« Windows 7 et Internet Explorer 8 est la combinaison la plus sécurisée
Mais sans Flash », déclare un expert en sécurité renommé
Le 2010-03-04 13:23:34, par Gordon Fowler, Expert éminent sénior
D'habitude, lorsque l'on demande quelle combinaison OS/Navigateur est la plus sûre, la réponse est souvent incomplète, du simple fait que celui qui la donne n'est expert que d'une seule plateforme.
Charlie Miller n'est pas de ceux-là.
Vainqueur à plusieurs reprises du concours de référence en matière de hacking – le Pwn2Own – Charlie Miller connait aussi bien Linux que Windows sans oublier Mac OS ou l'iPhone et Android, les deux OS mobiles qu'il a été le premier à « casser ». Mais qu'on ne s'y trompe pas, l'homme n'est pas un pirate. Il est un chasseur de bugs renommé dont le but est d'améliorer en permanence la sécurité des systèmes.
Dans une interview qu'il a accordée cette semaine en préambule au Pwn2Own 2010, Charlie Miller soutient que pour lui, la combinaison actuelle la plus sûre serait « Chrome ou Internet Explorer 8 sur Windows 7, mais sans Flash installé. Il n'y a probablement pas assez de différences entre les navigateurs pour les départager [en terme de sécurité] mais l'essentiel est de surtout ne pas installer Flash ! ».
Un avis qui va à contre-courant des idées reçues et qui ne plaira sans doute pas à Steve Jobs, déjà furieux que Miller ait craqué Safari dans le passé.
Quant à Linux, il « n'est pas plus difficile [à pirater], probablement plus facile en fait, même s'il faut bien faire la différence en fonction de la distributions dont on parle. Les organisateurs [du Pwn2Own] choisissent de ne pas utiliser Linux simplement parce que beaucoup moins de gens l'utilisent. L'autre chose importante à dire, c'est que les principales vulnérabilités se trouvent dans les navigateurs, or ce sont les mêmes qui tournent sur Linux et sur Windows ».
Source : L'interview de Charlie Miller
Lire aussi :
Nouvelle faille critique dans Adobe Download Manager, l'utilitaire installé avec Flash et Reader : comment la colmater ?
Firefox : le navigateur le plus vulnérable ?
26 % des hackers préfèrent utiliser Opera selon Purewir
"Snow Leopard est plus facile à hacker que Windows" d'après C. Miller, auteur du livre The Mac Hacker's Handbook
Les rubriques (actu, forums, tutos) de Développez :
Sécurité
Systèmes
Charlie Miller n'est pas de ceux-là.
Vainqueur à plusieurs reprises du concours de référence en matière de hacking – le Pwn2Own – Charlie Miller connait aussi bien Linux que Windows sans oublier Mac OS ou l'iPhone et Android, les deux OS mobiles qu'il a été le premier à « casser ». Mais qu'on ne s'y trompe pas, l'homme n'est pas un pirate. Il est un chasseur de bugs renommé dont le but est d'améliorer en permanence la sécurité des systèmes.
Dans une interview qu'il a accordée cette semaine en préambule au Pwn2Own 2010, Charlie Miller soutient que pour lui, la combinaison actuelle la plus sûre serait « Chrome ou Internet Explorer 8 sur Windows 7, mais sans Flash installé. Il n'y a probablement pas assez de différences entre les navigateurs pour les départager [en terme de sécurité] mais l'essentiel est de surtout ne pas installer Flash ! ».
Un avis qui va à contre-courant des idées reçues et qui ne plaira sans doute pas à Steve Jobs, déjà furieux que Miller ait craqué Safari dans le passé.
Quant à Linux, il « n'est pas plus difficile [à pirater], probablement plus facile en fait, même s'il faut bien faire la différence en fonction de la distributions dont on parle. Les organisateurs [du Pwn2Own] choisissent de ne pas utiliser Linux simplement parce que beaucoup moins de gens l'utilisent. L'autre chose importante à dire, c'est que les principales vulnérabilités se trouvent dans les navigateurs, or ce sont les mêmes qui tournent sur Linux et sur Windows ».
Source : L'interview de Charlie Miller
Lire aussi :
Les rubriques (actu, forums, tutos) de Développez :
-
zulMembre éclairéConcernant la sécurité des systèmes d'exploitations, il est "probablement" plus facile de pirater un Linux. Pas de faits avérés dans un sens ou dans l'autre. Je sais que c'est un "expert en sécurité informatique", mais ce n'est pas une preuve suffisante. Quand à Windows VS MacOSX, l'argument principal c'est que Windows a un vecteur d'attaque moins grand parce qu'il n'a pas Flash ni java de base (ce qui est vrai dans l'absolu, en pratique, ce sont des choses qu'on retrouve souvent installé dans les offres de supermarché). ASLR et DEP sont des techniques intéressantes, qui existent aussi dans d'autres systèmes (je dirai que ça vient entre autre des travaux de GrSecurity) mais comme indiqué, on peut les bypasser (en particulier dans le cas qui nous intéresse, attaque via l'explorateur) (entre autre, il me semble que Leopard utilise aussi des techniques d'ASLR).
Et il va au moins dans le sens de Steve Jobs, Flash est un vecteur d'attaque important, d'où un choix non illogique de ne pas le supporter sur des plateformes mobilesle 04/03/2010 à 13:47 -
bachir006Membre du Clubc'est bien beau dit comme ca. mais on voudrais des arguments quand meme.
en quoi Windows serait il plus securise que les autres OS par exemple?le 04/03/2010 à 13:48 -
MrEagleMembre régulierQue vous soyez sur Linux, Windows ou Mac OS toutes versions confondu avec n'importe quel navigateur le plus gros problème de sécurité est et sera toujours l'utilisateur.
