des versions précédentes de KDE/GNO ME).

La liste des possibilités est évidemment loin d'être exhaustive.
Cependant, avant de pouvoir utiliser l'une d'entre elles, le malware
devra déjà "entrer" dans la machine. Et à ce niveau là, Windows et
Linux sont loin d'être égaux, quelqu'en soit la raison.

Donc reprocher à la base de registre Windows d'être un chargeur de
malware par détournement d'une fonctionnalité, ce n'est techniquement
pas faux, mais Linux à ce niveau offre au moins autant de
possibilités.

--
LiNuCe

Vous avez filtré cet utilisateur ! Consultez son message

Sat, 30 Apr 2005 11:10:51 +0200 - Bruno patri <b.patri+ :

Je ne vois pas le rapport entre un système de fichier virtuel
servant a stocker les infos du kernel et des processus et un machin
monolithique servant a lancer des virus et des spywares a l'insu de
l'utilisateur.

Concernant l'utilisation de la base de registre pour lancer des
malwares, il faut noter qu'un malware qui s'exécuterait sous Linux
avec les droits d'un utilisateur donné peut accomplir la même tâche en
ajoutant une ligne dans le fichier ~/.profile : il se chargerait ainsi
à chaque lancement d'un shell de connection.

Certains objecteraient que cette modification peut ne pas passer
inaperçu si l'utilisateur est averti et qu'il modifie régulièrement
son fichier ~/.profile (ou ~/.bash_profile). Qu'à cela ne tienne, il
existe des une pléthore de solutions beaucoup plus vicieuses à même de
leurrer l'utilisateur, aussi averti soit-il !

Par exemple, un malware peut vouloir s'assurer que lorsqu'il est
lancé, Internet tourne. À cet effet, quoi de mieux que de se charger
quand le navigateur est exécuté ? Il suffirait au malware de créer un
script SXXmalware dans ~/.mozilla/firefox/init.d pour passer outre la
vigilance de l'utilisateur.

Où alors, le malware peut aussi se charger quand KDE est lancé en
créant un script dans ~/.kde/bin, ou encore lorsque KDE est stoppé en
créant un script dans ~/.kde/shutdown.

Il est possible que l'utilisateur ne soit pas forcément un utilisateur
de KDE mais de XFCE. Aucun problème, il suffit de créer un script dans
le dossier $HOME/Desktop/AutoStart s'il existe (il s'agirait d'une
vielle fonctionnalité héritée des versions précédentes de KDE/GNO ME).

La liste des possibilités est évidemment loin d'être exhaustive.
Cependant, avant de pouvoir utiliser l'une d'entre elles, le malware
devra déjà "entrer" dans la machine. Et à ce niveau là, Windows et
Linux sont loin d'être égaux, quelqu'en soit la raison.

Donc reprocher à la base de registre Windows d'être un chargeur de
malware par détournement d'une fonctionnalité, ce n'est techniquement
pas faux, mais Linux à ce niveau offre au moins autant de
possibilités.

--
LiNuCe

Thierry Boudet

01/05/2005 à 10:56

On 2005-04-30, wrote:

Et puis, le débat c'est /proc & /sys "pale" copie de la base de
registre !

Et c'est bien vrai, et je le prouve: on peut même pas faire
de sauvregardes de son /proc pour restaurer en cas de virus.

--
_/°< coin

LiNuCe

01/05/2005 à 11:23

Sat, 30 Apr 2005 19:47:16 +0200 - Sylvain POURRE valid> :

Plus maintenant, (pas toutes ) et si tu compare avec une version pro
c'est similaire à nunux ...

Donc tu reconnais que maintenant, les versions pro de windows sont
enfin mieux protégées, car elles sont similaires (traduire: elles
ont copié) nunux. windows était donc en retard sur nunux
contrairement à ce que tu annonces dans le post initial.

Autant comparer des serviettes avec des serviettes plutôt que des
serviettes avec des torchons : si on doit comparer Linux à un système
d'exploitation Windows techniquement plus ou moins proche à Linux, on
choisit Windows NT, Windows 2000 ou une version estampillée "pro" de
Windows XP.

