Ah ils ont bon dos les hackers chinois ! Selon 01Net, l’administration française aurait été la cible « d’attaques d’envergure » … en fait il s’agirait tout simplement d’un pauvre cheval de troie infectant un document Word : et voilà notre administration française 0wned par MsWord … avec tout ce qu’on claque en licence antivirus, bravo, ça fait désordre.
On est quand même en droit de se demander si c’est les chinois qu’il faut fustiger ou les choix crétins de notre administration qui n’arrive toujours pas à fonctionner comme une entreprise du 21e siècle et qui utilise encore un OS de merde (Windows), des formats pourris (MsWord) et des méthodes archaïques (word est un outil à peine bon à rédiger des cv alors qu’un simple outil de gestion de contenu en ligne open source et gratuit offrirait un degré de sécurité bien plus satisfaisant des vraies fonctionnalités collaboratives).
Effectivement, un truc gratuit comme Linux, sur les postes des fonctionnaires, c’est pas assez troué, donc du coup on met du Windows et on va pleurer que des vilains hackers chinois ont déclaré une guerre cybernétique à l’Etat Français. Permettez moi de sourire, je trouve ça ridicule et affligeant. Messieurs, vous avez décidé de confier des systèmes sensibles à un OS tout juste bon à jouer au solitaire ou à la dame de pique .. alors ne venez pas pleurer quand un intrus qui se fait passer pour un chinois et qui est peut être votre voisin de palier met nos systèmes en échec.
Et quand Francis Delon, le secrétaire général de la défense nationale confie au quotidien le Monde « On peut parler d’affaire sérieuse », on se re-bidonne un bon coup en se demandant comment un fichier Word a pu faire tant de dégâts pour qu’une personne comme ce monsieur en soit amené à faire de telles déclarations à la presse…
Linux est pas forcément beaucoup plus sécurisé et plus stable. Par exemple, Linux et Windows utilisent tous deux un noyau monolithique ce qui ne joue pas en faveur de la stabilité d’un OS. La vraie différence réside dans la part de marché de Windows. C’est beaucoup plus intéressant de rechercher une faille de sécurité dans les systèmes Windows.
Il existe quand même des systèmes plus sécurisés qui devrait être utilisé pour manipuler des données sensibles. Par exemple, OpenBSD dans lequel on n’a découvert que 2 failles de sécurité exploitables de l’extérieur sur plus de 10 ans. Dans ce projet, l’accent est vraiment porter sur la sécurité.
Relativisons les qualités de Linux !
Hello,
J’utilise Linux depuis une dizaine d’années, OpenBSD depuis 6 ou 7 ans. Vous devez vous rendre compte que ces deux OS ne sont pas du tout faits pour faire la même chose. J’ai beau encore avoir un desktop sur OpenBSD et chérir quasi aveuglément cet OS (si si), je me rends bien compte que c’est pas ce qu’il y a de plus confort pour la bureautique ou se lancer un petit FPS.
En revanche en ce qui concerne le wifi et certains services embarqués je ne troquerai mon Open pour rien au monde.
Maintenant pour alimenter le troll, savez vous à quoi ressemble une installation par défaut d’OpenBSD ? Pour vous en faire une idée allumez un terminal, passez votre écran en 640*480 et vous aurez l’interface d’une OpenBSD en install par défaut : c’est ça les 2 trous en remote depuis 10ans. Le seul service qui tourne en gros c’est ssh (qui est d’ailleur le premier trou remote qu’a connu OpenBSD 🙂 )
OpenBSD n’échape pas aux trous de Xorg ou firefox, ça c’est de la fiction, même si la team qui package audit systématiquement le code des applis empêche une immense partie des vulnérabilités, il en subsites, croyez moi 🙂
Faire tourner une OpenBSD avec un serveur graphique de manière sécurisée n’est pas à la portée de n’importe qui (redir du port d’écoute du serveur graphique sur le 22 par exemple).
Concernant votre position sur le noyau je tombe un peu des nues quand vous comparez le kernel de windows (windows a-til seulement un noyau?) à celui de Linux et qu’en plus vous taxez ce dernier d’être monolithique alors qu’un peu d’expérience en la matière vous permettrai de comprendre qu’en fait c’est tour le contraire : le kernel de Linux est modulable à volo, pas celui de windows. L’architecture n’est en rien comparable, révisez vos classique 🙂 . Et concernant celui d’OpenBSD c’est encore une autre paire de manche, sa magie permet de la modification à la volée.
Pour sécuriser un linux, il suffit de faire la chasse aux process à SUID root, sous windows on a que les yeux pour pleurer si une application a besoin des privilèges admin (et y’en a un paquet).
Dans le cadre précis de ce billet mon propos n’est pas non plus d’encenser Linux mais de mettre le doigt sur des méthodes de travail d’un autre âge (comment on édite un doc word trojanné en mode collaboratif ? Comment expliquer que de nombreuses administrations tournent encore sur IE5 !!!)… aujourd’hui on dispose de systèmes de gestion de contenu et de serveurs applicatifs en Java ou en python dont la sécurité n’a RIEN a voir avec un doc word qui se balade de disques en disques infectant ainsi nos administration.
Bref, passer un poste d’un fonctionnaire sur ubuntu posera forcement moins de problème que de le passer sur OpenBSD.