Il n'est pas plus intelligent de s'identifier root en linux que de répondre à un courriel du prince du sud de l'Afrique du nord qui vous dit qu'il vous donnera 1 000 000$ si vous lui en envoyé 5 000$!le 04/03/2010 à 14:27 -
sur ce lien de 2008 http://www.referencement-internet-we...ws-Vista.html on voit que linux avait résisté...
quant à flash le mieux est de le désactiver sous firefox.le 04/03/2010 à 14:53 -
LycheExpert éminentle 04/03/2010 à 14:57
-
gmotwMembre confirméJe pense que Windows 7 a aussi l'avantage de la nouveauté. C'est en tout cas ce qu'il a l'air de dire dans l'interview.
Mais pourtant il m'a promis qu'il ne donnerait l'argent qu'à moi!le 04/03/2010 à 15:04 -
Envoyé par Lyche
Pour revenir au propos de Charlie Miller qui qualifie linux de "probablement plus facile" à pirater je constate qu'il a participé à un concours de Hacking ou il a craqué Safari mais pas linux, j'aurais aimé qu'il en dise plus sur ce "probablement".le 04/03/2010 à 15:16 -
Gordon FowlerExpert éminent sénior
"Windows 7 avec IE8 ou Chrome" était la réponse à "Mac ou Windows ?" et non à "Quel est le meilleur ?".
In your opinion, which is the safer combination OS+browser to use?
That’s a good question. Chrome or IE8 on Windows 7 with no Flash installed. There probably isn’t enough difference between the browsers to get worked up about. The main thing is not to install Flash!
Linux n'entre en aucun cas en jeu, il dit bien que les vulnérabilités Windows et Linux viennent des navigateurs majoritairement et que l'OS n'influe peu.
Je lis bien "Linux n'est pas plus difficile [à pirater], probablement plus facile en fait, même s'il faut bien faire la différence en fonction de la distributions dont on parle." et non Linux plus facile à pirater. Il y a une grande nuance.
In Pwn2Own 2010 there is still no trace of Linux as possible target. Is it too harder to find exploits for Linux or a non commercial operating system has no interest for exploit hunters?
No, Linux is no harder, in fact probably easier, although some of this is dependent on the particular flavor of Linux you’re talking about. The other thing is, the vulnerabilities are in the browsers, and mostly, the same browsers that run on Linux, run on Windows.
A navigateurs égaux il en tire une conclusion. Qui visiblement ne te plait pas et c'est ton droit.
De là à dire que qu'on modifie les propos de Miller !!!le 04/03/2010 à 15:35 -
bizzard4Nouveau membre du ClubÇa va rager dans ce thread
En lisant plusieurs thread sur le browser/malware/OS on se rend compte rapidement que la fiabilité du système (de nos jours, ça n'a pas toujours été le cas) dépend beaucoup (en majorité?) de l'utilisateur.
Petit exemple simple :
Dans ma famille, 4 OS ->
DaddyWindowsXP : La principale faille de cet OS de se trouve dans le courriel de son collègue où il est écrit "Tiger Wood with big boobs" qui pointe sur le fameux vidéo de Tiger Wood avec ses concubines (Movie.EXE).
MommyWindowsXP : Un peu plus sécuritaire comme OS parce qu'il est simple et très peu utilisé. Par contre, l'OS en voulant être trop sécuritaire, envoi souvent par MSN des messages de type "I Found your picture" sur MSN pour avertir l'utilisateur que sa copine (française) a trouvé une photo de l'utilisateur sur un site internet (Photo.EXE).
BrotherVista : Plus ou moins sécuritaire, malgré le progrès technique plus haut que la moyenne de cet OS, il n'en reste pas moins qu'il est porté à offrir des liens sur Facebook vers des concours pour devenir millionnaire. Vu que cet OS est très peu couteux (et que l’utilisateur a pas d’argent), il lui arrive souvent de s'essayer pour faire un peu d'argent. Les concours sont souvent accompagnés d'un Sondage.EXE simple et rapide à remplir.
MeWin7 : Le plus sécuritaire, alerte et très stable comme OS. La performance technique de cet OS le rend utilisable que par un professionnel. Malheureusement, parfois le professionnel DOIT trouver un crack/serial/torrent pour un truc rare et il en a « vraiment » besoin. L'OS de pointe en recherche, permet toujours à l’utilisateur de trouver ce qu’il cherche, peu importe la recherche il trouvera toujours Crack.EXE.le 04/03/2010 à 16:00 -
manudwarfMembre éclairéDit-il juste après avoir expliqué pourquoi Linux n'était pas présent. Pwn2Own portait sur Mac et Windows, le journaliste lui demande qui en ressort gagnant, il répond "Windows".Re-Ah bon ?
In Pwn2Own 2010 there is still no trace of Linux as possible target. Is it too harder to find exploits for Linux or a non commercial operating system has no interest for exploit hunters?
No, Linux is no harder, in fact probably easier, although some of this is dependent on the particular flavor of Linux you’re talking about. The other thing is, the vulnerabilities are in the browsers, and mostly, the same browsers that run on Linux, run on Windows.
A navigateurs égaux il en tire une conclusion. Qui visiblement ne te plait pas et c'est ton droit.
De là à dire que qu'on modifie les propos de Miller !!!
Et excuse-moi si je me suis emporté mais j'ai vraiment trouvé les raccourcis trop rapides (et incitant au troll). le 04/03/2010 à 16:07