--
LiNuCe

Nicolas George

01/05/2005 à 13:08

Alain Thivillon , dans le message
, a écrit :

Tout ce que tu as dis est très juste, sauf ça: Windows NT 3.1 avait deja
la registry, et est sorti le 24 Octobre 1993.

Je me suis laissé dire que /proc existait déjà dans SVR4, vers 1988...

Alain Thivillon

01/05/2005 à 14:28

Nicolas George <nicolas$ wrote:

Alain Thivillon , dans le message
, a écrit :
Tout ce que tu as dis est très juste, sauf ça: Windows NT 3.1 avait deja
la registry, et est sorti le 24 Octobre 1993.

Je me suis laissé dire que /proc existait déjà dans SVR4, vers 1988...

ah euh oui probablement, de toute façon personnellement je ne vois pas
du tout le rapport entre les deux, mon post avait juste vocation a
reparer une légère imprécision dans la très bonne explication qui cloue
le bec au lupus minorus analphabetus gmailus.

Samuel Colin

01/05/2005 à 14:35

Dans l'article ,
a tapoté :

Attend, je ne suis pas une copie, je suis un authentique TROLL ! >

Voilà, j'ai encadré, ça évitera à d'autres la peine d'essayer de t'expliquer
des trucs ou de débattre sérieusement avec toi.

Rien, j'aime mettre en valeur ou du moins la lire "la mauvaise foi" qui
régne sans commune mesure sur ce forum ...

Va sur fufe, si t'aimes autant t'amuser.

--
Les gens sérieux et raisonnables n'utilisent pas de kill-file.
-+- GM in <http://www.le-gnu.net> : Soyons ridicule jusqu'au bout -+-

Rapha

01/05/2005 à 14:52

30 Avr 2005 00:49:07 -0700 - "" :
Bonjour,

[...]

Le systÃ¨me de fichier /proc n'est accessible qu'en lecture seule et
partiellement aux utilisateurs standards. Une branche complÃ¨te de la
base de registre Windows est accessible en totalitÃ© Ã l'utilisa teur
standard (HKEY_CURRENT_USER), fournissant notament une mÃ©thode
d'exÃ©cuter des applications Ã la connection. C'est une des
fonctionnalitÃ©s de la base de registre qui est associÃ©e aux vir us qui
trouvent lÃ un moyen de se (re)charger Ã chaque connection de
l'utilisateur. Le systÃ¨me de fichier /proc ne permet pas cela. Ceci
dit, un "virus" exÃ©cutÃ© avec les droits de l'utilisateur standa rd peut
trÃ¨s bien accomplir la mÃªme chose avec une entrÃ©e dans ~/. profile,
donc Ã ce niveau lÃ , Windows ou Unix/Linux sont Ã©gaux et o n peut
techniquement dire que si la base de registre est responable de la
propagation des virus, les ~/.profile ou similaires le sont aussi.

Depuis quand de tels logiciels devraient-ils Ãªtre responsables de la
propagation de virus ? Pour s'installer, le "malware" a surtout besoin
de la bÃªtise (ou ignorance) de l'utilisateur. Ces logiciels ont Ã© tÃ©
conÃ§us pour assurer le confort de l'utilisateur en permettant de
personnaliser son environnement.
Si celui-ci dÃ©cide d'exÃ©cuter n'importe quel logiciel sans prendr e de
prÃ©cautions et qu'il s'avÃ¨re que c'Ã©tait un virus, le seul r esponsable,
en dehors de l'auteur du dit virus, est lui-mÃªme.

