mardi 23 janvier 2007

Troll Back !

Pendant mes 9h de train aujourd'hui (dont 3 arrêté en pleine voie sous la neige), j'ai eu le temps de rattraper mon retard de lecture.

Et je ne peux m'empêcher de sourire en lisant les passages suivants dans Hakin9 n°20, page 6 (fautes d'orthographe en moins):

"Malheureusement et contrairement aux OS Open Source, Microsoft a quelques difficultés à rendre son système invulnérable. En effet, l'Open Source permet aux OS comme Linux d'être assez robustes. Du fait que tous les utilisateurs en deviennent des développeurs, ils peuvent en modifier le code à leur guise et combler les brèches qu'ils trouvent."

Quel que soit votre système de prédilection, j'espère ne pas avoir à vous expliquer pourquoi cette assertion est totalement fausse ... sinon réfléchissez au dernier bogue que vous avez identifié et corrigé dans le code de n'importe quelle application Open Source ! (Personnellement j'en suis à zéro, et l'expérimentation chez ma belle-mère a donné le même résultat).

Je suis quand même globalement inquiet pour notre jeunesse, éduquée avec ce genre de message ... comment va-t-elle s'intégrer dans la vraie vie ?

Le meilleur est pour la fin :

"Rappelons tout de même que les OS Microsoft sont les seuls à voir des failles trouvées avant leur sortie."

Si vous voulez en savoir plus, je vous conseille la lecture de Maître Troll, à savoir Jeff Jones de Microsoft. Disons simplement qu'il démontre chiffres à l'appui que n'importe quelle version de RedHat Enterprise Linux était vulnérable à des dizaines de bogues connus le jour même de sa sortie ...

PS. Si l'auteur de cet article veut me contacter, je suis à sa disposition.

PPS. A priori l'écriture et la mise en page de Hakin9 doit utiliser des logiciels libres ... je ne vois pas comment Word pourrait laisser passer autant de fautes triviales (appelons les "coquilles" par pudeur).

5 commentaires:

Tyop? a dit…

"
Je suis quand même globalement inquiet pour notre jeunesse, éduquée avec ce genre de message ... comment va-t-elle s'intégrer dans la vraie vie ?
"

Elle va arreter d'ecouter les betises racontees par les linuxiens, et surtout par les windowsiens, puis inevitablement, elle va passer sous *BSD.

(^-^)

Sid a dit…

Je ne pense pas qu'ils utilisent de correcteur/dictionnaire du tout. Même sous LaTeX avec ispell, je fais moins de faute...

Bruno Kerouanton a dit…

Tu as bien fait de poster ces remarques. En préparant mes cours que je fais dans 2 semaines, j'ai également parcouru en détail les derniers numéros de Hakin9 et Misc, et ai fait le même constat.

Chaque année je propose à mes étudiants le numéro de Hakin9 en cours, notamment car il est fourni avec un CD live dont je me sers lors des TP pour qu'ils puissent manipuler, mais cette année je change de formule, et ils auront MISC et le CD BackTrack2 (merci Sid pour l'info sur ton blog, je ne connaissais pas cette distrib).

Ce dernier numéro de Hakin9 ne me semble pas forcément très intéressant, on y retrouve des vieilleries telles que les XSS, et un cd contenant des tutoriels pour le CCNA. L'équipe de la revue a en fait décidé de passer en formule mensuelle, cela risque peut-être d'être au détriment de la qualité des articles.

J'ai par ailleurs souri en lisant dès les premières pages une brève concernant les autres magazines de sécurité, il est fait mention de MISC qui est le seul concurrent valable, les autres ayant de sérieuses difficultés à trouver leur lectorat.

Habituellement je n'achète pas MISC à mes étudiants, car j'estime que leur niveau n'est pas suffisament élevé à la fin des cours (pourtant c'est une semaine full-time en mastère) pour apprécier la pleine teneur des articles de MISC. Il faut dire que les articles sont plus denses et souvent plus instructifs, mais également moins pédagogiques à mon avis (ie destinés à un public plus averti).

Pour ton second point concernant les failles sur environnement OpenSource ou non, je partage depuis déjà quelques années ton avis. Le problème est que la guéguerre des Linuxiens vis-à-vis des environnements dits "fermés" n'a malheureusement pas cessé, et que les arguments utilisés sont toujours et encore exagérés, voire erronés.

Microsoft n'est pas si fermé que cela, dès que l'on s'intéresse aux MSDN, Technet et autres ressources extrêment riches en informations. De plus, IDA Pro et d'autres outils de rétroconception sont bien utiles pour un peu mieux comprendre ce qui reste obscur (bon d'accord il faut du temps, beaucoup de temps, mais statistiquement il y a potentiellement autant de chances que quelqu'un jette un coup d'oeil sur une DLL de Windows à coup de désassembleur, que quelqu'un se mette à plonge dans le code source d'un logiciel libre pour en déceler les failles.

Le niveau de connaissances technique nécessaire est élevé dans les deux cas, et très très peu de personnes de mon entourage savent correctement lire un code en C (ou en Perl, Python, Ruby, voire même en script shell) pour y déceler des failles de sécurité.

Affirmer que l'accès au code source le rend plus sécurisé est totalement faux, car il y a à parier que personne n'ira l'auditer, sauf pour des motifs précis. Et l'accès au code source représente une opportunité merveilleuse pour les personnes malveillantes, car l'insertion d'une porte dérobée n'en sera que plus facile, cela se produit d'ailleurs régulièrement.

Lorsque les pro-opensource comprendront que ce n'est pas en racontant des bêtises pareilles qu'ils seront crédibles, ce sera déjà un grand pas en avant...

newsoft a dit…

@tyop?: effectivement, BSD doit être le seul système dont tous les utilisateurs sont ses développeurs :)

En tout cas rien de tel qu'un bon troll pour générer des commentaires :)

Tyop? a dit…

newsoft rien de tel qu'un bon troll pour générer des commentaires

Joli effectivement.

newsoft BSD doit être le seul système dont tous les utilisateurs sont ses développeurs.

La documentation est de bien meilleure qualite que sous Linux...

Une personne vient de me souffler :
"
C'est normal, la doc elle est en commentaire dans le code source.
"

8)

Non, il faut arreter avec ces cliches.