Concours de sécurité entre linux mac et windows - Be-Students - Forum d'entraide et de soutien scolaire gratuit

ezaeza · 31/03/2008, 20h38

Voilà un petit concours sut la sécurité des OS qui à été fait il y a 3 ou 4 jours :

Citation:

Dernièrement, un évènement centré sur la sécurité, le PWN2OWN 2008, a mis en scène trois ordinateurs à pirater. Les machines étaient les suivantes :

Un VAIO VGN-TZ37CN sous Ubuntu 7.10
Un Fujitsu U810 sous Vista Intégrale SP1
Un MacBook Air sous Leopard (OSX 10.5.2)

Le but était simple : percer les défenses des systèmes d’exploitation et recevoir le prix de 10 000 dollars, accompagné de la machine piratée.

Le premier jour, rien ne s’est passé. Les premières 24 heures étaient en effet consacrées au piratage du système d’exploitation proprement dit, avec seulement un accès réseau. Le deuxième jour, les règles ont changé, et les applications livrées par défaut avec le système sont entrées dans l’arène. Là, évidemment, les choses sont devenues très différentes, et le MacBook Air a tenu… deux minutes.

Pourquoi ? Comment ? Parce que Charlie Miller, l’auteur du piratage du MacBook Air, a utilisé une faille raccordée à Safari. On sait qu’il a visité une page spécialement conçue pour exploiter une situation donnée et provoquer, apparemment, un dépassement de mémoire tampon pour prendre le contrôle total de la machine.

Avant même que les explications soient données (les détails de la faille sont scellés pour des questions de sécurité), beaucoup pensaient que le trou de sécurité devait se situer au niveau de la gestion du JavaScript, et il semble bien que ce soit le cas. Le moteur de rendu Webit, utilisé par Safari, se sert de la bibliothèque libre PCRE qui permet de manipuler des expressions régulières compatibles avec le langage Perl. Elle souffre actuellement d’une faille de sécurité qui permet justement de déclencher un dépassement de mémoire tampon.

Ainsi, ce n’est pas Mac OS X lui-même qui a été piraté, mais un navigateur, au travers apparemment d’une bibliothèque tierce, qui devrait être rapidement corrigée.

Le troisième jour a vu la mort de la machine sous Vista. Les règles avaient changé, incluant dans le lot des possibilités toutes les applications populaires que l’on trouve habituellement sur chaque système. Et là, la logithèque Windows a porté un coup dur à Vista à travers le lecteur Flash d’Adobe, victime d’une faille qui n’était ni documentée, ni même référencée. Comme la faille présente dans Safari, les détails n’ont pas été publiés mais envoyés à Adobe pour que l’éditeur corrige la brèche.

À la fin des trois jours, seul l’ordinateur sous Ubuntu a tenu le choc. On peut certes se réjouir pour la distribution et plus globalement les systèmes d’exploitation libres, mais il faut bien rappeler qu’en l’état, aucun des trois systèmes n’a été piraté dans sa forme brute : seul l’ajout des applications accompagnant les systèmes a permis d’en prendre le contrôle.

Il est notamment intéressant de vérifier que Microsoft a parcouru du chemin, puisque seule une application tierce et non livrée avec le système a permis de prendre le contrôle du portable Fujitsu. En dépit des petites guerres entre utilisateurs, on peut estimer que la sécurité a clairement parcouru du chemin ces dernières années.

Source : Concours de sécurité : Leopard et Vista tombent, pas Ubuntu - PC INpact

Ça fait plaisir de voir que la distribution linux Ubuntu disponible gratuitement de partout, faite en très grande partie par des bénévoles s'avère être la plus sécurisée, en plus d'être accessible au grand public.

**Elvenpath** · 31/03/2008, 21h02

c'est interessant à savoir.
Merci ezaeza

**cmbelgique** · 01/04/2008, 13h54

Merci pour l'info