--
RaphaÃ«l 'SurcouF' Bordet
http://debianfr.net/ | surcouf at debianfr dot net

LiNuCe

01/05/2005 à 15:54

Sun, 01 May 2005 14:52:22 +0200 - Raphaël 'SurcouF' Bordet nfr.net> :

Le système de fichier /proc n'est accessible qu'en lecture seule et
partiellement aux utilisateurs standards. Une branche complète de la
base de registre Windows est accessible en totalité à l'utilisateur
standard (HKEY_CURRENT_USER), fournissant notament une méthode
d'exécuter des applications à la connection. C'est une des
fonctionnalités de la base de registre qui est associée aux virus q ui
trouvent là un moyen de se (re)charger à chaque connection de
l'utilisateur. Le système de fichier /proc ne permet pas cela. Ceci
dit, un "virus" exécuté avec les droits de l'utilisateur standard p eut
très bien accomplir la même chose avec une entrée dans ~/.profile,
donc à ce niveau là, Windows ou Unix/Linux sont égaux et on peut
techniquement dire que si la base de registre est responable de la
propagation des virus, les ~/.profile ou similaires le sont aussi.

Depuis quand de tels logiciels devraient-ils être responsables de la
propagation de virus ? Pour s'installer, le "malware" a surtout besoin
de la bêtise (ou ignorance) de l'utilisateur.

Vous semblez omettre la possibilité qu'un éventuel malware exploite
une faille dans un ligociel pour s'exécuter : il pourrait ainsi
procéder comme suggéré. À moins que vous n'insinuez que c'est
totalement impossible, que ça n'existera jamais et qu'aucune faille
permettrant cela n'a jamais existé : reconnaissez que ce serait tout
de même le dégré 0 de la crédibilité, surtout dans un domaine aus si
complexe que la sécurité informatique !

À titre d'exemple de l'existance très répandue de cette possibilité,
prenons un logiciel qui tourne sous Linux, qui se démocratise, qui a
le vent en poupe actuellement et qui évidemment manipule des données
distantes. Allé, soyons fou, prenons FireFox :

1. http://www.mozilla.org/security/announce/mfsa2005-34.html :

« Omar Khan reported that if the PLUGINSPAGE attribute contains a
javascript: url then pressing the button could launch arbitrary code
capable of stealing local data or *installing malicious code*. »

2. http://www.mozilla.org/security/announce/mfsa2005-37.html :

« Firefox and the Mozilla Suite support custom "favicons" through
the <LINK rel="icon"> tag. If a link tag is added to the page
programmatically and a javascript: url is used, then script will run
with elevated privileges and *could run or install malicious
software*. »

3. http://www.mozilla.org/security/announce/mfsa2005-39.html :

« Sites can use the _search target to open links in the Firefox
sidebar. Two missing security checks allow malicious scripts to
first open a privileged page (such as about:config) and then inject
script using a javascript: url. *This could be used to install
malicious code* or steal data without user interaction. »

4. http://www.mozilla.org/security/announce/mfsa2005-41.html

« moz_bug_r_a4 reported several exploits giving an attacker *the
ability to install malicious code* or steal data, requiring only
that the user do commonplace actions like click on a link or open
the context menu. »

Notez que je n'ai pris que les failles qui ont nécessité une mise à
jour de vers FireFox 1.0.3, sinon je risquais de faire un message
fleuve preuve.

Si celui-ci décide d'exécuter n'importe quel logiciel sans prendre de
précautions et qu'il s'avère que c'était un virus, le seul responsa ble,
en dehors de l'auteur du dit virus, est lui-même.

Concernant le "n'importe quel logiciel sans précaution", je vous
renvoie à la faille n°4 évoquée ci-dessus : un simple clic sur un l ien
suffit. Avouez tout de même que cliquer sur un lien est vraiment une
opération inhabituelle quand on navigue sur Internet ...

Prenons un autre exemple tout à fait envisageable techniquement.

Imaginons que vous choisissiez d'installer un logiciel sur votre
serveur qui tourne sur une Debian stable. Vous utilisez évidemment
apt-get en utilisant les dépots officiels. Mais comme vous êtes
raisonnable et respecteux du projet Debian, vous avez choisi un
miroir.