Et pour info, une personne qui sait utiliser de manière secure une OpenBsd sait généralement rendre son Linux au moins aussi secure qu’une OpenBSD (j’ai même tendance à dire qu’il y aura moins d’exploit locaux sur une Debian que sur une OpenBSD en config poste de travail).
Faire tourner une OpenBSD avec un serveur graphique de manière sécurisée n’est pas à la portée de n’importe qui (redir du port d’écoute du serveur graphique sur le 22 par exemple).
Ce qui faut pas entendre. !!!
… port forwarding sur session X distante, c’est choquant ?
… ou c’est le X sur la openbouze qui te choque ?
Faire tourner une OpenBSD avec un serveur graphique de manière sécurisée n’est pas à la portée de n’importe qui ==> c’est ca qui m’a choqué.
Deja une fois l’install fini, si tu as set les packages X, tu reboot, un startx, et tu l’as ton xterm, j’avou c »etait dur ^^
Sinon un coup de cvs pour get xenocara et ta ton X,
Deplus redirec du port d’ecoute du serv X sur le 22 ca veut dire quoi, ?? (un simple -R 6000:127.0.0.1:6000) On a nullement rediriger le port d’ecoute de X
on a juste mapper un port et fais un export DISPLAY, ce que fais ton -X,
Pour finir :
==>j’ai même tendance à dire qu’il y aura moins d’exploit locaux sur une Debian que sur une OpenBSD en config poste de travail
Tu as vu ca ou ? tu dis des choses sans savoir, si je ne m’abuse ? tu utilise vraiment open ?
Les deux remote en 10an ==> 1er argument d’un code propre et auditer
Mecanisme crypto et secu, pile non executable
D’un autres coté tu as un os ou tt le monde dev dans tt les sens, comment ca peut etre propre et secure ? (PRNG ??? why ?)
Je suis d’accord que c’est bien, que tu as plus de packages, plus de … et de … (de truc qui servent surtt a rien !!)
avec mes open, j’ai un réseaux secure, de quoi faire ce que je veux, et apprendre l’informatique !!!
Voila quoi ^^
++
Concernant open je l’utilise principalement pour de l’embarqué, en second lieu pour une machine desktop, j’y trouve mon confort, et ça fait 6 ans que ça dure.
Je ne vois pas ce qu’une session X over ssh a de si incompréhensible
Concernant les 2 expoit remote … ben oui c’est du remote, si tu lis bien ce que j’ai écrit et que tu matte un peu la Lenny, tu vas voir que beaucoup de chose ont été faites dessus et que … openbsd localement n’est pas aussi blindée qu’en remote… tu te sers de ta open en installe par défaut ou tu installe des packages ?
Perso, voir open office dans openbsd, ça me fait gerber.
En outre je ne sais pas si tu te souviens de STEPHANY, mais ce bundle de enhardement pour openbsd n’était pas anodin 😉
Pour le X over ssh, c’etait jsute une question de termes.
Pour open, je m’en sert biensur avec des packages,
sans X en général, sauf pour mon portable, cas du laptop desk, ou j’ai juste un blackbox.
Pour steph, oui et ? si je ne m’abuse, cela ne permet que l’implementation ou la gestion de nouveau module ou mecanisme.
Perso je persiste dans le fais (meme en local) qu’un open sera moins vite faillible qu’un linux, (tout depend de qui gere le srv)
On peut debattre longtemps, c’est surtt une question de point de vue je pense, et pour ma part je n’utilise plus linux,
Est ce une raison pr denigrer ? je ne pense pas que je denigre, j’ai juste appris un fct different du systeme, a mon sens beaucoup mieu fait,
mais la encore c’est une question de point de vue.
Concernant le openoffice, pk installer ca lol ?
Nice ^^
Le terme de redirection était pas très bien sentit je te le concède 🙂
Niveau OS j’ai aucun soucis a utiliser du Linux ou du BSD, mon utilisation tourne principalement autour du webdev et du wifi. Pour le wifi en mode client, OpenBSD est un OS magnifique, souvent en avance sur Linux niveau drivers. Mais j’ai du mal à me défaire de Linux et j’en ai d’ailleurs pas envie. Loin de moi donc l’idée de dénigrer un OS ou l’autre (on ne compte pas windows comme un OS hein).
Pour le wifi en mode client, OpenBSD est un OS magnifique,
a j’avou, et c’est vrai que c’est reconnu sur le web,
(on ne compte pas windows comme un OS hein)
Ben tu voit on étai d’accord en faites ^^
Sympa
Cdt, ^^
« Concernant votre position sur le noyau je tombe un peu des nues quand vous comparez le kernel de windows (windows a-til seulement un noyau?) à celui de Linux et qu’en plus vous taxez ce dernier d’être monolithique alors qu’un peu d’expérience en la matière vous permettrai de comprendre qu’en fait c’est tour le contraire : le kernel de Linux est modulable à volo, pas celui de windows. »
Le concept de noyau monolithique n’est pas lié à la modularité. En effet, monolithique fait opposition à l’approche micro-noyau (comme Minnix) qui réduit les fonctionnalités du noyau au minimum en externalisant la plupart des services systèmes dans l’espace utilisateur.
OpenBSD est pourvu d’un noyau monolithique modulaire, c’est à dire qu’il est effectivement éclaté en multiples sous-systèmes mais la moindre erreur dans un module met en péril l’exécution de tout le système.