Petite question technique

[Bruno Patri]

On Sunday 06 July 2008 13:02:54 Jean Baptiste FAVRE wrote:
> Bonjour,
> Je me permettrais de nuancer quelque peu le propos.
>
> En effet, les virus sous Linux existent bel et bien !

Oui, les premiers virus ont été créés pour UNIX il y a plus de 30 ans, et on 
ne parle toujours pas de virus sur les systèmes ayant ce type d'architecture. 
Les références que l'on peut trouver sur le Web concernent de vieux virus 
exploitant des failles corrigées depuis belle lurette ou des "proof-of-
concept".

> Et ils ne sont pas si inoffensif que l'on veut bien le croire.
> Il existe des virus/vers actifs sous Linux dans les fichiers pdf et/ou
> ps par exemple.

Je veux bien des références

> Pour les plus fans, je vous renvoie au livre d'Éric Filiol "Les virus
> informatiques: Théorie, pratique et applications" aux éditions Springer
> (aperçu là:
> http://books.google.fr/books?id=Mt3qHnEpX2cC&dq=virus+.ps+.pdf+filiol&pg=PP
>1&ots=MlVsBRDPuc&sig=TZZRBQhU-ZGpS1Ab9IgDDun0IrQ&hl=fr&sa=X&oi=book_result&r
>esnum=1&ct=result) .
> Pour ceux qui ne le connaissent pas, Eric Filiol est un des, sinon le
> spécialiste français en virologie.
> Il travaille pour le ministère de la défense et a notamment étudié
> OpenOffice... édifiant !

C'est certainement un des grands spécialiste sur le sujet, mais attention à ne 
pas confondre travaux de recherche fondamentale en virologie (ma remarque 
précédente sur les exemples de virus, ou plutôt de vers UNIX) et la réalité 
concrète des virus.


> Que dire donc de la perméabilité d'OpenOffice avec ses macros (même
> problème que MS Office, 10 ans plus tard). Toujours pas de solution sur
> le long terme même si bien des travaux sont en cours.

C'est effectivement un problème, mais ces applications s'exécutent en espace 
utilisateur et le risque d'infection par une bestiole est donc très limité. 
Pour l'instant ce qui a été démontré c'est l'existence de faille de sécurité 
potentielles dans Openoffice.

> Le failles de sécurité ou de conception ne sont pas toujours corrigées
> si rapidememnt que cela (OpenOffice, Acrobat Reader, Flash, ...)

Ces deux derniers sont des logiciels propriétaires, donc...



> D'autre part, les systèmes Linux modernes sont tous installés avec
> divers interpréteurs (Perl, Python, ...). Des vers et virus existent
> dans ces langages là.

Des références ?

> Dieu merci, il n'est pas besoin d'avoir les droits root pour effectuer
> une connexion réseau.

Encore une fois ces scripts s'exécutent en espace utilisateur et sans les 
droits root.


> Les virus Windows: de plus en plus de gens utilisent Wine. Les vers et
> virus Windows sont donc virtuellement "comme chez eux". Et les
> distribution modernes (Ubuntu en tête) permettent "d'auto-exécuter" les
> .exe avec Wine.


Là encore je veux bien des références. Au pire la bestiole va compromettre
les exécutables et les bibliothèques Windows, mais je ne vois pas comment elle 
peut se propager au système Linux.

> Ne n(v)ous leurrons(ez) pas: la démocratisation de Linux auprès du grand
> public va augmenter l'intérêt de ce type de plate-forme pour les auteurs
> de ces bêbêtes. Donc, on risque bien d'en voir de plus en plus.

Ah ! le vieux serpent de mer utilisé par les éditeurs d'anti-virus et les 
partisans de MS. 70 % des serveurs Web tournent sous Linux BSD ou autre UNIX-
like, et on a toujours pas de virus. Même chose pour MacOSX, 4 à 7% de parts 
de marché et zéro virus (les trucs récemment apparus exploitent des failles 
introduites par Apple, pas des faille du système lui-même). Si c'est systèmes 
sont très peu attaqués par des logiciels malveillant, c'est uniquement parce 
que leur architecture est bien lus robuste (gestion des droits, espace mémoire 
protégé, etc.) 



> Enfin, parlons des rootkit noyau. Avec les noyaux modulaire, c'est un
> jeux d'enfant d'en écrire un (je l'ai fait n'étant pas du tout
> programmeur système).

Si tu ne le démontres pas -> FUD

> Évidemment, les sources officielles du noyau sont scrutées en permanence
> et les tentatives de corruption des sources sont découvertes et
> corrigées très rapidement. De même pour les paquets officiels des
> distribution.

Ah, il y a eu des tentatives de corruption des source du noyau ? Je t'invite à 
te renseigner sur le mode de fonctionnement du développement du noyau. 
N'importe qui ne peux pas envoyer un bout de code comme cela...

> Mais quid des drivers non inclus dans le noyau officiel mais dont nous
> avons tous besoin pour mettre fonctionner nos périphériques exotiques ?

L'idéal bien sûr serait de na pas les utiliser. Puisque le code source n'est 
pas public, personne en dehors des auteurs ne peut y détecter/corriger des 
failles. Si ces pilotes proviennent du fabricant officiel et/ou ont été mis en 
paquet officiellement par la distribution, il n'y a priori pas de risques.

> Et quid des paquets non officiels proposés par des gens de bonne volonté
> ? Vous avez besoin des droits root pour les installer. Quelle confiance
> pouvez-vous accorder à leur(s) auteur(s) ?

C'est bien pourquoi on insiste lourdement pour que les gens n'installent pas 
des paquets non officiels en dehors de quelques dépôts fiables.


> Maintenant, Linux (comme tous les unix) résistent mieux de part,
> notamment, un meilleur cloisonnement des droits utilisateurs. 

Oui mais pas seulement !

> Mais
> résister ne signifie pas ête immunisé. Tout au plus (mais c'est déjà
> énorme) n'aurez-vous pas besoin de réinstaller tout le système après une
> infection.

Là je suis d'accord le terme "immunisé" peut paraître trop fort, mais c'est 
pourtant celui qui convient. Le système contient intrinsèquement les moyens de 
se défendre contre des logiciels malveillants, à la manière d'un système 
immunitaire pour un organisme vivant. Ce qui ne signifie pas qu'il ne tombera 
jamais malade et qu'il ne faut pas prendre certaines précautions.


> Bref, sans vouloir lancer de troll ni être trop parano, il convient de
> faire attention et faire preuve d'un tout petit peu de bon sens (comme
> sous Windows finalement ;-) ). Et un anti-virus ne fait jamais de mal
> (enfin, normalement).

Un anti-virus sous Linux reste totalement inutile à l'heure actuelle (hormis 
pour les raisons évoqué dans les posts précédents.)

-- 
Bruno