Vous lancez un "apt-get install NomDuPaquetage" et vous avez bien
évidement la certitude les paquetages installés sont les originaux car
vous avez tout fait dans les règles de l'art avec les outils de l'art.
Or apt-get par défaut ne contrôle pas l'authenticité (notez bien que
je parle d'authenticité) des paquetages de sorte qu'un administrateur
malveillant du miroir peu très bien modifier un paquetage avec du code
de son cru (le code "malware") puis mettre à jour les sommes de
contrôle. Et l'utilisateur n'aura pourtant rien fait d'inhabituel ...

Tout ça pour dire que jeter la responsabilité de la propagaton d'un
malware principalement sur les agissements "irresponsables" de
l'utilisateur, c'est quand même ignorer une des cause principale qui
conditionne le succès du malware : la faille, qu'elle soit dans un
logiciel (cas de FireFox évoqué plus haut) ou dans une chaîne de
traitement dont un maillon est vulnérable (cas de apt-get évoqué
ci-dessus).

Ces logiciels ont été conçus pour assurer le confort de
l'utilisateur en permettant de personnaliser son environnement.

Tout à fait ! Tout comme la base de registre Windows n'a jamais été
conçue pour assurer la propagation et l'exécution des malwares : il
s'agit bien d'une utilisation détournée et sur ce point au moins, nous
sommes bien d'accord.

--
LiNuCe

Sun, 01 May 2005 14:52:22 +0200 - Raphaël 'SurcouF' Bordet <surcouf@debia nfr.net> :

Le système de fichier /proc n'est accessible qu'en lecture seule et
partiellement aux utilisateurs standards. Une branche complète de la
base de registre Windows est accessible en totalité à l'utilisateur
standard (HKEY_CURRENT_USER), fournissant notament une méthode
d'exécuter des applications à la connection. C'est une des
fonctionnalités de la base de registre qui est associée aux virus q ui
trouvent là un moyen de se (re)charger à chaque connection de
l'utilisateur. Le système de fichier /proc ne permet pas cela. Ceci
dit, un "virus" exécuté avec les droits de l'utilisateur standard p eut
très bien accomplir la même chose avec une entrée dans ~/.profile,
donc à ce niveau là, Windows ou Unix/Linux sont égaux et on peut
techniquement dire que si la base de registre est responable de la
propagation des virus, les ~/.profile ou similaires le sont aussi.

Depuis quand de tels logiciels devraient-ils être responsables de la
propagation de virus ? Pour s'installer, le "malware" a surtout besoin
de la bêtise (ou ignorance) de l'utilisateur.

Vous semblez omettre la possibilité qu'un éventuel malware exploite
une faille dans un ligociel pour s'exécuter : il pourrait ainsi
procéder comme suggéré. À moins que vous n'insinuez que c'est
totalement impossible, que ça n'existera jamais et qu'aucune faille
permettrant cela n'a jamais existé : reconnaissez que ce serait tout
de même le dégré 0 de la crédibilité, surtout dans un domaine aus si
complexe que la sécurité informatique !

À titre d'exemple de l'existance très répandue de cette possibilité,
prenons un logiciel qui tourne sous Linux, qui se démocratise, qui a
le vent en poupe actuellement et qui évidemment manipule des données
distantes. Allé, soyons fou, prenons FireFox :

1. http://www.mozilla.org/security/announce/mfsa2005-34.html :

« Omar Khan reported that if the PLUGINSPAGE attribute contains a
javascript: url then pressing the button could launch arbitrary code
capable of stealing local data or *installing malicious code*. »

2. http://www.mozilla.org/security/announce/mfsa2005-37.html :

« Firefox and the Mozilla Suite support custom "favicons" through
the <LINK rel="icon"> tag. If a link tag is added to the page
programmatically and a javascript: url is used, then script will run
with elevated privileges and *could run or install malicious
software*. »

3. http://www.mozilla.org/security/announce/mfsa2005-39.html :

« Sites can use the _search target to open links in the Firefox
sidebar. Two missing security checks allow malicious scripts to
first open a privileged page (such as about:config) and then inject
script using a javascript: url. *This could be used to install
malicious code* or steal data without user interaction. »

4. http://www.mozilla.org/security/announce/mfsa2005-41.html

« moz_bug_r_a4 reported several exploits giving an attacker *the
ability to install malicious code* or steal data, requiring only
that the user do commonplace actions like click on a link or open
the context menu. »

Notez que je n'ai pris que les failles qui ont nécessité une mise à
jour de vers FireFox 1.0.3, sinon je risquais de faire un message
fleuve preuve.

Si celui-ci décide d'exécuter n'importe quel logiciel sans prendre de
précautions et qu'il s'avère que c'était un virus, le seul responsa ble,
en dehors de l'auteur du dit virus, est lui-même.

Concernant le "n'importe quel logiciel sans précaution", je vous
renvoie à la faille n°4 évoquée ci-dessus : un simple clic sur un l ien
suffit. Avouez tout de même que cliquer sur un lien est vraiment une
opération inhabituelle quand on navigue sur Internet ...

Prenons un autre exemple tout à fait envisageable techniquement.

Imaginons que vous choisissiez d'installer un logiciel sur votre
serveur qui tourne sur une Debian stable. Vous utilisez évidemment
apt-get en utilisant les dépots officiels. Mais comme vous êtes
raisonnable et respecteux du projet Debian, vous avez choisi un
miroir.

Vous lancez un "apt-get install NomDuPaquetage" et vous avez bien
évidement la certitude les paquetages installés sont les originaux car
vous avez tout fait dans les règles de l'art avec les outils de l'art.
Or apt-get par défaut ne contrôle pas l'authenticité (notez bien que
je parle d'authenticité) des paquetages de sorte qu'un administrateur
malveillant du miroir peu très bien modifier un paquetage avec du code
de son cru (le code "malware") puis mettre à jour les sommes de
contrôle. Et l'utilisateur n'aura pourtant rien fait d'inhabituel ...

Tout ça pour dire que jeter la responsabilité de la propagaton d'un
malware principalement sur les agissements "irresponsables" de
l'utilisateur, c'est quand même ignorer une des cause principale qui
conditionne le succès du malware : la faille, qu'elle soit dans un
logiciel (cas de FireFox évoqué plus haut) ou dans une chaîne de
traitement dont un maillon est vulnérable (cas de apt-get évoqué
ci-dessus).

Ces logiciels ont été conçus pour assurer le confort de
l'utilisateur en permettant de personnaliser son environnement.

Tout à fait ! Tout comme la base de registre Windows n'a jamais été
conçue pour assurer la propagation et l'exécution des malwares : il
s'agit bien d'une utilisation détournée et sur ce point au moins, nous
sommes bien d'accord.

--
LiNuCe

Vous avez filtré cet utilisateur ! Consultez son message

Sun, 01 May 2005 14:52:22 +0200 - Raphaël 'SurcouF' Bordet nfr.net> :

Le système de fichier /proc n'est accessible qu'en lecture seule et
partiellement aux utilisateurs standards. Une branche complète de la
base de registre Windows est accessible en totalité à l'utilisateur
standard (HKEY_CURRENT_USER), fournissant notament une méthode
d'exécuter des applications à la connection. C'est une des
fonctionnalités de la base de registre qui est associée aux virus q ui
trouvent là un moyen de se (re)charger à chaque connection de
l'utilisateur. Le système de fichier /proc ne permet pas cela. Ceci
dit, un "virus" exécuté avec les droits de l'utilisateur standard p eut
très bien accomplir la même chose avec une entrée dans ~/.profile,
donc à ce niveau là, Windows ou Unix/Linux sont égaux et on peut
techniquement dire que si la base de registre est responable de la
propagation des virus, les ~/.profile ou similaires le sont aussi.

Depuis quand de tels logiciels devraient-ils être responsables de la
propagation de virus ? Pour s'installer, le "malware" a surtout besoin
de la bêtise (ou ignorance) de l'utilisateur.

Vous semblez omettre la possibilité qu'un éventuel malware exploite
une faille dans un ligociel pour s'exécuter : il pourrait ainsi
procéder comme suggéré. À moins que vous n'insinuez que c'est
totalement impossible, que ça n'existera jamais et qu'aucune faille
permettrant cela n'a jamais existé : reconnaissez que ce serait tout
de même le dégré 0 de la crédibilité, surtout dans un domaine aus si
complexe que la sécurité informatique !

À titre d'exemple de l'existance très répandue de cette possibilité,
prenons un logiciel qui tourne sous Linux, qui se démocratise, qui a
le vent en poupe actuellement et qui évidemment manipule des données
distantes. Allé, soyons fou, prenons FireFox :

1. http://www.mozilla.org/security/announce/mfsa2005-34.html :

« Omar Khan reported that if the PLUGINSPAGE attribute contains a
javascript: url then pressing the button could launch arbitrary code
capable of stealing local data or *installing malicious code*. »

2. http://www.mozilla.org/security/announce/mfsa2005-37.html :

« Firefox and the Mozilla Suite support custom "favicons" through
the <LINK rel="icon"> tag. If a link tag is added to the page
programmatically and a javascript: url is used, then script will run
with elevated privileges and *could run or install malicious
software*. »

3. http://www.mozilla.org/security/announce/mfsa2005-39.html :

« Sites can use the _search target to open links in the Firefox
sidebar. Two missing security checks allow malicious scripts to
first open a privileged page (such as about:config) and then inject
script using a javascript: url. *This could be used to install
malicious code* or steal data without user interaction. »

4. http://www.mozilla.org/security/announce/mfsa2005-41.html

« moz_bug_r_a4 reported several exploits giving an attacker *the
ability to install malicious code* or steal data, requiring only
that the user do commonplace actions like click on a link or open
the context menu. »

Notez que je n'ai pris que les failles qui ont nécessité une mise à
jour de vers FireFox 1.0.3, sinon je risquais de faire un message
fleuve preuve.

Si celui-ci décide d'exécuter n'importe quel logiciel sans prendre de
précautions et qu'il s'avère que c'était un virus, le seul responsa ble,
en dehors de l'auteur du dit virus, est lui-même.

Concernant le "n'importe quel logiciel sans précaution", je vous
renvoie à la faille n°4 évoquée ci-dessus : un simple clic sur un l ien
suffit. Avouez tout de même que cliquer sur un lien est vraiment une
opération inhabituelle quand on navigue sur Internet ...

Prenons un autre exemple tout à fait envisageable techniquement.

Imaginons que vous choisissiez d'installer un logiciel sur votre
serveur qui tourne sur une Debian stable. Vous utilisez évidemment
apt-get en utilisant les dépots officiels. Mais comme vous êtes
raisonnable et respecteux du projet Debian, vous avez choisi un
miroir.

Vous lancez un "apt-get install NomDuPaquetage" et vous avez bien
évidement la certitude les paquetages installés sont les originaux car
vous avez tout fait dans les règles de l'art avec les outils de l'art.
Or apt-get par défaut ne contrôle pas l'authenticité (notez bien que
je parle d'authenticité) des paquetages de sorte qu'un administrateur
malveillant du miroir peu très bien modifier un paquetage avec du code
de son cru (le code "malware") puis mettre à jour les sommes de
contrôle. Et l'utilisateur n'aura pourtant rien fait d'inhabituel ...

Tout ça pour dire que jeter la responsabilité de la propagaton d'un
malware principalement sur les agissements "irresponsables" de
l'utilisateur, c'est quand même ignorer une des cause principale qui
conditionne le succès du malware : la faille, qu'elle soit dans un
logiciel (cas de FireFox évoqué plus haut) ou dans une chaîne de
traitement dont un maillon est vulnérable (cas de apt-get évoqué
ci-dessus).

Ces logiciels ont été conçus pour assurer le confort de
l'utilisateur en permettant de personnaliser son environnement.

Tout à fait ! Tout comme la base de registre Windows n'a jamais été
conçue pour assurer la propagation et l'exécution des malwares : il
s'agit bien d'une utilisation détournée et sur ce point au moins, nous
sommes bien d'accord.

--
LiNuCe

/proc & /sys

10 réponses

Veuillez sélectionner un problème